La entrada en vigor de la PSD2, junto con su transposición en España mediante el Real Decreto-ley 19/2018, no debe interpretarse únicamente como una obligación técnica o de integración bancaria, sino como un marco jurídico de alto riesgo sancionador para cualquier software que acceda, trate o explote datos de cuentas bancarias.
En la práctica, muchas soluciones tecnológicas operan en una zona gris, accediendo a información financiera mediante técnicas de scraping o a través de terceros agregadores, sin analizar correctamente si su actividad encaja dentro de la figura regulada de proveedor de servicios de información sobre cuentas (AISP). Este análisis no es opcional: es una obligación legal cuyo incumplimiento puede derivar en consecuencias graves, tanto administrativas como incluso penales en determinados escenarios de fraude o uso indebido de credenciales.
Desde un punto de vista normativo, el artículo 4 del Real Decreto-ley 19/2018 define claramente los servicios de información sobre cuentas como aquellos que permiten agregar datos de una o varias cuentas de pago accesibles en línea. A su vez, el artículo 5 establece que estos servicios solo pueden ser prestados por entidades autorizadas o registradas ante el Banco de España. Esto implica que cualquier software que, directa o indirectamente, acceda a cuentas bancarias y consolide esa información para su explotación funcional (por ejemplo, conciliación bancaria, scoring financiero, análisis de tesorería o reporting automatizado), podría estar sujeto a esta obligación.
El incumplimiento de esta exigencia no es menor. El propio régimen sancionador previsto en el Real Decreto-ley 19/2018, en conexión con la Ley 10/2014, contempla sanciones muy relevantes. En casos graves, las multas pueden alcanzar hasta el 10% del volumen de negocio anual o incluso superar los 5 millones de euros, además de la posible inhabilitación para operar en el mercado financiero. En supuestos muy graves, se pueden imponer sanciones adicionales a los administradores o responsables, incluyendo su separación del cargo y prohibición de ejercer funciones en entidades financieras.
A este riesgo se suma un elemento especialmente crítico: la invalidez jurídica de determinadas operativas en caso de conflicto. Si una empresa utiliza un software que accede a cuentas bancarias sin cumplir con los requisitos de PSD2 (por ejemplo, sin autorización como AISP o sin aplicar mecanismos de autenticación reforzada), cualquier prueba obtenida a través de ese sistema podría ser cuestionada en sede judicial. Esto es especialmente relevante en procedimientos mercantiles, reclamaciones de deuda, disputas contractuales o incluso en periciales informáticas, donde la trazabilidad y legitimidad del acceso a los datos es clave.
Adicionalmente, el Reglamento Delegado (UE) 2018/389 introduce obligaciones técnicas de autenticación fuerte (SCA) y comunicación segura con las entidades bancarias. El incumplimiento de estos requisitos no solo supone una infracción regulatoria, sino que incrementa exponencialmente el riesgo de incidentes de seguridad, accesos no autorizados y responsabilidades derivadas de brechas de datos, con impacto directo también en el ámbito del RGPD.
Un ejemplo práctico permite entender mejor el alcance: una empresa de software que ofrece conciliación bancaria automática y accede a cuentas mediante credenciales del usuario (scraping) sin ser AISP registrado, está operando fuera del marco legal. Si esta empresa factura 2 millones de euros anuales, podría enfrentarse a sanciones que, en escenarios graves, superen los 200.000 o 300.000 euros, además del cese inmediato de la actividad. Si además se produce un incidente de seguridad o uso indebido de credenciales, el impacto puede escalar a responsabilidades adicionales en materia de protección de datos o incluso a reclamaciones civiles por daños y perjuicios.
Otro caso frecuente es el de empresas que utilizan terceros AISP, pero almacenan, procesan y explotan los datos bancarios por su cuenta. En estos escenarios, la clave jurídica no está solo en quién accede inicialmente a la cuenta, sino en quién controla el tratamiento posterior de los datos. Si la empresa actúa como agregador real, aunque utilice un tercero como canal técnico, podría ser considerada sujeto obligado bajo PSD2, con todas las implicaciones regulatorias asociadas.
En este contexto, resulta imprescindible realizar un análisis jurídico-técnico riguroso que determine si la solución encaja dentro del perímetro regulado, si puede operar bajo la cobertura de un tercero o si debe iniciar un proceso de registro como AISP ante el Banco de España. No hacerlo no es una cuestión de eficiencia o madurez tecnológica, sino una exposición directa a sanciones económicas, pérdida de operativa y debilitamiento de la posición jurídica en caso de conflicto.
Desde un enfoque de auditoría, la evaluación no debe limitarse a aspectos técnicos, sino que debe incorporar criterios regulatorios, contractuales y probatorios, asegurando que el software no solo funciona correctamente, sino que puede defenderse jurídicamente ante cualquier inspección o procedimiento judicial. En un entorno cada vez más regulado, el verdadero riesgo no es no cumplir técnicamente, sino no poder demostrar que se cumple.
Contacta con nosotros en este formulario para que te ayudemos.
