22 Avr ¿DEsarrollas software con conexión bancaria? El scraping en auditorías AISP-PSD2: el gran punto crítico
En los últimos años, el acceso a información bancaria por parte de software de terceros se ha convertido en una práctica habitual en múltiples sectores: ERPs, plataformas de conciliación bancaria, herramientas de scoring, soluciones de financiación o agregadores financieros. Sin embargo, la entrada en vigor de la Directiva (UE) 2015/2366 y su transposición en España mediante el Real Decreto-ley 19/2018 ha cambiado completamente el marco legal de estas prácticas, introduciendo obligaciones claras que muchas empresas siguen sin comprender o, directamente, ignoran. En este contexto, el uso de técnicas de scraping en auditorías AISP se ha convertido en uno de los puntos más críticos desde el punto de vista regulatorio, de seguridad y, sobre todo, de riesgo sancionador.
Qué es realmente el scraping en el contexto PSD2
El scraping, en este ámbito, consiste en acceder de forma automatizada a la banca online de un usuario, utilizando sus credenciales, para extraer información como movimientos, saldos o incluso documentos como justificantes de transferencias en PDF. Este modelo fue ampliamente utilizado antes de PSD2, cuando no existía un marco regulado de acceso a cuentas por terceros. Sin embargo, PSD2 introduce el concepto de acceso seguro a cuentas (XS2A), que obliga a canalizar estos accesos mediante APIs proporcionadas por las entidades financieras, con mecanismos de autenticación reforzada (SCA) y bajo control regulatorio.
El problema no es solo técnico, sino jurídico. PSD2 no prohíbe el scraping de forma explícita en un único artículo, pero construye un marco en el que el acceso a cuentas debe realizarse de forma segura, trazable y autorizada. Por tanto, cualquier acceso que utilice credenciales del usuario fuera de estos mecanismos queda, en la práctica, fuera del modelo regulado y puede ser considerado un incumplimiento del mismo.
El error más común: creer que solo se regula lo que está en la api
Muchas empresas defienden que el scraping es válido porque acceden a información que no está disponible en las APIs PSD2, como los justificantes en PDF. Este argumento parte de una base técnica cierta —las APIs no exponen toda la información— pero conduce a una conclusión jurídicamente incorrecta. PSD2 no regula el tipo de dato concreto, sino el acceso a la cuenta de pago. Esto significa que cualquier información obtenida como consecuencia de ese acceso, independientemente de su formato, entra dentro del ámbito funcional del servicio de información sobre cuentas.
El hecho de que un dato no esté disponible en la API no habilita su obtención por vías alternativas, sino que limita el alcance del servicio que puede prestarse dentro del marco regulado. Intentar suplir esa limitación mediante scraping supone, desde el punto de vista de auditoría, una incoherencia estructural en el modelo de cumplimiento.
Obligación clave: si accedes a cuentas, debes ser AISP
Uno de los aspectos más relevantes que se analizan en una auditoría PSD2 es la identificación de si el software está prestando, de facto, un servicio de información sobre cuentas. La normativa es clara al definir este servicio como aquel que proporciona información agregada sobre una o varias cuentas de pago del usuario. No importa cómo se acceda técnicamente, sino el resultado del servicio prestado.
Por tanto, si un software:
accede a cuentas bancarias del usuario
obtiene movimientos, saldos o información derivada
procesa o presenta esa información
está actuando como AISP y debe cumplir con el marco regulatorio correspondiente, incluyendo la autorización o registro.
Registro en el banco de españa: no es opcional
En España, las entidades que prestan servicios de información sobre cuentas deben estar autorizadas o registradas y figurar en los registros públicos del Banco de España. Este registro no es un trámite formal, sino la consecuencia de cumplir una serie de requisitos exigentes en materia de seguridad, gobierno corporativo, protección de datos y responsabilidad frente al usuario.
El Real Decreto-ley 19/2018 establece un régimen de autorización y supervisión para estos proveedores, incluyendo la necesidad de disponer de seguro de responsabilidad civil profesional, procedimientos de gestión de riesgos y mecanismos de seguridad adecuados. Operar sin estar inscrito, cuando se está prestando este tipo de servicio, supone una infracción del marco de servicios de pago y puede derivar en sanciones relevantes.
Scraping y riesgo regulatorio: una combinación peligrosa
Desde el punto de vista de auditoría, el uso de scraping en un contexto en el que se accede a cuentas bancarias genera varios riesgos simultáneos. En primer lugar, un riesgo de incumplimiento directo de PSD2, al utilizar mecanismos de acceso no alineados con el modelo de APIs seguras. En segundo lugar, un riesgo en materia de seguridad, al implicar el tratamiento de credenciales del usuario, algo especialmente sensible y regulado. En tercer lugar, un riesgo reputacional y contractual, ya que muchas entidades financieras prohíben expresamente estas prácticas en sus condiciones de uso.
Además, el regulador no analiza el sistema de forma fragmentada. No distingue entre “parte PSD2” y “parte scraping”, sino que evalúa el servicio en su conjunto. Si una parte del acceso a cuentas se realiza fuera del marco regulado, todo el modelo puede quedar comprometido.
La realidad del mercado: muchos acceden, pocos están regulados
Uno de los hechos más llamativos del mercado español es que el número de empresas que acceden a cuentas bancarias es muy superior al número de entidades registradas como AISP. Esto no significa que exista una excepción generalizada, sino que muchas empresas operan en una zona de riesgo regulatorio, bien por desconocimiento, bien por una interpretación interesada de la normativa.
En una auditoría PSD2, este punto es determinante. No se trata solo de verificar controles técnicos, sino de analizar si el modelo de negocio está correctamente encuadrado dentro del marco legal. Y en muchos casos, la conclusión es que la empresa debería estar registrada como AISP y no lo está.
Cómo debe abordarse en una auditoría psd2
Una auditoría seria en este ámbito debe empezar por un análisis de la arquitectura del sistema y del flujo real de datos. Es necesario identificar:
cómo se accede a las cuentas
qué credenciales se utilizan
qué información se obtiene
cómo se procesa y almacena
A partir de ahí, se determina si el servicio encaja en la definición de AISP y si cumple con los requisitos regulatorios. El uso de scraping es, en la mayoría de los casos, un indicador claro de desviación respecto al modelo PSD2, que debe ser corregido si se quiere garantizar el cumplimiento.
Conclusión: el scraping ya no es una opción segura
El contexto actual no es el mismo que hace unos años. PSD2 ha redefinido completamente las reglas del juego, y el acceso a información bancaria sin pasar por el marco regulado ya no es una práctica neutra, sino un riesgo claro. Si un software accede a cuentas bancarias, directa o indirectamente, debe analizar si está prestando un servicio AISP y, en su caso, regularizar su situación ante el Banco de España.
Desde una perspectiva de auditoría, el mensaje es claro: el scraping no solo es un problema técnico, es un problema jurídico. Y no abordarlo adecuadamente puede tener consecuencias relevantes tanto a nivel regulatorio como económico. Contacta con nosotros en este enlace