Sigui quin sigui l'objectiu dels ciberatacs, una PIME, un banc o empreses de diners electrònics, aquests són pràcticament iguals per a totes elles: denegació de serveis (DDoS), atacs d'intrusió, propagació de programari maligne ... A la ciberseguretat, com en molts altres camps, el risc zero no existeix. I per aquesta raó el sector 'fintech' inverteix una part important dels seus recursos a aquest problema, evitant així negar el risc i acceptant que existeix vulnerabilitat.

Les 'fintechs' i les principals entitats financeres es prenen molt seriosament els riscos existents per causa de la ciberseguretat, igual que els seus executius són conscients del valor de les dades que tenen emmagatzemats en els seus sistemes. Tenint en compte que cada 'jugador' és un potencial objectiu dels ciberatacs, el focus no només ha d'estar en la protecció contra aquests atacs, si no en la seva detecció i en un pla de continuïtat de l'activitat.

No obstant això hi ha alguns elements diferencials entre empreses de diners electrònics i del sector dels pagaments, i les principals entitats financeres que podem identificar fàcilment:

- Les empreses de diners electrònics i del sector dels pagaments són encara estructures petites; però, tradicionalment, els atacs solen estar dirigits a empreses més grans, generant un important impacte d'imatge o frau.

- Aquestes empreses han construït els seus serveis amb noves tecnologies, menys propenses a les vulnerabilitats de seguretat (com els ciberatacs que utilitzen les debilitats del sistema operatiu de Microsoft); no han d'administrar i mantenir un llegat obsolet, una font de major vulnerabilitat.

- En general, confien en serveis 'outsourcing' externalitzats de grans dimensions, que durant anys han desenvolupat capacitats de protecció i resistència molt sòlides. Els models que treballen en el núvol també han demostrat durant anys la seva supremacia en el camp de servidors interns.

- D'altra banda, la menor experiència d'aquestes empreses joves i els seus limitats recursos humans pot sense cap dubte exposar-les a certs atacs; aquesta fragilitat es veu compensada per la seva gran agilitat i capacitat de reacció.

El 2018 és un any ric en termes de canvis per al sector dels pagaments. L'obertura dels sistemes informàtics i els pagaments instantanis comportarà un major nombre d'oportunitats i ajustos per a tots els 'jugadors' d'aquest ecosistema. Les APIs ('Application Programming Interface') no constitueixen una innovació en si mateixes per al sector 'fintech', que es troba en gran mesura construït sobre aquesta tecnologia: durant anys han demostrat el seu valor en aquest camp. A més estan recomanades per la Comissió Europea en un document anomenat RTS ('Regulatory Technical Standards'), publicat a finals de novembre de 2017, que confirma que les APIs són la tecnologia més recomanada per als intercanvis interbancaris.

I d'altra banda es troba la indústria SaaS ('Software as a Service', o instal·lació de programari en servidors remots accessibles a través de pàgines webs i no de dispositius físics), que està evolucionant a través de l'obertura anunciada de sistemes informàtics.

Els protocols i tècniques d'autenticació porten temps sent utilitzats pels bancs en les seves aplicacions internes; per exemple, una aplicació de banca mòbil es pot connectar amb els sistemes 'legacy', que són aquells que han quedat antiquats però segueixen sent utilitzats per l'usuari i no es poden actualitzar o reemplaçar fàcilment. A més les tècniques d'autenticació de tercers també existeixen i estan testades (per exemple, el protocol OAUTH2 et permet autoritzar a un lloc web o una aplicació perquè utilitzi l'API d'un altre lloc web o una altra aplicació).

En conseqüència, totes les parts interessades tenen les eines per connectar als bancs i els nous 'jugadors' de forma eficient i segura. Queda per veure si tots disposaran dels recursos i l'agilitat per aprofitar aquesta evolució del sector.

Mentre que l'economia viu al ritme d'Internet i de la immediatesa, sembla incongruent que a dia d'avui hàgim d'esperar 24/48 hores perquè un pagament es faci efectiu, mentre que la fase de pagament en si mateixa ('checkout'), tant si es porta a terme en una caixer físic oa través d'una web, només triga uns segons. Precisament, el debat al voltant del pagament instantani és el resultat del desig d'aconseguir que el sector es mogui al mateix ritme que la societat actual, la qual cosa constituiria una veritable evolució. Des de novembre de 2017, alguns dels involucrats en el sector financer, com és el cas de Caixabank, ja estan preparats per utilitzar aquest nou sistema de pagaments llançat pel EPC (Consell Europeu de Pagaments). A poc a poc, la resta d'entitats europees haurien de ser capaços d'operar així.

En matèria de seguretat, la instantaneïtat pot ser un repte per a alguns. De fet, la gestió dels pagaments "per lots" ofereix la comoditat de poder bloquejar les transaccions sospitoses abans de ser executades. Però és llavors quan entra en joc la qüestió de la durada d'aquests controls. No obstant això, les tecnologies actuals (en particular 'Machine Learning' i serveis en línia de gestió financera en temps real com els 'robatori-advisors'), permeten respondre eficaç i ràpidament a aquest problema. Aquest és també el principi de les APIs i el pagament instantani: fer possible la instantaneïtat tant en l'execució com en el control de pagaments.

Per tant, el tema de la seguretat ha de ser tractat com qualsevol altre desafiament dins d'una empresa. Cap indústria s'ha desenvolupat en detriment de la seguretat i aquesta mai ha impedit la innovació i el suport als canvis en la nostra societat. D'aquesta manera, una innovació que provoqui inseguretat mai serà usada i no afegirà valor a una empresa. Però és sens dubte la taxa d'ús i el nivell de benefici el que atorga èxit a una innovació.