La banca alerta del almacenaje de contraseñas por las «fintech»

La banca tradicional tendrá que permitir a terceras empresas debidamente autorizadas por sus usuarios acceder a las cuentas de los clientes para consultar la información y ejecutar pagos por orden de estos. Así lo fija la nueva directiva europea de servicios de pagos, conocida como PSD 2 y de aplicación desde el pasado enero. Las entidades están preocupadas por cómo se articulará el acceso a esos datos: aunque la norma obliga a crear interfaces específicas más seguras, se deja la puerta abierta a que las «fintech» sigan usando directamente los credenciales de sus usuarios para entrar en el sistema del banco al menos hasta septiembre de 2019.

Esto supone que la «fintech», con el consentimiento de su usuario, acceda a la cuenta del cliente y haga operaciones en su nombre. Y, sobre todo, implica que esta tercera compañía tiene almacenados los datos de autenticación en sus sistemas, con el riesgo que ello conlleva en caso de ciberataque .

El sector bancario, según fuentes consultadas por ABC, quiere que se ponga fin a esta práctica y se fije como única vía de acceso esas interfaces dedicadas, conocidas como API. Son aplicaciones desarrolladas por cada banco y que funcionan como una pasarela, evitando que la «fintech» entre directamente al sistema : cuanto ésta acceda a la cuenta del cliente, saltará una ventana emergente en la que introducirá los datos encriptados.