Open Banking, parte 2: El vínculo entre Confianza, Transparencia y Consentimiento

Esta relación directa entre la transparencia y la disposición del cliente a compartir datos se basa en un entendimiento fundamental: el conocimiento otorga poder. Cuando los clientes están informados —cuando saben quién accede a sus datos, por qué y en qué medida— se sienten empoderados, o siendo menos grandilocuentes, seguros. Open banking potencia esto mediante rigurosos mecanismos de consentimiento en su estructura. En lugar de que los usuarios sean participantes pasivos, se convierten en tomadores de decisiones activos. Tienen la capacidad de dictar los términos del acceso a los datos, eligiendo quién puede ver sus datos financieros y delineando los propósitos específicos para los cuales se pueden usar.

Esta es una característica compartida por todas las normativas, ya sea PSD2 en la Unión Europea, OBIE en el Reino Unido, o incluso los estándares adoptados por el mercado de Estados Unidos. Al combinar la confianza con la transparencia y respaldarlo con mecanismos de consentimiento centrados en el usuario, la banca abierta transforma la relación bancaria tradicional, colocando a los usuarios en la cabina de piloto de sus trayectorias financieras.

El consentimiento digital, en el contexto de open banking, es una forma de autorización adaptada a darle valor a la información. A diferencia de la confianza implícita que ponemos en nuestros bancos, el consenso digital requiere otorgar permiso en forma explícita, asegurando que los usuarios seamos conscientes de que información estamos compartiendo, a quien (TPP), por qué motivo y durante cuánto tiempo. Una diferencia importante es que es dinámico, no es solo una firma o un check, sino un proceso contínuo pensado para brindar control sobre la información.

Es explícito, revocable y granular: cada acceso o transacción requiere un permiso claro, debe ofrecer la flexibilidad para quitar el acceso, asegurando el control en todo momento, y permite especificar qué información se disponibiliza y que se mantiene fuera del alcance: es posible autorizar a un servicio para que acceda al balance de la cuenta pero no al historial de transacciones. La característica de revocabilidad es particularmente interesante: asegura el balance en la dinámica de poder entre los usuarios y los proveedores de servicios, recordando la necesidad de adherir a las mejores prácticas, el uso ético de la información y mantener la confianza de los usuarios.

Desafíos comunes al implementar mecanismos de consentimiento del usuario

Implementar mecanismos robustos de consentimiento del usuario en open banking puede ser desafiante por múltiples motivos:

• Complejidad: Los formularios de consentimiento efectivos deben ser lo suficientemente completos para dar a los usuarios una comprensión clara de lo que están aceptando, pero lo suficientemente concisos para no ser abrumadores. Lograr este equilibrio puede ser difícil.
• Fragmentación de la información: A medida que los usuarios se conectan con múltiples proveedores externos (TPPs), garantizar que los permisos de acceso a datos otorgados a cada TPP sean consistentes y estén actualizados puede ser una tarea abrumadora.
• Sistemas Legados: Muchas instituciones financieras operan en infraestructuras de IT no modernas (maduras!), que podrían no estar equipadas para manejar los requisitos dinámicos de los mecanismos de consentimiento modernos de manera fluida.
• Equilibrar la experiencia del usuario con la seguridad: Las medidas de seguridad excesivamente complejas pueden disuadir a los usuarios debido a la fricción que introducen. Por ejemplo, requerir autenticación de múltiples factores (MFA) en cada inicio de sesión o en cada solicitud de acceso a datos puede ser seguro, pero también puede ser engorroso para el usuario. Por otro lado, hacer el proceso demasiado fluido sin controles de seguridad adecuados puede exponer vulnerabilidades. La clave es introducir medidas de seguridad inteligentes, como la autenticación adaptativa, que ajusta los requisitos de seguridad según el nivel de riesgo percibido de una transacción. Para actividades de bajo riesgo, la autenticación podría ser simple. Pero para operaciones de alto riesgo, como configurar un nuevo beneficiario o transferir una suma grande, podrían solicitarse capas de seguridad adicionales.
• El panorama regulatorio en evolución y sus implicaciones: La regulación juega un papel crítico en la configuración de open banking y las prácticas de consentimiento del usuario. PSD2, por ejemplo, obliga a los bancos a abrir sus datos de clientes a terceros con licencia, siempre que los clientes den su consentimiento. Estas regulaciones son fundamentales para garantizar la seguridad de los datos de los clientes y fomentar la confianza en el ecosistema. Sin embargo, diferentes jurisdicciones podrían tener regulaciones variadas, lo que complica la operación de los TPPs en múltiples regiones.
• Interoperabilidad: Garantizar que diferentes bancos, TPPs y marcos regulatorios puedan funcionar en armonía, especialmente en escenarios cross border puede ser complejo, por ponerlo de manera elegante. Los bancos y TPPs podrían tener que ajustar sus mecanismos de consentimiento para asegurarse de que se alineen con los requisitos específicos de cada jurisdicción en la que operan.

Estándares para otorgar consentimiento / autorización

La adopción de estándares uniformes se ha convertido en el pilar fundamental para la expansión y consolidación del ecosistema de open banking. Es gracias a estos estándares que se establece un marco común de operación, garantizando interoperabilidad y confianza. Este enfoque estandarizado no solo facilita la integración entre diferentes entidades, sino que también impulsa el crecimiento del ecosistema, permitiendo que la banca abierta alcance su máximo potencial.

¿Qué es OAuth 2.0 y porqué es fundamental para open banking?

OAuth 2.0 es un marco de autorización que permite a las aplicaciones de terceros acceder a los datos del usuario sin exponer la contraseña del mismo. Esencialmente, permite a los usuarios otorgar acceso restringido a sus recursos, ya sean datos de cuentas, fotos u otra información personal, sin compartir sus credenciales. Se convirtió en el estándar para dar consentimiento cuando las redes sociales permitieron que aplicaciones de terceros accedieran a la información del usuario.

En el contexto de la banca abierta, OAuth 2.0 juega un papel crucial. A medida que las instituciones financieras exponen sus APIs a proveedores externos (TPP, por sus siglas en inglés), existe una necesidad inherente de garantizar que los datos del usuario permanezcan seguros y se acceda a ellos solo con permiso explícito. OAuth 2.0 proporciona un mecanismo estandarizado para facilitar esto. En lugar de que los TPPs pidan directamente a los usuarios sus credenciales bancarias, pueden usar OAuth 2.0 para solicitar permisos específicos (o alcances – scopes) y, con la aprobación del usuario, recibir un token de acceso para obtener los datos requeridos. Esto garantiza que las credenciales del usuario permanezcan confidenciales, mientras que los TPPs obtienen el acceso necesario de una manera controlada.

Flujos de autorización:

Estandarizando vía OAuth 2.0 permite minimizar las variaciones entre diferentes plataformas o servicios. OAuth 2.0 distingue entre los dueños de los recursos (usuarios), los clientes (servicios de terceros), el servidor de autorización (que verifica la identidad del usuario y emite tokens de acceso) y el servidor de recursos (que almacena los datos del usuario). El proceso típicamente se desarrolla de la siguiente manera:

1. La aplicación de terceros solicita autorización al usuario.
2. El usuario autoriza la solicitud y obtiene una concesión de autorización.
3. La aplicación de terceros presenta esta concesión de autorización al servidor de autorización y solicita un token de acceso.
4. Al validar la concesión, el servidor de autorización emite un token de acceso a la aplicación.
5. La aplicación utiliza este token para solicitar datos del servidor de recursos.

Este flujo estándar garantiza que, incluso si están involucradas múltiples instituciones financieras o TPPs, el proceso central permanece consistente, simplificando las integraciones y garantizando las mejores prácticas en el acceso a datos.

OpenID Connect (OIDC): Capa de Identidad sobre OAuth 2.0

oAuth 2.0 es un protocolo de autenticación y autorización que permite que aplicaciones de terceros accedan a datos de usuario sin exponer las credenciales del usuario, pero no proporciona una manera de obtener información sobre el usuario autenticado (al menos no de forma estándar). , OpenID Connect (OIDC) introduce una capa de identidad, permitiendo que no solo reciban autorización para acceder a recursos específicos, sino también obtener información básica del perfil del usuario de una manera interoperable.

OIDC ha resultado ser inestimable en la industria, algunos escenarios son:

• Servicios de Agregación de Cuentas: Un usuario podría utilizar un dashboard financiero para acceder a información de múltiples cuentas bancarias. Cuando el usuario inicia sesión en esta aplicación, OIDC puede autenticar al usuario con sus bancos, garantizando un acceso seguro y permitiendo que el panel muestre datos específicos del usuario sin tener que gestionar o almacenar las credenciales bancarias.
• Autorización de Pagos: Al realizar una compra en un sitio de comercio electrónico, un usuario podría optar por pagar directamente desde su cuenta bancaria. OIDC puede autenticar al usuario con su banco, recibir confirmación sobre la identidad del usuario y autorizar el pago, todo en unos pocos pasos sencillos.
• Asesores Financieros y Plataformas de Inversión: Para plataformas que gestionan inversiones o brindan asesoramiento financiero, OIDC permite autenticar a sus usuarios, obtener la autorización necesaria para acceder a los datos financieros y adaptar sus servicios según el perfil del usuario autenticado, garantizando una experiencia personalizada y segura.

Financial Grade API (FAPI): Atendiendo la necesidad de estándares de seguridad más altos en open banking

El sector financiero, por su propia naturaleza, es un objetivo principal para las amenazas cibernéticas. Con el auge de la banca abierta, la interfaz entre instituciones financieras, proveedores externos (TPPs) y clientes se ha expandido considerablemente. Si bien este ecosistema ofrece oportunidades y comodidades inexploradas, también presenta vulnerabilidades potenciales. A diferencia de otros sectores donde el robo de datos podría exponer preferencias o perfiles de usuario, en el mundo financiero, una brecha puede llevar directamente a pérdidas monetarias, erosionar la confianza y tener implicaciones legales. Por lo tanto, la banca abierta exige estándares de seguridad que van más allá de lo convencional, estándares lo suficientemente robustos como para contrarrestar ataques sofisticados y proteger datos financieros sensibles.

FAPI surge como respuesta a este imperativo de seguridad. Reconociendo que OAuth 2.0 y OIDC proporcionan una base sólida pero no fueron diseñados específicamente para entornos de alto riesgo como la banca, la Fundación OpenID inició el grupo de trabajo FAPI para extender estos protocolos. FAPI fortalece las estructuras existentes de OAuth 2.0 y OIDC, introduciendo medidas de seguridad adicionales adaptadas a las amenazas propias del sector financiero.

Actualmente, productos estándares del mercado como RedHat Keycloak ya ofrecen implementaciones certificadas de FAPI: https://openid.net/certification/#FAPI_OPs

En RedBee, nos destacamos como expertos en la industria financiera, aportando nuestra experiencia de más de 12 años en el descubrimiento y desarrollo de soluciones. Estamos comprometidos en ofrecer servicios de calidad que impulsan el progreso y la innovación en el ámbito financiero.