Nadie se acuerda del departamento de sistemas hasta que truena... y falla. El colapso de Redsys (sábado 18 y jueves 23) ha puesto descubierto que el sistema de pagos en España tiene un punto débil: el switching. No es otra cosa que el proceso de autorización, intercambio y liquidación de operaciones con los proveedores de servicios de pago como tarjetas de débito, crédito, TPVs virtuales, datáfonos, cajeros automáticos y también da soporte a sistemas como Bizum como se ha visto. Viene a ser algo así como una cerradura digital de doble dirección, que identifica a pagador y cobrador ante la compra de un bien o servicio para que luego esa transacción pueda ser compensada entre los bancos de ambas partes.
Siempre funciona y se abre -con una disponibilidad del 99,9%-, pero esta semana no ha sido así y se ha armado una buena. Se estima que varios millones de usuarios se han visto afectados por la incidencia en estos días de récord de actividad comercial que, como el Black Friday, se registraron 61 millones de operaciones exitosas en un día o 2,5 millones por hora. Según datos de Redsys, el fallo ha podido afectar hasta el 2,5% de las operaciones del sábado 18 y el 1,7% del jueves 23. Han sido días de momentos tragicómicos entre compradores y vendedores. El cliente ansioso por defender el honor de su método de pago y solvencia; el comerciante angustiado por no dejar escapar una venta o un servicio sin pagar. Amazon, Aliexpress y todo el ecommerce ha generado ingentes avisos de póngase en contacto con su banco.
¿Tan grave ha sido, doctor? Tanto como para incomodar por igual al Gobierno, al Banco de España (aka, el regulador), el G-3 bancario (Santander, BBVA, Caixabank y Sabadell), la autoridad de la competencia (CNMC) y millones de clientes. Con semejante presión encima del equipo de Redsys, la 'fintech' ha dado una escueta explicación: "Se ha identificado, junto al fabricante implicado, la causa raíz del problema". Descartada la hipótesis del ciberataque tanto por parte del regulador como de la propia empresa, la resolución de la grave incidencia no esconde la cuestión del exceso de concentración que representa Redsys para el sistema financiero en España, un hecho que invita a la reflexión y revisión del riesgo.
Entre unos y otros, en aras de la eficiencia, el ahorro de costes o la ciberresiliencia, más del 90% del citado 'switching' o procesamiento de pagos en España recae sobre los hombros de un solo sistema tras las sucesivas absorciones y fusiones durante la última década como Redy, Euro6000, 4B, Sermepa, Servired... Banco Santander, Caixabank y BBVA que controlaban un 24,9% del capital de Redsys al cierre de 2022, aunque son accionistas en mayor o menor medida el resto de entidades. Esta gran pyme fintech cuenta con unos 600 empleados, su facturación ronda los 150 millones de euros y gana apenas 4 millones. Sus tarifas son las más baratas de lejos, de ahí que su implantación sea masiva tanto en cajeros como en TPVs físicas y virtuales.
De facto, no hay alternativa. La CNMC, la autoridad en la materia, aprobó la primera gran fusión de 2011 (Redsys y Redy) pese a que admitía que se creaba un operador dominante "quedando como competidores la CECA y, en el mejor de los casos, los procesadores comerciales, escasamente significativos". En 2018 también dio luz a la unión de los sistemas de medios de pago Servired, 4B y Euro 6000 pese consideraba "necesario valorar los efectos" sobre los procesadores de tarjetas Redsys y Cecabank ya que tanto unos como otros tenían los mismos dueños. Por este motivo se advertía que los bancos "no tendrían ningún incentivo" para emitir instrumentos de pago que compitiera con el suyo propio y las aplicaciones alternativas de empresas internacionales se verían discriminadas en las operaciones domésticas.
Más allá del descubrimiento del cuello de botella que puede generar en el comercio en España un solo sistema tecnológico centralizado, la sorpresa ha llegado por las reacciones a la crisis. Redsys se autodescribe y define (memoria 2022) como un proveedor interno de los bancos para justificar que no tiene un canal de atención al cliente para resolver los problemas que puedan generar sus servicios: "Se entiende al consumidor como un usuario, no como un cliente, ya que son las entidades financieras los clientes de Redsys". Muchos bancos se limitaron a emitir mensajes automáticos de error, vuelva usted en otro momento o a imitar el canto del grillo.
El otro hallazgo de la crisis de Redsys es que una de las partes críticas y vitales de la infraestructura del sector financiero -recordemos, la mayoritaria en el procesamiento doméstico de pagos con tarjetas- no cuente con un mayor peso y presencia del Banco de España, como sí sucede con Iberpay, una plataforma con enfoque diferente porque está especializada en transferencias, liquidación entre entidades e interoperabilidad con el sistema SEPA y operadores internacionales. A las puertas del diseño del euro digital y las CBDCs (criptos respaldadas por bancos centrales), la redefinición de los planes de contingencia y de ciberseguridad deber ser una tarea prioritaria. Cerca de 8.000 millones de operaciones anuales con TPV (230.000 millones de euros) y unas 900 millones transacciones en cajeros (120.000 millones de euros) dependen de ello. Lo que no puede ser es que toda una economía se apague por minutos u horas desde un solo interruptor.
