Ya es posible aprovechar las ventajas del open banking en países donde estos modelos aún están en proceso de regulación. Por un lado, porque existen normativas relativas a la protección de datos personales que amparan su uso y, por otro, por las mejoras tecnológicas y de seguridad que facilitan su adopción.
La regulación del open banking está tomando distintos caminos en Latinoamérica. Por un lado, países como México y Brasil optaron por emitir lineamientos y regulación específica, mientras que países como Argentina, Colombia y Perú, aún están en el proceso de definir los pasos a seguir en materia regulatoria. En el mundo, existen dos grandes ejemplos sobre cómo se desarrolla el open banking:
- 1) El modelo Reino Unido con la figura de OBIE (open banking Implementation Entity) que supervisa y crea estándares para el flujo de información entre entidades.
- 2) El modelo de Estados Unidos, optando por un camino de regulación de acuerdo al mercado.
Aunque México y Colombia la regulación del open banking van a ritmos diferentes en cuanto a cómo implementar las regulaciones sobre open banking, actualmente se podría decir que se encuentran en una situación similar. En ambos países, el open banking por ahora se encuentra bajo un espectro no regulado, a la espera de nuevos pasos. En México, ya existe la directriz y la primera fase de open banking como parte de la Ley Fintech –donde los bancos comparten información por medio de APIs sobre la ubicación de cajeros automáticos. Sin embargo al día de hoy, aún no se definen los estándares que regirán la segunda fase.
Además, en las nuevas modificaciones a la Circular Única de Bancos, las cuales hacen referencia a la Ley Fintech, se menciona que cuando las instituciones financieras hagan uso de terceros para el desarrollo o administración de APIs para compartir datos transaccionales, será la institución financiera la que solicite a la comisión la autorización para el uso de dicho tercero.
El open banking es viable bajo la regulación de protección de datos
En este sentido, para comenzar a sacar partido del open banking y sus beneficios para los consumidores, aunque es deseable que exista una regulación clara, no es del todo necesaria. Tomemos, por ejemplo, Estados Unidos, donde no existe aún una definición u opinión regulatoria que obligue a los participantes del ecosistema financiero a compartir información entre ellos bajo estándares definidos. Sin embargo, empresas como Plaid o Yodlee facilitan la conexión segura de cuentas (Plaid tiene conexiones con 11,000 bancos y alrededor de 200 millones de cuentas). Aunque se espera exista una regulación afín en el futuro próximo, son varios los bancos y más los innovadores financieros que aprovechan los beneficios del open banking hoy.
“En México y Colombia, el modelo de open banking es viable derivado de las distintas legislaciones alrededor de la protección de datos personales”
En ambos países, se establece que los propietarios de datos personales, sensibles y de otra índole son las personas individuales. Es decir, cada uno de nosotros como usuarios de servicios financieros tenemos propiedad sobre esos datos y con ello, la facultad de decidir con quien los compartimos. Las legislaciones de estos países han establecido penas y obligaciones a los privados, instituciones públicas y cualquier entidad que solicite el acceso a datos personales. Esto ayuda a proteger nuestra información y tener control sobre quién y cómo la utiliza.
Seguridad: el aspecto más importante en open banking no regulado
En el contexto del open banking (y del open finance), los datos contenidos en nuestras cuentas bancarias, los productos que hemos contratado en un banco, así como dónde decidimos gastar y en dónde nos pagan (transaccionalidad), forman parte de nuestra información personal. Por lo tanto, es también bajo el amparo de las leyes de protección de datos personales que nuestros datos son protegidos.
Esto no quiere decir que como usuario debamos confiarnos y dejar de proteger información sensible, como nuestros accesos a cuentas bancarias o información de nuestra tarjeta. Al contrario: debemos de estar alerta de qué estándares de seguridad internacionales –como la certificación ISO 27001– se encuentren presentes en las plataformas de open banking que utilizamos.
Hoy en día confiamos en los bancos y en los mecanismos que emplean para proteger nuestros datos porque son instituciones con controles comprobados y cumplen con estándares de seguridad globales que se han ido desarrollando a lo largo de los años.
De la misma forma, el ecosistema de plataformas de APIs de open banking está dando pasos hacia la adopción de medidas y estándares cada vez más homogéneos y estrictos que ofrezcan a los consumidores y compañías el mismo nivel de garantía que la industria financiera tradicional.
Avances tecnológicos que acompañan la evolución del open banking
Una de las preocupaciones de las instituciones financieras en México y Colombia sobre el uso del open banking “no regulado” se encuentra relacionado con las metodologías que algunas de las plataformas utilizan para obtener acceso a la información de usuarios con su consentimiento. No obstante, cabe destacar que estas son metodologías usadas actualmente en países donde el open banking ha sido regulado.
Específicamente, hablan del uso de herramientas de scraping como método susceptible a errores de operación e incluso de seguridad. Atendiendo esta preocupación, algunas instituciones han optado por la creación de APIs privadas como método para compartir información manteniendo el control sobre el proceso o la certificación de las plataformas para continuar utilizando scraping pero bajo la vigilancia de la institución.
Estas son metodologías usadas actualmente en países donde el open banking ha sido regulado.
Adicional a estos métodos, las plataformas de open banking más sofisticadas utilizan complejos procesos de ingeniería inversa, agnósticos a las instituciones financieras, en los que replican la comunicación a nivel backend contra la comunicación frontend utilizada en el scraping. Sin embargo, el foco principal de las preocupaciones del open banking se debe centrar en lo qué sucede con la información en los procesos de extracción y almacenamiento. Volviendo a lo descrito en párrafos anteriores, las plataformas de open banking deben asegurar que el tránsito de datos es seguro, encriptado y ágil en todo el proceso, independientemente de si usan un método u otro.
En conclusión, innovadores e instituciones financieras en mercados no regulados o en vías de regulación pueden aprovechar el momentum del open banking, mientras se termina de emitir la regulación que gobernará estos modelos. En primer lugar, los actores en el ecosistema que facilitan esta adopción se encuentran en plena madurez. Y en segundo lugar, las regulaciones presentes y actuales en materia de datos personales facultan a las personas con el control sobre sus datos personales.
Adicionalmente, los actores del ecosistema de open banking deben ser conscientes de la importancia en materia de seguridad. Aunque no haya pronunciamientos formales al respecto de parte de las autoridades, se debe contemplar y fomentar el cumplimiento de estándares internacionales en materia de seguridad de la información, entre otros.