Open Banking y PSD2 para mucho más que servicios financieros

El sector inmobiliario ha empezado a recurrir a estudios de solvencia avalados por plataformas de Open Banking y la directiva PSD2

El concepto Open Banking es ampliamente utilizado para definir la interconexión mutua entre bancos, tanto para consultar información de clientes como para soportar pagos. Bajo este concepto se destaca la directiva PSD2, la cual impone una serie de requisitos para mejorar la seguridad de dicho concepto, sobre el que se basan otros servicios financieros o incluso servicios de solvencia en sectores como el inmobiliario.

En 2024, se ofertaron en el mercado del alquiler más de 700.000 inmuebles y más del 20% de las viviendas españolas estaban en régimen de alquiler, marcando un récord histórico. Estas cifras evidencian que los desafíos en torno al alquiler son mayúsculos y que afectan a millones de arrendadores e inquilinos.

Para facilitar el proceso de alquilar viviendas o establecimientos comerciales con las máximas garantías financieras, en los últimos años han surgido plataformas fintech, que entre otros servicios también realizan estudios de solvencia de los potenciales arrendatarios, agregando la información de sus cuentas bancarias y automatizando un análisis de su salud financiera. Igualmente, estas plataformas también efectúan análisis de solvencia con otros fines, como validar la concesión de un crédito a una persona.

Habida cuenta del auge que han experimentado y de que manejan información sensible sobre los ciudadanos, es fundamental garantizar la seguridad de las plataformas que permiten realizar dichos estudios de solvencia.

Pues bien, los requisitos de seguridad de las plataformas que realizan estudios de solvencia son muy exigentes y aparecen fijados en la directiva PSD2, que también deben cumplir las entidades financieras tradicionales, como los bancos europeos, así como las plataformas de servicios de pagos como Paypal o Amazon Pay.

A continuación, vamos a explicar un caso que ha venido para quedarse: ¿Es seguro que mi inmobiliaria me pida abrir una cuenta en una fintech para agregar mis movimientos y realizar un estudio de solvencia? La respuesta rápida es que, si cumplen adecuadamente con la PSD2, sí (y a esto están obligados todas las entidades financieras europeas).

1. Cómo funcionan las plataformas que automatizan los estudios de solvencia

La realización de estudios de solvencia es uno de los pilares fundamentales sobre los que se asienta el sector financiero, pero también es de enorme relevancia en el sector inmobiliario.

Desde hace años, las inmobiliarias realizan o contratan estudios de solvencia. Sin embargo, el procedimiento era manual y eminentemente analógico. De tal forma que los arrendatarios tienen que facilitar un amplio abanico de documentos: extractos bancarios, contratos laborales, nóminas. Lo que supone un gran esfuerzo, conlleva que el proceso se ralentice e implica un gran desafío en lo relativo a la protección de datos personales.

De ahí que la irrupción de plataformas de Open Banking que posibilitan la agregación de movimientos y saldos, y por lo tanto facilitan la existencia de servicios que realizan estudios de solvencia. Esto ha supuesto una pequeña revolución en el sector inmobiliario. ¿Cuáles son las claves de estas plataformas?

• Los potenciales arrendadores deben crear una cuenta en una entidad financiera (también conocidos por AISPs – Account Information Service Providers) y autorizar a que los bancos del arrendador faciliten información a dicha entidad para agregar la información de sus diversas cuentas corrientes. Este procedimiento es posible gracias a la interconexión entre las entidades financieras bajo el concepto Open Banking y cumple estándares de seguridad regulados por la directiva europea PSD2. La propia PSD2 exige:
  • Que el titular otorgue consentimiento explícito al AISP para acceder a la información mínima necesaria de sus cuentas bancarias, sólo para el propósito indicado. Dicho consentimiento podrá ser revocado en cualquier momento y el AISP no podrá utilizar los datos para otro fin sin un nuevo consentimiento.
  • Cualquier proceso de autenticación será realizado en el contexto del banco donde el usuario pertenece. En ningún caso un banco o tercero deberá tener credenciales de otro banco.
  • La primera vez que se otorga consentimiento a un AISP para acceder a otras cuentas bancarias, se requiere Strong Customer Authentication (SCA). Esto requiere satisfacer otro factor de autenticación.
• A partir de la información financiera obtenida gracias al historial bancario del arrendatario, el AISP puede ser capaz de evaluar su rating de solvencia con la máxima precisión, así como calcular su índice de endeudamiento, todo ello salvaguardando su información financiera.
• De esta forma, una inmobiliaria puede disponer del rating de solvencia de un posible arrendatario, ya que el AISP facilitará dicho servicio, evitando fraudes y agilizando el proceso de alquilar una casa, un piso o un local comercial.

Habida cuenta de que la información que manejan (saldos, deudas, gastos recurrentes, cuantía de las nóminas…) es extraordinariamente sensible, la seguridad de las plataformas que realizan estudios de solvencia es una cuestión crítica. De ahí que la normativa imponga a las compañías la puesta en marcha de mecanismos de protección de la información.

2. Por qué debemos confiar en la seguridad de los AISPs que realizan estudios de solvencia

La directiva europea 2015/2366 sobre servicios de pago en el mercado interior, conocida popularmente como la directiva PSD2, incluye en su ámbito de aplicación a los proveedores de servicios de información sobre cuentas.

¿Quiénes son estos proveedores? Según el artículo 4 de la norma, son las compañías que ofrezcan un «servicio en línea cuya finalidad consiste en facilitar información agregada sobre una o varias cuentas de pago de las que es titular el usuario».

Por lo tanto, las plataformas que realizan estudios de solvencia mediante la agregación de cuentas entran en esta categoría.

El artículo 33 de la directiva PSD2 establece que las organizaciones que presten únicamente esta clase de servicios están sometidas a menos obligaciones que los proveedores de servicios de pagos, como pueden ser las entidades bancarias.

Sin embargo, también fija que «serán tratadas como entidades de pago» y les serán de aplicación todas las obligaciones relacionadas con la gestión de riesgos operativos y de seguridad y autenticación (artículos 95, 96, 97 y 98).

3. Cuáles son los principales requisitos de seguridad de las plataformas que realizan estudios de solvencia fijados en la directiva PSD2

La directiva PSD2 ha servido como marco normativo para garantizar que las entidades financieras ser intercambian información y pagos de forma segura y protegiendo los datos bancarios de los consumidores y las empresas europeas. Para ello, la directiva PSD2 impone a las compañías que operan en el sector la necesidad de:

• Gestionar los riesgos operativos y de seguridad.
• Notificar incidentes.
• Facilitar a los titulares la posibilidad de otorgar consentimientos de acceso granular a la información, así como revocarlo cuando sea necesario.
• Aplicar la autenticación reforzada de los clientes.
• Cumplir las normas técnicas sobre autenticación y comunicación elaboradas por la Autoridad Bancaria Europea (ABE) con la ayuda del Banco Central Europeo (BCE).

3.1. Gestión de riesgos operativos

De acuerdo con el artículo 95 de la directiva PSD2, las compañías deben establecer un marco con medidas paliativas y mecanismos de control que les permitan:

• Gestionar los riesgos operativos y de seguridad relacionados con los servicios de pago.
• Establecer y mantener procedimientos eficaces de gestión de incidentes.
• Detectar y clasificar los incidentes operativos y de seguridad que sean calificados como graves.

Además, tienen que proporcionar anualmente al Banco de España «una evaluación actualizada y completa de los riesgos operativos y de seguridad asociados a los servicios de pago que prestan y de la adecuación de las medidas paliativas y los mecanismos de control aplicados en respuesta a tales riesgos».

3.2. Notificación de incidentes

Si se producen incidentes operativos o de seguridad graves, las organizaciones deben notificar al Banco de España «sin dilación indebida».

Igualmente, si el incidente de seguridad puede afectar a los intereses financieros de los usuarios, también se les debe informar sobre lo sucedido y sobre las medidas que se pueden adoptar para mitigar las consecuencias del incidente.

3.3. Mecanismos de autenticación

La directiva PSD2 fija en su artículo 97 que los estados de la UE deben velar porque las compañías obligadas a cumplir este precepto «apliquen la autenticación reforzada de clientes» cuando los usuarios:

• Accedan a sus cuentas de pago online.
• Inicien operaciones de pago electrónico.
• Realicen por un canal remote acciones que puedan entrañar un riesgo de fraude.

Además, para garantizar la seguridad de las plataformas que realizan estudios de solvencia se les exige que cuenten con medidas de seguridad que les permitan «proteger la confidencialidad y la integridad de las credenciales de seguridad personalizadas de los usuarios».

Por otro lado, este artículo de la directiva PSD2 también obliga a los proveedores de servicios de pago que gestionan las cuentas de los usuarios permitan a las plataformas de servicios de información sobre cuentas «utilizar los procedimientos de autenticación facilitados al usuario». De tal forma que se fortifica la seguridad de las plataformas que realizan estudios de solvencia poniendo el foco, también, en el acceso a la información de las cuentas.

4. Qué papel juegan los servicios de pentesting en la seguridad de las plataformas de Open Banking

Para garantizar un nivel adecuado de seguridad de las plataformas de Open Banking, las compañías se someten periódicamente a la ejecución de tests de intrusión avanzados.

El pentesting permite simular un ciberataque real en un entorno controlado con el objetivo de identificar debilidades en los mecanismos de seguridad que puedan ser aprovechadas por actores maliciosos.

La ventaja del pentesting es que permite testear de forma realista la estrategia de seguridad de una compañía, pactando previamente los alcances del ejercicio, los objetivos específicos y la profundidad con la que se va a realizar.

Además, también son esenciales otros servicios a la hora de garantizar un nivel óptimo de seguridad de las plataformas que realizan estudios de solvencia como las auditorías de seguridad continuas, la gestión de vulnerabilidades y la respuesta a incidentes.

A partir de los resultados cosechados por los pentesters, se elabora un informe en el que se listan las vulnerabilidades detectadas, se priorizan las labores de remediación teniendo en cuenta el impacto que podría tener su explotación y se aportan recomendaciones para mitigar las debilidades y riesgos.

Por lo tanto, gracias a los servicios de pentesting es posible validar la seguridad de las plataformas que realizan estudios de solvencia y cumplir lo establecido en la directiva PSD2 sobre la gestión de riesgos de seguridad.

5. Conclusiones

En definitiva, el marco normativo actual impone a las compañías del sector financiero la necesidad de contar con estrategias de seguridad sólidas y validadas mediante la ejecución de pentesting.

De tal forma que, si la inmobiliaria a través de la que vas a alquilar un piso o un bajo comercial te pide que te sometas a un estudio de solvencia a través de esta clase de plataforma, puedes hacerlo con total tranquilidad.

La directiva PSD2 garantiza la seguridad de las plataformas que realizan estudios de solvencia, así como la confidencialidad y protección de los datos bancarios de los usuarios.