Tu dinero, sin espías

Cuando una app de finanzas "se conecta a tu banco", lo hace gracias a una normativa europea concreta: la PSD2, la segunda Directiva de servicios de pago (Directiva (UE) 2015/2366). En España se transpuso mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago.

La PSD2 introdujo el llamado open banking: la posibilidad de que empresas terceras autorizadas —no solo tu banco— accedan, con tu consentimiento expreso, a la información de tus cuentas. Esas empresas se conocen como proveedores terceros (TPP) y se dividen en dos tipos:

• AISP (servicios de información sobre cuentas): leen tus movimientos y saldos para mostrártelos agregados. Es lo que hacen apps como Fintonic.
• PISP (servicios de iniciación de pagos): pueden ordenar pagos en tu nombre desde tu cuenta.

Para proteger estos accesos, la PSD2 exige autenticación reforzada de cliente (SCA): ese doble factor (clave + SMS o biometría) que tu banco te pide al operar. Además, los agregadores deben estar autorizados y supervisados por el Banco de España, que mantiene un registro público de entidades de pago.

No exactamente. El marco PSD2 está regulado y, bien usado, es razonablemente seguro. El matiz es otro: "regulado" no significa "sin riesgo". Cada vez que autorizas a una app a leer tus cuentas, tu historial financiero pasa a vivir también en los servidores de esa empresa. Y ahí aparecen tres cuestiones que conviene tener claras:

• Superficie de exposición. Cuantas más empresas tengan copia de tus datos bancarios, más sitios desde los que podrían filtrarse en una brecha de seguridad.
• Uso secundario de los datos. Algunos agregadores usan tu información (anonimizada o no) para perfilado, scoring o publicidad de productos financieros. Conviene leer su política de privacidad.
• Dependencia técnica. Las conexiones PSD2 se rompen con frecuencia (cambios del banco, caducidad del consentimiento cada 90-180 días) y obligan a re-autorizar una y otra vez.

Todo esto está amparado por el RGPD (Reglamento (UE) 2016/679) y, en España, por la LOPDGDD y la supervisión de la Agencia Española de Protección de Datos (AEPD). Tienes derecho a retirar el consentimiento y a que borren tus datos. Pero el principio de minimización del propio RGPD apunta a algo más simple: el dato más seguro es el que nunca se recopila.

Cuando autorizas el acceso a tus cuentas, no compartes "unos cuantos gastos". Compartes tu historial financiero completo, y de ahí se deduce muchísimo más de lo que parece:

• Tus ingresos reales: la nómina domiciliada revela cuánto cobras, de qué empresa y si has cambiado de trabajo.
• Dónde vives y te mueves: recibos de suministros, comercios habituales y geolocalización implícita de tus compras.
• Tu salud y hábitos: cargos en farmacias, clínicas, apuestas, tabaco o alcohol dicen más de lo que dirías tú mismo.
• Tu estructura familiar: guarderías, colegios, pensiones, recibos compartidos.
• Tu solvencia: saldos, descubiertos, préstamos y patrón de ahorro — justo lo que interesa a quien quiere venderte productos financieros.

Un agregador con acceso continuo no ve una foto, ve una película de tu vida económica. Aunque la empresa sea seria y cumpla el RGPD, ese perfil existe, se almacena y se vuelve un objetivo para terceros. La pregunta no es solo "¿confío en esta app hoy?", sino "¿confío en quién tenga acceso a sus servidores dentro de cinco años?".

Tanto si te quedas con Cashual como si no, estas son las preguntas que conviene hacerse antes de dar acceso a tus datos financieros a cualquier app:

• ¿Necesita conexión bancaria para funcionar? Si puede dártelo sin acceder a tu banco, mejor.
• ¿Cuál es su modelo de negocio? Si el producto es gratis y no hay suscripción clara, pregúntate si el producto eres tú.
• ¿Qué dice su política de privacidad sobre uso secundario y cesión a terceros? Busca explícitamente "fines comerciales", "publicidad" y "terceros".
• ¿Está autorizada por el Banco de España si actúa como agregador? Compruébalo en el registro oficial.
• ¿Puedes borrar tus datos fácilmente y revocar accesos? Es tu derecho bajo el RGPD; que sea sencillo en la práctica es buena señal.

No hay una respuesta única correcta. Hay gente para la que la comodidad de la sincronización compensa, y es una decisión legítima. Lo que defendemos es que sea una decisión informada, no la opción por defecto que aceptas sin leer.

Cashual elige deliberadamente no usar PSD2. No nos conectamos a tu banco, no pedimos tus credenciales y no dependemos de APIs bancarias que se caen. Tú añades tus cuentas y movimientos de forma manual (o vía OCR de tickets).

Es más trabajo, sí. Pero a cambio obtienes dos cosas: privacidad por defecto —tu historial financiero no sale a ningún agregador— y conciencia real de en qué gastas, porque registrar un gasto te obliga a verlo. No es para todo el mundo, y lo decimos claro: si lo que buscas es sincronización automática total, Cashual no es tu app. Si valoras el control y la privacidad por encima de la comodidad, sí.

No existe una opción "correcta" universal: existe la que encaja contigo. Esta es la comparación honesta de los dos enfoques, sin vender humo:

Para ser justos: la sincronización bancaria no es "mala", es una herramienta con un perfil de usuario distinto. Probablemente te compense un agregador si:

• Tienes muchas cuentas en varios bancos y solo quieres una foto agregada del saldo total, sin entrar al detalle.
• Te importa más la comodidad que la privacidad, y aceptas conscientemente ese intercambio.
• No registras casi nada en efectivo y casi todo tu gasto pasa por tarjeta.
• No te interesa cambiar hábitos, solo monitorizar de forma pasiva.

Si te reconoces ahí, un agregador autorizado por el Banco de España es una opción legítima. El control manual brilla en el caso contrario: cuando quieres cambiar tu relación con el dinero, manejas efectivo, o la privacidad pesa más que ahorrarte unos segundos.

"Es demasiado trabajo." Registrar un gasto son segundos, y muchas compras grandes (alquiler, suministros, suscripciones) son fijas: las configuras una vez. El trabajo real está en las primeras semanas, hasta que se vuelve hábito.

"Sin sincronización me dejaré gastos." Puede pasar al principio, pero ese "olvido" es justo lo que te hace consciente: si no recuerdas en qué gastaste 40€, ahí hay una fuga que la sincronización automática te habría escondido entre decenas de apuntes.

"Es menos seguro que mi banco." Al revés: no poder conectarse a tu banco significa que una hipotética brecha en la app no expone tus credenciales ni tus movimientos bancarios, porque sencillamente no los tiene.