Open Banking y PSD2: qué datos compartes, riesgos y oportunidades reales

Introducción

Open Banking y PSD2 han cambiado la forma en que tus datos bancarios pueden moverse entre entidades y aplicaciones. En la práctica, significa que puedes autorizar a terceros regulados a consultar información de tus cuentas o incluso a iniciar pagos, sin compartir tus claves del banco. Esto abre puertas a una gestión financiera más inteligente, comparadores más precisos y experiencias de pago más ágiles. Pero también introduce decisiones que conviene tomar con criterio: qué permisos das, a quién, durante cuánto tiempo y con qué objetivo. Entender qué datos compartes, los riesgos reales y cómo se controla el consentimiento es la base para aprovecharlo con seguridad.

Open Banking y PSD2: conceptos clave para entender el sistema

Qué es PSD2 y por qué existe

PSD2 (la segunda Directiva de Servicios de Pago) es una normativa europea diseñada para fomentar la competencia y la innovación en pagos, reforzando a la vez la seguridad. Su objetivo principal es permitir que proveedores autorizados puedan prestar ciertos servicios conectándose a tu banco, siempre con tu consentimiento y bajo requisitos regulatorios.

En esencia, PSD2 crea un marco para que tu banco “abra” el acceso a determinados datos y funcionalidades mediante interfaces seguras (APIs), en lugar de prácticas antiguas e inseguras como compartir usuario y contraseña con terceros.

Qué se entiende por Open Banking

Open Banking es el ecosistema que surge cuando bancos y terceros regulados se conectan a través de APIs para ofrecer servicios financieros basados en datos. PSD2 es una pieza central en Europa, pero Open Banking es un concepto más amplio: engloba agregación de cuentas, pagos iniciados por terceros, analítica financiera, verificación de ingresos y soluciones de personalización.

Quiénes participan: banco, usuario y terceros autorizados

Bajo Open Banking y PSD2 intervienen tres actores:

• Tú (usuario): decides si das consentimiento y qué permisos concedes.
• Tu banco (ASPSP): custodia tus fondos y datos, y ofrece el acceso vía API.
• Terceros regulados (TPP): prestan servicios autorizados, normalmente de dos tipos:
  • AISP (Account Information Service Provider): accede a información de cuentas para agregación y análisis.
  • PISP (Payment Initiation Service Provider): inicia pagos desde tu cuenta con tu autorización.

Qué datos compartes realmente con Open Banking y PSD2

La clave está en que no compartes tus credenciales bancarias con el tercero, sino que autorizas accesos específicos gestionados por el banco. Aun así, la información que puede circular es sensible, por lo que conviene saber qué entra y qué no.

Datos típicos en un servicio AISP (información de cuentas)

Cuando autorizas a un AISP, lo habitual es que pueda acceder a:

• Lista de cuentas (IBAN o identificadores de cuenta, alias, entidad).
• Saldos y divisa.
• Movimientos: fecha, importe, descripción/concepto, comercio si aplica.
• Información básica de titulares y producto (según entidad y API).

Qué implica en la práctica: una app de finanzas puede ver tus ingresos recurrentes, tus gastos por categorías, tu ahorro mensual y patrones de consumo. Aunque no vea tu “contraseña”, sí ve una radiografía financiera si le das acceso a varias cuentas.

Datos típicos en un servicio PISP (inicio de pagos)

Con un PISP, el foco no es “ver” datos, sino iniciar un pago. Normalmente intervienen:

• Cuenta de origen (desde la que se paga).
• Datos del beneficiario (IBAN destino, nombre, referencia).
• Importe y concepto.
• Confirmación de estado (pago iniciado, aceptado, rechazado).

Importante: iniciar pagos no significa que el tercero “mueva el dinero por su cuenta”. El banco exige verificación fuerte y tu aprobación, y el pago se ejecuta dentro de la infraestructura bancaria.

¿Se comparten datos de tarjetas o inversión?

Depende del alcance del producto y de la implementación del banco. En la práctica, Open Banking PSD2 se centra sobre todo en cuentas de pago. Algunas entidades y servicios amplían la experiencia con datos de tarjetas o productos de inversión, pero eso suele requerir integraciones adicionales o acuerdos específicos, no siempre cubiertos por la misma lógica de PSD2.

La regla operativa es simple: solo se comparte lo que tú autorizas y lo que el proveedor declara en el flujo de consentimiento.

Cómo funciona el consentimiento y cuánto dura

Consentimiento granular: qué autorizas exactamente

El consentimiento no es “todo o nada”. En los flujos habituales se define:

• Qué cuentas se conectan (una o varias).
• Qué tipo de servicio: AISP (información) o PISP (pago).
• Qué alcance de datos: saldos, movimientos, detalles.
• Periodo de validez.

La pantalla de autorización suele mostrarse dentro del entorno del banco o en una pasarela controlada por éste. Esa diferencia es relevante: el banco es quien valida tu identidad y aplica sus mecanismos de seguridad.

Autenticación reforzada (SCA): la capa de seguridad obligatoria

PSD2 introdujo la Strong Customer Authentication (SCA): una autenticación reforzada que, en términos prácticos, te pide validar con dos de estos factores:

• Algo que sabes (PIN/contraseña).
• Algo que tienes (móvil o token).
• Algo que eres (biometría).

Por eso, en conexiones Open Banking casi siempre verás confirmación en la app del banco, biometría o códigos de un solo uso.

Duración y renovación del acceso

El acceso a información no es infinito. En muchos casos, el consentimiento tiene caducidad y requiere renovación. Esto reduce el riesgo de accesos perpetuos y te obliga a revalidar si realmente sigues queriendo usar esa app o servicio.

En pagos iniciados, el consentimiento suele estar ligado a la operación concreta o a mandatos específicos si el servicio lo permite (por ejemplo, para pagos recurrentes autorizados bajo ciertas condiciones).

Riesgos reales: qué puede salir mal (y qué no)

Los riesgos existen, pero conviene distinguir riesgos plausibles de mitos frecuentes.

Riesgo 1: exposición de tu “perfil financiero” por exceso de permisos

Si autorizas agregación completa de varias cuentas, el tercero puede inferir:

• Nivel de ingresos y estabilidad.
• Endeudamiento aproximado.
• Hábitos de gasto, comercios, suscripciones.
• Capacidad de ahorro y liquidez.

Esto no es “robo” en sentido clásico, pero sí un riesgo de privacidad y de uso comercial de datos si el proveedor no es transparente o si aceptas políticas poco claras.

Riesgo 2: phishing y suplantación alrededor del flujo de conexión

Una amenaza real es el fraude por ingeniería social: enlaces falsos que imitan el proceso de conexión al banco. En Open Banking legítimo, el flujo te lleva a tu banco y no te pide que introduzcas tus claves en una web de terceros fuera de ese entorno controlado.

Buena señal: redirección a la app del banco o página oficial, confirmación biométrica y pantallas reconocibles.

Riesgo 3: brechas de seguridad del proveedor tercero

Aunque esté regulado, un proveedor puede sufrir incidentes. La mitigación está en la supervisión, medidas de seguridad, minimización de datos y controles internos. Aun así, como usuario, tu gestión del riesgo se basa en:

• Elegir proveedores con reputación sólida y enfoque claro.
• No conceder permisos innecesarios.
• Revocar accesos que ya no uses.

Riesgo 4: pagos iniciados indebidamente (raro, pero relevante)

En PISP, el riesgo principal sería un intento de iniciar pagos sin tu intención. En condiciones normales, el banco te pedirá confirmación reforzada. Si una app logra que confirmes algo que no entiendes, el problema es más de claridad y consentimiento que de “hackeo” directo.

La prevención es práctica: leer importes, beneficiario y concepto antes de aprobar.

Lo que Open Banking no debería implicar

• No deberías entregar tu usuario y contraseña bancarios a una app para que “rasque” datos.
• No es un “permiso eterno” sin control: existe caducidad y revocación.
• No es una carta blanca para que cualquier empresa acceda: los proveedores deben estar autorizados para operar.

Oportunidades reales: beneficios prácticos para tu día a día financiero

Open Banking y PSD2 no son solo tecnología. Bien usados, impactan en decisiones concretas.

Agregación de cuentas y visión unificada

Si tienes varias cuentas (banco A para nómina, banco B para ahorro, cuenta conjunta), la agregación te permite ver todo en un panel:

• Saldos consolidados.
• Ingresos y gastos por categorías.
• Detección de suscripciones duplicadas.
• Alertas de variaciones de gasto.

Esto mejora la gestión, especialmente si buscas optimizar ahorro mensual sin vivir pendiente de varias apps.

Presupuestos inteligentes y recomendaciones personalizadas

Con movimientos enriquecidos, algunas herramientas:

• Clasifican gastos automáticamente.
• Proponen presupuestos realistas.
• Sugieren recortes “de bajo dolor” (gastos que no aportan valor).
• Calculan tu “tasa de ahorro” sin estimaciones.

Aquí el valor está en la claridad: ver el impacto de decisiones pequeñas repetidas.

Verificación de ingresos y solvencia con menos fricción

Para ciertos servicios financieros, poder verificar ingresos o estabilidad sin enviar múltiples documentos reduce fricción. En escenarios cotidianos, esto se traduce en procesos más ágiles, aunque siempre conviene entender qué datos se comparten y durante cuánto tiempo.

Pagos más fluidos con PISP

Los PISP pueden ofrecer alternativas a métodos tradicionales de pago, especialmente en entornos digitales, con confirmación dentro de tu banco. Si el proceso está bien implementado, mejora:

• Rapidez.
• Confirmación de estado.
• Reducción de pasos.

No es necesariamente “mejor” para todos, pero sí una opción relevante.

Ejemplo numérico 1: optimización de gasto con agregación

Supón que, tras conectar tus cuentas, detectas tres suscripciones:

• 9,99 € (streaming A)
• 7,99 € (streaming B)
• 5,99 € (app que ya no usas)

Total mensual: 9,99 + 7,99 + 5,99 = 23,97 €.

Si cancelas la de 5,99 € y una de streaming (7,99 €), ahorras 13,98 € al mes. En un año:

13,98 × 12 = 167,76 €.

No es una fortuna, pero sí un ahorro real que sale de tener visibilidad y actuar.

Ejemplo numérico 2: impacto de una mejor planificación de liquidez

Imagina que tu app de finanzas detecta que tus recibos fijos suben en enero y te recomienda mantener 300 € adicionales de colchón en cuenta. Si evitas un descubierto con comisión de 35 € dos veces al año:

Ahorro anual: 35 × 2 = 70 €.

Más allá del número, la oportunidad es evitar penalizaciones y estrés por falta de liquidez.

Cómo elegir una app o servicio de Open Banking con criterio

Comprueba el propósito: “para qué” y “para cuánto tiempo”

Antes de conectar cuentas, responde:

• ¿Qué gano con esto hoy?
• ¿Necesito todas las cuentas o solo una?
• ¿Me compensa mantener el acceso activo o es algo puntual?

Cuanto más claro el objetivo, menos permisos innecesarios.

Minimiza datos: conecta solo lo imprescindible

Si una app solo necesita verificar ingresos, no tiene sentido dar acceso completo a años de movimientos de todas tus cuentas. Si solo quieres categorizar gasto, quizá basta con la cuenta principal.

Revisa condiciones de uso y uso comercial de datos

La cuestión no es solo “si es legal”, sino si es alineado con tu preferencia. Busca claridad en:

• Uso para analítica y mejora del servicio.
• Compartición con terceros (si existe).
• Conservación de datos tras revocar consentimiento.

Tabla resumen: permisos y recomendaciones prácticas

Permiso / servicio	Qué permite	Beneficio típico	Precaución práctica
AISP (saldos)	Ver saldo de cuentas	Control de liquidez	Conectar solo cuentas necesarias
AISP (movimientos)	Ver y categorizar gastos/ingresos	Presupuesto y análisis	Evitar proveedores opacos en uso de datos
PISP (pago puntual)	Iniciar un pago concreto	Pago más rápido	Confirmar beneficiario e importe antes de aprobar
Acceso prolongado	Acceso durante semanas/meses	Automatización	Revocar si dejas de usar la app

Errores comunes

• Conceder acceso a todas las cuentas por comodidad: más datos no siempre significa mejor servicio; aumenta exposición de tu perfil financiero.
• No distinguir entre AISP y PISP: ver datos no es lo mismo que iniciar pagos; conviene saber qué servicio estás activando.
• Aceptar permisos sin leer el alcance: muchas incidencias vienen de aprobar pantallas sin comprobar qué se comparte.
• Mantener permisos activos en apps que ya no usas: es un riesgo evitable; revocar es una buena higiene financiera.
• Conectar desde enlaces sospechosos: el phishing suele explotar la prisa; entra siempre desde canales oficiales.
• Confundir Open Banking con “dar tus claves”: si una app te pide credenciales fuera del flujo bancario, mala señal.

Checklist rápida

• Define el objetivo: agregación, presupuesto, verificación o pago.
• Comprueba si el proveedor es un tercero autorizado y su reputación es sólida.
• Concede el mínimo permiso necesario (cuentas y alcance).
• Revisa la pantalla de consentimiento: datos, duración y finalidad.
• Activa y usa SCA (biometría/app del banco) como confirmación estándar.
• Revisa periódicamente permisos activos y revoca los que no uses.
• Mantén alertas bancarias básicas para detectar movimientos no esperados.
• Si dudas, cancela el proceso y repítelo desde la app oficial.

Preguntas frecuentes

¿Open Banking y PSD2 significan que mi banco “vende” mis datos?

No necesariamente. Open Banking y PSD2 se basan en que tú autorizas el acceso a terceros para un servicio concreto. El banco habilita la conexión y registra el consentimiento, pero no implica una venta automática de datos. El punto crítico está en el proveedor: qué datos solicita, para qué los usa y cómo lo comunica. Por eso conviene leer el alcance del permiso y las condiciones de uso del tercero. En términos prácticos, el control lo ejerces tú: si no autorizas, no hay acceso.

¿Qué diferencia hay entre una app que agrega cuentas y una que inicia pagos?

La primera suele actuar como AISP: consulta saldos y movimientos para darte visión y análisis. La segunda actúa como PISP: puede iniciar un pago desde tu cuenta hacia un beneficiario, con tu aprobación mediante autenticación reforzada. La diferencia es importante porque el riesgo y la precaución son distintos. En agregación, el foco es privacidad y uso de datos; en pagos, el foco es confirmar beneficiario e importe antes de autorizar. En ambos casos, el consentimiento debe ser explícito y revocable.

¿Puedo revocar permisos de Open Banking cuando quiera?

Sí. Una práctica recomendable es revisar los accesos concedidos y revocar los que no uses. Normalmente puedes hacerlo desde tu banca digital (apartado de permisos, terceros o servicios conectados) o desde la propia app que conectaste. Tras revocar, el tercero debería dejar de acceder. Aun así, algunos proveedores pueden conservar ciertos datos históricos según su política; por eso es clave revisar qué ocurre con los datos ya recopilados y si puedes solicitar su eliminación dentro de las opciones del servicio.

¿Es seguro usar Open Banking para controlar mis finanzas personales?

Puede serlo si eliges proveedores serios y minimizas permisos. La seguridad se apoya en APIs reguladas y en autenticación reforzada (SCA), lo que reduce prácticas inseguras. El riesgo principal no suele ser “técnico”, sino de uso excesivo de datos o de phishing alrededor del proceso. Como usuario, tu mejor defensa es sencilla: conecta solo lo imprescindible, revisa el alcance, y entra siempre por canales oficiales. Si lo haces así, la relación riesgo-beneficio suele ser favorable para presupuestos y control de gastos.

¿Qué datos ve una app exactamente al conectar mi cuenta?

Depende de los permisos. En agregación, lo habitual es acceso a lista de cuentas, saldos y movimientos (importe, fecha, concepto). Con eso se puede clasificar gasto y detectar patrones. En pagos, la app no “ve” más por defecto, pero sí tramita la información necesaria para ejecutar la operación (beneficiario, importe y referencia) y recibe confirmación de estado. La pantalla de consentimiento del banco es tu referencia: ahí debe aparecer el alcance exacto. Si no es claro, mejor no aprobar.

¿Qué señales indican que un servicio no es fiable?

Algunas señales prácticas: te pide usuario y contraseña del banco en una web de terceros sin redirección al entorno bancario, no explica de forma transparente qué datos recoge y para qué, ofrece promesas poco realistas (“mejoramos tu solvencia garantizado”), o no facilita revocar permisos y gestionar tus datos. También es mala señal que la empresa no tenga información clara de soporte o que su modelo de negocio dependa de monetizar datos sin explicarlo. En finanzas, la claridad operativa suele correlacionar con mejores prácticas.

¿Open Banking afecta a mi banco o a mi relación con él?

En general, debería mejorar la interoperabilidad sin cambiar tu relación esencial con el banco: tus fondos siguen custodiados por tu entidad y las operaciones se validan con sus sistemas. Lo que cambia es que puedes usar servicios externos para visualizar y gestionar tu información o iniciar pagos con otra interfaz. Si usas bien el consentimiento, no hay “penalización” por conectar apps. Aun así, conviene mantener una higiene digital: revocar permisos de servicios que ya no utilizas y revisar movimientos como parte de tu rutina financiera.

Conclusión

Open Banking y PSD2 abren un terreno útil y, bien gestionado, bastante práctico: visión unificada de cuentas, presupuestos con datos reales, detección de fugas de dinero y pagos más ágiles. El punto decisivo es el consentimiento: tú eliges qué datos compartes, con qué proveedor, durante cuánto tiempo y con qué objetivo. Los riesgos más habituales no son “mágicos” ni inevitables: se reducen minimizando permisos, usando solo terceros fiables, revisando accesos activos y evitando conexiones desde enlaces dudosos. Si aplicas estas reglas, Open Banking deja de ser un concepto abstracto y se convierte en una herramienta concreta para mejorar tu control financiero sin complicarte.