No sé si los fallos que comentan vienen por aquí, pero sí que te aseguro que Tink y Fintonic sí que tiran de usar scraping del canal de usuario, de hecho si lees la status page de Tink para Openbank dice "Open Banking is unaffected".
GoCardless sí que tiene sólo acceso por PSD2 (les uso, de hecho), pero Tink vende tanto agregadores por PSD2 como por scraping. Mira el JSON de su API y verás que tienen dos accesos a Openbank, uno de ellos temporalmente roto: api.tink.se/api/v1/providers/ES
Hay tanto es-redsys-openbank-ob
(por Open Banking) como es-openbank-password
(por scraping). Este último es el que usa Fintonic y que está roto con los cambios.
La razón de más peso creo que es, entre otras, que por PSD2 ningún banco da los datos de las transacciones de tarjetas de crédito, que son bastante útiles al final para un agregador financiero (y más atractivas aún para perfilar al usuario y vender dicho perfil…). Tampoco dan acceso a datos de movimientos de fondos/acciones, por ejemplo, aunque casi nadie usa eso pero Tink también lo vende.
¿Una guarrada e inseguridad enorme?, sí, estoy contigo, lo es.
Pero fíjate si está extendido de hecho irónicamente el propio Openbank también usa los agregadores por scraping de Tink y no los PSD2 para leer datos de otros bancos.
Si le das a añadir, por ejemplo, una cuenta de Bankinter o BBVA dentro del agregador de Openbank, verás que te redirige a Tink y Tink te pide el usuario y contraseña de dicho banco (y en la URL aparece el proveedor es-bbva-password
), no te redirige a la página de auth de PSD2. Al menos el user/pass no pasa por Openbank sino que se lo das a Tink, pero igual de ñapa es.
Tampoco me extrañaría que la entrada de HCaptcha y estas caidas de seguridad sean para evitar phishing o motivos más gordos de seguridad que los scrapers, pero al menos el cargárselos como daño colateral lo han conseguido.
(Y lo digo desde la pena, ya que tenía mi propio mini-cutre-scraper en Python para bajarme justo los movimientos del broker para pasarlos a un Excel, ya que Openbank no los deja exportar en ningún formato legible por máquina, que también se han cargado por el camino…)