Dansk startup var i teknologisk våbenkapløb med bankerne: Brugte "reverse engineering" for at få adgang til værdifulde data

Det danske fintech startup Spiir har brugt kreative midler for at få adgang til værdifulde bankdata. Snart tvinger et EU-direktiv bankerne til at give alle virksomheder samme adgang.

For den danske fintech-virksomhed Spiir ligner det kulminationen på mange års hård kamp med de danske banker, når et EU-direktiv den 1. januar næste år tvinger de europæiske bank-virksomheder til at åbne for deres API'er.

Det nye direktiv, PSD2, åbner muligheden for at tech-virksomheder kan bygge helt nye produkter og tjenester oven på deres kunders bankdata.

I dag har Spiir dog allerede skaffet sig adgang til de værdifulde data.

Men forud er der gået en lang og hård strid med de danske banker, der har tvunget virksomheden til at tage kreative midler i brug.

Noget, som ifølge Spiirs administrerende direktør og medstifter Rune Mai var nødvendigt, hvis virksomheden skulle overleve.

Læs også: Nye regler tvinger bankerne til at åbne for API'er: It-firmaer kan få direkte adgang til dine bankdata

Budget-app med 100.000 brugere
Spiir er en budget-app, som hjælper mere end 100.000 brugere med  automatisk at kortlægge og kategorisere deres forbrugsmønstre.

På denne måde kan det hjælpe måske især unge mennesker med at få overblik over deres økonomi, så de dermed kan undgå, at deres forbrug løber løbsk.

For at kunne gøre det er det nødvendigt, at Spiir har adgang til brugernes bankdata. 

Da Spiir gik i luften i 2011 skulle brugerne selv downloade data-filer fra deres netbank, og derefter manuelt uploade dem til Spiir.

Det stod dog i følge Rune Mai hurtigt klart, at det var helt afgørende for virksomhedens fremtid, at brugerne let kunne eksportere deres bankdata til appen. 

"Hvis vi skulle overleve i det her marked, så bliver vi nødt til at automatisere den proces. Det er ganske enkelt de færreste, der selv gider sidde og downloade de her filer," fortæller han til Computerworld. Møder med samtlige bank-direktioner
Efter Rune Mai kom til den erkendelse, brugte han de følgende to og et halvt år på at holde møder med danske bankchefer.

Det skete i et forsøg på at overbevise dem om at indgå samarbejde med Spiir, og dermed gøre det lettere for kunderne at overføre deres data til tjenesten. 

"Jeg vil tro, at jeg har talt med samtlige bank-direktioner i Danmark, og de fordelte sig nogenlunde ligeligt i to grupper. Den ene halvdel var positivt stemt, men havde på det tidspunkt ikke et API, som de kunne stille til rådighed for os."

"Den anden halvdel nægtede at samarbejde, og de var helt afvisende overfor vores argument om, at de her data ikke tilhørte dem, men tilhørte kunderne," fortæller han. 

Læs også: Her er Danske Banks særlige udviklingsafdeling: Tag med på besøg i "Project X"

Derfor stod det klart, at Rune Mai og Spiir på egen hånd måtte finde en metode, der gjorde det muligt at automatisere processen. 

"Jeg begyndte ret hurtigt at overveje, hvordan netbank-appen på min telefon kommunikerer med banken. For appen ligger jo direkte på min telefon og ikke på bankens server. Derfor må der ligge en adgang her," siger han. 

Reverse engineering førte til politianmeldelse
Gennem såkaldt "reverse engineering" lykkedes det for Spiir at finde frem til de endpoints, som bankernes egne apps gør brug af.

Ved at bruge de samme indgange som bankernes egne netbank-apps blev det således muligt for Spiir-brugerne at importere deres bankdata med samme lethed, som når de logger på deres netbank. 

Det har dog været en bekostelig udviklingsproces, der ifølge Rune Mai har kostet Spiir på den anden side af to millioner kroner og samtidig har kastet Spiir på kollisionskurs med adskillige banker. 

Stærkest var modstanden fra Jyske Bank, der politianmeldte Spiir og beskyldte iværksætter-virksomheden for at bruge "hacker-metoder"

Anklager som politiet og datatilsynet dog har frikendt Spiir for. 

Læs også: Dansk it-iværksætter: Bankerne giver ringe service til små firmaer

Teknologisk våbenkapløb
Opgøret med bankerne udspillede sig dog ikke kun juridisk.

Der foregik også et teknologisk våbenkapløb mellem på den ene side Spiir og på den anden side bankernes it-afdelinger. 

"I den periode var der en del banker der lavede en masse krumspring, hvor de opdaterede deres API'er alene for at genere Spiir."

"Men de fandt ret hurtigt ud af, at vi kunne følge med i et tempo, der gjorde, at det ikke kunne betale sig for dem. De brugte måske en uge på at udvikle et nyt tiltag, mens vi brugte to timer på at lave nogle tilpasninger, og så var vi oppe igen," fortæller han. 

Alle får nu samme muligheder
Spiir har gennem de seneste år postet mange ressourcer i, at virksomheden på egen hånd kan skaffe adgang til bankernes API'er.

Men til næste år bliver den adgang åben for alle, og dermed mister Spiir en konkurrence-fordel, når alle potentielle konkurrenter med et pennestrøg får næsten de samme muligheder foræret. 

Ifølge Rune Mai indeholder direktivet dog mange positive ting, der mere end opvejer tabet af den konkurrencefordel. 

"Jeg mener ikke, at det er en særlig stor konkurrencefordel, som vi taber. Derimod betyder EU-direktivet, at vi nu kan internationalisere vores service."

""For takket være de åbne API'er kan vi tilbyde Spiir til bankkunder i hele EU. Indtil nu har vi kun haft et nationalt marked, men nu får vi altså adgang til et europæisk marked," lyder hans vurdering.

Læs også: Dansk storbank vil med på disruption-bølgen, men har ikke ressourcerne: Sætter 100.000 kroner på højkant i hackathon



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Dansk milliardvirksomhed vil alligevel ikke forlade Danmark efter ændringer af ny overvågningslov: “Tvangselementet eksisterer stadigvæk, men det er fint nok i forhold til rigets sikkerhed”
Den danske milliardvirksomhed Tradeshift åndede lettet op i sidste uge, da man kunne konstatere, at regeringen havde indgået en politisk aftale om en ny lov for Center for Cybersikkerhed. For Tradeshift har tidligere truet med at forlade landet på grund af loven.
Computerworld
Google slipper første version af Android 10 løs: Her er de vigtigste nyheder
Tiende version af styresystemet Android er ude i sin første betaversion: Her er de nye funktioner, som systemsoftwaren vil byde på.
CIO
Tech fra Toppen: Det har CIO Mads Madsbjerg Hansen fra FLSmidth lært af flere års global it-konsolidering
Tech fra Toppen: Flere års arbejde har betydet en reduktion i antallet af it-systemer hos FLSmidth. Men processen har ikke været uden overraskelser. Hør hvad CIO Mads Madsbjerg Hansen har lært af den omfattende og globale proces.
Job & Karriere
Efter blodrødt regnskab: Nu fyrer Atea 20 medarbejdere i Danmark
Atea fyrer nu 20 medarbejdere. Det sker som en direkte konsekvens af, at den danske forretning er under pres, oplyser selskabets direktør.
White paper
Ny undersøgelse blandt detail- og produktionsvirksomheder
En ny stor rapport viser, at 100% af de virksomheder i undersøgelsen, som ikke bruger EDI i dag, mener, at det vil være en fordel for deres forretning, hvis de benyttede EDI. Undersøgelsen er foretaget af Vanson Bourne på vegne af TrueCommerce, som er baseret på besvarelser fra 300 detail- og produktionsvirksomheder. Virksomheder inden for især detail og produktion oplever i dag et marked og en supply chain, som er i konstant udvikling. Forbrugerne stiller stadig større krav til leveringstid, priser, produktudvalg, lagertilgængelighed, m.v., og der kommer hele tiden nye købskanaler til. Det kan være en udfordring for detail- og produktionsvirksomheder at holde sig på forkant med udviklingen, både når det drejer sig om at være til stede i de rette kanaler og - ikke mindst - den teknologi, som understøtter en mere effektiv supply chain. Hent hele rapporten helt gratis her.