Alf Gunnar Andersen i Horde, t.v. og Christoffer Andvig i Neonomics har vært svært kritiske til Sparebankens Vests fremdrift når det gjelder å få API-er på plass. Kjetil Sørtun, leder for Banking Services i Sparebanken Vest, t.h. svarer på kritikken

Sparebanken Vest forsvarer mangel på API-er: GDPR måtte gå foran

Sparebanken Vest får knallhard kritikk av PSD2-utfordrerne Horde og Neonomics. Begge forteller at banken ikke har hatt noen API-er å tilby. Sparebanken Vest bekrefter mangelen, og sier banken måtte få plass anti-hvitvaskløsninger og GDPR først.

Jörgen Skjelsbæk Journalist

Publisert mandag 16. november 2020 - 05:00 Sist oppdatert mandag 08. mars 2021 - 16:13

I den siste tidens kritikk av at bankene ikke lever opp til PDS2-direktivets krav om levere API-er, slik at tredjepartstilbyderne får tilgang til kundedata, er det særlig en bank som får sterk kritikk av Horde og Neonomics – Sparebanken Vest.

- Sparebanken Vest har ikke en gang API-er å tilby oss. De sier at vi kan benytte en «reserveløsning», som i prinsippet betyr å hacke API-ene som deres egen mobilapp benytter. Det er en meget knotete løsning, sier Alf Gunnar Andersen i Horde til.

- Vi har i lang tid prøvd å få tilgang til Sparebanken Vests API-er uten hell. Først for to uker siden fikk vi et svar, men det var store mangler i det, sier Christoffer Andvig i Neonomics.

Stemmer det. Er det slik at Sparebanken Vest ikke har API-er?

Horde melder bankenes PSD2-håndtering til både Finanstilsynet og Konkurransetilsynet

For drøyt en måned siden ble Horde den femte norske aktøren med PSD2-lisens. Siden da har selskapet testet ut bankenes API-er for kontoinformasjon og betalingsinitiering. – API-ene som blir tilbudt er mildt sagt helt forferdelige, sier Horde-sjefen Alf Gunnar Andersen oppgitt.

- Det er helt riktig. Vi har per i dag ikke API-er, men dette vil komme rett etter jul. Det har vi kommunisert til alle tredjeparter vi er i dialog med, og opplever at vi har en god dialog om veien videre, sier Kjetil Sørtun, leder for Banking Services i Sparebanken Vest.

Et komplisert valg

For å helt skjønne det svaret må vi gå tilbake til i fjor. I forbindelse med innføringen av PSD2-direktivet i september søkte nesten alle banker om såkalt fritak fra reserveløsning.

Det vil si at alle de bankene som valgte å utvikle dedikerte grensesnitt (API-er), ønsket å slippe å lage en reserveløsning basert på de eksisterende grensesnittene (nettbank og mobilbank). Ingen fikk fritak, og i dag, over et år etterpå, sier Finanstilsynet at en majoritet av bankene fortsatt ikke på plass god nok funksjonalitet og tilgjengelighet i sine API-er.

En bank manglet imidlertid fra den lange listen av banker som søkte fritak – Sparebanken Vest.

- Vi var etter det jeg kjenner til en av få banker som valgte ikke å søke om fritak. Vi utvikler alle front end-løsninger selv, og når vi gikk inn i høsten 2019, konkluderte vi med at det ikke var et ønsket alternativ for oss å søke om fritak fra reserveløsning. Konklusjonen var jo også at ingen fikk fritak, forteller Sørtun.

Reserveløsning ble hovedalternativ

Han forteller at det var bruken av sterk kundeautentisering (SKA), som ville vært tøffest å innfri og som gjorde at banken ikke søkte om fritak.

- Dermed ble reserveløsningen vårt midlertidige PSD2-tilbud. Det betyr at vi bruker «reverse engineering» for å hente ut PSD2-informasjon fra våre eksisterende digitale løsninger. De tredjeparter som har vært vant til det har integrert seg mot oss på denne måten. Blant annet har vi tre-fire PSD2-aggregatorer som benytter dette.

Det er dette som Horde, Neonomics og også Nets har vendt seg mot. Alle tre selskapene har sagt nei til å bruke Sparebanken Vests løsning for å hente ut den nødvendige informasjonen fra kundenes betalingskonto.

- Vårt svar har vært at vår løsning i dag er reserveløsning, og så har aktørene enten valgt å benytte det eller ikke. Vi går gjennom den med dem som ønsker, og gir tilgang på lik linje som alle andre, sier Sørtun.

Åpner for at API-er kan velges bort

At det er mulig å tilby en PSD2-løsning som ikke er basert på API-er, kan kanskje høres litt rart ut for den som har fulgt det som er skrevet om PSD2-direktivet, men Sparebanken Vest har dekning for sitt valg i direktivet.

Ifølge seksjonsjef Olav Johannessen i Finanstilsynet er det slik at regelverket sier at bankene må tilby minst et grensesnitt for at tredjeparttilbydere skal kunne gis tilgang til kunders betalingskonto hos bankene. Bankene kan velge om de vil etablere dedikerte grensesnitt (APIer), eller gjøre det mulig for tredjepartstilbydere å bruke bankens eksisterende kundegrensesnitt (nettbanker/mobilbanker). I till skal tredjepartstilbydere kunne anvende alle autentiseringsløsninger banker stiller til disposisjon for sine kunder.

Tre av fem norske selskaper med PSD2-lisens kritiserer bankenes håndtering

- Grensesnittene må derfor ikke være dedikerte grensesnitt (API), banken kan velge å gjøre bruk av sine ordinære grensesnitt (nettbank, mobilbank). Tredjepartstilbyderne kan derfor, som utgangspunkt, ikke klage på at en bank ikke har laget APIer, forklarer Johannessen.

Han legger til at uavhengig av løsning må bankene oppfylle de sikkerhetsmessige kravene til sterk kundeautentisering og sikker kommunikasjon som ligger i direktivet.

- Om disse kravene ikke er oppfylt eller at løsningen ved bruk av eksisterende kundegrensesnitt ikke gir tilnærmet lik funksjonalitet og tilgjengelighet som ved direkte bruk av kundegrensesnittene, så kan tredjepartstilbyderne klage, fortsetter Johannessen.

Sørtun og Sparebanken Vests tolkning av dette er at reserveløsning er på en måte de facto i PSD2, det vil si du kan ikke hindre aktører fra å aksessere løsningen og hente ut data på vegne av kunden, men at man kan ha dedikerte tjenester og API-er som man i prinsippet kan tvinge tredjeparten til å benytte, slik at de ikke kan bruke bankens digitale løsninger.

Men sier ikke PSD2-direktivet at disse reserveløsningene ( blant annet reverse engineering) skal fases ut som mulige alternativer for å hente informasjon som direktivet sier at bankene må dele?

- Vi nekter ingen å hente ut PSD2-informasjon. Reseverse engineering er en løsning som gir mulighet til å hente ut PSD2-informasjon i tråd med regelverket.

- Det er dette vi kan søke fritak fra ved å ha et dedikert API. Det vil si at da kan vi nekte aktører fra å bruke reverse engineering fordi de skal bruke en dedikert tjeneste, noe som er rett rundt hjørnet.

Annet kom føre PSD2

En annen kritikk fra PSD2-utfordrerne er at Sparebanken Vest, Sbanken og Sparebanken Sogn og Fjordane var blant de aller første å tilrettelegge for deling av kontoinformasjon på tvers av bankene, og at det er merkelig at ingen annen har fått den sammen muligheten.

- Det var en test vi begynte med helt tilbake i 2018, for å se hvordan en bank skulle fungere som tredjepart i markedet. Men det var en pre-PSD2-løsning der vi gjorde all autentisering på vegne av de andre bankene. Når regelverket trådte i kraft i fjor, slo vi den av, fordi den ikke lenger var lovlig, forteller Sørtun.

Tross feil og mangler er det jo mange som klarer å levere API-er i dag til tredjeparter i dag. Sparebanken Vest er jo kjent for å ha en stor egen utviklingsavdeling og stå bak innovasjoner som både Bulder og Folio. Hvorfor klarer da ikke Sparebanken Vest å levere API-er?

- Selv om vi har et innovativt og offensivt miljø, har vi ikke ubegrenset med folk. Det har de seneste årene også kommet omfattende krav om anti-hvitvaskløsninger, GDPR og andre regulatoriske krav. Ting vi var nødt til å ha på plass før vi jobbet videre med PSD2, Sørtun.

Det er en forklaring Alf Gunnar Andersen i Horde ikke lar seg imponeres av.

- Det er veldig rart at en bank med så mange utviklere og som ønsker å fremstå som innovativ, helt tydelig er en bremsekloss for innovasjon i dette tilfellet, sier Andersen til Shifter.

Finanstilsynet misfornøyd med bankene: «Må få på plass det som skal til, slik at Vipps og andre tredjepartstilbydere får like konkurransevilkår»

Nekter for trenering

Er det slik at Sparebanken Vest og andre banker nærmest har trenert prosessen med å få API-ene på plass.

- Norske banker og finansinstitusjoner ligger langt fremme så vi er absolutt ikke noen sinker i Norge eller Norden for øvrig. Vi mener PSD2-direktivet er svært positivt for Sparebanken Vest og Bulder. Vi vil være både bruker og leverandør i dette grensesnittet, og jo bedre tjenester vi kan tilgjengeliggjøre selv eller sammen med andre som våre kunder etterspør, jo bedre. Det er på ingen måte i vår interesse å trenere.

- Bankene er tradisjonelt bygd slik at du må inn i banken for å gjøre bankting, vi holder på å bygge en bank der du også kan gjøre bankting på utsiden. Det tar tid. Vi og andre banker må også ha på plass robuste sikkerhetsløsninger først. Vi kan aldri ta risiko på vegne av oss og våre kunders sikkerhet, sier Sørtun

Har skissert en vei videre

Han forteller at banken nå begynner å nærme seg slutten på det interne utviklingsarbeidet og at de banken skissert en plan for Finanstilsynet om veien videre.

- Tidlig neste år søker vi om fritak. Da starter vi migreringsprosessen slik at alle tredjeparter som i dag bruker reserveløsning mot oss vil måtte flytte over på API-er. Vi har god dialog med tilsynet, og vi opplever at de er opptatt av å både tilrettelegge og følge opp dette på en god måte.

Har dere delt disse API-ene med noen andre aktører?

- Vi har fremdeles ikke gitt noen tredjepart tilgang til de tjenestene, men er i dialog med flere for å begynne prosessen å gjøre det om til vår eneste løsning, sier Sørtun.