Open banking – fra hype til handling
This post was originally published in Magma (in Norwegian). An extended version in English is available here.
Introduksjon
Verden er ikke den samme som den var i går, og selv om norske banker var blant de første til å være til stede på nett, er det fortsatt en betydelig jobb å gjøre for å være relevant på digitale flater. Selv om bankene på mange områder har gjort kundenes hverdag enklere, bærer nettbankoversikten fortsatt preg av inkrementell videreutvikling av den gode, gamle kontoutskriften som kom i posten en gang i måneden tidligere.
Overgangen fra nett til mobil har på mange måter fulgt den samme inkrementelle logikken, der nettbanken er skalert ned til en mindre skjerm fremfor å ta i bruk muligheten som ligger i smarttelefonen som plattform. Dette forsterkes med betalingsdirektivet PSD2, et EU-direktiv som pålegger banker å la tredjeparter få tilgang til kontoinformasjon og initiere betalinger på kundens vegne.
Dette er ikke tilfeldig valgt, ettersom over 90 prosent av kundenes bruk av bankenes digitale løsninger går ut på å enten sjekke saldo eller utføre en betaling, som er nettopp de to bruksmønstrene som vil være tilgjengelige for tredjeparter når PSD2 trer i kraft. I kjølvannet av denne utviklingen er et av områdene som har materialisert seg som en kombinasjon av teknologi, regulatoriske endringer og endringer i brukeratferd, det konseptet som kalles open banking.
I sin enkleste form handler open banking om utveksling av data og tjenester gjennom standardiserte tekniske grensesnitt, såkalte API-er. Disse tre bokstavene står for application programming interface og er måten ulike IT-systemer snakker sammen på basert på standardiserte formater. Dette er et akronym som lenge har vært forbeholdt IT-avdelingen, men forretningsmessig bruk av API-er vil skape nye muligheter for dem som våger å utforske og tenke utenfor eksisterende rammer.
For deler av finansbransjen begynner dette å bli et velkjent og etablert begrep, men for mange er det fortsatt et uttrykk som det er vanskelig å få tak på. Dette skyldes i stor grad at det er krever kunnskap og kompetanse innenfor en rekke fagfelt for å fullt ut forstå omfanget av open banking og mulighetsrommet det gir.
De globale teknologiselskapenes suksess skyldes ikke minst smart bruk av åpne grensesnitt
For å forstå implikasjonene og mulighetsrommet en åpen plattform gir, må man først forstå hvordan digitale økosystem fungerer, og hvordan aktører som har utfordret andre bransjer før, fungerer. Bankene møter mange av de samme farene som både telekom- og mediebransjen, og utfordrerne er de samme som har forsynt seg av marginene til disse bransjene nå i lang tid – nemlig Facebook, Google, Apple, Amazon samt deres kinesiske motparter Tencent og Alibaba. Selv om disse kommer fra ulike utgangspunkt, har de alle et tydelig fellestrekk: De har alle lykkes med å skape et velfungerende digitalt økosystem rundt sine kjerneprodukter og -tjenester.
Det er her åpne grensesnitt kommer inn i bildet. Ethvert velfungerende digitalt økosystem baserer seg på en åpen digital plattform, og ifølge World Economic Forum vil plattformøkonomien bidra til digital disrupsjon i omtrent samtlige av de tradisjonelle bransjene slik vi kjenner dem. En plattformstrategi skiller seg fra tradisjonelle produktstrategier ettersom en er avhengig av et eksternt økosystem for å knytte til seg komplementære produkter og tjenester fra tredjeparter som bidrar til nettverkseffekter på plattformen. Nettverkseffekten oppstår ved at komplementære produkter og tjenester har potensial til å tiltrekke seg og låse inn flere brukere, og flere brukere vil igjen tiltrekke seg flere komplementære tredjepartstjenester. Et vellykket digitalt økosystem er de som lykkes med å repetere og skalere denne prosessen.
Facebook er et av selskapene som har lykkes særdeles godt med å etablere et velfungerende digitalt økosystem. De fleste er kjent med Facebook som en plattform som tilbyr annonsører og merkevarer tilgang til finsegmenterte målgrupper gjennom Facebook Atlas og Pages Manager. Tredjepartsaktører gis tilgang til å lage egne applikasjoner på toppen av Facebook sin plattform. Mange husker kanskje Farmville fra en god del år tilbake, der selskapet Zynga, som utelukkende utviklet Facebook-spill, gikk på børs, verdsatt til sju milliarder amerikanske dollar.
Men bruk av åpne grensesnitt er ikke alltid en solskinnshistorie. Cambridge Analytica utnyttet Facebooks grensesnitt til å påvirke valget i opptil flere land.
Mange av de tjenestene som i dag preger vårt samfunn, ville aldri funnet sted uten bruk av åpne grensesnitt. Uten Facebooks API-er ville vi ikke hatt Tinder, og uten Google Maps’ grensesnitt ville vi ikke hatt Uber.
I møte med en ny digital verden har historien vist at det er de som evner å utnytte en åpen plattform til å skape et digitalt økosystem, som har kommet seirende ut. Det berømte iPhone-øyeblikket som tok livet av Nokia, var ikke lanseringen av iPhone, men lanseringen av App Store. Det var ikke Apple som tok livet av Nokia, men tilgangen til tredjepartstjenester i App Store.
Det måtte et direktiv til for å vekke finansbransjen
For bankene har betalingsdirektivet PSD2 vært katalysatoren som virkelig har åpnet bransjens øyne for hvilken betydning åpne grensesnitt kan ha for sektoren. Selv om direktivet allerede er lansert, og bankhverdagen ser temmelig lik ut som for et halvt år siden, er det verdt å merke seg at formålet med PSD2 har vært å stimulere til økt konkurranse og skape mer innovasjon i banknæringen. Med dette som bakteppe er direktivet allerede en suksess. Majoriteten av banker ser på dette som en mulighet og står klare til å gi sine kunder muligheten til å få en samlet oversikt over sine bankforbindelser i ett og samme grensesnitt, uten å måtte bytte bank.
Allerede over et år før innføringen av direktivet i Norge gikk Sbanken, Sparebanken Vest og Sparebanken Sogn og Fjordane sammen gjennom klyngesamarbeidet Finance Innovation og tyvstartet PSD2 gjennom å utveksle data med hverandre. Dette ga verdifull læring om hvordan åpne grensesnitt og utveksling av kontoinformasjon fungerer i praksis, samt en mulighet til å vurdere interessen for denne funksjonaliteten blant bankenes kunder.
En fersk undersøkelse fra Cicero Consulting bekrefter at denne funksjonaliteten alene ikke vil være tilstrekkelig for å skape endret brukeratferd i bransjen, og hele tre av fire spurte svarer at de ikke trenger noe slikt. Men dette gir ingen grunn til å lene seg tilbake: Det er nemlig hvilke tjenester som utvikles på toppen, som vil være avgjørende for hvem som gjør seg fortjent til kunderelasjonen i fremtiden.
For å levere kundeverdi i en ny digital hverdag må du vite hvem du skal være til for, og hva som er dine kunders faktiske behov. I utviklingen av digitale tjenester er data din beste venn, og ved å stille de rette spørsmålene kan data omsettes til reell kundeinnsikt. Overlates tjenesteutviklingen til bankens ansatte, er det en risiko for å utvikle noe som er tenkt ut til og for bankfolk. På den annen side: Spør du kundene direkte, vil svaret i de aller fleste tilfeller være en forbedring av det eksisterende. Lyspæren ble ikke til som en inkrementell forbedring av stearinlyset, og for å skape neste generasjons banktjenester må bankene forstå hva som er kundene reelle behov, og hvordan disse kan løses på en ny og bedre måte.
Det er avgjørende å finne en forretningsmodell som fungerer
Men det er først når teknologien møter en ny forretningsmodell, at etablerte strukturer endrer seg. Napster utfordret musikkindustrien, men det var verken mp3-filformatet eller iPod som skapte digital disrupsjon for fysisk distribusjon av musikk. Det var da Apple lanserte et sømløst digitalt økosystem for å konsumere musikk digitalt gjennom iTunes, at ting begynte å endre seg. Men i en digital verden blir gårsdagens innovasjon fort avleggs, og strømmetjenester har allerede gjort digitalt kjøp av musikk utdatert. Her er det Spotify som har en soleklar ledelse – nok et selskap som viser hvordan bruk av data og sosiale integrasjoner gir en personalisert brukeropplevelse. Muligheten til å koble til Facebook, dele og lage felles spillelister viser hvordan Spotify utnytter Facebooks digitale økosystem for å skape en unik brukeropplevelse. For banker som ønsker å omfavne open banking, er det viktig at open banking ses på som et forretningsinitiativ, og ikke et IT-initiativ. Å gi tilgang gratis kan bidra til økt kundelojalitet og øke kanalbredden, men kan vise seg å ikke være økonomisk bærekraftig over tid.
Riktig gjennomført kan API-baserte forretningsmodeller likevel være svært lønnsomme. Salesforce genererer halvparten av sine inntekter gjennom API-er, eBay har 60 prosent av sine inntekter basert på API-er, og Expedia.com genererer 90 prosent av sine inntekter gjennom API-er.
Det eksisterer en rekke generiske forretningsmodeller i en API-økonomi, og noen av dem passer bedre for finansielle tjenester enn andre.
Data er en verdifull råvare i enhver plattformstrategi, og en av de enkleste forretningsmodellene er en datautveksling: Begge parter gir fra seg data i form av en toveistransaksjon der eieren av plattformen også mottar data fra tredjepart hver gang et API aksesseres.
Transaksjonsbaserte modeller er kanskje mest utbredt blant banker og skiller seg ikke så mye fra tradisjonelle transaksjonsbanktjenester. Hovedforskjellen i en API-kontekst er måten selskaper som PayPal og Stripe lar tredjeparter integrere og bruke tjenestene sine på, gjennom plug and play-baserte API-er som gjør at de når ut til et bredere publikum og driver opp volum i en helt annen skala.
Charge by call er den enkleste inntektsgenereringsmodellen, der tredjeparter betaler hver gang en tjeneste som tilbys gjennom API-en, blir aktivert. For å lykkes med denne modellen må tjenestene dine tilby et klart verdiforslag. Før du setter opp direkte inntektsmodeller, bør du snakke med kundene dine for å se om de er villige til å betale for disse tjenestene, og hvor mye. Som et eksempel er standardprisen per API-spørring for IBM Watson 0,0025 dollar.
Abonnementsbaserte priser for API-tilgang kan være faste eller dynamiske. En fast modell er enkel og tilbyr full API-tilgang til en fast månedlig kostnad. En dynamisk tilnærming kan la tredjeparter betale etter konsum, der prisingen bestemmes løpende av bruksvolum.
Freemium er en enkel måte å komme i gang på for både API-eiere og tredjeparter som er nysgjerrige på å koble til og utforske, og kan fungere som et springbrett mot både abonnementsbaserte modeller så vel som pris per oppkall.
Innskuddskonti er en viktig strategisk ressurs for banker som åpner sine API-er for tredjepart. Mange fintech-aktører søker bankpartnere for å tilby grunnleggende finansiell infrastruktur for nye produkter og tjenester. Dette kan komme bankene til gode ved å øke innskuddsmassen gjennom nye kanaler og partnere.
Inntektsdeling er et alternativ for å oppmuntre til åpen innovasjon og delte incentiver for både API-eier og tredjepartssamfunn. I et scenario for inntektsdeling er det avgjørende med likebehandling, transparens og balansert gjensidig nytte.
Uansett hvilken modell du velger, handler det til syvende og sist om lønnsomhet. En måte å måle suksessen til API-ene dine på er å regne ut en enkel gjennomsnittsinntekt per brukermodell (ARPU) for å se om en API-strategi er verdt å gjennomføre. Forretningsmodellen må også passe den langsiktige visjonen og selskapets strategiske agenda.
Sikkerheten er avgjørende
Det er alltid en hake ved ny teknologi, og det å åpne opp har sin pris. Ubeskyttede API-er kan gi en inngangsdør til data og kritiske systemer som er åpen for kriminelle og personer med onde hensikter.
Uten riktig sikkerhet kan API-er gi en bakdør til kundedata og underliggende infrastruktur, noe som åpner for flere operasjonelle risikoer for både systemer og virksomheter som helhet.
Det at stort sett alle store internettselskaper hatt API-sikkerhetsproblemer, sier noe om hvor vanskelig API-sikkerhet er. Vi husker kanskje alle slike internettskandaler som den hos Ashley Madison, en datingside for dem som ville være utro, der hele brukerdatabasen ble lekket på nettet – eller da en feil i Instagrams API-er ga hackere tilgang til personlig informasjon fra høyprofilerte Instagram-brukere.
Dette er bare to eksempler på at fødte digitale selskaper snubler i sikkerhetsavdelingen når det gjelder API. Da McDonald’s rullet ut leveringsappen sin, McDelivery (hva annet skulle de ha kalt den), resulterte et API-brudd i eksponering av personlig informasjon for 2,2 millioner brukere, herunder navn, e-postadresser, telefonnumre, hjemmeadresser og i noen tilfeller koordinatene til hjemmene, i tillegg til lenker til profiler på sosiale medier.
Med PSD2 i horisonten får bankene beskjed om å åpne API-ene sine for tredjepart, mens EUs nye databeskyttelsesforordning GDPR stiller strenge krav til beskyttelse av forbrukerdata, med betydelige konsekvenser for dem som ikke overholder forskriftene.
Med dette i bakhodet er API-sikkerhet en økende bekymring for selskaper som åpner sine grensesnitt for omverdenen, ettersom de gir flere tilgangspunkter til den underliggende infrastrukturen. En studie fra cyber security-selskapet Imperva avslører at 69 prosent av selskapene med åpne API-er har potensielle bakdører åpne inn til kritisk infrastruktur. Når datautveksling gjennom åpne grensesnitt og samhandling mellom etablerte virksomheter og oppstartsbedrifter er en kilde til innovasjon, vil risikoen for angrep øke ettersom mindre selskaper ofte anses som en bakdør til større selskaper. Hele 57 prosent av alle datainnbrudd i 2017 var gjennom tredjepartsangrep, ifølge en undersøkelse utført av Ponemon Institute.
En av de viktigste utfordringene med API-er er at veldokumenterte API-er ofte gir et veikart som beskriver den underliggende implementeringen av en applikasjon. Dette er logikk og datastrukturer som ellers ville ligge begravet dypt inne i et selskaps arkitektur. Ifølge rapport fra IT-selskapet CA om API-sikkerhet kan dette gi hackere verdifulle ledetråder til angrepsvektorer de ellers ikke ville oppdaget.
Selv om den tekniske risikoen dempes, må API-styring utformes med et risikoperspektiv i tankene.
Utviklervennlighet som et konkurransefortrinn
På samme måte som det er avgjørende å ha et godt grep om forretningsmodellen, er det også viktig å ha god nok forståelse for den underliggende teknologien. Et API er en standardisert protokoll som gjør at IT-systemer snakker sammen, og en fundamental byggestein i moderne programvareutvikling. API-er kan benyttes til både å gi tilgang til og overføre data så vel som å gi tilgang til digitale tjenester. Sistnevnte er spesielt kraftfullt ettersom det gjør det mulig å gjenbruke tjenester som allerede finnes tilgjengelig, fremfor å utvikle alt selv. Men på samme måte som brukervennlighet er avgjørende i kanaler for sluttkunden, må API-ene være utviklervennlige. API-er som ingen ønsker å bruke, skaper liten verdi. Gi utviklere tilgang på en såkalt sandbox som et utgangspunkt. Dette er den enkleste og tryggeste måten å teste ut en verden med åpne grensesnitt på. Etabler et miljø som speiler produksjonsmiljøet, og inviter utviklere til å leke seg med API-ene.
Kommuniser regelmessig med utviklerne dine. Styr forventningene om hva som kommer fremover, for å holde interessen oppe. Vær åpen og informer om planlagt vedlikehold så vel som uventet driftsstans. Gjør bruksbetingelser entydige og enkle å forstå. Forsikre deg om at andre enn jurister kan forstå de juridiske forpliktelsene ved bruk av API-ene.
Forretningsmodellen skal være gjennomsiktig og lett å forstå. Det er best å la utviklere prøve før de kjøper på freemium-basis. Ikke vær redd for å gi bort noe gratis i en startfase, så lenge det er en plan bak det hele. Koden som kreves for å bruke et API, er vanligvis mer verdifull enn enhetsprisen for et par tusen API-oppkall uansett.
God dokumentasjon er avgjørende. Språket skal være konsistent og gi detaljerte instruksjoner om hvordan du bruker API-ene dine. Ikke anta at utviklere som vurderer API-ene dine, har et visst ferdighetsnivå eller foretrekker et bestemt språk. Forsikre deg samtidig om at API-ene dine er responsive nok for dem som ikke gidder å lese dokumentasjonen og velger en prøve-og-feile-tilnærming til programmering.
Hvor skal man begynne?
I møte med en ny virkelighet er det egentlige kunststykket å omsette innsikt via ord til handling. Innsikten skapes ved å forstå omgivelsene. Reelle data er din beste venn når du vil identifisere hvilke deler som er bevegelige, og hvilke som må aksepteres som urokkelige forutsetninger. Altfor ofte trår mange feil allerede her ved å bruke tid og energi på ikke-bevegelige deler. Sett en tydelig retning så tidlig som mulig. I sin enkleste form er det to hovedroller en bank kan ta i utformingen av en plattformstrategi:
- plattformen som konsumerer data og tjenester
- plattformen som lar andre konsumere data og tjenester
Hvilken rolle skal være den dominerende retningen for din strategi? Selv om rollene ikke er gjensidig utelukkende, vil det kreve mye av organisasjonen å ri begge hester med lik tyngde. Når retningen er satt, er det viktig å ha tydelige avgrensinger for hva du ikke skal forfølge. En plattformstrategi har tilnærmet uendelig mange muligheter, og innen finansielle tjenester alene finnes det over 12 000 tilgjengelige API-er, ifølge ProgrammableWeb.
Sørg for å la omverdenen vite at du har en åpen plattform, for å tiltrekke deg potensielle integrasjonspartnere. Verdien av en åpen plattform avgjøres av hvilke integrasjoner du kobler opp, og hvilken verdi disse skaper.
Kom raskt i gang med konkrete prosjekter så snart retningen er satt. I Sbanken startet vi vår open banking-reise tidlig, og allerede i 2017 var vår første integrasjon oppe, med Coinbase for visning av kryptovaluta i mobil- og nettbanken. Valget av Coinbase handlet primært om å vise at plattformen var klar for å integrere en tredjepartstjeneste, og lite om innholdet i tjenesten. Derfra har vi jobbet systematisk med en rekke integrasjoner som har vist seg å ha livets rett, så som integrasjon med Lånekassen for å få studielånet direkte i mobil- og nettbanken, samt en rekke initiativ som aldri så dagens lys. Sistnevnte er spesielt viktig for å ha fremdrift.
Ta liv av ideene og tiltakene som ikke har livets rett. Teknologi er spennende og morsomt, men pass på å ikke falle for fristelsen til å forfølge en løsning på jakt etter et problem. Vellykket innovasjonsarbeid handler om eksperimentering, men der mange virksomheter feiler, er når eierskapet til en idé blir for sterkt, og eksperimentene rigges for støtte opp under ideen. Her kan næringslivet lære av akademia og jobbe nådeløst og målrettet for å motbevise at en idé er verdt å satse på. Albert Einstein sa en gang at «ingen mengde eksperimenter kan noen gang bevise at jeg har rett, men ett enkelt eksperiment kan bevise at jeg tar feil».
For å lykkes med alt dette gjelder det å ha den rette kompetansen og en felles forståelse av kontinuerlig læring. Det er mange hensyn å ta, og det er behov for spisskompetanse innen konsept- og forretningsutvikling, teknisk arkitektur, sikkerhet, drift og programvareutvikling, bare for å nevne noen områder.
Open banking har utvilsomt kommet for å bli, og bruk av åpne grensesnitt vil bli en så naturlig del av hverdagen at behovet for å presisere open vil bli foreldet, og vi vil simpelthen bare kalle det banking. For etablerte aktører handler det om å komme til denne erkjennelsen raskt nok til å være klar for å utnytte mulighetsrommet i en åpen verden.
Få vet hvordan morgendagen ser ut, og det er viktig å ta kalkulerte risikoer. Det finnes få entydige svar, men mange gode muligheter, og den beste muligheten er å begynne reisen på en entusiastisk og nysgjerrig måte. Tenk stort, start i det små, og lær raskt.