Nordea om API til åbne bankdata: Det nedbryder vores siloer

Illustration: Bloomicon/Bigstock
Med API til open banking kan vi undgå forfærdeligt komplekse afhængigheder i it-systemer, fortæller Nordea-chef.

I weekenden indtraf det længe ventede og meget omtalte EU-direktiv PSD2, der blandt andet kræver, at banker stiller bankdata til rådighed for tredjeparter gennem et API.

Nordea gik i december live med bankens nye platform for Open Banking – et projekt, der langtfra kun er sat i verden for at opfylde kravene i PSD2, fortæller Gunnar Bergen, chef for Open Banking i storbanken.

Læs også: Banker tvinges til at lukke it-startups ind i baglokalet

»Vi bryder siloerne ned med Open API. Og det kommer helt bestemt til at være en fordel for Nordea internt,« indleder han.

»De fintechs, som API'et skal betjene, kan meget vel være afdelinger inde i Nordea selv. Eller en kombination af en Nordea-afdeling og en tredjepart, som nok er det, vi kommer til at se mest.«

Fjerner komplekse afhængigheder

Flere brancheeksperter har over for Version2 tidligere vurderet, at udviklingen af API’er vil være en udfordring for banker, der ofte har en infrastruktur bestående af et sammensurium af legacy-systemer.

Men det er netop den problemstilling, som API’et kommer til at afhjælpe, mener Gunnar Bergen.

»Det er sandt, at mange banker har gamle legacy-systemet og sommetider en meget kompleks kerne. Det har vi for eksempel,« siger han.

»Jeg har bygget systemer i banken i mange år. Og der har altid været en udfordring, at der er mange komplekse afhængigheder hele vejen fra inputsiden til databasen. Den form for indbyrdes afhængighed er ret forfærdelig, når du skal lave ændringer, for det bliver enormt komplekst.«

Læs også: Din bank ved mere om dig end nogensinde før (og vil gerne vide meget mere)

Nordea er derfor også i gang med et program, der skal simplificere kernen. Men da det projekt først er færdigt om flere år, er Open Banking implementeret på den gamle kerne.

»API'et gør basalt set det, at du kan skabe uafhængighed mellem to systemer på hver deres side af API'et,« siger Gunnar Bergen og fortsætter:

»Med API'et kan vi separere brugerfladerne fra backend-banksystemer. Dem, der udvikler brugervendte applikationer med API'et, behøver ikke vide noget som helst om, hvordan bank-kernen fungerer.«

Samtykke

Før tredjeparter som fx fintechs kan få adgang til kunders bankdata, skal de i sagens natur have kundens samtykke. Den proces starter generelt ved, at brugeren tager kontakt til tredjeparten, som skal have licens til at agere under PSD2-direktivet.

»Så kontakter tredjeparten os, og vi validerer, at de har lov til at yde den specifikke tjeneste. Så går slutbrugeren online og validerer sig selv med en stærk authenticator – fx NemID – og giver sit samtykke til tredjepartsapplikationen,« siger Gunnar Berger.

Rammeværket for processen hedder OAuth2 og er visualiseret nedenfor.

Illustration: Screenshot/Nordea

Her vil Client være tredjepartsapplikationen, mens Ressource Owner er brugeren, der skal give sit samtykke. Authorization Server er Nordeas system til webbank-login, og Ressource Server er Open Banking API’et.

Efter autentificeringen er foretaget, kan tredjeparten – afhængig af tilladelsen – hente data om brugere, sætte gang i betalinger med videre. Præcis hvordan tredjepartsapplikationen kommunikerer med API'et vil afhænge af konteksten og formålet.

»Reguleringen kræver, at hvis du vil lave en betaling, så skal slutbrugeren autentificere den betaling hver gang. Hvis du derimod vil hente data, kan du nøjes med at autentificere én gang for en periode,« forklarer Gunnar Berger.

Vil tiltrække udviklere

I sommeren 2016 gik Nordea i dialog med de – ifølge Gartner – førende leverandører af API Management Platform. I sidste ende fandt banken, at applikationerne var meget sammenlignelige, og endte med at vælge IBM, som banken i forvejen havde som leverandør.

Open Banking-projektet i Nordea startede allerede før PSD2, understreger Gunnar Berger.

Læs også: Nordea går live med API til bankdata

»For os handler det først og fremmest om at finde nye måder at drive forretning i fremtiden på. Vi har ikke bare lavet et API, men også en udviklerportal, der skal få tredjeparter til at tænke, at det er her, de skal lave deres apps. Det har været et mål i sig selv,« forklarer han og tilføjer:

»Jeg tror, der er mange, der er gået til PSD2 som et compliance-projekt. Vi har forsøgt at se det som en mulighed.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize