José Alonzo Jiménez Alemán[1] [2]

1. Introducción

Hoy en día la información de los consumidores y usuarios de los distintos bienes y servicios tiene un valor en sí mismo, pues nos permite identificar con mayor precisión el alcance de sus requerimientos, y de esa forma crear productos, servicios o experiencias más afines a sus necesidades. Nos referimos a los hábitos de consumo de determinados bienes o servicios, o al uso de determinadas herramientas financieras como las tarjetas de crédito, o incluso las formas de ahorro que vienen manejando. La idea es conocer esta información para coadyuvar al cliente o usuario a optimizar la gestión de sus recursos.

La pregunta clave de la que partimos cuando hablamos de este tipo de enfoques, como el Open Banking, Open Finance u Open Data, es saber a quién le corresponde la titualidad de la información que es producida, gestionada o administrada por los proveedores de bienes o servicios. Piénsese en el detalle de activos financieros y activos líquidos de un cliente de una entidad bancaria, o en los consumos que realiza en una tarjeta de crédito, o los créditos que solicita y viene pagando en una empresa prestadora de servicios públicos por la compra de electrodomésticos. Podemos adelantar que el presupuesto del que partimos es que la titularidad de la información le corresponde al cliente, consumidor o usuario, por lo cual -previo consentimiento expreso- puede permitir que esta data sea compartida a terceros.

Sobre la base de este presupuesto es que identificamos el régimen de Open Banking como un enfoque o perspectiva regulatoria que tiene por objeto exigir a los proveedores de bienes y servicios a compartir la información de sus clientes -previo consentimiento de éstos- con terceros, a fin promover la competencia y mejorar la experiencia del usuario (a través de productos o servicios más afines a sus expectativas o necesidades).

Este enfoque regulatorio plantea, entre otros, tres temas que deben definirse para su impulso. El primero se trata de justificar por qué los proveedores de bienes y servicios deben directamente compartir la información de sus clientes, y por qué no se asigna esta labor a los consumidores o clientes. En este punto debe tratarse también la posibilidad de que los proveedores de bienes y servicios puedan cobrar, o no, por establecer las prestaciones o mecanismos de acceso a la data de sus clientes. El segundo tema por resolver es determinar qué información debe compartirse; mientras que el tercero es la forma en que esta información debe ponerse a disposición de terceros.

El presente documento sólo ofrece una introducción al Open Banking, cuyo régimen se ha desarrollado en trabajo que pronto será publicado, por lo cual nos enfocaremos en presentar los conceptos generales del Open Banking, así como el tipo de data que se debe compartir (lo cual determina el alcance de la intervención pública, como veremos), así como la forma de compartir de información (que parece ser un tema “operativo”, pero ha sido uno de los principales obstáculos para su desarrollo).

• Aspectos generales de Open Banking

El Open Banking forma parte de un enfoque o concepción del funcionamiento del mercado más general, denominado Open Data, que tiene por objetivo mejorar la experiencia del usuario y el proceso de creación de productos o servicios, a través de la información de los propios clientes a la que pueden acceder terceros, previa autorización del titular de los datos. La información a la que nos referimos no necesariamente tiene que circunscribirse al ámbito bancario o financiero (que es el objeto del Open Banking), sino que es deseable que se expanda a otros ámbitos como el de servicios públicos (por ejemplo, la información de sus telecomunicaciones, energía, entre otros).

De acuerdo con Azar, Mejía y Valdez (2021), el Open Banking se refiere a la apertura de los productos, los servicios y los datos de los clientes de los bancos a otras organizaciones (otros bancos o terceros), con el objetivo de aumentar la oferta de los servicios financieros. Es el proceso que promueve que los proveedores de servicios financieros compartan los datos de sus clientes, previa autorización de éstos. Se diferencia del Open Finance debido al alcance de la obligación de compartir información, pues éste incluye no sólo a las entidades financieras, sino también a los fondos de pensiones, Fintechs, aseguradoras, y en general todas las empresas que prestan algún tipo de servicio financiero. Por su parte, el denominado Open data (u Open economy)incluye a las empresas que prestan servicios públicos, los e-commerce, las empresas del sector salud, las entidades gubernamentales. Se trata de un enfoque más general, que -a nuestro juicio- es el más apropiado para crear bienes o servicios más alineados a las necesidades de las personas.

En el caso específico del Open Banking u Open Finance, la información que se puede acopiar de los clientes permite a los terceros conocer una serie de características de su comportamiento financiero, sobre la base de lo cual se pueden mejorar las experiencias, ofrecer productos más competitivos (por ejemplo, mejorar las tasas de interés, consolidar préstamos, o prestar servicios de administración de finanzas personales). Por otro lado, el acceso a las cuentas del cliente también constituye hoy en día un insumo fundamental para la prestación de determinados servicios por terceros, como son las billeteras digitales o los denominados servicios de iniciación de pagos (Zunzunegui, 2018)[3].

Claramente un enfoque de Open Banking tiene como principal efecto la promoción de la competencia en el mercado, pues elimina la asimetría informativa existente entre los proveedores de servicios financieros tradicionales (bancos) y los terceros proveedores de soluciones financieras (Fintech), y les permite a éstos competir e innovar en los segmentos del mercado más atractivos, como lo explican Zhiguo He, Jung Huang y Jidong Zhou (2020).

En este contexto, el primer cuestionamiento es identificar por qué deben ser los proveedores de bienes y servicios quienes deben brindar esta facilidad a los terceros proveedores de soluciones financieras. Cuál es la justificación de que los clientes sean quienes directamente provean esta información a los terceros. En este punto, partiendo de un análisis de calidad regulatoria, podemos identificar que la medida menos costosa y (mucho) más práctica para la implementación de esta medida (compartir información) es que se asigne su cumplimiento al proveedor del bien o servicio por las siguientes razones:

1. Las empresas proveedoras centralizan toda la información de los consumidores, usuarios o clientes. De esta forma los terceros proveedores de soluciones tecnológicas sólo deberían acudir a esta entidad privada o pública.
2. De acuerdo a su infraestructura y recursos, las empresas proveedoras de bienes y servicios se encuentran en una mejor posición para atender los pedidos de información de los terceros, en tanto este tipo de procesos se automatizan (como veremos más adelante). En términos de costos, se encuentran en una mejor posición que el propio cliente, consumidor o usuario (bajo un enfoque muy similar al cheapest cost avoider utilizado en el campo de la responsabilidad civil).
3. Si se asigna esta obligación al propio consumidor, cliente o usuario advertimos que no todos se encuentra en la posición de atender este pedido de forma célere por la inexperiencia en la gestión de la información que es administrada o gestionada por los proveedores.
4. De hecho, gran parte de esta información para ser compartida, primero debe ser requerida por el cliente, consumidor o usuario al proveedor (por ejemplo, los términos contractuales de un depósito a plazo fijo o una tarjeta de crédito), lo cual genera ineficiencias que podrían suplirse con su atención directa.

• La información que debe compartirse y el enfoque de la intervención regulatoria

El Open Banking procura eliminar una brecha de información existente entre la banca tradicional y las Fintech, lo cual no ha podido revertirse con la información proporcionada por distintas fuentes públicas (como las centrales de riesgos), pues la información que poseen los bancos sobre sus clientes se extiende a la información protegida por el secreto bancario, como es el caso de las cuentas de ahorros, cuentas corrientes, depósitos a plazo fijo y demás activos financieros que puede adquirir una persona natural. Este es el enfoque del Open Banking, el cual busca que sólo las entidades bancarias compartan información.

De forma general, a continuación se describen los tipos de información que se suelen compartir en un esquema de Open Banking, así como su utilidad para los terceros proveedores. Para esta revisión se ha utilizado como referencia la exposición de Nuria Aliño (2022) y los trabajos de Azar, Mejía y Valdez (2021),Plaitakis and Stefan Staschen (2020), y del Comité de Basilea en Supervisión Bancaria (2019), la cual detallamos a continuación:

1. Información sobre cuenta corriente: a partir de esta data se puede determinar los hábitos de consumo de los clientes, y con ello se pueden crear soluciones para la administración de las finanzas de los clientes. No hay discusión sobre la posibilidad de compartir esta información en los países consultados.
2. Información transaccional: al igual que en el caso anterior, esta información es útil para crear soluciones que puedan optimizar el gasto de los clientes. Tampoco existe resistencia para compartir esta información en la experiencia comparada.
3. Iniciación de pagos: en casi todos los países consultados se exige compartir esta información, sin embargo, en el caso de México no se exigió que se compartiera. Esta data le permite al tercero proveedor de soluciones financieras iniciar una operación de pago en nombre del cliente, lo cual implica apropiarse legítimamente de las credenciales de acceso de un cliente por un determinado tiempo.
4. Información sobre productos: se trata de información transaccional del cliente, lo cual tiene como efecto inmediato la promoción de la competencia en los productos contratados. Los terceros proveedores de soluciones aprovechan esta información para analizar las condiciones y ofrecer productos o servicios más competitivos. Este tipo de información es la que se comparte de forma más pacífica. A nuestro juicio, las entidades bancarias entienden que compartir esta información puede ser un aspecto positivo, pues usualmente se utilizan para efectos de publicidad.
5. Confirmación de fondos: esta información se utiliza para crear soluciones de confirmación de pago, y no es muy usual su exigibilidad.
6. Verificación de la identidad: en este caso los terceros proveedores de soluciones solicitan acceder a una facilidad implementada por las entidades financieras, la cual regularmente implica una inversión de recursos importante. Al igual que con la información sobre la disposición de fondos, este tipo de data no suele formar parte del conjunto de información de obligatoria compartición.

No obstante, este enfoque puede virar dependiendo del tipo de información al que puedan acceder los terceros proveedores de soluciones tecnológicas. Como hemos señalado, el enfoque inicial es el de promoción de la competencia y de mejorar la experiencia del usuario en la prestación de servicios; sin embargo, también se ha entendido que este tipo de medidas regulatorias (obligación de compartir información de clientes con su consentimiento) pueden favorecer a la inclusión financiera. Por ejemplo, piénsese en incorporar información de las empresas prestadoras de servicios de telecomunicaciones o de entidades de la Administración Pública como la Superintendencia Nacional de Administración Tributaria.

Con la información que administra un operador de telecomunicaciones se puede validar la identidad de una persona no bancarizada, conocer su récord de pagos de servicios y créditos (usualmente para adquirir un equipo celular). Esta información es un insumo importante para ofrecer una cuenta bancaria al titular del servicio, proponer una solución de pagos más ágil o incluso créditos. Asimismo, con la información que administra la Administración Tributaria se puede identificar si el sujeto tiene una actividad económica consistente o continua, así como determinar cómo se ha comportado en el pago de sus obligaciones tributarias, entre otros. Toda esta data puede servir para identificar al cliente correctamente, así como establecer un perfil crediticio.

• La forma de compartir información

Uno de los aspectos más problemáticos en la implementación del Open Banking es la búsqueda del medio idóneo para que las entidades financieras que custodian o administran información de los clientes puedan compartirla. Actualmente, las empresas que requieren la información de un determinado cliente utilizan herramientas como el screen-scraping[4] o el reverse engineering[5] para acceder a los datos administrados por sus respectivas entidades financieras, lo cual ha sido calificado como una práctica poca segura[6] (principalmente el acceso a cuentas o servicios de crédito).

La solución que viene siendo aceptada en estos casos es la implementación de las denominadas interfaces de programación de aplicaciones (API por sus cifras en inglés), que pueden ser definidas como herramientas informáticas que permiten a dos sistemas interoperar o comunicarse entre sí. Se trata de crear un lenguaje común entre dos aplicaciones, a fin de que puedan interoperar. Es como una autopista común a ambas aplicaciones. Si bien es cierto existen otras formas de compartir información, las APIs son un mecanismo adecuado que garantiza la seguridad, escalabilidad y flexibilidad; asimismo, su arquitectura les permite atender las necesidades del cliente, actualizarse o incluso reemplazarse (Azar, Mejía, & Váldez, 2021).

De hecho, la Unión Europea desde septiembre de 2019 prohibió el uso de herramientas como el screen scraping para acceder a la información de los clientes, implementando un modelo obligatorio de Open Banking, el cual inicialmente se aprobó con la Directiva N° 2015/2366 sobre servicios de pagos en el mercado interior. Esta norma fue desarrollada por el Reglamento Delegado (UE) 2018/389 de la Comisión Europea, en virtud del cual se aprobaron normas técnicas de regulación para la autenticación reforzada de clientes y unas guías de comunicación abiertas, comunes y seguras[7].

De acuerdo a los expertos (Comité de Basilea en Supervisión Bancaria, 2019), existen tres tipos de API actualmente:

1. APIs privadas: son utilizadas por desarrolladores al interior de una organización, a fin de integrar sus propios sistemas.
2. APIs abiertas: son empleadas para viabilizar la comunicación e integración de empresas con la que se tiene un acuerdo comercial. Este es el caso de las entidades financieras que crean portales de desarrolladores en las que se pone a disposición del público en general las APIs, a fin de que otras empresas puedan integrarse eficientemente (caso Interbank en Perú, el BBVA en México y España, el BCP en Bolvia). Un tipo de protocolo de API abierta es el OAuth 2.0.
3. APIs públicas: este tipo de herramientas se ponen a disposición de cualquier organización, sin la necesidad de suscribir un contrato o mantener una relación comercial, y tiene por objeto transmitir información y funcionalidades de uno o varios sistemas y aplicaciones de la empresa, a fin de que terceros puedan interoperar.

Como lo indica el Comité de Supervisión Bancaria de Basilean (2019), la desventaja de exigir la implementación de APIs en el Open Banking es la inversión en términos de tiempo y dinero que se tiene que realizar para crear y mantener una API, particularmente en esquemas donde no se ha estandarizado el lenguaje y se requiere de acuerdos comerciales. Tómese en cuenta también el impacto de estos costos para pequeñas instituciones financieras para desarrollar APIs y mantenerlas.

En el supuesto que se decida implementar un régimen de APIs para la transmisión de información, existe todo un debate acerca de si debe establecerse un estándar o protocolo específico, o si debe dejarse al acuerdo entre las partes el tipo de API que se utilizará. De acuerdo con la literatura revisada (Plaitakis & Staschen, 2020), se ha podido observar puntos positivos y negativos de ambos regímenes. Por ejemplo, en la Unión Europea se advirtieron problemas en la implementación de las APIs pues no se estableció un estándar, lo cual produjo problemas de coordinación entre las entidades financieras y los terceros proveedores de soluciones financieras. Esta situación se quiso revertir con alternativas impulsadas por el sector privado para presentar un estándar de la industria como es el estándar Berlin Group, lo cual tampoco garantizaba la armonización.

Por su parte, el Reino Unido, a través de la OBIE en el 2016, estableció un estándar API (a través de diccionarios de datos[8], lineamientos de arquitectura[9], lineamientos de seguridad de la información[10]), lo cual provocó un desarrollo inicial del Open Banking cuya evidencia consta en los servicios ofrecidos en dicha jurisdicción gracias a este enfoque. En Japón también se han documentado problemas en el desarrollo del Open Banking, producto de la falta de un estándar y la dificultad para alcanzar acuerdos entre la industria financiera tradicional y los terceros proveedores de servicios que requerían información de sus clientes (Plaitakis & Staschen, 2020). La estandarización de las API puede generar un proceso de implementación más rápido y pueden beneficiar a las entidades financieras más pequeñas e incluso a los terceros proveedores de soluciones financieras.

Sin perjuicio de los beneficios que pueda generar la estandarización de las APIs, es necesario recapitular algunas desventajas identificadas: (i) primero: las APIs pueden perder flexibilidad o adaptabilidad al desarrollo tecnológico si se fijan expresamente en una norma; (ii) segundo: que la infraestructura tecnológica de algunas instituciones financiera no está preparada para la creación de APIs, por lo cual aún prefieren soluciones como el screen scraping; y, (iii) tercero: incluso para las entidades bancarias que cuentan con la infraestructura y recursos para implementar un régimen de Open Banking a través de APIs, ello involucra una inversión de recursos que debe ser compensada por los clientes o los terceros proveedores de soluciones tecnológicas, lo cual es un tema que puede desincentivar su implementación.

En el Perú, la Superintendencia de Banca, Seguros y AFP mediante Resolución SBS N° 504-2021 aprobó el Reglamento para la gestión de la seguridad de la información y la ciberseguridad, el cual tiene por objeto desarrollar un sistema de gestión de seguridad de la información aplicable a las entidades del sistema financiero[11]. Dentro de los principales aspectos en el rubro “ciberseguridad” advertimos la exigencia de uso de APIs para la provisión de servicios en línea a través de terceros. Como veremos a continuación, no se trata de exigir un determinado estándar, sino más bien de un conjunto de procedimientos o protocolos. Concretamente, el uso de interfaces de programación de aplicaciones requiere (artículo 21°):

• Análisis de riesgos asociados e implementación de medidas de mitigación.
• La autenticación mutua de los sistemas y la de los usuarios.
• La autorización de las operaciones por parte de los usuarios.
• El cifrado de datos en almacenamiento o transmisión.
• Prácticas de desarrollo seguro de API y revisión de prácticas de codificación segura.
• Análisis de vulnerabilidades y pruebas de penetración.
• La seguridad de la infraestructura tecnológica que lo soporta.
• Los mecanismos de tolerancia ante fallos y de contingencia.
• Control de accesos en el entorno de datos, sistemas e infraestructura.
• Monitoreo de eventos de seguridad de la información y gestión de estos cuando se constituyan en incidentes.

Asimismo, la norma establece que se debe tomar como referencia estándares y marcos de referencia internacionales, y cuando sea factible adoptarlos en el marco de acuerdos gremiales o sectoriales, para la implementación del intercambio y encriptación de datos, así como la autenticación y la autorización de operaciones, sin que ello sea una lista restrictiva. Consideramos que es un avance importante de cara a la seguridad de la información de los clientes por parte de terceros que vienen utilizando dicha data. Es preciso indicar que esta norma a priori no significa que técnicas como el screen scrapping se encuentren prohibidas, pues para ello se requerirá una prohibición expresa, en tanto esa herramienta no obedece a un acuerdo con las entidades financieras que administran la cuenta de clientes, sino más bien responde a un “acuerdo” entre el cliente y los terceros proveedores de soluciones tecnológicas.  

• Contraprestación por el desarrollo y mantenimiento de las APIs

No todos los esquemas de Open Banking han sido diseñados tomando en cuenta su sostenibilidad. Uno de los aspectos que la regulación debe definir, en caso se quiera intervenir, es determinar la posibilidad de que el costo del desarrollo y mantenimiento de las APIs debe ser trasladado a los clientes o terceros proveedores de servicios que pretenden interconectarse con los administradores de la información de los clientes. Como hemos explicado, los clientes también pueden brindar esta información a los terceros proveedores de soluciones tecnológicas, pero por un tema de eficiencia la regulación suele asignar esta obligación a los proveedores de bienes o servicios.

En el contexto explicado es lógico que el desarrollador, administrador o gestor de una API deba realizar una inversión que merezca ser recuperada. En el caso de las APIs abiertas y públicas, la inversión usualmente es realizada por la entidad financiera que custodia o administra la información de los clientes.

Como explicamos, en Japón hubo problemas en la implementación del Open Banking, pues las entidades financieras y los terceros proveedores de soluciones financieras no pudieron cerrar los acuerdos de servicio de lectura de datos, principalmente por asuntos vinculados a las tasas que se deberían cobrar a los usuarios finales por las API. Independientemente del esquema que se elija (si se cobra al tercero proveedor del servicio o al cliente), el cobro de una contraprestación para acceder a la información del cliente, o poner a disposición del tercero la información, es un asunto que merece ser discutido, pues puede constituirse en una barrera para la implementación del Open Banking.

De acuerdo al Comité de Basilea en Supervisión Bancaria (2019), en la mayoría de las jurisdicciones no se establecen restricciones para que las entidades financieras que custodian o administren la información pueden cobrar tarifas a los terceros proveedores por compartir información de los clientes. De hecho, en algunos países como Brasil, Hong Kong, México y Singapur la normativa expresamente autoriza a las empresas financiera a cobrar tarifas por compartir la información de sus clientes a los terceros proveedores.

Un caso particular es el mexicano, pues la normativa estableció un control de las tarifas que cobran las entidades financieras a los terceros proveedores de soluciones financieras; aunque existen posiciones más radicales en el sentido de prohibir el cobro por la posición dominante de las entidades bancarias que custodian o administran la información (Puentes Trujillo & Amaya Osorio, 2022)[12]. En los demás casos se deben adoptar acuerdos bilaterales (Hong Kong), o multilaterales (en Brasil se hace a través de un comité organizado por empresas privadas).

En nuestro caso, el ordenamiento jurídico peruano no permite la fijación de precios o tarifas, salvo en el caso de los servicios públicos, declarados como tal por una ley expresa[13]. En esa línea, lo que sí puede exigirse es que la contraprestación sea transparente, no discriminatoria y refleje la contraprestación de un servicio efectivamente prestado.

• Comentarios finales

Si bien es cierto en los países donde se aprobó regulación de Open Banking, como el Reino Unido y la Unión Europea, hubo innovación de productos financieros, CAF advierte que las funcionalidades se limitaron a cumplir las exigencias regulatorias, sobre todo en la industria de pagos. En contraste, en los países donde se permitió que el propio mercado organice las soluciones (como en Asia), se advirtió que los nuevos productos respondieron a las necesidades y dinámica del mercado.

Es decir, si bien es cierto que, por lo general, una regulación intensa promueve, marca pautas de desarrollo y ofrece garantías a los clientes sobre el uso de su información; una regulación más laxa o ausente (como en el caso de Estados Unidos) facilita el desarrollo de la banca abierta pues no limita a la innovación, lo cual puede verse perfectamente complementado con guías, orientaciones o estándares. Es importante reflexionar sobre las necesidades de regular el Open Banking considerando el desarrollo de la industria, la dinámica del mercado, los riesgos involucrados (principalmente el uso de información personal del cliente) y el impacto que tendría en la promoción de la competencia.

Bibliografía

Aliño, N. (2022). Hacia un marco de Open Finance. Lima: Grupo Banco Mundial.

Azar, K., Mejía, D., & Váldez, M. (2021). Banca abierta: lecciones, desafíos y oportunidades para América Latina. Caracas: CAF.

Comité de Basilea en Supervisión Bancaria. (2019). Report on open banking and application programming interfaces. Basiela: Banco Internacional de Pagos.

He, Z., Huang, J., & Zhou, J. (2020). Open Banking: credit market competition when borrowers own the data. Journal of Financial Economics, 147(2), 449-474.

Plaitakis, A., & Staschen, S. (2020). Open Banking: how to designs for financial inclusion. Washington: Consultative Group to Assist the Poor.

Puentes Trujillo, L. V., & Amaya Osorio, L. (2022). Open Data y open banking: el derecho en el contexto de los mercados digitales. Un modelo regulatorio por definir en el ordenamiento jurídico colombiano. Revista Chilena de Derecho y Tecnología, 11(2), 211-244.

Zunzunegui, F. (2018). La digitalización de los servicios de pago. Revista del Derecho del Mercado Financiero, Working Paper 1/2018.

---

[1] Abogado por la Pontificia Universidad Católica del Perú y Magister en Derecho de los Sectores Regulados por la Universidad Carlos III de Madrid. Actualmente trabaja como especialista legal senior de la Gerencia Jurídica del Banco Central de Reserva del Perú.

[2] Las opiniones, interpretaciones y conjeturas del autor no representan la posición institucional del Banco Central de Reserva del Perú. Agradezco el apoyo invalorable y constante de Javier Quinteros Zarzoza en la redacción del artículo y sobretodo en mi formación en el derecho bancario y financiero. Asimismo, agradezco los comentarios de Santiago Castillo, quien desinteresadamente mantiene permanente contacto académico con el suscrito.

[3] Los servicios de iniciación de pagos (también conocidos como “PIS”) por sus siglas en inglés fueron reconocidos formalmente en Europa a través de la Directiva N° 2015/2366 sobre servicios de pagos en el mercado interior (también conocida como PSD II). Este servicio permite al proveedor iniciar el pago de servicios con cargo en la cuenta que el cliente mantiene en un banco

[4] De acuerdo al BIS, la práctica del screen scraping se puede explicar en los siguientes términos: The practice of screen scraping, a form of extracting data from websites, first began as manual copying-and-pasting and evolved into an automated process. To collect customer-permissioned data from banks, screen scraping methods require that a customer provides the third party with their authentication credentials (eg username and password) that the customer uses to log into their bank’s internet banking website (Comité de Basilea en Supervisión Bancaria, 2019).

[5] El BIS también describe el reverse engineering en los siguientes términos: The practice of reverse engineering, decompiles the code of the mobile banking applications to figure out which information is exchanged between the application and the banks’ servers (through the non public API) and subsequently build a ‘reverse engineered’ version of the mobile application which is capable of directly exploiting the communication from and to the banks’ servers. It requires a second enrolment of a mobile application (in this case the reverse engineered version) upon receipt of the customer’s authentication credentials and the subsequent use of these credentials or even the creation of a proprietary set of authentication credentials (to the third party). This technique is often favoured by data aggregators over screen scraping because it is much more scalable and robust as its performance is not influenced by changes made by banks to their customer interface (Comité de Basilea en Supervisión Bancaria, 2019).

[6] Ambas técnicas son inseguras en la medida de que el tercero proveedor de soluciones financieras mantiene la información de las credenciales del cliente y con ello acceso total a sus cuentas, incluyendo -por ejemplo- la posibilidad de realizar operaciones o cargos no autorizados, así como cambiar datos sensibles en la configuración de la cuenta (Comité de Basilea en Supervisión Bancaria, 2019).

[7] Que se denominaron “Regulatory Technical Standards on strong customer authentication and secure communication under PSD2” (o por sus siglas “RTS SCA & CSC”).

[8] Descripción estándar de la información.

[9] Especificaciones sobre el diseño de la API.

[10] Lineamientos de seguridad de la información.

[11] Aquellas comprendidas en los artículos 16 y 17 de la Ley de Bancos.

[12] Sobre el particular se ha dicho que permitir a las entidades financieras percibir una retribución económica por compartir los datos de sus clientes sería seguir patrocinando el monopolio que han venido detentando durante décadas, además de desdibujarse la finalidad perseguida con la arquitectura financiera abierta que es fomentar la competencia y la provisión de nuevos productos y servicios en pro de los consumidores financieros.

[13] Artículo 4 del Decreto Legislativo N° 757.