La banca tradicional como plataforma abierta

Uno de los enfoques adoptados por los bancos mejor colocados en esta carrera por la innovación es el ‘open banking’ o banca abierta, con el que abren sus plataformas y sus interfaces de desarrollo de aplicaciones a terceras empresas que lanzan y explotan productos con los datos de los clientes que lo autoricen previamente. Un proceso que altera por completo el negocio bancario europeo.

Hoy en día no existe mejor instrumento para poner en práctica la banca abierta que el desarrollo de APIs para terceros a través de un concepto de plataforma abierta.

Los bancos disponen de los datos financieros de los clientes que han confiado en sus servicios y, a través del lanzamiento de APIs, terceras compañías -’startups’, desarrolladores independientes u otras empresas- pueden acceder a ellos para dar otros servicios alternativos a los mismos clientes.

En BBVA, ese acceso se materializa en BBVA API_Market, con un entorno de pruebas o sandbox y, finalmente, en la suscripción a un servicio API. Que las APIs sean servicios premium no impide que sean servicios abiertos y disponibles.

En el nuevo ecosistema que dibuja la PSD2, el mercado único de pagos en Europa, no solo exige la entrada de otros jugadores en el tablero financiero, también un proceso de estandarización de los protocolos.

Si la apertura de las entidades bancarias deben articularse a través de APIs, un mercado único de funcionamiento exigirá de igual forma una homogeneización de las interfaces de desarrollo de aplicaciones: mismos recursos para desarrolladores y ‘startups’ sean cuales sean los bancos que dan acceso a los datos de los clientes que así lo hayan autorizado a través de plataformas abiertas.

En este sentido, juegan un papel predominante las decisiones que, no impuestas por la EBA ni contempladas en la PSD2, se están tomando en el seno de la comunidad de desarrolladores y, concretamente, entre los profesionales del sector financiero. No solo con respecto a las APIs como vehículos para materializar los mandatos de la PSD2, sino sobre cuáles deben ser los requisitos técnicos de esas APIs para esa tarea.

Las APIs bancarias deben tener una definición, nomenclatura, protocolos de acceso y autenticación que sean similares en todos los casos. La estandarización facilita un entorno ágil al cambio y para la creación de valor.

Todo este proceso de estandarización de las APIs bancarias parece que se posiciona esencialmente en dos pilares: el primero, el diseño de APIs REST como alternativa más eficiente, y dos, el establecimiento de OAuth como protocolo de seguridad, donde se usan tokens como proceso de autenticación y acceso.

Las APIs REST tienen una definición y nomenclatura que son comunes y realmente sencillas, obtienen los datos y generan servicios con ellos a través de peticiones HTTP (POST -crear-, GET -leer y consultar-, PUT -editar- y DELETE -eliminar-) y en todos los formatos posibles, ya sea XML o JSON.

OAuth es un marco de creación de protocolos usado por compañías como Google, Facebook, Microsoft o Twitter, que en vez de funcionar con una clave API basada en usuario y contraseña, utiliza un token de acceso que permite interactuar con la API, único para cada cliente y que es revocable de forma instantánea cuando es vulnerado sin generar alteraciones al resto de usuarios del mismo servicio. No es posible con un acceso común a todos.

Si uno acude a ProgrammableWeb, el repositorio más importante de APIs, hoy cuenta con más de 21.000 interfaces de desarrollo de aplicaciones, muchas de ellas con una relación directa o indirecta con el sector financiero.

ProgrammableWeb dispone de más de 2.500 APIs financieras, más de 2.400 relacionadas con los pagos, más de 700 con bitcoin, casi otras 700 con los procesos de autenticación, más de 500 vinculadas a las tarjetas de crédito, otras 500 a la banca y también a las transacciones, otras casi 400 a las cuentas de pago, etc. Aunque es cierto que en los primeros dos listados coinciden varias APIs, esto nos permite hacernos una idea del gran volumen de interfaces que genera el sector bancario y ‘fintech’ y las posibilidades reales de apertura de negocio, si se optara por un modelo abierto.