¿Cómo ayudan las API a las entidades financieras?

Las interfaces de programación de aplicaciones (API) pueden considerarse a primera vista un tema muy técnico. Pero no por ello debemos subestimar su valor para el negocio pues ellas encierran la clave que permitirá a los bancos avanzar en la dirección que plantea el mercado. Así, gracias a las API, las entidades financieras podrán evolucionar para convertirse en verdaderas plataformas bancarias.

En un entorno de bajos tipos de interés, los clientes son proclives a buscar alternativas de inversión y financiación fuera de su banco habitual. Así, pueden encontrar propuestas atractivas de fintechs innovadoras y de las grandes empresas de internet que han entrado en el mercado de servicios financieros en los últimos años. Para mantenerse en la cresta de la ola, los bancos deben adaptarse y evolucionar con el fin de fidelizar a sus clientes. Parte de esta evolución consiste en romper la estructura monolítica del banco para ofrecer también a sus clientes productos financieros de otras empresas y, de la misma manera, proporcionar sus propios productos a través de terceros. De esta forma, el banco se convierte en una plataforma, en este caso de servicios financieros, del mismo modo que empresas como Airbnb, Amazon y Uber lo han hecho en otros sectores.

Para operar bajo la visión de Banca como Plataforma, las entidades financieras deben abrir sus sistemas a aquellos terceros con los cuales deciden operar. Es en este punto en donde las APIs juegan un papel crucial. Pero, ¿qué son realmente y cómo pueden ayudar a los bancos en su estrategia de “plataformización”?

Una API es un conjunto de rutinas y estándares establecidos (software) que permite el consumo de sus funcionalidades por parte de aplicaciones. Éstas no están destinadas a conocer los aspectos de la implementación del software en sí ni a participar en ellos, sólo utilizan sus servicios. Por ello, se suele decir que las API son interfaces legibles por máquinas y no por humanos.

Una buena manera de pensar en las API es en el contexto de una toma de corriente. Las tomas eléctricas que se encuentran en las paredes de los hogares y las empresas son esencialmente interfaces de un servicio: la electricidad que consumen todos nuestros aparatos, desde ordenadores y smartphones hasta televisores, neveras, secadores de pelo, etc. La electricidad es el servicio y cada dispositivo que utiliza electricidad se convierte en consumidor de dicho servicio. Aunque pueden diferir en función de en qué parte del mundo se encuentran, las tomas de corriente cuentan con patrones de orificios en los que encajan ciertos enchufes y, el servicio en sí también cumple determinadas especificaciones que establecen una expectativa respecto a los dispositivos consumidores.

De la misma manera, las API especifican cómo deben interactuar los componentes del software entre ellos. A través de la interfaz estándar, cualquier consumidor compatible puede obtener fácilmente “la energía” (en este caso los datos) necesaria para suministrar a sus dispositivos. Para el consumidor no importa lo que esté pasando al otro lado de la pared y viceversa: el proveedor no necesita explicar ni detallar cómo se ofrecen los servicios.

La seguridad de las APIs en el sector financiero

En un mercado tan regulado como el de los servicios financieros, esto es beneficioso ya que la privacidad de los datos, el secreto bancario y la información personal confidencial de los titulares de las cuentas se mantienen «detrás de la pared». Los estándares de la API sólo se describirán y revelarán a cualquier empresa o desarrollador interesados en utilizar servicios bancarios mediante documentación oficial ofrecida habitualmente a través de un portal web.

En el mundo de los servicios financieros, hablamos de préstamos, seguros, comercio electrónico, pagos, información de clientes, historiales de operaciones de clientes, autentificación, transferencias bancarias, etc. Gracias a las API abiertas, todos ellos pueden suministrarse desde una amplia gama de dispositivos compatibles y dondequiera que lo requiera un usuario final. Así, un comercio puede acceder a ciertos datos bancarios de su cliente para cerrar un pago de forma segura pero, sin necesidad de integrar nada más en su propia web. De esta forma, ofrece sus productos y servicios proporcionándolos con valor añadido y de manera segura para sus clientes, acelerando así la conversión y evitando renuncias.

Sin duda, para el banco este nuevo modelo de negocio basado en la oferta de servicios conseguirá ampliar su offering, su ámbito de acción y, por lo tanto, incrementar sus ingresos, garantizando así su sostenibilidad. A nivel interno, los bancos conseguirán reducir costes y, sobre todo, tener más opciones para que el “time to market” disminuya.

Volviendo a la seguridad, las API se suelen ofrecer en tres variantes: privadas (internas), públicas (externas) o restringidas (socios). De nuevo, esto depende de la estrategia de negocio. Si la información que se va a presentar es confidencial, puede que interese más utilizar una aplicación privada o restringida. A pesar de que son más rentables, estos tipos de API no son fáciles de mantener ni de mejorar ya que no se dispone del apoyo de la comunidad de desarrolladores, al contrario de lo que sucede con las API públicas. La innovación, los costes y la seguridad son factores cruciales que se deben tener en cuenta a la hora de tomar una decisión.

Innovación abierta también en API

El uso de API abiertas favorece un ecosistema centrado en el cliente y una innovación abierta. Actualmente hay más de 15.000 API (en los segmentos de mercado más variados, como los servicios financieros, el gobierno, los servicios móviles, el transporte, la educación, la ciencia, etc.) disponibles en ProgrammableWeb. Más allá de la información, la ayuda y las referencias útiles que proporciona, este portal no solo funciona como directorio para las empresas que buscan API, sino que también sirve para que los desarrolladores y proveedores las ofrezcan.

Otro ejemplo de innovación abierta en este sector es el Open Bank Project, una tienda de API y aplicaciones de código abierto para bancos que permite a las instituciones financieras mejorar sus ofertas digitales de forma rápida y segura, empleando un ecosistema de aplicaciones y servicios de terceros. Un caso más de API de banca abierta de mucho éxito es el BBVA API Market. Esta entidad bancaria, presente en más de 35 países, utiliza estrategias abiertas e innovadoras como «mobile first», omnicanal y digitales para ofrecer una amplia gama de productos en su portal.

En definitiva, las posibilidades económicas de las API son enormes. Para explorar este universo hay que tener la experiencia y la capacidad técnica necesarias para emprender semejantes proyectos y ayudar a los bancos a sacar provecho de las ventajas que su uso ofrece.

Comment Area

  1. Juan Carlos04/04/2018

    Interesante Post.

    Comentar que desde el punto de vista tanto de sistemas e invocaciones via conector API REST encuadradas dentro de transformación digital que han hecho que se haya evolucionado a las invocaciones a los Back End de la ASO, tanto en integrado como en producción , así como tener que hacer frente a nuevos retos de seguridad MUY COMPLEJOS, como arquitectura, ingeniería de seguridad , que tienen que realizar sus enrollments de agregadores financieros con problemas..ya que siempre la política del banco en relación a credenciales es la que va a pesar, pero en este caso, es especial.Los TTP deben inyectar credenciales al banco en primera instancia antes de verificar las credenciales del usuario para recuperar los datos financieros.

    El proceso transparente para el cliente es el que tiene verdaderos problemas y trae a los criptografos en los bancos no pudiendo aplicar simetría cllaaves por no existir el desarrollo necesario, teniendo que quedarse con asimetría de claves y un XOR.

    El TOP es Eurobits.. como sabe este que es tal banco? Inyectando un token de sesión, q ue da paso a las credenciales de usuario y su verificación recuperando el cliente la i formación de ese banco, el otro y ‘el otro.

    Pero , donde está la pega? En las Regulatory Techical Standard on strong Customer Authentication and Secure Comunnications Under PSD2 Compete Mode que no estarán listas hasta finales de septiembre del 2019, teniendo qwue usar los bancos ‘soluciones Kafkianas ‘ para poder continuar con el negocio.. y esta es la palabra mágica..es un banco prima negocio, y SIEMPRE si hay que lanzar a producción un producto que tiene riesgos de fraude y no existe mitigación, es el banco el que asume ese fraude… porque va as ganar 10000 veces más que lo defraudado.

    Ese es el mayor problema en cuánto al Bancoi Central Europeo ha establecido advirtiendo así de los peligros.

    BBVA que ha sido nombrado, lo está llevando a cabo pero con Asunción de Fraude por las fechas de las RT’s..de hecho todos los bancos con agregadores financieros Eurobits MyValue Fintonic son vulnerables con riesgo de fraude asumido.
    A esto no hay que despistarse en cuanto a la necesidad real de una persona de regalar sus datos, porque nada es gratis, y menos viniendo de bancos.. Necesitas ese servicio realmente?

    Los clientes deben tener en cuenta que las TTP SABRÁN todo sobre tu situación financiera completa y NADA ESTA GARANTIZADO hasta septiembre de 2019 ( y aún así.. ) pero como es el BCE ek que así lo ha establecido, digamos que el cliente sin saberlo, está usando tecnología no preparada en tema persistencia de claves, pero como el banco asume el fraude si se produce, no pasa nada.

    Es por ESTE factor, por el que los bancos nos dice : ” Nosotros asumimos que el riesgo existe porque lo ha dicho el BCE y lo sabemos pero preferimos devolverle al cliente el dinero del fraude y pagamos ya que el beneficio es 1000 veces mayor que el dinero por fraude, aso que en el fondo, si algo da dinero, nos da igual la seguridad.. ya tenemos Pentesting Continuo , cert, soc.. Como tampoco es culpa nuestra, es del ‘Central ‘ nos das exactamente igual que Cobalt o Hidden Cobra os ganen continuamente ”

    Los bancos siempre pierden,la mentalidad respecto al fraude es la misma que dio el gran ex CISO del extinguido Banco Popular Roberto BARATTA.. “VENCER al fraude gestionando LA DERROTA ”

    Si o si el cybercrimen va por delante.. los agregadores financieros es un gran paso en la transformación digital bancaria , pero cruzar tanto ‘BigData tiene consecuencias

    Regards

    @secnight

GreenCoding

Con GreenCoding el desarrollo de software se convierte en parte integrante de tu programa de sostenibilidad

Más información