Ett API (Application Programming Interface) är en uppsättning funktioner och procedurer som gör det möjligt för två program att prata med varandra genom att skicka förfrågningar och ta emot svar.
API:er i Open Banking
API:er är relevanta för finans- och finansförvaltare på grund av följande Öppna banklösningar och PSD2 (Direktiv 2 om betaltjänster).
Öppna banklösningar kräver att bankerna ska göra sina API:er tillgängliga för att enskilda personer och tredje parter ska kunna få tillgång till personliga finansiella uppgifter på ett säkert sätt. Enligt PSD2 måste nästan alla banker i EU möjliggöra tillgång till kunddata via API:er.
Så den verkliga frågan här är: hur säkra är API:er för att hantera och dela dina finansiella data?
Fram till nyligen har bankerna skapat finansiella silos och tvingat kunderna att förlita sig på deras tjänster för att få tillgång till sina finansiella data på ett säkert sätt. Men API:er och Open Banking håller på att förändra allt detta.
Genom ett omfattande API kan finansinstitut få en konkurrensfördel och ge sina kunder kontroll över sin ekonomi genom att tillhandahålla säkra data i realtid.
Det finns många exempel på hur företag och konsumenter redan använder API:er för att göra livet enklare:
Företag
Med den digitala omvandlingen högst upp på agendan för företag runt om i världen kan API:er bidra till att flera fördelar till företagens kassörer. API:er öppnar upp avancerad teknik för mindre finansteam som tidigare bara var tillgänglig för större företag, vilket möjliggör affärer i realtid, snabbare beslutsfattande och förbättrade kundupplevelser.
API:er kan ge företag direkta bankkopplingar till bankerna från ERP-system (Enterprise Resource Planning) eller genom integrering av data med business intelligence-verktyg.
Konsumenter
För konsumenterna ger API:erna snabbhet och enkelhet för att skapa bättre finansiella upplevelser.
Yolt är ett perfekt exempel på konsumentbaserad Open Banking i praktiken, eftersom den använder API:er för att centralisera olika konton och hjälpa användarna att hålla ett bättre öga på sina konsumtionsvanor.
Vilka är riskerna?
Införandet av öppna API:er gör bankerna beroende av säkerheten hos de TPP:er (tredjepartsleverantörer) som använder dessa API:er, vilket ger upphov till några frågor - eller bekymmer - för banker och tjänsteanvändare:
- När fler konsumenter använder tredje parts verktyg minskar antalet transaktioner som utförs via bankägda kanaler. Detta har en negativ inverkan på den datamängd som bankerna kan samla in och som de använder för att skilja mellan legitima transaktioner och bedrägliga transaktioner.
- Nya öppna bankverktyg banar väg för nya typer av transaktioner, som kan göra det ännu svårare att bekämpa betalningsbedrägerier.
- Det finns en potential för bedragare att rikta in sig på data när de överförs via API:er. Om de lyckas kan obehöriga kunduppgifter användas i ett kontoövertagande (ATO) eller en annan form av cyberattack.
- Bankerna interagerar med TPP:er utan att helt förstå deras säkerhetsåtgärder, vilket innebär en ny risk för var uppgifterna kommer att hamna. Som ett resultat av detta kan bankerna utsättas för hundratals nya hot utanför sina normala kontrollområden.
- Om en TPP äventyras kan hackare skicka förfrågningar till bankerna som ser ut att vara auktoriserade. Eftersom bedrägerierna blir mer sofistikerade än någonsin kommer det inte att dröja länge innan någon hittar ett sätt att förvränga kundernas samtycke.
"API:er erbjuder ett annat sätt för cyberbrottslingar att attackera... om jag inte kan attackera bankernas ytterdörrar kan jag kanske uppträda som en liten utvecklare och hitta en alternativ sidodörr som ändå tar mig till banken, på ett eller annat sätt." Sumit Agarwal, Shape Security
Hur säkras API:er?
Trots dessa farhågor ger ett väl utformat API en säker anslutning till tredjepartsapplikationer.
Det är viktigt att komma ihåg att det är bankerna själva som bygger och testar sina API-slutpunkter.
Bankerna kan alltså minska risken för attacker själva genom att införa en sund arkitektur som integrerar säkerhetskrav och verktyg i själva API:et. I slutändan kan bankerna vara proaktiva snarare än reaktiva när det gäller att säkra API:er.
TPP är starkt reglerade
Det första du måste komma ihåg är att API:er är behörighetsbaserade. Så oavsett om du är konsument eller företag behöver du inte dela dina uppgifter med en TPP om du inte vill det.
Detta är centralt för API:er i Open Banking. Enligt reglerna måste bankerna tillåta att dina uppgifter delas med TPP:er, men ENDAST om du tillåter dem att göra det. Det innebär att TPP:er inte bara kan få fri tillgång till konton - de måste få ditt samtycke, som kan återkallas när som helst.
TPP:er omfattas också av dataskyddslagar som GDPR och tekniska standarder enligt PSD2, vilket innebär att de är ansvariga för att skydda alla personuppgifter som de behandlar.
Vad är AISP och PISP?
Efter införandet av EU:s betaltjänstdirektiv (PSD2) regleras onlinetjänster som använder API:er för att få tillgång till dina kontouppgifter eller göra betalningar för din räkning nu av Financial Conduct Authority.
För att en tillhandahållare av finansiella tjänster ska få full auktorisation genom PSD2 för att använda Open Banking API:er måste de vara registrerade som antingen AISP, PISP eller båda.
En auktoriserad leverantör av kontoinformationstjänster (Account Information Service Provider, AISP) kan be om tillstånd att ansluta till ett bankkonto och använda kontoinformationen för att tillhandahålla en tjänst. AISP:s har tillstånd att endast läsa bankuppgifter, dvs. de får titta men inte röra dem.
Vanliga exempel på AISP är prisjämförelser, kreditkontroller, appar för att spara pengar som Yolt och bokföringspaket som Sage och QuickBooks för företag.
Auktoriserade leverantörer av betalningsinitieringstjänster (PISP) kan be om tillstånd att ansluta till ett bankkonto och initiera betalningar från kundens bankkonto för kundens räkning.
I PSD2-reglerna klargörs dock att PISP:er "inte får använda, få tillgång till eller lagra uppgifter för andra ändamål än för att tillhandahålla den betalningsinitieringstjänst som betalaren uttryckligen har begärt".
Vanliga exempel på konsumentbaserade PISP:er är snabbkassor som ofta används av detaljhandels- och e-handelsbutiker för att förbättra kundupplevelsen för vanliga shoppare.
Det är alltid en bra idé att kontrollera Registret för finansiella tjänster att ett företag som tillhandahåller Kontoinformationstjänster eller Betalningsinitieringstjänster först auktoriseras.
Du kan kontrollera om ett företag är auktoriserat i FCA-registret eller i Katalog över öppna banklösningar.
Auktoriserade TPP:er kommer endast att kunna få tillgång till de uppgifter som krävs för den tjänst som du har anmält dig till. Så om du har bett en registrerad TPP att titta på ditt bankkonto hos en bank kommer den inte att ha någon insyn i andra tjänster som du har hos den banken.
Eftersom alla TPP:er måste följa dataskyddslagstiftningen bör leverantören berätta vilka uppgifter de kommer att använda, hur länge och vad de kommer att göra med dem innan du registrerar dig.
Om du använder en tredjepartsleverantör som inte är reglerad får du inte samma skydd mot bedrägerier. Om du förlorar pengar genom att använda en oreglerad tjänst finns det en chans att din bank inte betalar ut pengarna.
API:er och skärmklippning
API:er är i allmänhet mycket säkrare än alternativa lösningar. Ett sådant exempel är skärmskrapning.
Appar som använder screen scraping ber dig lämna ut dina bankinloggningsuppgifter och kräver ditt tillstånd för att samla in eller "screen scrapa" dina uppgifter.
I princip utger de sig för att vara du som kund, vilket kan avslöja mycket känsliga personuppgifter och göra dig sårbar för bedrägerier. Användningen av screen-scraping kommer att fortsätta under en övergångsperiod fram till omkring september 2019, då den kommer att förbjudas på grund av farhågor om att den inte är lika säker som API:er.
Är API:er tillräckligt säkra för att hantera finansiella data?
När det gäller säkerheten för API:er ska öppenhet inte förväxlas med dålig säkerhet. Genom att göra lite forskning och välja rätt TPP:er kan företag och konsumenter dra nytta av API:er för att förenkla den ekonomiska förvaltningen.
Men även om vissa TPP:er förblir oreglerade och tekniker som Screen Scraping fortfarande är tillgängliga för konsumenter, är det tydligt att branschen fortfarande har en bit kvar att gå för att se till att API-användningen är så säker som möjligt.