Vumi
SeguridadPrecios
AccesoAgendar demo
Seguridad

Acceso solo lectura: qué puede y qué no puede hacer una plataforma

Por diseño regulatorio, una plataforma AISP no puede mover dinero ni operar. Entiende qué lee, qué no puede tocar y cómo revocar el acceso.

Carlos Mata GarcíaCarlos Mata GarcíaCEO & Cofundador de VUMI
·11 de julio de 202613 min de lectura

Bajo la Directiva (UE) 2015/2366, conocida como PSD2, los servicios de acceso a información de cuentas están reservados a una categoría específica de entidad: el Proveedor de Servicios de Información sobre Cuentas, o AISP por sus siglas en inglés. No es una etiqueta comercial. Es un registro ante el supervisor, en España ante el Banco de España (RDL 19/2018, art. 5), públicamente verificable.

El art. 67 de PSD2 establece cinco obligaciones que el AISP debe cumplir sin excepción: actuar únicamente con el consentimiento explícito del usuario; acceder solo a las cuentas que el usuario haya designado expresamente; no solicitar datos de pago sensibles como credenciales de seguridad personalizadas; no utilizar, almacenar ni acceder a datos para fines distintos del servicio solicitado; e identificarse ante la entidad bancaria en cada acceso.

Ninguna de estas condiciones es voluntaria. Son condiciones de licencia. Su incumplimiento puede derivar en sanciones de hasta el 10% del volumen de negocio anual, conforme al régimen sancionador del RDL 19/2018, que remite a la Ley 10/2014, y en la cancelación del registro.

Qué dice la ley sobre lo que NO puede hacer un AISP

La limitación más relevante para el titular patrimonial es concreta: un AISP no puede iniciar transferencias ni ordenar pagos. Esa capacidad corresponde a una figura completamente distinta, el PISP (Proveedor de Servicios de Iniciación de Pagos), que exige una licencia separada ante el BdE (fuente: TrueLayer AISP/PISP). Las dos figuras pueden coexistir en la misma empresa, pero no se solapan por defecto; una plataforma registrada solo como AISP no puede actuar como PISP sin tramitar un registro adicional y diferenciado.

El resultado práctico es inequívoco. La plataforma de consolidación no puede transferir fondos, contratar productos financieros en nombre del usuario ni acceder a cuentas no designadas expresamente. Si lo intenta, actúa fuera de su habilitación legal.

API bancaria vs screen scraping

Hasta hace pocos años, muchas soluciones de agregación funcionaban mediante screen scraping: el usuario cedía sus credenciales bancarias al agregador, que las usaba para iniciar sesión en el banco como si fuera el propio titular y extraer la información por pantalla. Los riesgos son conocidos, las credenciales viajaban fuera del entorno del banco, la extracción era frágil ante cualquier cambio de interfaz, y el banco no podía distinguir al titular de un tercero, lo que generaba una zona gris de responsabilidad en caso de incidente (fuente: TrueLayer).

PSD2 y los Estándares Técnicos de Regulación que lo desarrollan (Reglamento Delegado UE 2018/389) han desplazado ese modelo como práctica estándar. El screen scraping subsiste únicamente como fallback de contingencia bajo el art. 33.6 del RTS, con identificación mediante certificado eIDAS, cuando la API bancaria no está disponible. No es un método prohibido en términos absolutos, pero ya no es el modelo de referencia.

Por qué las credenciales no viajan a la plataforma

El flujo actual funciona de forma radicalmente diferente. El usuario da su consentimiento en la interfaz de la plataforma. El banco toma entonces el control de la autenticación: presenta su propio entorno de inicio de sesión y aplica autenticación reforzada (SCA) directamente sobre el usuario. Las credenciales se introducen en el entorno del banco; la plataforma no las ve ni las almacena en ningún momento. El banco emite un token temporal y acotado, que autoriza al AISP a consultar únicamente la información designada. Cuando ese token expira, no hay acceso residual.

Las credenciales bancarias del usuario nunca salen del entorno del banco (fuente: Wealthreader). La plataforma opera con un permiso temporal y delimitado, no con las llaves de la cuenta.

Qué lee y qué no puede tocar

Dentro del alcance PSD2, un AISP accede a información de cuentas de pago: el IBAN, la identificación del titular, la entidad, los saldos y el historial de movimientos (fuente: Wealthreader, Molina Law Boutique). Es el perímetro estricto de la directiva, que nació centrada en cuentas corrientes y de pago.

Las plataformas de consolidación patrimonial amplían habitualmente este alcance. Para leer carteras de inversión, fondos, planes de pensiones o posiciones en custodios, establecen accesos adicionales con esas entidades, que exceden el ámbito técnico de PSD2 pero operan bajo acuerdos separados con cada custodio. El principio de solo lectura se mantiene en todos los casos.

Lo que la plataforma no puede hacer bajo ningún supuesto dentro de su figura AISP:

  • Ordenar transferencias o pagos.
  • Contratar, modificar o cancelar productos financieros.
  • Mover fondos entre cuentas del usuario.
  • Acceder a cuentas o activos distintos de los expresamente designados.
  • Usar los datos obtenidos para fines distintos del servicio solicitado, como perfilado comercial o cesión a terceros.

La custodia: los activos siguen donde siempre han estado

Un punto que genera confusión con cierta frecuencia: consolidar el patrimonio no significa trasladar los activos. La custodia de valores es una función reservada a entidades expresamente autorizadas por la CNMV (fuente: CNMV). Una plataforma de consolidación patrimonial no es depositaria, no tiene ni puede tener los activos del cliente. Los fondos, las acciones, los inmuebles y las participadas siguen en las entidades donde siempre han estado; la plataforma únicamente lee su posición y la representa en una vista unificada.

El ciclo de consentimiento: quién controla el acceso y cómo se revoca

El acceso de un AISP no es permanente ni se activa de forma automática. Requiere consentimiento explícito, previo e informado del usuario para cada conexión, y puede revocarse en cualquier momento, sin justificación y sin plazo de preaviso. Cuando se revoca, el acceso cesa de forma inmediata.

Aquí conviene distinguir dos conceptos que a menudo se confunden. La renovación de la autenticación reforzada, el proceso SCA que el banco realiza periódicamente para confirmar que el usuario sigue autorizando el acceso, tiene una cadencia de 180 días desde el 25 de julio de 2023, antes eran 90, establecida por el Reglamento Delegado (UE) 2022/2360 que modifica el art. 10 bis del RTS (fuente: Finreg360). Esta renovación la gestiona el banco, no la plataforma.

El consentimiento de acceso lo controla el usuario y puede cancelarse en cualquier momento. La renovación SCA es un mecanismo técnico que el banco activa cada 180 días para confirmar que la autorización sigue vigente. Son procesos distintos, con agentes distintos.

Cómo revocar y qué ocurre con el dato

La revocación es sencilla por exigencia regulatoria. El usuario puede hacerlo desde la propia plataforma o directamente desde la aplicación o banca online de cada entidad. En cualquiera de los dos casos, el efecto es inmediato: el AISP pierde el acceso al token y no puede realizar nuevas consultas.

Respecto a los datos ya leídos, el AISP tiene obligación de no conservarlos ni usarlos más allá del fin para el que fueron recabados (PSD2, art. 67.2.d). Las condiciones exactas de retención y eliminación forman parte de la política de privacidad del proveedor, que conviene revisar antes de contratar el servicio.

Trazabilidad y auditoría: el acceso deja rastro

El marco regulatorio de PSD2 no solo define lo que el AISP puede hacer. Exige también que todo acceso sea trazable y auditable. Los estándares técnicos del Reglamento Delegado 2018/389 obligan a los proveedores a mantener registros de log de acceso, gestionar los permisos de forma controlada, monitorizar la actividad y someterse a auditorías periódicas por expertos independientes (fuente: Legal Auditors Auditoría PSD2).

El registro ante el Banco de España es de acceso público. Cualquier empresa o titular puede consultar si una plataforma está registrada como AISP en la sede electrónica del BdE antes de contratar el servicio (fuente: sede electrónica BdE). Trazabilidad técnica interna más registro supervisor externo: esa es la base objetiva sobre la que descansa la confianza en el modelo, no la declaración de intenciones del proveedor.

Qué cambia con PSD3 y FIDA (y cuándo)

El panorama regulatorio del open banking europeo evoluciona, aunque conviene ser preciso sobre los plazos, porque la distancia entre "acuerdo político" y "en vigor" es considerable.

PSD3 alcanzó un acuerdo político provisional el 27 de noviembre de 2025, y el Consejo de la UE confirmó el texto en abril de 2026. El plazo de transposición es de 21 meses, lo que sitúa la aplicabilidad práctica en España en torno a 2027. No está en vigor. Su principal novedad para los AISP es que refuerza los derechos de acceso a través de APIs dedicadas obligatorias, pero no modifica el principio fundamental: el AISP sigue siendo solo lectura (fuentes: Molina Law Boutique, Crassula, Fabrick).

FIDA va más lejos. Propone extender el modelo de datos compartidos a inversiones, pensiones, seguros, hipotecas, criptoactivos e inmuebles, a través de una nueva figura llamada FISP. La propuesta se presentó en junio de 2023 y a junio de 2026 continúa en trílogo. La operatividad estimada se sitúa entre 2027 y 2030. Tampoco está en vigor (fuentes: KPMG, Freshfields, Taylor Wessing).

Ninguno de los dos marcos modifica el principio de solo lectura ni adelanta ninguna capacidad transaccional a las plataformas de consolidación. Lo que cambia es el ámbito de datos que los usuarios podrán compartir y los mecanismos técnicos para hacerlo. Para una visión más amplia del contexto competitivo en que se enmarca este debate, el artículo La guerra de los agregadores: qué significa para tu family office describe cómo están posicionándose los distintos actores del mercado.

Dónde encaja VUMI

VUMI opera como AISP con registro ante el Banco de España. Su acceso a las cuentas y posiciones del cliente es estrictamente de lectura: no puede ordenar transferencias, no puede contratar productos y no custodia ningún activo. Los activos del cliente permanecen en sus entidades financieras habituales.

Hay un elemento diferenciador relevante en la capa de conectividad. VUMI es el único proveedor en España con API de conexión propia a bancos y custodios. Otras plataformas del mercado subcontratan esta capa a agregadores intermediarios, como Flanks, que procesa más de 500.000 carteras al mes y actúa como proveedor de conectividad para varias entidades (fuente: Flanks/MuyPymes). Con VUMI, hay un intermediario menos que toca el dato: la conexión es directa entre VUMI y la entidad financiera. Eso tiene implicaciones no solo de seguridad, sino de calidad y actualización del dato.

VUMI tampoco vende productos financieros ni cobra comisiones sobre el patrimonio. Sin incentivo comercial sobre los datos que lee, la neutralidad del acceso no es una declaración de principios: es la consecuencia natural del modelo de negocio.

En términos de cobertura, VUMI consolida en una sola vista todos los activos relevantes para un family office o un grupo empresarial: cuentas corrientes, inversiones financieras, inmobiliario, participadas y otros activos. Sin puntos ciegos. El informe que llega al titular, a la familia o al consejo de administración es personalizable en formato, periodicidad y nivel de detalle, no un PDF genérico, sino un documento adaptado a quién lo recibe y para qué lo necesita.

Para quien está evaluando qué modelo de plataforma encaja mejor con su estructura patrimonial, el artículo Banca privada vs software independiente de consolidación patrimonial desarrolla los criterios de comparación con más detalle. Y si la pregunta de partida es qué herramienta elegir, la guía Software de gestión patrimonial: cómo elegir la plataforma adecuada ofrece un marco de evaluación completo.

Si quieres ver cómo funciona el acceso en la práctica, el equipo de VUMI puede acompañarte en una demostración sin compromiso.

Preguntas frecuentes

¿Puede una plataforma de consolidación hacer transferencias desde mis cuentas?

No. Una plataforma registrada como AISP tiene capacidad de solo lectura. La iniciación de pagos y transferencias requiere una licencia distinta, la de PISP, con registro separado ante el Banco de España. Son figuras regulatoriamente incompatibles dentro del mismo servicio salvo que la entidad obtenga ambas licencias de forma explícita (fuente: TrueLayer AISP/PISP).

¿Tengo que dar mis claves de banco a la plataforma?

No, bajo el modelo de conexión por API. Cuando conectas una cuenta, el banco asume el control de la autenticación y aplica su propio proceso de verificación reforzada (SCA). Las credenciales se introducen en el entorno del banco, no en la plataforma. La plataforma recibe únicamente un token temporal con alcance limitado; no ve ni almacena tus contraseñas (fuente: Wealthreader).

¿Qué es un AISP y en qué se diferencia de un PISP?

AISP (Account Information Service Provider) es el proveedor que lee datos de cuentas con el consentimiento del usuario. PISP (Payment Initiation Service Provider) es el proveedor que puede iniciar pagos en nombre del usuario. Son licencias distintas ante el BdE. El primero solo observa; el segundo puede actuar. Una plataforma de consolidación patrimonial opera como AISP, no como PISP.

¿Qué datos lee exactamente una plataforma de consolidación?

Bajo PSD2, el alcance estándar incluye: IBAN, titular, entidad, saldos y movimientos de cuentas de pago. Las plataformas de consolidación patrimonial amplían habitualmente este perímetro para incluir carteras de inversión, fondos, planes de pensiones y posiciones con custodios, a través de accesos adicionales con cada entidad (fuente: Wealthreader, Molina Law Boutique).

¿Puedo revocar el acceso en cualquier momento?

Sí. El consentimiento es revocable en cualquier momento, desde la propia plataforma o desde la banca online de la entidad correspondiente. No hay plazo de preaviso obligatorio. Una vez revocado, el acceso cesa de forma inmediata y el AISP no puede realizar nuevas consultas.

¿Qué diferencia hay entre una API bancaria y el screen scraping?

Con screen scraping, el usuario cedía sus credenciales al agregador, que iniciaba sesión en su nombre. Con una API, el banco gestiona la autenticación directamente con el usuario y emite un token temporal para el AISP. Las credenciales nunca salen del entorno del banco. El screen scraping ha sido desplazado como práctica estándar bajo PSD2; subsiste como fallback de contingencia bajo condiciones específicas (art. 33.6 RTS).

¿La plataforma custodia mis activos?

No. La custodia de valores es una función reservada a entidades autorizadas expresamente por la CNMV (fuente: CNMV). Una plataforma de consolidación patrimonial solo lee la posición de tus activos; no los traslada, no los administra y no los custodia. Tus activos permanecen en las entidades donde siempre han estado.

¿Qué cambia con PSD3 para el acceso solo lectura?

PSD3 tiene acuerdo provisional desde noviembre de 2025, pero no está en vigor. Su transposición en España se estima para 2027. Refuerza los derechos de los AISP, en particular el acceso a través de APIs dedicadas obligatorias, y mejora el control del usuario sobre sus datos. No modifica el principio de solo lectura ni otorga capacidades transaccionales a las plataformas de consolidación.

Este artículo tiene carácter exclusivamente informativo y divulgativo. No constituye asesoramiento jurídico, financiero ni de inversión. Para una evaluación adaptada a tu situación concreta, consulta con un asesor especializado. La información refleja el marco regulatorio vigente a la fecha de publicación; los textos de PSD3 y FIDA se encuentran en tramitación y sus contenidos pueden variar antes de su entrada en vigor.

Para una visión más amplia sobre la seguridad en la conexión de entidades financieras a una plataforma de consolidación, consulta el artículo complementario ¿Es seguro conectar mis bancos a una plataforma de consolidación?.

Carlos Mata García
Carlos Mata García
CEO & Cofundador de VUMI

Especialista en consolidación patrimonial y reporting para family offices y empresas familiares en España.

LinkedIn

¿Listo para ver tu patrimonio con claridad total?

Agendar una reunión