En API (Application Programming Interface) er et sæt funktioner og procedurer, der gør det muligt for to programmer at tale sammen ved at sende forespørgsler og modtage svar.
API'er i Open Banking
API'er er relevante for finans- og likviditetsmedarbejdere på grund af Åben bankvirksomhed og PSD2 (betalingstjenestedirektiv 2).
Åben bankvirksomhed kræver, at bankerne stiller deres API'er til rådighed for enkeltpersoner og tredjeparter, så de kan få sikker adgang til personlige finansielle data. Og i henhold til PSD2 skal næsten alle banker i EU give adgang til kundedata via API'er.
Så det egentlige spørgsmål her er: Hvor sikre er API'er til transaktionen og delingen af dine finansielle data?
Indtil for nylig har bankerne typisk skabt finansielle siloer og tvunget kunderne til at være afhængige af deres tjenester for at få adgang til deres finansielle data på sikker vis. Men API'er og Open Banking er ved at ændre alt dette.
Med et omfattende API kan finansielle institutioner opnå en konkurrencefordel og give deres kunder kontrol over deres økonomi ved at levere sikre data i realtid.
Der er masser af eksempler på, hvordan virksomheder og forbrugere allerede bruger API'er til at gøre livet lettere:
Virksomheder
Med den digitale transformation øverst på dagsordenen for virksomheder verden over kan API'er bringe flere fordele til virksomheders kasserere. API'er åbner op for avancerede teknologier for mindre finansafdelingsteams, som tidligere kun var tilgængelige for større virksomheder, hvilket muliggør realtidsforretninger, hurtigere beslutningstagning og forbedrede kundeoplevelser.
API'er kan give virksomheder direkte bankforbindelser til bankerne fra ERP-systemer (enterprise resource planning) eller gennem live dataintegrationer med business intelligence-værktøjer.
Forbrugere
For forbrugerne giver API'er hastighed og enkelhed til at skabe bedre finansielle oplevelser.
Yolt er et perfekt eksempel på forbrugerbaseret Open Banking i praksis, da den bruger API'er til at centralisere forskellige konti for at hjælpe brugerne med at holde bedre øje med deres forbrugsvaner.
Hvilke risici er der?
Indførelsen af åbne API'er gør bankerne afhængige af sikkerheden hos de TPP'er (tredjepartsleverandører), der anvender disse API'er, hvilket giver anledning til et par spørgsmål - eller bekymringer - for banker og brugere af tjenester:
- Når flere forbrugere bruger tredjepartsværktøjer, reduceres antallet af transaktioner, der udføres via bankernes egne kanaler. Dette har en negativ indvirkning på den mængde data, som bankerne kan indsamle, og som de bruger til at skelne mellem legitime transaktioner og svigagtige transaktioner.
- Nye åbne bankværktøjer baner vejen for nye typer transaktioner, som kan gøre det endnu vanskeligere at bekæmpe betalingssvig.
- Der er potentiale for svindlere til at angribe data, når de overføres via API'er. Hvis det lykkes, kan uautoriserede kundedata bruges i en kontoovertagelse (ATO) eller en anden form for cyberangreb.
- Bankerne interagerer med TPP'er uden fuldt ud at forstå deres sikkerhedsforanstaltninger, hvilket udgør en ny risiko for, hvor dataene ender med at blive opbevaret. Som følge heraf kan bankerne blive udsat for hundredvis af nye trusler uden for deres normale kontrolområder.
- Hvis en TPP er kompromitteret, kan hackere sende anmodninger til bankerne, som ser ud til at være autoriserede. Og da svindelnumre bliver mere sofistikerede end nogensinde før, vil det ikke vare længe, før nogen finder en måde at forfalske kundernes samtykke på.
"API'er giver cyberkriminelle en anden måde at angribe på ... hvis jeg ikke kan angribe bankernes hoveddøre, kan jeg måske udgive mig for at være en lille udvikler og finde en alternativ sidedør, som stadig får mig igennem til banken på den ene eller den anden måde." Sumit Agarwal, Shape Security
Hvordan er API'er sikret?
På trods af disse bekymringer vil en veludformet API give en sikker forbindelse til tredjepartsapplikationer.
Det er vigtigt at huske, at det er bankerne selv, der opbygger og tester deres API-endpoints.
Bankerne kan derfor selv mindske risikoen for angreb ved at implementere en god arkitektur, der integrerer sikkerhedskrav og værktøjer i selve API'et. I sidste ende giver det bankerne mulighed for at være proaktive i stedet for reaktive, når det gælder sikring af API'er.
TPP'er er stærkt regulerede
Den første ting, du skal huske, er, at API'er er tilladelsesbaserede. Så uanset om du er forbruger eller virksomhed, behøver du ikke at dele dine data med en TPP, hvis du ikke ønsker det.
Dette er kernen i API'er i Open Banking. Reglerne siger, at bankerne skal tillade, at dine data deles med TPP'er, men KUN hvis du giver dem tilladelse til det. Det betyder, at TPP'er ikke bare kan få fri adgang til konti - de skal have dit samtykke, som du til enhver tid kan trække tilbage.
TPP'er er også underlagt databeskyttelseslove som GDPR og PSD2-reguleringens tekniske standarder, hvilket betyder, at de er ansvarlige for at beskytte alle personoplysninger, som de behandler.
Hvad er AISP'er og PISP'er?
Efter indførelsen af EU's betalingstjenestedirektiv (PSD2) er onlinetjenester, der bruger API'er til at få adgang til dine kontodata eller foretage betalinger på dine vegne, nu reguleret af Finanstilsynet.
For at en udbyder af finansielle tjenesteydelser kan få fuld tilladelse gennem PSD2 til at bruge Open Banking API'er, skal de være registreret som enten en AISP, en PISP eller begge dele.
En autoriseret kontooplysningstjenesteudbyder (AISP) kan anmode om tilladelse til at oprette forbindelse til en bankkonto og bruge disse kontooplysninger til at levere en tjeneste. AISP'er har tilladelse til "skrivebeskyttet" adgang til bankkontooplysninger, så de kan se, men ikke røre ved dem.
Almindelige eksempler på AISP'er omfatter prissammenligninger, kreditvurdering, apps til at spare penge som Yolt og regnskabspakker som Sage og QuickBooks til virksomheder.
Autoriserede betalingsinitieringstjenesteudbydere (PISP'er) kan bede om tilladelse til at oprette forbindelse til en bankkonto og iværksætte betalinger fra kundens bankkonto på deres vegne.
Selv om PSD2-reglerne gør det klart, at PISP'er "ikke må bruge, få adgang til eller lagre data til andre formål end til levering af betalingsinitieringstjenesten som udtrykkeligt anmodet af betaleren".
Almindelige eksempler på forbrugerbaserede PISP'er er bl.a. faciliteter til øjeblikkelig checkout, der ofte anvendes af detailbutikker og e-handelsbutikker, og som har til formål at forbedre kundeoplevelsen for almindelige shoppere.
Det er altid en god idé at tjekke, om den Register over finansielle tjenesteydelser at et selskab, der leverer kontooplysningstjenester eller betalingsinitieringstjenester, først er godkendt.
Du kan tjekke, om en virksomhed er godkendt i FCA-registret eller i Åben bankfortegnelse.
Autoriserede TPP'er vil kun kunne få adgang til de data, der er nødvendige for den tjeneste, du har tilmeldt dig. Så hvis du har bedt en registreret TPP om at se på din løbende konto hos en bank, vil den ikke have nogen indsigt i andre tjenester, du har hos den pågældende bank.
Og da alle TPP'er skal overholde databeskyttelseslovgivningen, bør udbyderen fortælle dig, hvilke data den vil bruge, hvor længe og hvad den vil gøre med dem, før du tilmelder dig.
Hvis du bruger en tredjepartsudbyder, der ikke er reguleret, får du ikke samme niveau af beskyttelse mod svindel. Det betyder, at hvis du taber penge ved hjælp af en ureguleret tjeneste, er der en chance for, at din bank ikke udbetaler pengene.
API'er vs. skærmskrabning
API'er er generelt langt mere sikre end alternative løsninger. Et eksempel herpå er screen scraping.
Apps, der anvender screen scraping, beder dig om at udlevere dine bankloginoplysninger og kræver din tilladelse til at indsamle eller "screen scrape" dine data.
De udgiver sig for at være dig som kunde, hvilket kan afsløre meget følsomme personlige data og gøre dig sårbar over for svindel. Brugen af screen-scraping vil fortsætte i en overgangsperiode indtil omkring september 2019, hvor det vil blive forbudt på grund af frygt for, at det ikke er lige så sikkert som API'er.
Så er API'er sikre nok til at overføre finansielle data?
Når man overvejer sikkerheden ved API'er, bør åbenhed ikke forveksles med dårlig sikkerhed. Ved at foretage lidt research og vælge de rigtige TPP'er kan virksomheder og forbrugere høste fordelene ved API'er til forenkling af den finansielle forvaltning.
Men mens nogle TPP'er fortsat er uregulerede, og teknikker som Screen Scraping stadig er tilgængelige for forbrugerne, er det tydeligt, at branchen stadig har et stykke vej igen for at sikre, at API-anvendelsen er så sikker som muligt.