API alapból bekapcsolva
Aki követi a híreket, tudja, hogy a bankoknak hozzáférést kell adnia az ügyfelek számláihoz harmadik fél számára. Ezt az úgynevezett PSD2 uniós előírás szabályozza és a lényege, hogy ezzel szeretnék a versenyt erősíteni a bankok és az egyéb pénzügyi szolgáltatók között.
A kérdés csak az, hogy mi van, ha én nem szeretném, ha bárki más hozzáférne az adataimhoz? Akkor jobban teszem, ha megnézem a netbankban, milyen beállítások vannak a számlámnál.
Szabolcs vette ma észre, hogy a bankja kérés és értesítés nélkül bekapcsolta a lehetőséget, amit azóta gyorsan ki is kapcsolt. Elvileg persze a harmadik félnek is engedélyt kell még külön kérni a számlatulajdonostól a hozzáférés előtt, de azért mégis csak jobb, ha eleve be sincs kapcsolva ez a hozzáférés. Ha te is szeretnéd kikapcsolni a szolgáltatást, nézd meg a netbankodat vagy kérj felvilágosítást a bankodtól.
Szabolcs képernyőmentései:
S Péter jóvoltából egy képernyőmentés OTP-seknek, hol tudják kikapcsolni a szolgáltatást:
Mindeneestre köszi, legalább tudom, hol kell kikapcsolni.
Pl. én is fejleszthetek egy appot, amivel aztán utalgathatok a bankjaimból, vagy éppen a költség-kimutatásomat összeszedhetem? Érdekes távlatokat nyit meg ez a dolog azért.
Tudja valaki, kell ehhez valami komoly dolgot teljesíteni, mint “szolgáltató” cég, vagy elég, hogy létező cég legyen, aki behazudja, hogy fintech startup, és már kérheti is a jóváhagyásokat az ügyfelektől?
Gondolom valamit kell teljesíteni azért… van valami átvilágítás, ilyesmi?
Le is tiltottam.
Most belépve Szabolcshoz hasonlóan én is engedélyezve láttam a szolgáltatást. Ami fura, hogy a tevékenységnaplóban az engedélyezés ideje megegyezik azzal, amikor az adott menüpontra klikkeltem ellenőrzés céljából (semmi más előzmény). 🙂
Az csak engem zavar, hogy a képekre kattintva nem új lapon nyílnak meg, hanem elnavigál a cikkről?
(A link beállításnál csak egy pipát kellene betenni, h új lapon nyíljon meg)
Az, hogy ez be van kapcsolva annyit jelent, hogy Te magad a bankon keresztül adhatsz engedélyt harmadik félnek (AISP és PISP szolgáltatók), hogy hozzáférjen az adatokhoz. Fontos ebből a Te magad és a bankon keresztül. Amikor engedélyt adsz, akkor azt a netbankon keresztül teszed és itt vissza is vonhatod az engedélyeket. Minden szolgáltatót egyedileg kell engedélyezned és a szolgáltatónak hozzáférésének kell lennie a bankod openbanking apijához, azaz le kell szerződnie a bankoddal is.
Ha kikapcsolod, akkor erre nem lesz lehetőséged, tehát valójában saját magadat korlátozod a kikapcsolással. Senki nem tud az apin át hozzáférni a banki adataidhoz az engedélyed nélkül, akár be van kapcsolva, akár nincs. Felesleges pánikolni és pánikot kelteni.
Amennyire én tudom (de nem csináltam még ilyet):
– legalább egy EUs jegybanknak jóvá kell hagynia, ha te ilyet akarsz csinálni
– amikor hozzáférést kérek az adataidhoz, akkor az úgy néz ki, mint amikor a facebookkal lépsz be egy weboldalra:
* tegyük fel megcsináltam a Neked Költségvetés Köll szoftvert, ami segít követni a bankszámládról a költéseket (kategóriák, egyenleg, el tudjátok képzelni).
* akkor a Neked Költségvetés Köll oldalon megnyomod a gombot, hogy szinkronizálni szeretnél
* eljutsz a bank oldalára, ahol a bank összefoglalja, hogy milyen adataidhoz, ki fér majd hozzá (a Fb is legelőször ad egy popupot, hogy mostantól az Xyz látni fogja a Facebook ID-dat, meg hogy elmúltál 18)
* ezt leokézod, még mindig a bank oldalán
* s ekkor kap majd a Neked Költségvetés Köll szoftverem egy borzasztó hosszú tokent, amivel le tudja kérdezni a tranzakcióidat
– mindig a Bank weboldalán kell hozzájárulást adnod ahhoz, mit látnak a külső szoftverek
– a Banknál kellene majd lennie egy oldalnak, ahol felsorolják, kiknek adtál hozzáférést, s bármelyiktől, bármikor megtagadhatod – onnantól ő baszhatja.
De tényleg nem csináltam még ilyet, ne vedd készpénznek. De az ilyen rendszerek (több különböző szoftver együttműködése) így néz ki általában, s nagyon (NAGYON!) meglepődnék, ha a bankoknál nem a bank oldalán kellene egyesével hozzáférést adnod a külső alkalmazásoknak.
Pl. itt az OTP doksija, a hatos pontban írják ezt: otpbank.hu/static/portal/sw/file/OTP_PSD2_OpenBanking_Summary.pdf
@Miklós: nem lehetne a 900-as karakterlimitet megemelni?
MNB regisztráció kell hozzá, ez elég bonyolult, cserébe viszont bárki számlájához hozzáférhetsz, aki ezt engedélyezi.
Ha csak a saját számládhoz szeretnél API-t, arra van lehetőség a MagNet Banknál (elég egy titoktartásit aláírnod), más banknál nem tudok ilyen lehetőségéről.
Melyik banknál vagy?
Tapasztalatom szerint nem minden bank engedi ki-bekapcsolni, de mivel úgyis kell hozzá egy erős ügyfélhitelesítéssel adott felhatalmazás, ezért pont nem para szerintem, ha default be van kapcsolva.
A bankokat a PSD2 közel egy éve kötelezi adatszolgáltatásra, azaz harmadik felek is hozzáférhetnek a banki ügyfelek számlaadataihoz (egyenleg, számlatörténet) vagy akár tranzakciót is lehet indítani harmadik feles irányból (amit persze a bankunknál még ugyanúgy jóvá kell hagyni). Szóval elméletben nagyon leegyszerűsítve használhatnál másik mobilappot a banki appod helyett, vagy mondjuk egy hitelfelvételhez nem kell munkáltatói, hanem engeded a hozzáférést a bankszámlaadataidhoz és így le tudják pillanatok alatt ellenőrizni a jövedelmedet a scoringhoz, stb.
Csak folyószámlánál van ez, vagy meg kell nézni az értékpapírszámlákat is?
Tájékoztatásból 1-es.
Ha egy banknál megszüntetem a folyószámlámat, az értékpapírszámlámat, és minden pénzemet elviszem onnan, akkor a bank milyen költségeket számíthat fel? (A megszüntetésnek lehet-e költsége, készpénzfelvételi díjat számíthatnak-e, ha felveszem a pénzemet, illetve átutalási díjat, ha új banknál létrehozott számlára küldök át minden forintot?)
A választ előre is köszönöm!
A curve nem ezen a módon varazsol az alá tett szamlaimmal?
Soha nem értettem, de talán most egy kicsit már érthetőbb.
Ha így van.
Hogy ne kelljen kézzel letöltenem a számlatörténetet. 🙂
Az OTP-nél és a Raiffeisennél és Transferwiseal tökéletesen működött a dolog. A Money Wiz 3 appal (home finance) tényleg azt csinálta, amire számítottam, egyszerűen aterheléseket és a jóváírásokat berakta pontosan úgy, ahogy azok voltak. A Transferwise volt a legjobb, ott egy tokent kellett generálni és az valóban tudta frissíteni a számlatörténetet. Az OTP és a Raiffeisen nem ennyire okés. Itt is megy a csatlakozás, de minden egyes csatlakozásnál azonosítani kell magam. Szóval nem elég egyszer autentikálni a folyamatot mint a TW-nál, hanem minden nap, ha le akarod tölteni ismételten az adatokat, akkor jöhet a kód, ujjlenyomat, ami kell. Szóval működik, de nehézkes.
En a Wyze.me-t hasznalom hosszu ideje.
Megjegyzi, hogy egy-egy koltseg milyen kategoria, szep grafikonok vannak.
Egyebkent nem kell ettol felni senkinek, amikor lehivom a banki szamlatortenetet (szinkronzialok), mindig ker SMS-t. Felesleges panikolni, meg letiltani valamit ugy, hogy a mukodeset sem erted…
A Revolut, Curve, Paypal nem API-t hasznal a bankkartyadhoz, semmi koze hozza…
Tavaly olyan zseniálisan elcseszték a konstrukciót, hogy nincs értelme tartogatni tovább a bruttó 1%-os kamatért és a tök versenyképtelen kamatot adó lekötésekért.
Én is megszüntettem miután csökkentették a látra szoló kamatát a Cetelemnél. Levélben jeleztem ezt nekik, majd kb. 2 héttel később kaptam egy levelet, hogy sikeresen megszüntették a számlámat és ennyi volt. Igaz nekem egy Ft-om se volt a takarékszámlám. Már az se túl bizalomgerjesztő, hogy egy ügynök jön ki házhoz, és neki kell odaadni a papírokat a személyes adataimmal együtt a számlanyitáshoz. Amatőr banda, nem ajánlom senkinek. Bár elvileg az OBA vonatkozik rájuk, de én nem bíznék meg bennük.
Én mondjuk használom, a CIB Eco bankszámla ingyenessegenek a havi feltételét intézem vele, de ha nem így lenne akkor sem szuntetnem meg. Megváltozhatnak a körülmények és akkor nem kell újra megnyitni. Ha bevezetnenek valami számlavezetési díjat, egyebet, akkor már más lenne a helyzet, de addig minek.
Lehetséges, hogy ez csak egy véletlen baki részükről, hogy így kombinálódott (kérdés és értesítés nélkül, 1 milliós limittel, tranzakciók is) . Vagy csak én vagyok túl paranoid.
Azzal is tisztában vagyok, hogy a szolgáltatókat egyesével engedélyeznem kell majd, mielőtt bármit is tudnának csinálni, de minek nyissak ki egy zárat a kettőből, ha nem akarok az ajtón beengedni senkit egyelőre? Azaz itt nem is én nyitottam ki, hanem a bank.
Mondjuk nem Pistike garázscégét, hanem egy “Steve Consulting”-ot beengedek. Ez egy komoly cég, valódi szolgáltatással, profi IT-vel. Csak mondjuk egyszer benéznek valami apróságot, meghekkelik őket (Facebook-al is megesett 🙂 ) és elviszik a felhasználói adatbázist API kulcsokkal. Ha pénzt nem is tudnak sokat lenyúlni, de a számlatörténetet eladják a feketepiacon pénzért.
Vagy egy kevésbé korrekt cég, aki ingyen ad “pénzügyi tanácsadást” a számlatörténetem alapján. Sufniban meg eladja a reklámpiacon a kinyert adatokat. Veszek majd egy tévét és utána hetekig akciós laposTV reklámok jönnek szembe a böngészőben…
A 0-24 hotline hosszú várakoztatás (kb. 20 perc+) után megszakadt, ekkor írtam nekik egy levelet, amiben feltettem a kérdést.
Másnap visszahívott az egyébként kedves fiatalember és megkérdezte mi az az API, majd 10-15 percig tartanom kellett a vonalat, amíg beszerezte az infót a kollégáktól, hogy ezt eszik vagy isszák (miután felvilágosítottam, hogy PSD2, stb.).
Amikor felhívtam a hotline-t számítottam arra, hogy fogalma sem lesz az embernek, de így, hogy levélben megkapták a kérdést, azt hittem nem kell az én időmből fél órát azzal tölteni mire kiderül bármi is (hisz a hívás előtt rengeteg ideje lett volna utánajárni a témának, nem kellett volna engem kérdezgetnie mi is ez és mit akarok).
Nos, amit mondani tudott, „a harmadik fél egyből működik” nem kell -és úgy tűnik nem is lehet- semmit állítgatni a DirektNet-en. Még azt is mondta, ha több infó kell, akkor hívjam a hotlinet