Однако, открытие API также может привести к ряду рисков, связанных с безопасностью данных и конфиденциальностью клиентов. Поэтому, банки должны обеспечивать высокий уровень защиты данных и надежно контролировать доступ к своим API.
Один из примеров, когда риски с безопасностью стали угрозой, произошел в 2017 году, когда в США был обнаружен крупнейший в истории утечки данных из базы Equifax (американское бюро кредитной истории. Equifax собирает информацию более чем о 800 миллионов физических лиц и более чем на 88 миллионов компаний по всему миру). В результате этой утечки были скомпрометированы личные данные более 143 миллионов американцев, включая их имена, социальные страховые номера, даты рождения, адреса и номера водительских удостоверений. Оказалось, что утечка произошла из-за уязвимости в API, который использовался для доступа к базе данных Equifax.
Еще один случай произошел в 2019 году, когда банк Capital One сообщил о том, что хакеры получили доступ к личным данным более 100 миллионов его клиентов и заявителей на кредит. В результате этой утечки были скомпрометированы имена, адреса, даты рождения, номера социального страхования и номера счетов клиентов. Оказалось, что хакеры использовали уязвимость в API, который использовался для доступа к базе данных банка.
Эти примеры показывают, что открытые API может стать угрозой для безопасности данных, поэтому банки должны обеспечивать высокий уровень защиты данных и контролировать доступ к своим API.
В 2020 году компания Garmin (производитель GPS-навигационной техники и умных часов. Навигаторы Garmin предназначены для различных сфер применения, включая автомобильное, авиационное, морское, туристическое и спортивное оборудование, а также оборудование для беспроводных приложений) стала жертвой кибератаки, в результате которой были скомпрометированы данные пользователей, включая их личные данные и историю тренировок. Киберпреступники использовали уязвимость в API, который использовался для доступа к данным Garmin.
Еще один случай произошел в 2018 году, когда Facebook сообщил о том, что данные более 87 миллионов пользователей были собраны без их согласия компанией Cambridge Analytica (британская частная компания, которая использовала технологии глубинного анализа данных для разработки стратегической коммуникации в ходе избирательных кампаний в Интернете). Эта компания использовала уязвимость в API Facebook для сбора данных пользователей.
Эти примеры показывают, что даже крупные компании могут стать жертвами кибератак и утечек данных из-за уязвимостей в API. Поэтому необходимо обеспечивать высокий уровень защиты данных и контролировать доступ к API.
Но давайте вернемся к банкингу.
Окажут ли банковские приложения и возможности API какое-то влияние на будущее банковских услуг? Большинство банкиров считают, что появятся новые компании, которые приведут к следующим большим переменам: следующий Google, следующий Facebook и следующий Apple. Банки же не будут этого делать. Начнем с того, что банки просто не в состоянии разворачивать свой бизнес, чтобы делать подобные вещи. А вот что банкам действительно следует сделать, так это обеспечить доступ к инновациям, поддерживая участие в стартапах, открывая сервисы для включения в будущие стартапы.
Иными словами, банки могут интегрировать современные «крутые» приложения, предоставляя им свой функционал с помощью API. Для этого банкам нужно обеспечить работу своих сервисов в режиме реального времени и в удобном формате. Здесь возникает необходимость чем-то жертвовать со стороны банков, особенно если говорить об открытости банков миру. Банкам станет все труднее продавать безопасность по мере того, как клиенты будут все увереннее пользоваться технологиями, и в особенности мобильными устройствами.
Люди начнут использовать приложения, объединяющие различные сервисы и платежи для них, и совершать транзакции свободно, без контроля безопасности со стороны банков. И хотя клиенты будут чувствовать, что теперь лучше контролируют ситуацию, на самом деле банк потеряет часть контроля над клиентами.
Поэтому стоит вернуться к вопросу о том, как банку сохранить клиента в центре своего внимания. Необходимо сконцентрироваться на обеспечении информационной безопасности клиента и заботе о его потребностях. Таким образом, фокус смещается на главную суть банкинга, а люди хотят от своего банка двух вещей:
доступа к своим деньгам, когда они нужны;
совета по поводу денег, когда он нужен.
Огромное количество компаний банков и небанковских организаций многое сделали по первому пункту. Они могут вам предоставить доступ к вашим деньгам, когда нужно. По второму пункту еще многое предстоит сделать, и банкинг с помощью приложений имеет в этом плане ряд преимуществ, поскольку позволяет направлять клиентов и повышать их финансовую грамотность.
Это хорошая перспектива, и нужно помнить, что сохраняется ситуация, когда один человек на одном конце хочет помочь другому человеку на другом конце. Сейчас многие говорят о приложениях, брендах и необходимости быть «классными». Посмотрите на социальные медиа: как много банков доверяют им и пользуются доверием? Это вопрос соответствия банка клиенту и участия в жизни клиента; и эта сторона дискуссии не менее сложна, чем технологическая.
Единственная причина, по которой цифровые клиенты все еще появляются в отделении, это требования банковского регулирования. Правило KYC (know your customer знай своего клиента) во многих странах требует, чтобы для открытия нового счета клиент пришел в отделение банка и показал свой паспорт. Так получается, что в сегодняшнем цифровом мире люди посещают отделения банка только потому, что к этому обязывают правила.
Если отбросить правила, никто бы не пошел в отделение. Скорее, большинство обошло бы их стороной, будь у них такая возможность. Итак, вот задача для цифрового банка: как новые люди могут стать клиентами банка, подтвердив личность с помощью паспорта, если у банка нет отделений?
Очевидным решением могло бы быть сканирование документа и пересылка по электронной почте или отправка фотографии документа с мобильного телефона, но для большинства банков в большинстве стран это не разрешено законом.
По правилам KYC и AML (Anti-Money Laundering борьба с отмыванием денег), банк должен видеть оригинал паспорта. Это краеугольный камень дебатов о необходимости иметь отделения, но существует и другое решение.
Если клиенту неудобно лично появляться в отделении, почему бы банку самому не навестить клиента? Это еще одна альтернатива для банков, которые переходят от модели, основанной на отделениях, к модели выездного персонального консультирования клиентов.
В новом цифровом мире клиенты проводят все свои финансовые транзакции напрямую, с помощью удаленных сервисов самообслуживания; операции с наличностью автоматизированы посредством инфраструктуры банкоматов. Остаются такие услуги, как продажи и консультирование.
А почему бы не выдать лучшим в отделении консультантам автомобили, iPad и iPhone и отправить их к клиентам? Кликая на кнопку «Назначить встречу» в своем мобильном или онлайн-приложении, клиент сразу видит график встреч консультантов банка, где может выбрать удобное ему незанятое время и указать место встречи, подобно тому, как назначаются встречи в Genius Ваг магазина Apple.