Por Carlos Hoyos, gerente de desarrollo empresarial en AWS y Oscar Mendoza, Arquitecto de Soluciones en AWS.

Introducción

El sector financiero viene experimentando cambios sin precedentes en los últimos años, acelerados, e impulsados principalmente por las innovaciones tecnológicas, los nuevos actores en el mercado y los cambios constantes en el comportamiento de los consumidores financieros y la regulación. Es de gran interés de los directivos de las organizaciones financieras buscar nuevas fuentes de ingresos, modelos operativos más eficientes que les permita responder a esta dinámica del mercado, sin afectar la seguridad, la confianza y la escalabilidad del negocio.

En este blog presentaremos cómo las instituciones financieras han adoptado el Open Finance alrededor del mundo, cuáles han sido los modelos de costos más utilizados para monetizar su información y sus servicios y cómo está estructurada la reglamentación de Open Finance en Colombia.

Por último, presentaremos una arquitectura de referencia y una guía de buenas prácticas que ayudará a adoptar su estrategia de Open Finance de una manera segura, escalable, eficiente y sostenible.

¿Qué es el Open Finance?

El Open Finance, o sistema financiero abierto, es una práctica que busca aportar autonomía y control al consumidor financiero, permitiéndole decidir cuándo, por cuánto tiempo y con quién quiere compartir sus datos financieros. A través de esta práctica clientes de Bancos, Aseguradoras, Instituciones de pagos, Corredores de bolsas, o demás compañías, bajo la supervisión del regulador financiero, pueden autorizar el uso de sus datos y/o información, para que otras compañías (terceros receptores de datos) puedan acceder a su información, con el objetivo de proveer mejores productos y servicios.

Para llevar a cabo el intercambio y acceso a la información de los clientes, se utilizan Interfaces de Programación de Aplicaciones (APIs por sus siglas en inglés), cuyos estándares permiten una comunicación simplificada entre las partes, y los terceros que acceden a la información, para que dicho acceso sea de forma segura, rápida y cómoda. En algunos países estas APIs son definidas bajo un estándar que establece el regulador, como en el caso de Singapur, en otros, es el mismo mercado quien establece el estándar para el intercambio de información.

¿Cómo han adoptado las instituciones financieras el Open Finance en el mundo?

De acuerdo con cifras publicadas por Asobancaria en la edición 1382 de Banca & Economía, en el Reino Unido este tipo de regulación ha permitido pasar de 1.23 millones de adultos que no tenían una cuenta bancaria de depósito en 2017, a 0.93 millones en 2020. Además de mejorar los indicadores de profundización de crédito formal, ya que en 2017 el 75% de los adultos (38.1 millones) tenían al menos un crédito formal, y en 2020 este indicador ascendió al 81% (42.5 millones).

En Amazon Web Services (AWS) hemos tenido la oportunidad de acompañar el desarrollo de la estrategia de Open Finance de distintas entidades financieras alrededor del mundo en casos de uso como los siguientes:

• Finanzas como Servicio: Este modelo permite que las entidades financieras puedan proveer sus servicios a otras entidades, para que estas puedan integrarlas en su experiencia de usuario (Ver ejemplo Starling Bank). Algunos de los servicios que las instituciones financieras ofrecen son:
  • Cuentas de Depósito como Servicio: Apertura, administración y cierre de depósitos como medio de pago (Billetera).
  • Tarjetas de Crédito/Débito como Servicio: Emisión, procesamiento y administración de ciclo de vida de tarjetas como instrumento de pago.
  • Originación de Cuentas como Servicio: Originación, desembolso, gestión y recuperación de cupos de crédito.
  • Inversión como Servicio: Distribución de productos del mercado de valores, pensiones y/o fideicomisos.
  • Seguros como Servicio: Cotización y comercialización de seguros.
  • Pagos como Servicio: Comercialización de servicios de pago.
• Finanzas como Plataforma: Este es un modelo en donde las instituciones financieras integran servicios de terceros dentro de sus sistemas, para brindar una experiencia sin fricciones a los clientes, a través del diseño de experiencias integradas. Entre los ecosistemas más ampliamente explorados, destacamos: Movilidad, Vivienda, Turismo, Retail. Para más detalle los invitamos a consultar el blog de AWS titulado Ecosystem can help generate new revenue streams for banks.
• Iniciación de pagos: Este modelo permite que los clientes autoricen a terceros a realizar pagos directamente en las cuentas de sus instituciones financieras.
• Agregación de Información financiera: Este modelo permite recopilar y consolidar la información financiera de los clientes, con el objetivo de brindar una visión completa y actualizada de su situación financiera. Ver Ejemplo Frollo.

Entre los modelos de monetización de APIs más adoptados destacamos:

• Modelo de Datos: El pago de un fee por un conjunto de datos suministrados por el API.
• Modelo de Transacción: El pago de un fee por transacción exitosa realizada.
• Modelo de Llamado por API: El pago de un fee por llamado de un API de manera exitosa.
• Modelo de Subscripción: El pago de un fee por un conjunto de transacciones o peticiones realizadas a un API.
• Modelo de Capa Gratuita: Modelo que otorga gratis un límite de transacciones, una vez superado el límite se cobra el fee por el llamado del servicio.
• Modelo de Incentivo: Es un modelo en donde se busca incentivar el uso del API, pagando al tercero que está realizando el llamado de la misma una vez se alcance el límite pactado entre las partes.
• Modelo de Revenue Compartido: Es un modelo en el cual las partes pactan el pago de un porcentaje de comisión, por los negocios que se obtengan en conjunto por el uso de las APIs.

El Open Finance en Colombia

La Unidad de Proyección Normativa y Estudios de Regulación Financiera (URF) publicó en el 2021 el Documento técnico del modelo de finanzas abiertas en Colombia. Esta normativa complementa el conjunto de normas y leyes en relación al tratamiento de datos personales ya establecidos en el país, tales como:

• Ley 1266 de 2008 conocida como la ley de Habeas Data.
• Ley 1581 de 2021 de protección de datos personales.
• Circulares de la Superintendencia Financiera de Colombia (SFC) como la CE 007 de 2018, la CE 005 de 2019 y la (CE 029 de 2019).

En Julio de 2022, el Ministerio de Hacienda de Colombia a través del Decreto 1297, instauró el marco general de las finanzas abiertas del país.

En el año 2023, la SFC estableció un plan de ruta para la implementación del Open Finance en el país, para el cual plantea un proceso de implementación dividido en 3 fases que se estarán ejecutando entre los años 2023 – 2026.

• Fase 1 (2023 – 2024). Su principal objetivo es abordar el caso de uso de iniciación de pagos, y los datos que tiene contemplado regular son el uso de datos de pago, identificación y autorización al tercero.
• Fase 2 (2024 – 2025). Contempla abarcar más casos de uso tales como: agregación de productos, vinculación financiera alternativa, score crediticio alternativo, planeación financiera, portabilidad financiera Bancaria, para lo cual se contempla regular el uso de datos financieros transaccionales de pagos y bancarios, autorización y confirmación y datos no financieros (subsidios, servicios públicos, telefonía, tributarios, giros, economía solidaria, etc.)
• Fase 3 (2025 – 2026). Busca vincular otros sectores de la industria financiera como seguros y pensiones, por lo que se regulará el uso de los datos financieros transaccionales de inversión, pensiones y seguros.

En febrero 2024, la SFC publicó la Circular externa 004, en la cual:

1. Define los estándares tecnológicos y de seguridad.
2. Establece las obligaciones que deben cumplir las entidades vigiladas para el tratamiento de los datos de los consumidores financieros.
3. Señala los lineamientos que deben cumplir las entidades vigiladas cuando comercializan a terceros la tecnología e infraestructura para la prestación de sus servicios.

¿Cómo puede AWS ayudarlo a implementar el Open Finance en Colombia?

En el Open Finance, las entidades financieras utilizan un marco de mensajería basado en APIs para compartir de forma segura y con previo consentimiento, los datos de sus clientes con desarrolladores y proveedores de servicios externos, lo que permite un acceso automatizado y seguro a los datos que residen en sus sistemas core. Las instituciones financieras suelen elegir AWS para crear su entorno de Open Finance debido a su escalabilidad inherente, la costo-efectividad de las implementaciones y la velocidad a la que pueden crear productos innovadores. Las arquitecturas de Open Finance que admiten estos casos de uso comparten las siguientes características:

1. Los datos de los clientes finales se comparten con otras instituciones solo después del consentimiento del cliente mediante OAuth 2.0.
2. Acceso seguro y limitado de terceros (con mutual Transport Layer Security (mTLS)).
3. Infraestructura basada en API y un entorno elástico y escalable.
4. Acceso instantáneo o casi instantáneo a los datos de las cuentas de los clientes.
5. Capacidades de registro y auditoría a prueba de manipulaciones.

Estas características son descritas en la siguiente arquitectura de referencia tomada del AWS Financial Services Industy Lens

Open Finance Reference Architecture

En la imagen anterior, se pueden ver los siguientes 4 grandes componentes:

1. Un consumidor accede a la aplicación de terceros autorizada o acreditada y da su consentimiento al tercero receptor de datos para acceder a sus datos o realizar una solicitud de envío de pagos.
2. En el ámbito del Open Finance, los terceros receptores de datos pueden definirse como instituciones autorizadas que proporcionan servicios de valor agregado además de las necesidades financieras habituales del consumidor, como información sobre cuentas (verificación de saldos, transacciones recientes y estados de cuenta) y pagos (pagos a comerciantes, personas y beneficiarios registrados). Este enfoque crea casos de uso como el análisis de gastos, la toma de decisiones crediticias y los pagos para transacciones de comercio electrónico.
3. Un proveedor de servicios de confianza (Trust Service Provider (TSP)) es una entidad de confianza autorizada por un organismo gubernamental supervisor para verificar la autenticidad de las instituciones financieras y de terceros y emitir certificados digitales a terceros, en aquellos países en donde la regulación así lo establece.
4. En este último componente se describe el entorno de tecnología de un banco, que consiste en su entorno de AWS y sus centros de datos on-premises.

Dentro del componente de tecnología de la institución financiera en esta arquitectura de referencia, tecnologías como Apache Kafka y mecanismos de colas de mensajes (MQ) son utilizados para enviar y recibir las transacciones que ocurren en su core.

Conectividad y Seguridad de Red

La conectividad entre los centros de datos on-premises y la nube de AWS se realiza mediante el uso de servicios como AWS Direct Connect y AWS Site-to-site VPN.

AWS Transit Gateway permite gestionar la interconectividad entre las cargas de trabajo en diferentes cuentas de AWS y compartir la conexión AWS Direct Connect y la conexión VPN con otras cargas de trabajo en la institución financiera.

Una Amazon Virtual Private Cloud (VPC) de tráfico puede utilizarse para prevención y detección de intrusión usando servicios como AWS Network Firewall. Para brindar un acceso seguro a las APIs del entorno de Open Finance, servicios como Amazon API Gateway soportan autenticación por mutual TLS.

Gestión de APIs y Servicios de Contenedores

Amazon API Gateway brinda una capa de administración de APIs que las instituciones financieras pueden exponer de manera segura a los terceros involucrados en el ecosistema de Open Finance. Adicionalmente, para proporcionar seguridad adicional, las APIs pueden ser protegidas utilizando el servicio de AWS Web Application Firewall y realizando el llamado de las APIs con AWS PrivateLink.

Las especificaciones de las APIs de Open Finance para los servicios de información de cuentas y pagos pueden ser implementados mediante varios microservicios basados en contenedores, como por ejemplo:

• Amazon Elastic Container Service (Amazon ECS): Servicio de orquestación de contenedores completamente administrado que lo ayuda a implementar, administrar y escalar aplicaciones con contenedores
• Amazon Elastic Kubernetes Service (Amazon EKS): Servicio administrado para Kubernetes
• AWS Fargate: Servicio de contenerización administrado y sin servidor.

El almacenamiento en caché de la información de las cuentas de los clientes se realiza mediante Amazon ElastiCache y los webhooks para ver el estado de los pagos se alojan en esta capa de contenerización.

Dentro de la regulación Colombiana, se les exige también a las Entidades Administradoras de los Sistemas de Pago de Bajo Valor Inmediatos (EASPBVI) emplear el estándar de mensajería ISO 20022 para el intercambio electrónico de datos en el procesamiento de las Órdenes de Pagos y/o Transferencias de Fondos Inmediatas. AWS provee una solución open-source en la que se implementa una arquitectura de referencia para la implementación de una “Arquitectura orientada a eventos para flujos de mensajería ISO 20022 en AWS”.

Servicios de Identidad y Marketplace

El proveedor de identidad (IdP) para la implementación de OAuth 2.0 reside en una cuenta de AWS independiente para que otras cargas de trabajo de la institución financiera puedan consumirlo de forma segura. Los clientes pueden elegir entre los socios de AWS que ofrecen la funcionalidad de IdP a través del AWS Marketplace o crear un IdP personalizado. Dentro de la regulación colombiana, se exige también que las autorizaciones de las API se ajusten a Financial-Grade API (FAPI 2.0), tema que trataremos en un siguiente blog dentro de esta misma serie de blogs.

Servicios de Seguridad y Cumplimiento

Toda esta arquitectura puede protegerse con los diferentes servicios de seguridad ofrecidos por AWS, como por ejemplo:

• Amazon GuardDuty: Detección inteligente de amenazas
• Amazon Inspector: Administración automática y continua de vulnerabilidades
• Amazon Macie: Detección y protección de datos sensibles
• AWS Config: Evaluación y auditoría continua de los recursos desplegados en AWS

Para una lista más completa de las capacidades de seguridad de los servicios de AWS, puede remitirse a la Documentación de Seguridad de AWS.

Conclusión

Los próximos 5 años estarán enmarcados por una fuerte transformación en la propuesta de valor que las instituciones financieras aportarán al consumidor financiero. Para ser exitoso es fundamental desarrollar una estrategia de datos que ubique las necesidades del cliente en el centro de la toma de decisiones en la organización. Contar con un aliado estratégico como AWS para crear estas capacidades organizaciones de una manera segura, escalable y costo eficiente es fundamental para acelerar la transformación.

Lo invitamos a que acceda a Lente de la Industria de Servicios Financieros  para conocer más sobre la arquitectura de referencia descrita en este blog.

Si desea apoyo en la implementación de su estrategia de Open Finance, puede apalancarse en nuestro equipo de Servicios Profesionales de AWS o en alguno de los partners disponibles a través de nuestra red de socios de Amazon Web Services (APN por sus siglas en inglés).

Este es el primero de una serie de blogs que se publicarán sobre Open Finance y Pagos inmediatos en Colombia.

Acerca de los autores

Carlos Hoyos es gerente de desarrollo empresarial en AWS y se centra en el sector financiero. Con más de 15 años de experiencia en la prestación de servicios a este sector, lidera la definición y ejecución de las iniciativas y estrategias de un equipo multidisciplinario en AWS, que ayuda a las instituciones financieras de América Latina a obtener mayor agilidad, flexibilidad e implementación de la innovación mediante el uso de la nube de AWS de forma segura y de conformidad con la normativa aplicable.

Oscar Mendoza es Arquitecto de Soluciones en AWS basado en Bogotá, Colombia. Oscar trabaja con nuestros clientes para proporcionar orientación en las mejores prácticas arquitectónicas y para crear soluciones en AWS siguiendo las recomendaciones del Well-Architected Framework. Le gusta pasar tiempo con su familia y su perro, y tocar música colombiana.