Fintonic es una aplicación pionera en la gestión de finanzas y de agregación de cuentas. Se fundó en 2012 y hace más de dos años dio el salto al mercado internacional. Es la primera fintech en España que ha incorporado los certificados para servicios de pago PSD2 QsealC y QWAC, y lo ha hecho con Firmaprofesional. Javier Tobal es responsable de seguridad informática a nivel corporativo (CISO) y responsable de sistemas corporativos (CIO) de Fintonic. Nos cuenta su experiencia en la implantación de la Directiva de Servicios de Pagos (Payment Services Directive) 2015/2366, conocida como PSD2, y analiza el nuevo ecosistema digital que se está construyendo en Europa.
Sois pioneros en la implantación de certificados PSD2.
Fintonic es la primera empresa de fintech que consigue el certificado de supervisión del Banco de España para hacer emisión de pagos con certificados PSD2. Llevamos mucho tiempo trabajando en el mercado y tenemos un volumen bastante grande de usuarios. Además hemos demostrado ante el Banco de España que cumplimos con todos los requisitos tanto a nivel de organización, financiero como de seguridad para ejercer esta licencia con todas las garantías. Estamos orgullosos porque hemos hecho mucho trabajo.
¿En qué sentido los certificados PSD2 os diferencia de vuestros competidores?
Disponer de certificados PSD2 quiere decir que estamos al 100% alineados con los requisitos de seguridad europeos. Si no estás en PSD2, tu capacidad de agregación financiera o de administración de pagos está en una situación de alegalidad. Para hacerlo legal has de cumplir con lo que requiere la Comisión Europea y las entidades locales de revisión, que en nuestro caso es el Banco de España.
Fintonic dispone de los dos tipos de certificados PSD2, QSEalC y QWAC. ¿Para qué los utilizáis?
Disponemos de dos certificados de cada tipo. Tenemos dos certificados de preproducción para hacer pruebas, y los dos oficiales que son los que utilizamos con la banca. Los combinamos en el mismo proceso. Con QSealC firmamos las peticiones para que el banco tenga la certeza de que los datos provienen de Fintonic, y en la comunicación utilizamos QWAC para que los dos extremos de la comunicación puedan verificar la identidad del otro. Tenemos una licencia de dos roles que nos permite ser agregadores de cuentas e iniciadores de pagos. Todavía estamos en pruebas con el proceso de iniciación de pagos porque los bancos aún no tienen abiertas sus APIs. En lo que respecta a la agregación de cuentas, los certificados PSD2 nos permiten conectarnos con los bancos para recuperar la información de las cuentas bancarias de los usuarios.
Más allá de los bancos que han sido los primeros en incorporar estos certificados o las fintech que empiezan ahora. ¿A qué otros sectores afecta?
En lo que se refiere a los servicios financieros, los principales impactados son los bancos que tienen cuentas de pago. Las fintech pueden, sobre este mecanismo, construir servicios innovadores. La tercera pata son los comerciantes. La intención y la motivación de la Comisión Europea es que muchas empresas que ahora mismo no tienen un mecanismo para ofrecer servicios digitales y cobrarlos de forma fácil lo puedan hacer a través de PSD2. En estos momentos, cualquier comercio que ofrezca un producto por internet debe firmar un contrato con un operador de tarjeta bancaria, lo que supone comisiones y tener a un tercero por medio. Con PSD2 será diferente. Significa no pagar comisiones y recibir el dinero inmediatamente y sin posibilidad de fraude. Los micropagos van a ser mucho más fáciles.
PSD2 simplifica la comunicación entre diferentes proveedores de servicios de pagos…
Facilita la construcción de modelos automáticos de pagos. Abarca desde pequeños pagos instantáneos que no están planificados, hasta pagos de grandes cantidades. Va a ser un cambio muy grande en la Unión Europea.
¿La seguridad es el punto fuerte de los certificados PSD2?
La seguridad está muy garantizada. PSD2 genera un ecosistema en el cual diferentes plataformas, como pueden ser las fintech, bancos u otros proveedores de servicios se comunicarán entre ellos de forma segura. Las comunicaciones ya son seguras entre iguales, pero son uno-a-uno, y para cada pareja hay definir un protocolo. La principal novedad del proyecto PSD2, y lo que lo define, es la creación de este ecosistema. Todos los que estén dentro de él y cumplan con sus requisitos podrán conectarse con cualquiera. Tanto los bancos, como los proveedores de cuentas de pagos están obligados a pertenecer y a comunicarse con otras empresas dentro de este ecosistema.
¿Crees que el psd2 puede acabar con la desconfianza que el usuario puede tener en el sector fintech?
Claro. Lo que dice PSD2 es que aunque seas una fintech o una startup que ha nacido hace poco o que no tenga recorrido, cumples con todos los requisitos que marca la Unión Europea. Sus requisitos de seguridad son los más modernos del mundo. Las entidades bancarias arrastran una serie de estándares antiguos y decisiones de seguridad de que ya están obsoletas. Ahora mismo PSD2 es la norma legal más moderna en seguridad. Para el usuario es una garantía. Entre todos los que estamos en este negocio (bancos, fintech, comercios…) debemos transmitir al usuario que el sello de PSD2 es un aval de seguridad.
¿Cómo lo percibe el usuario final?
Hasta el momento, lo que ha percibido el usuario final es la autentificación fuerte de los bancos. La banca digital cada vez pide más contraseñas y manda notificaciones por sms o vía aplicación para confirmar la identidad. La labor de todos los que trabajamos en esto es hacer que para el usuario el entorno sea más sencillo. Hay que darle herramientas para que vean que PSD2 es útil para ellos.
¿Cómo valoráis vuestra experiencia con los certificados PSD2 de Firmaprofesional?
Perfecta. Este es el tipo de servicio y componente que cuando funciona no llama la atención, y cuando no funciona tienes un problema. La parte más compleja en la implantación de certificados es la verificación del proveedor y la parte administrativa. Con Firmaprofesional fue muy sencillo. Teníamos buenas referencias y recomendaciones. PSD2 es que es un certificado específico eIDAS, un certificado promovido por la Unión Europea que tiene unos de los requisitos de seguridad más grandes. No hay muchos proveedores. Antes del verano empezamos a hacer pruebas y teníamos muy claro que queríamos tener los certificados PDS2 lo antes posible y tener flexibilidad para emitirlos cuando los necesitásemos. Firmaprofesional fue muy ágil a nivel de comunicación, gestión y soporte.
¿La seguridad es el punto fuerte de los certificados PSD2?
La seguridad está muy garantizada. PSD2 genera un ecosistema en el cual diferentes plataformas, como pueden ser las fintech, bancos u otros proveedores de servicios se comunicarán entre ellos de forma segura. Las comunicaciones ya son seguras entre iguales, pero son uno-a-uno, y para cada pareja hay definir un protocolo. La principal novedad del proyecto PSD2, y lo que lo define, es la creación de este ecosistema. Todos los que estén dentro de él y cumplan con sus requisitos podrán conectarse con cualquiera. Tanto los bancos, como los proveedores de cuentas de pagos están obligados a pertenecer y a comunicarse con otras empresas dentro de este ecosistema.
¿Crees que el PSD2 puede acabar con la desconfianza que el usuario puede tener en el sector fintech?
Claro. Lo que dice PSD2 es que aunque seas una fintech o una startup que ha nacido hace poco o que no tenga recorrido, cumples con todos los requisitos que marca la Unión Europea. Sus requisitos de seguridad son los más modernos del mundo. Las entidades bancarias arrastran una serie de estándares antiguos y decisiones de seguridad de que ya están obsoletas. Ahora mismo PSD2 es la norma legal más moderna en seguridad. Para el usuario es una garantía. Entre todos los que estamos en este negocio (bancos, fintech, comercios…) debemos transmitir al usuario que el sello de PSD2 es un aval de seguridad.
¿Cómo lo percibe el usuario final?
Hasta el momento, lo que ha percibido el usuario final es la autentificación fuerte de los bancos. La banca digital cada vez pide más contraseñas y manda notificaciones por sms o vía aplicación para confirmar la identidad. La labor de todos los que trabajamos en esto es hacer que para el usuario el entorno sea más sencillo. Hay que darle herramientas para que vean que PSD2 es útil para ellos.
¿Cómo valoráis vuestra experiencia con los certificados PSD2 de Firmaprofesional?
Perfecta. Este es el tipo de servicio y componente que cuando funciona no llama la atención, y cuando no funciona tienes un problema. La parte más compleja en la implantación de certificados es la verificación del proveedor y la parte administrativa. Con Firmaprofesional fue muy sencillo. Teníamos buenas referencias y recomendaciones. PSD2 es que es un certificado específico eIDAS, un certificado promovido por la Unión Europea que tiene unos de los requisitos de seguridad más grandes. No hay muchos proveedores. Antes del verano empezamos a hacer pruebas y teníamos muy claro que queríamos tener los certificados PDS2 lo antes posible y tener flexibilidad para emitirlos cuando los necesitásemos. Firmaprofesional fue muy ágil a nivel de comunicación, gestión y soporte.
