API otwartej bankowości

Co to jest otwarte API bankowe i jak to działa?

Otwarte interfejsy API zmieniają bankowość. Inicjatywa Open Banking umożliwia klientom banków bezpieczne udostępnianie informacji o swoich rachunkach dostawcom zewnętrznym (TPP). Jest to realizowane poprzez interfejsy programowania aplikacji (API), które pozwalają programom TPP komunikować się z aplikacjami banków. Celem jest promowanie innowacji w bankowości cyfrowej oraz przyspieszenie rozwoju nowych aplikacji finansowych i ulepszonych usług dla przedsiębiorstw i konsumentów.

Open Banking został zainicjowany w 2018 roku przez brytyjski Urząd ds. Konkurencji i Rynków (CMA), który nakazał bankom otwarcie swoich aplikacji na TPP. W tym samym roku Unia Europejska zaktualizowała dyrektywę o usługach płatniczych (PSD2) w tym samym celu, wprowadzając jednocześnie nowe przepisy dotyczące bezpieczeństwa dostępu do rachunków płatniczych i transakcji finansowych.

Typowym zastosowaniem API Open Banking jest agregacja danych z różnych rachunków bankowych w jeden widok, dostarczany przez aplikację TPP. Istnieją dwa rodzaje TPP. Dostawcy usług inicjowania płatności (PISP) łączą się z kontem bankowym klienta i inicjują płatności w jego imieniu. Dostawcy usług w zakresie informacji o rachunku (AISP) łączą się z rachunkiem bankowym klienta w celu świadczenia usług finansowych, takich jak zarządzanie pieniędzmi.

Korzyści z otwartych bankowych interfejsów API

Ponieważ jednym z długoterminowych rezultatów Otwartej Bankowości będzie wzrost konkurencji, zasiedziałe banki niechętnie ją przyjęły. W przeszłości konkurowały one z firmami fintech w celu zapewnienia swoim klientom lepszych usług finansowych. Otwarta bankowość daje jednak bankom możliwość poznania nowych modeli biznesowych, w których współpracują one z rozwijającymi się fintechami i innymi bankami, zamiast próbować z nimi konkurować. Ostatecznie korzystają na tym klienci, ponieważ Open Banking daje im większą kontrolę nad ich danymi transakcyjnymi.

To sytuacja, w której zyskują zarówno klienci banków, jak i instytucje finansowe. Klient uzyskuje lepszy dostęp i kontrolę nad swoim kontem i finansami, a także może korzystać z nowych funkcji i usług. Instytucje finansowe mogą zaoferować swoim klientom ulepszone usługi i uczestniczyć w ekosystemie podziału przychodów. Zgodnie z artykułem Insider Intelligence zatytułowanym How open banking and bank APIs are boosting fintech growth, firma badawcza "przewiduje, że potencjał przychodów w Wielkiej Brytanii wygenerowany dzięki Open Banking-enabled small- and medium-sized businesses (SMBs) and retail customer propositions osiągnie 2 miliardy dolarów do 2024 roku."

Banki, a tym samym ich klienci, mogą być wielkimi zwycięzcami dzięki wykorzystaniu Open Banking APIs do otwarcia swoich aplikacji dla fintechów. Kilka korzyści to:

  • Szybsze innowacje: Fintech zazwyczaj może wprowadzać innowacje i opracowywać nowe aplikacje i funkcje szybciej niż dotychczasowe zespoły IT w bankach.
  • Zwiększone przychody: Fintechs są lepiej przygotowane do podejmowania i realizacji projektów związanych z budową technologii.
  • Szczegółowe informacje o kliencie: Fintech może połączyć się z danymi klientów banków, aby zapewnić im trendy i wzorce finansowe.
  • Spersonalizowane oferty: Wykorzystując trendy i wzorce finansowe klientów, fintech może zwiększyć zaangażowanie klientów poprzez oferowanie spersonalizowanych usług i rekomendacji.

Przykłady banków korzystających z otwartych API bankowych

W całej branży finansowej niektóre z najbardziej znanych i największych banków, instytucji finansowych, kredytodawców i startupów fintech już korzystają z API Open Banking, aby oferować ulepszone produkty i usługi finansowe. Oto kilka przykładów:

  • Telefonica Deutschland's O2 Banking: Telefonica Deutschland uruchomiła konto bankowe tylko dla urządzeń mobilnych, które oferuje transakcje za pośrednictwem numeru telefonu komórkowego, niewielkie kredyty chwilówki oraz lepsze plany taryfowe na transmisję danych w sieciach komórkowych, zbudowane na platformie niemieckiego banku Fidor.
  • Wave integruje informacje finansowe klientów: Oprogramowanie do fakturowania i księgowości Wave wykorzystuje bankowe interfejsy API do łączenia się z kontem bankowym użytkownika, dając klientom pełną kontrolę nad finansami firmy w jednym miejscu.

Inicjatywy w zakresie otwartej bankowości

Istnieją dwie podstawowe kategorie czynników napędzających inicjatywy Otwartego Banku na całym świecie: inicjatywy rynkowe i inicjatywy regulacyjne.

W środowiskach napędzanych przez rynek, takich jak Stany Zjednoczone i niektóre kraje azjatyckie, w tym Japonia, Singapur, Indie i Korea Południowa, regulatorzy pozostawiają inicjatywę we wdrażaniu interfejsów API otwartej bankowości samym graczom - bankom i TPP. Wiele dużych banków w USA podjęło własne inicjatywy i współpracuje z TPP. W USA, na przykład, Open Banking nadal w dużej mierze opiera się na skrobaniu ekranu, gdzie fintech zbiera informacje o kliencie z danych wyświetlanych na ekranie aplikacji bankowej, ale oczekuje się, że branża przejdzie na bardziej bezpieczne i niezawodne interfejsy API.

Open Banking APIs United States podcast
PODCAST

State of Open Banking in United States podcast

In this podcast, writer and lecturer Jason Pereira interviews Frederik Mennes to discuss the state of Open Banking in the United States.

Listen Now


W środowiskach opartych na regulacjach prawnych, takich jak Wielka Brytania i Europa, inicjatywy były napędzane przede wszystkim przez dyrektywę PSD2. Hongkong również przyjął podejście regulacyjne i pozwala instytucjom finansowym na wybór TPPS, z którymi współpracują.

Kolejną rzeczą wartą odnotowania jest podejście Open Banking w Australii. Może to być najbardziej ambitne i najbardziej innowacyjne podejście do Open Banking jak do tej pory. Australia wykracza poza Open Banking i proponuje gospodarkę opartą na otwartych danych, w ramach której obywatele Australii mogą nie tylko żądać od instytucji bankowości detalicznej udostępnienia danych dostawcom zewnętrznym, ale także innym firmom, takim jak na przykład dostawcy energii czy firmy telekomunikacyjne.

Zagrożenia bezpieczeństwa związane z otwartymi bankowymi interfejsami API

Otwarcie aplikacji bankowych dla TPP wiąże się z ryzykiem, któremu należy zaradzić. Zapobieganie oszustwom musi być najwyższym priorytetem dla wszystkich stron. Frederik Mennes, szef Centrum Kompetencyjnego ds. Bezpieczeństwa w OneSpan, dzieli te zagrożenia na trzy rodzaje.

  1. Po pierwsze, instytucje finansowe otwierają swoje systemy i udostępniają dane konsumentów partnerom TPP. Zatem obowiązkiem instytucji finansowych jest upewnienie się, że współpracują one wyłącznie z godnymi zaufania TPP. Nie mogą pozwolić, aby złośliwy lub nieuprawniony TPP miał dostęp do ich danych.
  2. Po drugie, użytkownicy aplikacji dostarczanych przez TPP muszą być odpowiednio uwierzytelnieni, aby zapobiec nieuprawnionemu dostępowi w momencie uzyskiwania dostępu do rachunku w banku. Może to wymagać dodatkowego uwierzytelnienia, takiego jak Strong Customer Authentication (SCA).
  3. Po trzecie, infrastruktura informatyczna banku zasadniczo zawiera obecnie infrastrukturę informatyczną TPP. Jeśli więc TPP doświadczy naruszenia danych lub zostanie w inny sposób narażony na szwank, może to mieć wpływ również na bank.

Jak chronić banki przed zagrożeniami bezpieczeństwa

Pierwsze z opisanych powyżej zagrożeń wiąże się z próbą uzyskania dostępu do rachunków banku przez nieuprawnione podmioty TPP. Aby zabezpieczyć się przed nieuprawnionym dostępem tego typu, banki mogą wymagać od TPP cyfrowego podpisu wszystkich żądań. TPP posiadałyby parę kluczy publicznych/prywatnych wraz z odpowiadającym im certyfikatem wydanym przez godny zaufania urząd certyfikacji. Umożliwi to podmiotom świadczącym usługi płatnicze uwierzytelnianie się podczas komunikacji za pośrednictwem otwartych interfejsów bankowych.

Aby przeciwdziałać ryzyku dostępu nieuprawnionych użytkowników do rachunków bankowych, banki muszą stosować silne uwierzytelnianie klienta i monitorowanie transakcji zgodnie z zaleceniami PSD2. PSD2, oprócz innych specyfikacji, wprowadza obowiązek uwierzytelniania transakcji, zgodnie z którym poziom uwierzytelnienia wymagany do przetworzenia wniosku zależy od poziomu ryzyka związanego z żądaną transakcją. Na przykład, po zalogowaniu się do bankowości internetowej, prośba klienta o sprawdzenie salda może zostać przetworzona bezproblemowo, ale prośba o przelanie środków może wymagać od użytkownika silniejszego uwierzytelnienia.

Dyrektywa PSD2 i związane z nią Regulacyjne Standardy Techniczne (RTS) nakazują monitorowanie nadużyć i stosowanie silnego uwierzytelniania klienta (SCA) w przypadku większości płatności internetowych, w tym tych dokonywanych za pośrednictwem interfejsów API bankowości otwartej. SCA musi być stosowany w odniesieniu do dostępu do informacji o rachunku płatniczym oraz do każdej inicjacji płatności, w tym transakcji za pośrednictwem Open Banking, chyba że zastosowanie ma wyłączenie na mocy RTS. Zwolnienia nie są obowiązkowe, ale banki mogą z nich korzystać, jeśli tak zdecydują.

W kontekście programów analizy nadużyć w Open Banking, rozwiązania takie jak OneSpan Risk Analytics wspierają monitorowanie zdarzeń pochodzących z TPP obsługującego jedną lub kilka usług Open Banking poprzez API Open Banking publikowane przez bank. OneSpan Risk Analytics udostępnia gotowe scenariusze reguł obejmujące wymagania PSD2 w zakresie monitorowania nadużyć, logikę biznesową oraz typowe scenariusze nadużyć. Zasady te wspierają kanały bankowości cyfrowej, w tym Open Banking.

Otwarte interfejsy API wymagane przez dyrektywę PSD2 przyczynią się do powstania nowych, innowacyjnych usług i aplikacji bankowych. Równocześnie jednak banki muszą uniemożliwić przestępcom dostęp do danych i transakcji klientów. Banki i TPP muszą być zatem świadome ryzyka i oferować wystarczającą ochronę. Dowiedz się więcej na blogu: Open Banking APIs under PSD2: How to Mitigate Risk.

Silne uwierzytelnianie klienta

Aby przejść przez SCA, klient musi pomyślnie uwierzytelnić się przy użyciu uwierzytelniania wieloczynnikowego (MFA). W kontekście płatności online w ramach PSD2 oznacza to, że klient musi podać dwa z trzech czynników uwierzytelnienia. Te trzy czynniki to:

  • Wiedza: coś, co użytkownik zna, np. swoje hasło, PIN itp.
  • Posiadanie: coś, co użytkownik posiada, np. telefon komórkowy, itp.
  • Inherencja: coś, czym jest użytkownik, np. jego odcisk palca, odcisk dłoni itp.

Istnieją trzy metody realizacji SCA:

  • Podejście przekierowania z aplikacją internetową banku
  • Podejście wbudowane bezpośrednio poprzez aplikację TPP
  • Podejście niezależne od aplikacji mobilnej banku dla urządzeń zaufanych

W podejściu przekierowanym użytkownicy są przekierowywani na stronę swojego banku w celu wprowadzenia danych uwierzytelniających. W podejściu wbudowanym proces uwierzytelniania jest w pełni zautomatyzowany, a użytkownicy dzielą się swoimi danymi uwierzytelniającymi z TPP, który uwierzytelnia i inicjuje płatność w tle. W przypadku podejścia rozłącznego drugi czynnik jest dostarczany za pośrednictwem odrębnego urządzenia niż urządzenie żądające transakcji.

W sprawie otwartych finansów

Open Banking jest wciąż dość nowym rozwiązaniem w sektorze bankowym. Jednak organizacje finansowe już teraz mówią o przejściu do kolejnego etapu - Open Finance. Inicjatywy Open Banking odnoszą się przede wszystkim do rachunków płatniczych.Teraz nadszedł czas, aby zastosować tę koncepcję do wszystkich kont, aby konsumenci mogli uzyskać całościowy obraz swoich finansów osobistych i danych finansowych. Nie ma powodu, dla którego nowe usługi, techniki i korzyści płynące z Open Banking nie mogłyby być zastosowane do innych rachunków finansowych, takich jak kredyty hipoteczne, inwestycje, emerytury i ubezpieczenia.

 


Tyrrell, Darcy, Yodlee, "Open Banking APIs Explained", czerwiec 2020, https://www.yodlee.com/open-banking/open-banking-api

Belmaker, Gidon, TearSheet, "7 przykładów pokazujących potęgę bankowych API", listopad 2016, https://tearsheet.co/artificial-intelligence/7-examples-showing-the-power-of-banking-apis/

Mennes, Frederik, OneSpan, "Security and Compliance in an Open Banking World, " https://www.onespan.com/resources/video-open-banking-security-considerations

Skontaktuj się z nami

Skontaktuj się z jednym z naszych ekspertów ds. bezpieczeństwa, aby dowiedzieć się więcej o tym, jak nasze rozwiązania mogą pomóc w Twoich potrzebach w zakresie bezpieczeństwa cyfrowego