Dansk startup var i teknologisk våbenkapløb med bankerne: Brugte "reverse engineering" for at få adgang til værdifulde data

Det danske fintech startup Spiir har brugt kreative midler for at få adgang til værdifulde bankdata. Snart tvinger et EU-direktiv bankerne til at give alle virksomheder samme adgang.

For den danske fintech-virksomhed Spiir ligner det kulminationen på mange års hård kamp med de danske banker, når et EU-direktiv den 1. januar næste år tvinger de europæiske bank-virksomheder til at åbne for deres API'er.

Det nye direktiv, PSD2, åbner muligheden for at tech-virksomheder kan bygge helt nye produkter og tjenester oven på deres kunders bankdata.

I dag har Spiir dog allerede skaffet sig adgang til de værdifulde data.

Men forud er der gået en lang og hård strid med de danske banker, der har tvunget virksomheden til at tage kreative midler i brug.

Noget, som ifølge Spiirs administrerende direktør og medstifter Rune Mai var nødvendigt, hvis virksomheden skulle overleve.

Læs også: Nye regler tvinger bankerne til at åbne for API'er: It-firmaer kan få direkte adgang til dine bankdata

Budget-app med 100.000 brugere
Spiir er en budget-app, som hjælper mere end 100.000 brugere med  automatisk at kortlægge og kategorisere deres forbrugsmønstre.

På denne måde kan det hjælpe måske især unge mennesker med at få overblik over deres økonomi, så de dermed kan undgå, at deres forbrug løber løbsk.

For at kunne gøre det er det nødvendigt, at Spiir har adgang til brugernes bankdata. 

Da Spiir gik i luften i 2011 skulle brugerne selv downloade data-filer fra deres netbank, og derefter manuelt uploade dem til Spiir.

Det stod dog i følge Rune Mai hurtigt klart, at det var helt afgørende for virksomhedens fremtid, at brugerne let kunne eksportere deres bankdata til appen. 

"Hvis vi skulle overleve i det her marked, så bliver vi nødt til at automatisere den proces. Det er ganske enkelt de færreste, der selv gider sidde og downloade de her filer," fortæller han til Computerworld. Møder med samtlige bank-direktioner
Efter Rune Mai kom til den erkendelse, brugte han de følgende to og et halvt år på at holde møder med danske bankchefer.

Det skete i et forsøg på at overbevise dem om at indgå samarbejde med Spiir, og dermed gøre det lettere for kunderne at overføre deres data til tjenesten. 

"Jeg vil tro, at jeg har talt med samtlige bank-direktioner i Danmark, og de fordelte sig nogenlunde ligeligt i to grupper. Den ene halvdel var positivt stemt, men havde på det tidspunkt ikke et API, som de kunne stille til rådighed for os."

"Den anden halvdel nægtede at samarbejde, og de var helt afvisende overfor vores argument om, at de her data ikke tilhørte dem, men tilhørte kunderne," fortæller han. 

Læs også: Her er Danske Banks særlige udviklingsafdeling: Tag med på besøg i "Project X"

Derfor stod det klart, at Rune Mai og Spiir på egen hånd måtte finde en metode, der gjorde det muligt at automatisere processen. 

"Jeg begyndte ret hurtigt at overveje, hvordan netbank-appen på min telefon kommunikerer med banken. For appen ligger jo direkte på min telefon og ikke på bankens server. Derfor må der ligge en adgang her," siger han. 

Reverse engineering førte til politianmeldelse
Gennem såkaldt "reverse engineering" lykkedes det for Spiir at finde frem til de endpoints, som bankernes egne apps gør brug af.

Ved at bruge de samme indgange som bankernes egne netbank-apps blev det således muligt for Spiir-brugerne at importere deres bankdata med samme lethed, som når de logger på deres netbank. 

Det har dog været en bekostelig udviklingsproces, der ifølge Rune Mai har kostet Spiir på den anden side af to millioner kroner og samtidig har kastet Spiir på kollisionskurs med adskillige banker. 

Stærkest var modstanden fra Jyske Bank, der politianmeldte Spiir og beskyldte iværksætter-virksomheden for at bruge "hacker-metoder"

Anklager som politiet og datatilsynet dog har frikendt Spiir for. 

Læs også: Dansk it-iværksætter: Bankerne giver ringe service til små firmaer

Teknologisk våbenkapløb
Opgøret med bankerne udspillede sig dog ikke kun juridisk.

Der foregik også et teknologisk våbenkapløb mellem på den ene side Spiir og på den anden side bankernes it-afdelinger. 

"I den periode var der en del banker der lavede en masse krumspring, hvor de opdaterede deres API'er alene for at genere Spiir."

"Men de fandt ret hurtigt ud af, at vi kunne følge med i et tempo, der gjorde, at det ikke kunne betale sig for dem. De brugte måske en uge på at udvikle et nyt tiltag, mens vi brugte to timer på at lave nogle tilpasninger, og så var vi oppe igen," fortæller han. 

Alle får nu samme muligheder
Spiir har gennem de seneste år postet mange ressourcer i, at virksomheden på egen hånd kan skaffe adgang til bankernes API'er.

Men til næste år bliver den adgang åben for alle, og dermed mister Spiir en konkurrence-fordel, når alle potentielle konkurrenter med et pennestrøg får næsten de samme muligheder foræret. 

Ifølge Rune Mai indeholder direktivet dog mange positive ting, der mere end opvejer tabet af den konkurrencefordel. 

"Jeg mener ikke, at det er en særlig stor konkurrencefordel, som vi taber. Derimod betyder EU-direktivet, at vi nu kan internationalisere vores service."

""For takket være de åbne API'er kan vi tilbyde Spiir til bankkunder i hele EU. Indtil nu har vi kun haft et nationalt marked, men nu får vi altså adgang til et europæisk marked," lyder hans vurdering.

Læs også: Dansk storbank vil med på disruption-bølgen, men har ikke ressourcerne: Sætter 100.000 kroner på højkant i hackathon




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debatterede artikler

Premium
Sådan fungerer Oracle og Microsofts storstilede cloud-samarbejde: Store muligheder for de danske kunder
Oracle Open World, San Francisco: Med et storstilet cloud-samarbejde binder Oracle og Microsoft sine datacentre sammen for at frigøre kunderne fra de traditionelle datacentre. Inden udgangen af 2020 skal Oracle have flere datacenter-regioner i verden end AWS.
CIO
Hov, der døde vist en enhjørning
Klumme: Hvorfor accepterer vi, at det er OK at kede sig, at det er OK at tiden bare går? Det siger sig selv, at det er nedbrydende for virksomhedens produktions-og handlekraft, at vi tillader os selv at gå i dvale flere gange dagligt.
Job & Karriere
Nye danskkrav får ansøgertallet til at falde på IT-Universitetet
Et nyt sprogkrav, der skal begrænse antallet af internationale studerende, har betydet, at 16 procent færre har søgt om at blive optaget på en bacheloruddannelse på IT-Universitetet i København.
White paper
Sådan undgår du kronisk forsinkede software releases
I dette white paper kigger vi nærmere på, hvad der ligger til grund for forsinkelser og bump på vejen, som ofte kan forsinke releasedatoen for software med flere måneder og i nogle tilfælde år. Vi giver dig proaktive og simple løsninger i denne guide, så du kan ændre på det. For det kan ofte have store konsekvenser og fatale følger for dig og din virksomhed, og i sidste ende gå ud over troværdigheden og omdømmet. Og den situation er der vel ingen der ønsker at stå i?