Open bankieren API's

Wat is een open banking API en hoe werkt het?

Open Banking API's veranderen het bankwezen. Het Open Banking-initiatief stelt bankklanten in staat hun rekeninginformatie veilig te delen met Third Party Providers (TPP's). Dit wordt bereikt door middel van Application Programming Interfaces (API's) waarmee TPP-programma's kunnen communiceren met de applicaties van de banken. Doel is innovatie in digitaal bankieren te bevorderen en de ontwikkeling van nieuwe financiële toepassingen en verbeterde diensten voor bedrijven en consumenten te versnellen.

Open Banking werd in 2018 geïnitieerd door de Britse mededingings- en marktautoriteit (CMA), die banken opdroeg hun toepassingen open te stellen voor TPP's. In datzelfde jaar had de actualisering van de richtlijn betalingsdiensten (PSD2) van de Europese Unie dezelfde doelstelling, terwijl ook nieuwe veiligheidsvoorschriften voor de toegang tot betaalrekeningen en financiële transacties werden opgelegd.

Een typische toepassing van een Open Banking API is het samenvoegen van gegevens van verschillende bankrekeningen tot één beeld, dat door een TPP-toepassing wordt verstrekt. Er zijn twee soorten TPP's. Payment Initiation Service Providers (PISP's) maken verbinding met de bankrekening van een klant en initiëren betalingen namens de klant. Aanbieders van rekeninginformatiediensten (AISP's) maken verbinding met de bankrekening van een klant om een financiële dienst te verlenen, zoals geldbeheer.

Voordelen van open banking API's

Aangezien een van de langetermijnresultaten van Open Banking meer concurrentie zal zijn, staan de gevestigde banken er weigerachtig tegenover. Historisch gezien zijn zij in concurrentie met fintechbedrijven om hun klanten betere financiële diensten aan te bieden. Maar Open Banking biedt banken de kans om nieuwe bedrijfsmodellen te verkennen waarbij ze samenwerken en partnerschappen aangaan met opkomende fintechs en andere banken in plaats van te proberen met hen te concurreren. En klanten profiteren er uiteindelijk van aangezien zij dankzij Open Banking meer controle krijgen over hun transactiegegevens.

Het is een win-winsituatie voor zowel de bancaire klantervaring als voor de financiële instellingen. De klant krijgt betere toegang tot en controle over zijn rekeningen en financiën, en kan profiteren van nieuwe functies en diensten. Financiële instellingen kunnen hun klanten verbeterde diensten aanbieden en deelnemen aan een ecosysteem voor het delen van inkomsten. Volgens een artikel van Insider Intelligence, getiteld How open banking and bank APIs are boosting fintech growth, "projecteert het onderzoeksbureau het inkomstenpotentieel in het Verenigd Koninkrijk dat wordt gegenereerd via Open Banking-enabled small- and medium-sized businesses (SMBs) and retail customer propositions to reach $2 billion by 2024."

Banken, en dus hun klanten, kunnen de grote winnaars zijn door Open Banking APIs te gebruiken om hun applicaties open te stellen voor fintechs. Een paar voordelen zijn:

  • Snellere innovatie: Fintechs kunnen doorgaans sneller innoveren en nieuwe toepassingen en functionaliteit ontwikkelen dan de gevestigde IT-teams van banken.
  • Hogere inkomsten: Fintechs zijn beter gepositioneerd om technologieprojecten aan te nemen en op te leveren.
  • Gedetailleerde klantinzichten: Fintechs kunnen verbinding maken met de klantgegevens van banken om financiële trends en patronen van klanten aan te bieden.
  • Gepersonaliseerde aanbiedingen: Door gebruik te maken van financiële trends en patronen van klanten kunnen fintechs de klantbetrokkenheid verbeteren door gepersonaliseerde diensten en aanbevelingen aan te bieden.

Voorbeelden van banken die open banking API's gebruiken

In de hele financiële sector maken enkele van de bekendste en grootste banken, financiële instellingen, kredietverstrekkers en fintech-startups al gebruik van Open Banking API's om verbeterde financiële producten en diensten aan te bieden. Hier zijn een paar voorbeelden:

  • O2 Banking van Telefonica Deutschland: Telefonica Deutschland lanceerde een uitsluitend op mobiele telefoons gebaseerde bankrekening die transacties via het mobiele telefoonnummer, kleine onmiddellijke leningen en betere mobiele data-abonnementen aanbiedt, gebouwd op het platform van de Duitse bank Fidor.
  • Wave integratie van financiële informatie van klanten: Factuur- en boekhoudsoftware Wave maakt gebruik van bank API's om verbinding te maken met de bankrekening van een gebruiker, waardoor haar klanten volledige controle over hun bedrijfsfinanciën op één plek hebben.

Initiatieven op het gebied van open bankieren

Er zijn twee hoofdcategorieën van drijvende krachten achter Open Bank-initiatieven in de wereld: marktgestuurde initiatieven en regelgevende initiatieven.

In marktgestuurde omgevingen, zoals in de Verenigde Staten en sommige Aziatische landen, waaronder Japan, Singapore, India en Zuid-Korea, laten de regelgevers het aan de spelers - banken en TPP's - over om het initiatief te nemen bij de invoering van Open Banking API's. Veel grote banken in de VS hebben hun eigen initiatieven opgestart en werken samen met TPP's. In de VS is Open Banking bijvoorbeeld nog grotendeels gebaseerd op screen scraping, waarbij fintechs klantinformatie verzamelen uit gegevens die worden weergegeven op het scherm van de bankapp, maar de verwachting is dat de sector zal overstappen op veiligere en betrouwbaardere API's.

Open Banking APIs United States podcast
PODCAST

State of Open Banking in United States podcast

In this podcast, writer and lecturer Jason Pereira interviews Frederik Mennes to discuss the state of Open Banking in the United States.

Listen Now


In regelgevingsgestuurde omgevingen, zoals in het VK en Europa, zijn de initiatieven in de eerste plaats door PSD2 aangestuurd. Hongkong heeft ook voor de regelgevende benadering gekozen en staat financiële instellingen toe te kiezen met welke TPPS zij samenwerken.

Een andere vermeldenswaardige zaak is de Open Banking-aanpak in Australië. Dit is misschien wel de meest ambitieuze en innovatieve aanpak van Open Banking tot nu toe. Australië gaat in feite verder dan Open Banking en stelt een Open Data-economie voor, waarbij Australische burgers niet alleen retailbankinginstellingen kunnen verzoeken het delen van gegevens met derde partijen mogelijk te maken, maar ook andere bedrijven zoals energieleveranciers of telecommunicatiebedrijven.

Beveiligingsrisico's met open banking API's

Het openstellen van banktoepassingen voor TPP's brengt wel risico's met zich mee die moeten worden aangepakt. Fraudepreventie moet voor alle partijen een topprioriteit zijn. Frederik Mennes, hoofd van het Security Competence Center van OneSpan, verdeelt deze risico's in drie soorten.

  1. Ten eerste stellen financiële instellingen hun systemen open en delen zij consumentengegevens met TPP's. Het is dus de taak van de financiële instelling ervoor te zorgen dat zij alleen met betrouwbare TPP's werkt. Zij mogen niet toestaan dat een kwaadwillende of niet-gemachtigde TPP toegang heeft tot hun gegevens.
  2. Ten tweede moeten de gebruikers van de door de TPP's aangeboden toepassingen naar behoren worden geauthenticeerd om ongeoorloofde toegang te voorkomen wanneer zij een rekening bij de bank openen. Dit kan extra authenticatie vereisen, zoals sterke klantenauthenticatie (SCA).
  3. Ten derde bevat de IT-infrastructuur van de bank nu in wezen de IT-infrastructuur van het TPP. Dus als de TPP wordt getroffen door een datalek of anderszins in opspraak komt, kan dat ook gevolgen hebben voor de bank.

Hoe kunnen banken tegen veiligheidsrisico's worden beschermd?

Het eerste hierboven beschreven risico houdt in dat niet-gemachtigde TPP's toegang proberen te krijgen tot de rekeningen van de bank. Om zich tegen dit soort ongeoorloofde toegang te beschermen, kunnen banken eisen dat de TPP alle verzoeken digitaal ondertekent. TPP's zouden beschikken over een openbaar/particulier sleutelpaar met een overeenkomstig certificaat dat door een betrouwbare certificeringsautoriteit is afgegeven. Dit zal de TPP's in staat stellen zich te authenticeren wanneer zij via open bancaire interfaces communiceren.

Om de risico's van toegang van onbevoegde gebruikers tot de rekeningen van de bank aan te pakken, moeten banken gebruikmaken van sterke klantenauthenticatie en transactiemonitoring zoals voorgeschreven door PSD2. Naast andere specificaties schrijft PSD2 transactieauthenticatie voor, waarbij het niveau van authenticatie dat vereist is om een verzoek te verwerken, afhangt van het risiconiveau van de gevraagde transactie. Na het inloggen bij online bankieren kan een verzoek van een klant om zijn saldo te controleren bijvoorbeeld naadloos worden verwerkt, maar een verzoek om geld over te maken kan de gebruiker om sterkere authenticatie vragen.

PSD2 en de bijbehorende technische reguleringsnormen (RTS) schrijven voor dat fraude moet worden gemonitord en dat sterke klantenauthenticatie (SCA) moet worden toegepast voor het merendeel van de onlinebetalingen, met inbegrip van die welke via Open Banking-API's plaatsvinden. SCA moet worden toegepast op de toegang tot informatie over betaalrekeningen en op elke betalingsinitiatie, met inbegrip van transacties via open banking , tenzij een vrijstelling geldt op grond van de RTS. Vrijstellingen zijn niet verplicht, maar banken kunnen er gebruik van maken als zij daartoe besluiten.

In de context van fraudeanalyseprogramma's in het kader van Open Banking ondersteunen oplossingen zoals OneSpan Risk Analytics de monitoring van gebeurtenissen die afkomstig zijn van een TPP die een of meer Open Banking-diensten aanbiedt via door de bank gepubliceerde Open Banking API's. OneSpan Risk Analytics biedt kant-en-klare regelscenario's voor PSD2 fraude monitoring vereisten, business logica en typische fraudescenario's. Deze regels ondersteunen digitale bankkanalen, waaronder Open Banking.

De door PSD2 vereiste open API's zullen leiden tot nieuwe, innovatieve bankdiensten en -apps. Tegelijkertijd moeten banken echter voorkomen dat criminelen toegang krijgen tot klantgegevens en transacties. Banken en TPP's moeten zich derhalve bewust zijn van de risico's en voldoende bescherming bieden. Lees meer in deze blog: Open Banking API's onder PSD2: Hoe risico's te beperken.

Sterke klantauthenticatie

Om door SCA te komen, moet de klant zich met succes authentiseren met multifactorauthenticatie (MFA). In de context van onlinebetalingen onder PSD2 betekent dit dat de klant twee van de drie authenticatiefactoren moet verstrekken. De drie factoren zijn:

  • Kennis: iets dat de gebruiker weet, bv. zijn wachtwoord, PIN-code, enz.
  • Bezit: iets dat de gebruiker heeft, bv. zijn mobiele telefoon, enz.
  • Inherence: iets wat de gebruiker is, b.v. zijn vingerafdruk, handpalmafdruk, enz.

Er zijn drie methoden om SCA tot stand te brengen:

  • Een redirect-aanpak met de webapplicatie van de bank
  • Een geïntegreerde aanpak rechtstreeks via de TPP-toepassing
  • Een losgekoppelde aanpak met de mobiele vertrouwde apparaattoepassing van de bank

In de doorgestuurde aanpak worden gebruikers doorgestuurd naar de website van hun bank om de authenticatiegegevens in te voeren. Bij de ingebedde aanpak is het authenticatieproces volledig geautomatiseerd: gebruikers delen hun inloggegevens met een TPP die op de achtergrond de authenticatie uitvoert en de betaling initieert. Bij de ontkoppelde aanpak wordt de tweede factor verstrekt via een apparaat dat gescheiden is van het apparaat dat de transactie aanvraagt.

Op naar open financiën

Open bankieren is nog vrij nieuw voor de banksector. Maar financiële organisaties hebben het er al over om de volgende stap te zetten - Open Finance. Open Banking-initiatieven zijn in de eerste plaats van toepassing op betaalrekeningen.Nu is het tijd om het concept toe te passen op alle rekeningen, zodat consumenten een holistisch beeld krijgen van hun persoonlijke financiën en financiële gegevens. Er is geen reden waarom de nieuwe diensten, technieken en voordelen van Open Banking niet zouden kunnen worden toegepast op andere financiële rekeningen zoals hypotheken, beleggingen, pensioenen en verzekeringen.

 


Tyrrell, Darcy, Yodlee, "Open Banking API's toegelicht", juni 2020, https://www.yodlee.com/open-banking/open-banking-api

Belmaker, Gidon, TearSheet, "7 voorbeelden die de kracht van bancaire API's laten zien," november 2016, https://tearsheet.co/artificial-intelligence/7-examples-showing-the-power-of-banking-apis/

Mennes, Frederik, OneSpan, "Security and Compliance in an Open Banking World ", https://www.onespan.com/resources/video-open-banking-security-considerations

Neem contact met ons op

Neem contact op met een van onze beveiligingsexperts voor meer informatie over hoe onze oplossingen u kunnen helpen met uw digitale beveiligingsbehoeften