Un'API (Application Programming Interface) è un insieme di funzioni e procedure che consente a due applicazioni di dialogare tra loro inviando richieste e ricevendo risposte.
Le API nell'Open Banking
Le API sono importanti per i professionisti della finanza e della tesoreria perché Open Banking e PSD2 (Direttiva sui servizi di pagamento 2).
Open Banking richiede che le banche rendano disponibili le loro API per consentire ai singoli e alle terze parti di accedere ai dati finanziari personali in modo sicuro. Secondo la PSD2, quasi tutte le banche dell'UE dovranno consentire l'accesso ai dati dei clienti tramite API.
Quindi la vera domanda è: quanto sono sicure le API per le transazioni e la condivisione dei dati finanziari?
Fino a poco tempo fa, le banche hanno tipicamente creato dei silos finanziari, costringendo i clienti ad affidarsi ai loro servizi per accedere ai propri dati finanziari in modo sicuro. Ma le API e l'Open Banking stanno cambiando tutto questo.
Grazie a una ricca API, le istituzioni finanziarie possono ottenere un vantaggio competitivo e mettere i clienti in condizione di controllare le loro finanze fornendo dati sicuri e in tempo reale.
Ci sono molti esempi di come le aziende e i consumatori stiano già adottando le API per semplificarsi la vita:
Aziende
Con la trasformazione digitale in cima all'agenda delle aziende di tutto il mondo, le API possono portare diversi vantaggi ai tesorieri aziendali. Le API aprono ai team di tesoreria più piccoli tecnologie avanzate che in precedenza erano disponibili solo per le aziende più grandi, consentendo di operare in tempo reale, di prendere decisioni più rapide e di migliorare l'esperienza dei clienti.
Le API possono fornire alle aziende connessioni bancarie dirette con le banche dai sistemi di pianificazione delle risorse aziendali (ERP) o attraverso integrazioni di dati in tempo reale con strumenti di business intelligence.
Consumatori
Per i consumatori, le API offrono velocità e semplicità per creare esperienze finanziarie migliori.
Yolt è un esempio perfetto di Open Banking basato sui consumatori, in quanto utilizza le API per centralizzare conti diversi e aiutare gli utenti a tenere sotto controllo le loro abitudini di spesa.
Quali sono i rischi?
L'introduzione di API aperte fa sì che le banche dipendano dalla sicurezza dei TPP (fornitori terzi) che le utilizzano, il che pone alcune domande - o preoccupazioni - alle banche e agli utenti dei servizi:
- Con l'aumento dei consumatori che utilizzano strumenti di terze parti, si riduce il numero di transazioni effettuate attraverso i canali di proprietà delle banche. Questo ha un impatto negativo sul volume di dati che le banche possono raccogliere e che utilizzano per distinguere le transazioni legittime da quelle fraudolente.
- I nuovi strumenti di open banking aprono la strada a nuove tipologie di transazioni, che potrebbe rendere ancora più difficile la lotta alle frodi nei pagamenti.
- È possibile che i truffatori prendano di mira i dati mentre vengono trasmessi dalle API. In caso di successo, i dati dei clienti non autorizzati potrebbero essere utilizzati in un account takeover (ATO) o in un'altra forma di attacco informatico.
- Le banche interagiscono con i TPP senza comprendere appieno le loro misure di sicurezza, il che comporta un nuovo rischio per quanto riguarda il luogo in cui i dati finiscono per essere conservati. Di conseguenza, le banche possono essere esposte a centinaia di nuove minacce al di fuori delle loro normali aree di controllo.
- Se un TPP viene compromesso, gli hacker possono inviare alle banche richieste che sembrano autorizzate. E con le truffe sempre più sofisticate, non passerà molto tempo prima che qualcuno trovi un modo per falsificare il consenso dei clienti.
"Le API offrono ai criminali informatici un altro modo per attaccare... se non posso attaccare le porte d'ingresso delle banche, forse posso fingermi un piccolo sviluppatore e trovare una porta laterale alternativa che mi permetta comunque di arrivare alla banca, in un modo o nell'altro". Sumit Agarwal, Shape Security
Come sono protette le API?
Nonostante queste preoccupazioni, un'API ben progettata fornirà una connessione sicura alle applicazioni di terze parti.
È importante ricordare che sono le banche stesse a costruire e testare i loro endpoint API.
Le banche possono quindi ridurre il rischio di attacchi implementando un'architettura solida che integri i requisiti e gli strumenti di sicurezza nell'API stessa. In definitiva, le banche possono essere proattive, anziché reattive, quando si tratta di proteggere le API.
I TPP sono altamente regolamentati
La prima cosa da ricordare è che le API sono basate sul permesso. Quindi, che siate consumatori o aziende, non siete obbligati a condividere i vostri dati con un TPP se non volete.
Questo aspetto è fondamentale per le API dell'Open Banking. Le regole dicono che le banche devono consentire la condivisione dei vostri dati con i TPP, ma SOLO se voi glielo consentite. Ciò significa che i TPP non possono accedere liberamente ai conti, ma devono ottenere il vostro consenso, che può essere ritirato in qualsiasi momento.
I TPP sono inoltre soggetti alle leggi sulla protezione dei dati come il GDPR, nonché agli standard tecnici normativi PSD2, il che significa che sono responsabili della protezione dei dati personali che trattano.
Cosa sono gli AISP e i PISP?
A seguito dell'introduzione della Direttiva UE sui servizi di pagamento (PSD2), i servizi online che utilizzano API per accedere ai dati del vostro conto o per effettuare pagamenti per vostro conto sono ora regolamentati dall'Autorità di vigilanza. Autorità di condotta finanziaria.
Affinché un fornitore di servizi finanziari sia pienamente autorizzato dall'applicazione della PSD2 a utilizzare le API dell'Open Banking, deve essere registrato come AISP, PISP o entrambi.
Un AISP (Account Information Service Provider) autorizzato può chiedere l'autorizzazione a connettersi a un conto bancario e a utilizzare le informazioni sul conto per fornire un servizio. Gli AISP sono autorizzati ad accedere in "sola lettura" alle informazioni del conto bancario, quindi possono guardare ma non toccare.
Esempi comuni di AISP sono il confronto dei prezzi, la verifica del credito, le applicazioni per il risparmio di denaro come Yolt e i pacchetti contabili come Sage e QuickBooks per le aziende.
I PISP (Payment Initiation Service Provider) autorizzati possono chiedere l'autorizzazione a connettersi a un conto bancario e avviare pagamenti dal conto bancario del cliente per suo conto.
Sebbene le regole della PSD2 chiariscano che i PISP "non utilizzeranno, accederanno o memorizzeranno alcun dato per scopi diversi dalla fornitura del servizio di avvio del pagamento come esplicitamente richiesto dal pagatore".
Esempi comuni di PISP basati sui consumatori sono le strutture di checkout istantaneo spesso utilizzate dai negozi di vendita al dettaglio e di commercio elettronico, che esistono per migliorare l'esperienza dei clienti abituali.
È sempre una buona idea controllare il Registro dei servizi finanziari che una società che fornisce Servizi di informazione sui conti o Servizi di avvio dei pagamenti sia autorizzata per prima.
È possibile verificare se un'azienda è autorizzata nel registro FCA o nel registro Elenco Open Banking.
I TPP autorizzati potranno accedere solo ai dati necessari per il servizio che avete sottoscritto. Quindi, se avete chiesto a un TPP registrato di esaminare il vostro conto corrente presso una banca, non avrà alcuna visibilità su altri servizi che avete con quella banca.
E poiché tutti i TPP devono rispettare le leggi sulla protezione dei dati, il fornitore deve informare l'utente su quali dati utilizzerà, per quanto tempo e cosa ne farà prima dell'iscrizione.
Se utilizzate un fornitore di terze parti non regolamentato, non avrete gli stessi livelli di protezione dalle frodi. In altre parole, se perdete denaro utilizzando un servizio non regolamentato, è possibile che la vostra banca non paghi.
API e Screen Scraping
Le API sono generalmente molto più sicure delle soluzioni alternative. Un esempio è lo screen scraping.
Le applicazioni che utilizzano lo screen scraping chiedono all'utente di fornire i dati di accesso alla banca e richiedono il suo permesso per raccogliere o "screen scrape" i suoi dati.
In sostanza, si spacciano per voi, i clienti, il che può esporre dati personali altamente sensibili e rendervi vulnerabili alle frodi. L'uso dello screen-scraping continuerà per un periodo di transizione fino a circa settembre 2019, quando sarà vietato per timore che non sia sicuro come le API.
Quindi, le API sono sufficientemente sicure per la transazione di dati finanziari?
Quando si considera la sicurezza delle API, l'apertura non deve essere confusa con una scarsa sicurezza. Facendo qualche ricerca e scegliendo i TPP giusti, le aziende e i consumatori possono trarre vantaggio dalle API per semplificare la gestione finanziaria.
Tuttavia, mentre alcuni TPP rimangono non regolamentati e tecniche come lo Screen Scraping sono ancora disponibili per i consumatori, è chiaro che il settore ha ancora un po' di strada da fare per garantire che l'uso delle API sia il più sicuro e protetto possibile.