Header Ads Widget

Ticker

6/recent/ticker-posts

¿Por qué las fintechs quieren ahorrar el raspado de pantalla?


 La industria europea de servicios financieros se encuentra en la cúspide de una revolución tecnológica. Reformas como PSD2 y la iniciativa CMA en el Reino Unido están obligando a las instituciones bancarias tradicionales a ingresar a la Economía API como participantes activos.

Una gran noticia para la escena FinTech, uno pensaría; por fin, las plataformas bancarias se están abriendo para que terceros accedan de forma segura a los datos de un cliente sin la necesidad de eliminar  las interfaces bancarias en línea (también conocido como "acceso directo"). Sin embargo, los eventos recientes muestran lo contrario ...

Andrea Enria, presidenta de la Autoridad Bancaria Europea (EBA), declaró en un discurso ante el Foro de Westminster que “… la práctica actual de acceso de terceros sin identificación… denominada 'screen scraping'… ya no se permitirá una vez transcurrido el período de transición bajo la PSD2 ha transcurrido y se aplica la RTS (Norma técnica reguladora) ". Este discurso fue seguido con el borrador final de la RTS que confirma la intención de prohibir el raspado de pantalla 18 meses después de su entrada en vigor.

Desde ese anuncio, ha habido consternación entre las filas de las FinTech europeas, incluida la formación de consorcios , el cabildeo y la manifestación en general contra la prohibición de la práctica del raspado de pantalla. La propia comisión de la UE ha pedido a la ABE que reconsidere la prohibición. Dada la cantidad de desventajas percibidas del raspado de pantalla, uno se pregunta por qué.

Como ocurre con cualquier debate, siempre hay varios puntos de vista válidos diferentes. Sin embargo, antes de entrar en el debate, conviene establecer los hechos técnicos.

Tachuelas de latón: API frente a raspado de pantalla

Retirar el debate a tecnicismos puros tiende a llevar a una conclusión: las API web ofrecen la capacidad de crear una integración más robusta y segura con la plataforma de una organización que el raspado de pantalla.

En la siguiente tabla se muestra una comparación de las características:

 

CARACTERÍSTICARASPADO DE PANTALLAAPI WEB
Acceso a las credenciales de usuarioEn su forma actual, requiere que un tercero adquiera, almacene y use las credenciales bancarias en línea de un usuario. Si los malhechores comprometidos pueden obtener acceso completo a las cuentas de un usuario. La integración también se vuelve difícil cuando se requieren contraseñas de un solo uso o tokens de seguridad.Es posible el acceso delegado a través de protocolos como OpenID Connect que protegen las credenciales del usuario mediante el uso de tokens de acceso de corta duración. El consumidor de API nunca ve las credenciales de usuario del usuario final.
Interfaz estandarizadaLas interfaces de banca en línea, aunque lentas para cambiar, no ofrecen una interfaz estandarizada y los consumidores deben actualizar o absorber los cambios dinámicamenteOfrece una interfaz estandarizada y versionada, formando efectivamente un "contrato" entre el proveedor y el consumidor
Seguridad en capasDado que la banca en línea está abierta a los consumidores, es prácticamente imposible agregar capas adicionales de seguridad sin afectar la experiencia del consumidor.Las API web pueden implementar múltiples capas de seguridad si es necesario
Alcance definidoEn su forma actual, los raspadores de pantalla tienen las llaves del reino y pueden acceder a cualquier información disponible en la banca en línea. Es extremadamente difícil limitar el alcance en términos de funcionalidad, datos o tiempo.Las API web pueden reducir el alcance de lo que puede acceder un tercero, tanto a través del modelado de las entidades como de mecanismos como los alcances de OAuth. Esto se está volviendo especialmente importante dadas las estrictas regulaciones de uso de datos como GDPR .

 

Según esta comparación, un comentarista objetivo  vería que las API web tienen ventajas significativas sobre el raspado de pantalla. Sin embargo, las razones para evitar el raspado de pantalla van más allá de la tecnología. Prohibir el raspado de pantalla tiene una serie de implicaciones comerciales, culturales y de costos que matizan por qué una prohibición tiene implicaciones significativas para la comunidad FinTech europea.

Lea también: FinTech y API: hacer que el banco sea programable

Oportunidad (y lo que cuesta)

En los servicios bancarios y financieros, el screen scraping es una práctica que ha evolucionado durante muchos años. La técnica no es específica de la industria, pero se ha vuelto tan frecuente debido al valor de los datos y la funcionalidad que se pueden obtener de la banca en línea. Las organizaciones que emplean el raspado de pantalla, ya sea que estén clasificadas como “FinTech” o no, lo hacen para aprovechar la oportunidad que esto les ofrece.

Una de las razones por las que ha surgido esta oportunidad se debe a la falta de API en la banca en general. Una razón comúnmente citada para usar API en lugar de raspado de pantalla es ofrecer una interfaz "estandarizada" para acceder a la plataforma de un proveedor de API; con una especificación de API en la mano, un consumidor puede crear aplicaciones. Sin embargo, ¿qué haces como consumidor de una plataforma si no existen API? Usas tu iniciativa.

Es por eso que el raspado de pantalla es tan importante para la comunidad FinTech. Los protagonistas se han aprovechado de lo que tienen a su disposición y quieren seguir haciéndolo. La escena FinTech se caracteriza por organizaciones que trastocan a los operadores tradicionales haciendo lo que ya hacen, pero mucho mejor: más ingeniosas, menos fricciones, propuestas más convincentes que captan la atención del consumidor.

El simple hecho es este: si las FinTech hubieran esperado a que la industria bancaria en general creara API, no habría una escena FinTech. Organizaciones como Yodlee , Sofort , Trustly y Figo no existirían o tendrían ofertas mucho menos atractivas. Los consumidores estarían importando transacciones de la banca en línea a Xero o Quickbooks realizando exportaciones CSV y luego transfiriendo los datos al paquete de contabilidad elegido.

También existe un enorme coste irrecuperable en el desarrollo de los productos que ofrecen estas empresas. Ser obligado a migrar a API web incipientes causaría una interrupción significativa en sus productos si las API permiten menos características y menos funcionalidad que sus contrapartes de interfaz web. El tiempo y el esfuerzo para realizar la I + D para avanzar hacia nuevos estándares, en algunos casos en muchos estados miembros de la UE, es considerable. Si bien la mayoría de las empresas que esto afecta son FinTechs de rápido movimiento, el impacto en el desarrollo de sus productos no debe subestimarse. Además, también es comprensible la reticencia a pasar a un modelo solo de API en una industria donde los operadores tradicionales son conocidos por ser glaciales en su apetito por implementar nuevas tecnologías.

Si la EBA cierra la puerta al raspar la pantalla sin abrir completamente la API, la escena FinTech estará en serios problemas. La regulación tiene el hábito de fallar después de un período excesivo de gestación (después de todo, hay un PSD2 por una razón), por lo que las FinTech que piden que se mantenga el raspado de pantalla tienen todas las razones para oponerse a la prohibición.

Relacionado: PSD2 sanciona el acceso a datos bancarios personales, amplificando el crecimiento de FinTech

Percepción de necesidad

El otro argumento que surge es el que es casi ortogonal a las razones para usar una API web: ¿Por qué molestarse con las API web cuando el raspado de pantalla es lo suficientemente bueno? Muchos practicantes o evangelistas de API buscarían el balde enfermo al escuchar tal herejía. En su opinión, el raspado de pantalla es un mal necesario que debe ser exorcizado del ecosistema lo más rápido posible.

Sin embargo, a un consumidor habitual, del tipo sin un conocimiento técnico detallado de cómo se pueden adquirir los datos y los servicios desde su back-end , no le importará . Los consumidores simplemente quieren usar un producto que les haga querer lo que quieren de la manera más sencilla posible. Si hay API web disponibles para hacer esto, entonces genial. De lo contrario, el raspado de pantalla funcionará porque para el consumidor habitual es solo un tecnicismo.

Los proveedores de tecnología, por supuesto, tienen el deber de entregar un producto a sus clientes de la forma más segura posible. Si una API web con acceso delegado está disponible, deben usarla. Sin embargo, parte del debate y las regulaciones en sí están gravitando hacia "cuándo" el raspado de pantalla se puede usar en lugar de una API web: por ejemplo, si la API de una organización no está disponible. Un enfoque de combinación y combinación parece indicar que incluso los que establecen las políticas aceptan que el raspado de pantalla tiene un lugar. Sin embargo, la viabilidad de cambiar entre el raspado de pantalla y las API web como enfoque tecnológico es cuestionable. Ambos tienen diferentes requisitos de seguridad y modelos de entidad, lo que hace que la integración para un consumidor sea mucho más compleja. Además,

Sin embargo, hay muchos proveedores de tecnología que piensan que el raspado de pantalla es "suficientemente bueno" y su posición está respaldada por la actitud de "no importa" del consumidor habitual. Esto crea una cultura en la que ceder sus credenciales de usuario a un tercero está “bien” y ninguna cantidad de persuasión (a través de un video de YouTube de la Federación Bancaria Europea o de otro modo) los hará cambiar de opinión. El hecho de que compartir sus datos con un tercero rompa los términos y condiciones del uso de muchas ofertas bancarias en línea es claramente un impedimento insuficiente.

Hasta que esta percepción cambie y los consumidores realmente exijan que solo se use la autoridad delegada para acceder a su cuenta bancaria, los proveedores de tecnología continuarán empleando el raspado de pantalla donde sea que lo necesiten. Es cierto que algunos proveedores han comenzado a hacer avances en esta área. Por ejemplo, Mint se está integrando con Coinbase utilizando claves API personales . Sin embargo, y sin intentar ser condescendiente, al consumidor medio le llevará algo de tiempo comprender qué es el acceso delegado y por qué es importante.

La seguridad es solo un área en la que los consumidores deben conocer el valor de sus datos. Eche un vistazo a nuestra publicación sobre The API of Me para ver por qué los consumidores podrían querer comenzar a tomar el control de los datos que poseen.

Pensamientos finales

La tecnología de la información es un tema extrañamente emotivo. En términos generales, las computadoras hacen su trabajo y todo debería ser solo unos y ceros. Sin embargo, agregue seres humanos a la mezcla: sus percepciones, deseos y necesidades, y de repente la calma se rompe.

El grito de guerra contra la prohibición del raspado de pantalla es el resultado de la creación de regulaciones basadas puramente en la corrección técnica . Una percepción de solo tecnología no hace concesiones al hecho de que amenaza los modelos comerciales actuales, la innovación, un sector próspero de servicios financieros y, en última instancia, los medios de vida de las personas. La verdad técnica, que las API web junto con un protocolo de seguridad sólido son más seguras que el raspado de pantalla en su forma actual, es infatigable. El punto humano, que prohibir el raspado de pantalla podría causar un daño grave a un sector valioso de la industria de servicios financieros, es igualmente cierto.

Por lo tanto, la ABE y las partes interesadas deben abordar las preocupaciones no técnicas de una manera que funcione para toda la industria. El curso más sensato para todos los participantes parece ser extender el plazo para una prohibición ; nominalmente a tres años a partir de la fecha de entrada en vigor de la RTS. Luego, todos los participantes deben trabajar hacia una solución que haga aceptable una forma modificada de raspado de pantalla o una que ofrezca una alternativa viable basada en API (RESTful o de otro tipo) que sea factible de implementar . No llegar a una solución tan aceptable podría afectar gravemente al crecimiento continuo de la escena FinTech europea.

Publicar un comentario

0 Comentarios