Guía forense
Section 1033 del CFPB: calendario de cumplimiento del open banking en EE. UU.
Equipo de Turing Verify · Actualizado mayo 2026
La Section 1033 de la ley Dodd-Frank reconoce al consumidor el derecho de acceder a sus datos financieros y de autorizar a terceros a acceder en su nombre. El CFPB finalizó la regla de implementación (Personal Financial Data Rights) en octubre de 2024: las instituciones cubiertas deben exponer los datos autorizados por el consumidor a través de APIs que cumplan un estándar cualificado, con un despliegue escalonado por tamaño de activos que llega hasta 2030. Es el open banking de EE. UU., convertido en obligación operativa.
El calendario escalonado
- Abril de 2026: instituciones de depósito con 250.000 millones de USD o más en activos, y las no depositarias cubiertas por la regla.
- Abril de 2027: de 10.000 a 250.000 millones de USD.
- Abril de 2028: de 3.000 a 10.000 millones de USD.
- Abril de 2029: de 1.500 a 3.000 millones de USD.
- Abril de 2030: de 850 a 1.500 millones de USD.
- Por debajo de 850 millones de USD: actualmente exentas de los requisitos de API.
Las fechas reflejan la regla final de octubre de 2024. Litigios, nuevas reglamentaciones o acción del Congreso podrían ajustarlas; verifique el estado vigente en consumerfinance.gov.
Los seis tipos de datos
- Transacciones: 24 meses de historial por cada cuenta cubierta.
- Saldo: saldo actual y disponible.
- Términos y condiciones: contratos, tarifas y tipos.
- Pagos próximos: pagos programados y obligaciones recurrentes.
- Verificación de cuenta: número de cuenta y de ruta.
- Verificación básica para iniciar pagos: la información necesaria para originar un pago desde la cuenta.
La regla prohíbe cobrar al consumidor o al tercero autorizado por el acceso, y exige formato legible por máquina conforme a un estándar cualificado. FDX 6.0 y versiones posteriores son la elección dominante; la regla admite alternativas que cumplan los criterios.
Qué cambia para los agregadores (Plaid, Yodlee, Akoya, MX)
Durante años los agregadores conectaron aplicaciones con cuentas bancarias mediante acuerdos bilaterales o, en su ausencia, mediante screen scraping con credenciales guardadas. La Section 1033 convierte ese acceso en un marco regulado: los agregadores pasan a ser terceros autorizados con obligaciones explícitas de consentimiento informado (datos, fines y duración nombrados), límites de uso (publicidad dirigida, venta cruzada o cesión a terceros requieren consentimiento adicional), revocación en cualquier momento y resolución de disputas. Hacia 2030, la mayor parte del flujo de datos autorizados en EE. UU. será vía API y la era del scraping con credenciales quedará residual.
Qué deberían hacer las fintech en 2026
- Auditar dependencias de acceso a datos: qué bancos caen en el tramo de abril de 2026, cuáles en 2027 y siguientes.
- Alinear los flujos de consentimiento con el nivel de explicitud de la regla, con revocación operativa real.
- Implementar FDX 6.0 o posterior como especificación de integración.
- Documentar los límites de uso de datos y prepararse para exámenes del CFPB (los grandes agregadores quedan bajo supervisión directa).
El onboarding sigue necesitando verificación documental
La Section 1033 regula el flujo de datos, no la autenticidad de los documentos. En el alta de clientes de una fintech autorizada, los documentos de identidad siguen necesitando verificación forense. Pruebe una verificación gratis.
Preguntas frecuentes
¿Es la Section 1033 lo mismo que PSD2?
Conceptualmente similar, operativamente distinta. Ambas establecen open banking con permiso del consumidor: PSD2 impone el acceso por API en la UE mediante estándares técnicos regulatorios; la Section 1033 impone el equivalente en EE. UU. con FDX como estándar de facto. El alcance de datos y los detalles de protección difieren.
¿Sobrevivirá la regla a los litigios?
Desde octubre de 2024 se han presentado varias impugnaciones, algunas aún pendientes. El mecanismo de financiación del CFPB superó la revisión del Tribunal Supremo en CFPB v. CFSA (2024); las impugnaciones a la regla 1033 atacan disposiciones concretas, no su constitucionalidad. El desenlace más probable es un ajuste parcial, no una invalidación total.
¿Qué instituciones quedan fuera?
Las instituciones de depósito por debajo de 850 millones de USD en activos están hoy exentas de los requisitos de API. La trayectoria regulatoria apunta a extender los datos cubiertos a más contextos financieros (BNPL, nóminas, seguros) mediante reglamentación posterior.