Tietoyhteiskunta odottaa pankkeja

Perttu Tolvanen

Tietoyhteiskuntastrategioissa ja viime aikaisissa lausunnoissa on kovasti rummutettu julkishallinnon ‘datan vapauttamista’ ja avoimien rajapintojen tarjoamista. Tämän uskotaan edesauttavan uudenlaisten palveluiden syntymistä. Lisäksi julkishallinnon toimesta syntyvän datan katsotaan olevan yleishyödyllistä tietoa johon tulisi olla pääsy muillakin kuin kulloisenkin sektorin viranomaisilla. Ylipäätään kansalaisilla katsotaan olevan oikeus heitä koskevaan tietoon.

Mutta entäpä taloustiedot? Onko yksittäisellä kansalaisella oikeus omiin tilitietoihin ja tilitapahtumiin?

Kysymyksen nosti esiin Kenneth Falck blogissaan kysyen, että eikö asiakkaan pitäisi itse pystyä päättämään kenelle luovuttaa pääsyn tilitietoihinsa. Ja eikö pankkien pitäisi tarjota tätä varten yksinkertainen vain-luku-toimintainen rajapinta?

Nykyisinhän suomalaiset verkkopankit eivät välttämättä edes näytä tilitapahtumien historiaa, vaan pahimmillaan historiatiedot pitää tilata paperilla kotiin, maksua vastaan tietysti. Jos pankkia taas päättää vaihtaa, niin vuosien taloushistoria jää pankin omistukseen. Ja vaikka pankkia ei vaihtaisi, niin yksikään verkkopankki ei sisällä järkeviä toimintoja oman taloushistorian tarkasteluun, saatika analysointiin. Onko tämä tietoyhteiskuntaa?

Aihe nousi eilen puheenaiheeksi verkossa kun Osuuspankki ilmoitti kieltävänsä Balancion-sovelluksen käytön asiakkailtaan. Balancionista on kirjoitettu laajemmin aiemmin Vierityspalkissa.

Tosin OP ei liene tarinan pahis, koska OP on ollut suomalaisista pankeista se ainut, joka on kehittänyt edes hieman vastaavaa lisäpalvelua omille asiakkailleen. Muiden pankkien verkkopankit ovat uinuneet täysin ruususen unta 2000-luvulla. Asiakkaat on jopa saatu maksamaan käytettävyydeltään surkeiden verkkopalveluiden käyttöoikeudesta.

Olisi varmaan jo korkea aika unohtaa pankkien edelläkävijärooli suomalaisessa tietoyhteiskuntakehityksessä. Se aika oli ja meni kymmenen vuotta sitten. Nyt voitaisiin miettiä pitäisikö pankeilta edellyttää avointen rajapintojen tarjoamista. Omat taloustiedot ovat aivan keskeisiä kansalaisen tietoja joiden käytöstä pitäisi jokaisen pystyä päättämään itse.

Lisätietoa:

Aiheet: verkkopankki

Tagit:

Perttu Tolvanen

Perttu Tolvanen on digitaalisten palveluiden suunnittelun, arkkitehtuuriratkaisujen ja kumppanivalintojen asiantuntija. Perttu on konsulttiyhtiö North Patrol Oy:n konsultti ja omistaja. North Patrol on digitoimistoista ja järjestelmätoimittajista riippumaton toimija, joka auttaa asiakkaita suunnittelemaan digitaalisia palveluita, valitsemaan sopivimmat teknologiat ja kilpailuttamaan osaavimmat kumppanit. Pertun yhteystiedot.
  1. Tuomas Rinta says:

    Keskustelu Balancionista on kyllä ollut aika mielenkiintoista, ja hienoa olisi jos keskusteluun saataisiin mukaan joku pankin edustaja, muutenkin kun legalese -tiedotteen kautta. Näin saataisiin sitä toista näkökulmaa mukaan ja pankit voisivat valottaa onko tällaista tulossa ollenkaan.

    Itse nimittäin tässä tilanteessa jopa ymmärrän kohtullisen hyvin pankkien toiminnan Suomessa. Tämä ei siis tarkoita että mielestäni on hyvä asia että API:a ei tarjota, vaan uskon että pankeilla voi olla itsellään käsitys että API:n tarjoaminen kuluttaja-asiakkaille ei välttämättä ole hyvä juttu.

    Kuten ArcticStartupin jutun kommenteissa (http://www.arcticstartup.com/2010/02/01/osuuspankki-says-no-to-balancion/#comments) Tuomas Toivonen mainitsee, ei yritysasiakkaille tarjottu API-ratkaisu ole käytettävissä kuluttajapuolella, eli ratkaisu jouduttaisiin suunnittelemaan alusta asti. Vaikka kuluttaja-API pystyttäisiin kehittämään kohtuullisella vaivalla (johon en ihan usko, pankkialalla mikään ei taida syntyä kovin helposti johtuen alaan liittyvistä tietoturva yms. vaatimuksista), loppukädessä uskon että kyseessä on enemmänkin riskienhallintaa.

    Tarjoamalla API:n johon kolmannen osapuolen sovellukset voivat integroida, tekee pankki reiän omaan luotettavuutensa sillä se ei voi varmistua siihen integroituvan sovelluksen toimintavarmuudesta ja tietoturvasta. Pankin tuleekin mielestäni pitää äärimmäisen tarkasti huolta siitä että käyttäjäntilitiedot ovat turvassa, ja jos tiedot siirretään kolmannelle osapuolelle, pankki menettää osan kontrollista. Vaikkakin voidaan aina argumentoida että “se oli firma X jotka sun tilitiedot vahingossa nettiin päästi, ei me” voi olla että kuluttajalle vahingon sattuessa ei ole kovin paljon väliä kenen vika oli, vaan nähdään että pankin tietoturva petti.

    API:n sijaan näkisin että järkevämpää olisi tarjota mahdollisuus verkkopankkiin ladata sieltä XML-muodossa tilitapahtumat jotka voitaisiin sitten ladata haluamiinsa palveluihin. Tämä olisi varmaan pankeille huomattavasti helpompi toteuttaa ja siihen ei liittyisi samanlaisia integraatioriskejä.

    Lopuksi pitää nyt tarttua tähän kommenttiin kirjoituksesta:
    “Omat taloustiedot ovat aivan keskeisiä kansalaisen tietoja joiden käytöstä pitäisi jokaisen pystyä päättämään itse.”

    Eihän se pankki varmaan estä sitä tiedon kopioimista sieltä verkkopankista talteen? Tuo lausahdus antaa ymmärtää että pankki ei päästäisi käyttäjiä käsiksi mitenkään omiin tilitietoihinsa. Monihan on vuosia pitänyt Excel-kirjanpitoa tilitiedoistaan.

  2. Kenneth Falck says:

    Aivan keskeistä tässä on, että tilihistoriatiedot saa ladattua automaattisesti, ja että niiden lataaminen ei vaadi pankkitunnuksilla kirjautumista joka kerta. Muuten ollaan samassa tilanteessa kuin nytkin.

    Minusta tuollainen API-rajapinta ei olisi mitenkään ihmeellinen juttu suunnitella. Verkkopankissa pitäisi vain olla keino luoda jokaiselle käytetylle sovellukselle oma read-only-valtuutusavain, jolla se pääsisi lukemaan tilihistoriaa SSL-yhteyden kautta. Käyttäjä voisi koska tahansa peruuttaa valtuutuksen miltä tahansa sovellukselta.

    Tietosuojan kannalta tilanne olisi täsmälleen sama, kuin että käyttäjä itse lataa tilihistorian sisältäviä XML-tiedostoja sovellukseen. Käytettävyyden kannalta taas ero on ratkaiseva.

  3. hgv says:

    Kerronpa asiaan liittyvän anekdootin. Kun internet ja minä olimme vähän nuorempia, soitin Nordeaan (saattoi olla Merita vielä silloin) jollekin väliosumajohtajalle jonka nimi on jo haihtunut tajunnasta. Tarkoituksenani oli esitellä hienoa ideaani (niitähän meillä kaikilla piisaa), jossa villakoiran core oli henkilökohtaiseen taloudenpitoon liittyvien seuranta- ja raportointityökalujen yhdistäminen verkkopankkiin. Puhelimen toisessa päässä vastaus ideaani oli lyhyt mutta tyrmäävä: “Meillä on tällainen palvelu jo kehitteillä”.

    It’s been a long time coming.

  4. PA says:

    Innostuin Wesabesta ja vastaavista kesällä 2007 ja kysyin tuolloin yhdeltä nordealaiselta, voisiko vastaava onnistua Suomessa. Hän kertoi tuolloin näin:

    Kiitos viestistä. Vaikuttaa varsin mielenkiintoiselta palvelulta, täytyy tutkia enempi.

    Äkkiseltään sanoisin että tuohon on 2 rajoittavaa tekijää

    – tietoturvakysymykset
    – yksilöllisyyden suoja – tai pelko sen menetyksestä, vaikka välttämättä aihetta ei olisikaan. Pankkisalaisuus on kuitenkin aika herkkä aihe monelle.

    Lainsäädännöllistä estettä moiselle ei käsittääkseni ole. Tietty RATA voi älähtää tai ainakin haluaa selvitykset jos joku pankki moista alkaisi tarjota.

    Tutkin tuota tässä tällä viikolla lisää!

  5. Jussi Muurikainen says:

    Hei!

    Kiirettä pitää ;) Kun niin kovin moni on kiitellyt, että Balancion on ollut aktiivinen keskustelija – ja nyt kun koko netti tuntuu olevan pullollaan keskustelua aiheesta – niin google ja sosiaaliset mediat ovat tulleet tutuksi.

    Ohessa hyvin tiivistettynä muutama kommentti täällä käytävään keskusteluun:

    1) Tuo XML-API on arkipäivää maailmalla. Tekninen haaste tämä ei ole tai varsinkaan mikään tietoturvakysymys. Tämä on rakennettu huomattavasti Suomea jäljessä oleviiin pankkijärjestelmäympäristöihin ja esim. Suomessa Tietolla on kaikki osaaminen ja resurssit hoitaa homma toimimaan täällä Suomessa. No dobt about that one.

    2) Tilitoimistojen ja kirjanpito-ohjelmistojen ei tarvitse tehdä juurikaan töitä saadakseen ko. XML-rajapinnan käyttöön. Kokeeksi voisin testata asiaa ja perustaa yrityksen, joka rakentaa vastaavan palvelun yrityksille. Mutta sanottakoon, että fokuksemme on kuluttajapalvelussa ja tuo nyt oli vain hienovarainen viittaus siihen, miten paljon helpompaa on tulla mukaan, jos ei tarvitse olla pioneeri. Balancion käyttää itse Procountoria, suosittelen ;)

    3) Pankkien on mahdotonta tarjota vastaavaa palvelua. Mikä pankki palvelisi meidän kodin talousasioissa samalla teemalla? Jussin tilit ovat Sampossa, OP:ssa ja Älandsbankenissa ja vaimollani Anitalla OP:ssa ja Handelsbankenissa. Kortteja on 3 OP:ssa yksi Sampossa ja yksi Handelsbankenissa. Aiemmin oli myös American Express. Kuka toimija piirtää tältä pohjalta kokonaiskuvan siitä, miten taloutemme makaa? Kuka kertoo, mikä oli nettomenojen ja nettotulojen suhde taloudessamme? Kuka kertoo, paljonko kulutimme viime vuonna bensaan? Aivan oikein, ei kukaan. Ei siis ennen Balancionia.

    4) Suomessa osataan tietoturva. Nixu yhtenä esimerkkinä. Tieto & Nixu olisi yhdistelmä, joka tekisi melko nopeasti tuon XML-mallin mahdolliseksi käyttöön kaikille suomalaisille pankeille. Tietoturva on helppo tekosyy. Kuka Suomessa osaa validoida tietoturvan parhaiten? Aivan, Suomen parhaat tietoturva-asiantuntijat. No voitaisiinko olettaa, että heitä voidaan käyttää objektiviisessa arvioinnissa siitä, miten nämä ratkaisut voitaisiin toteuttaa? Voidaan. Voidaanko olettaa, että he tietävät, miten tietoturvallinen tai tietoturvallinen Balancion on nykyisellään? Voidaan.

    5) Saamme sadoittain nykyisiltä käyttäjiltä viestejä siitä, kuinka kauan tällaisia palveluita on odotettu. Kiitos kannustuksesta! Nykyään kymmenet tuhannet suomalaiset (IRO Research 01/2009) käyttävät exceliä taloudenhallinnan työkalunaan. Tätäkin suositumpi (suorastaan ylivoimainen) on kynä ja paperi. Ei ole ihme, että vaikkapa Kukkaron Herraksi -tosiTV antaa ohjelmassa asiakkailleen ruutuvihkon oman talouden suunnittelun tueksi. Kolmanneksi suosituin nykytyökalu on oma verkkopankki.

    6) Koko tämän keskustelun aikana yksi asia tuntuu unohtuvan. Se on kysymys siitä, kenellä on oikeus omaan intiimiin dataan? Mielestäni ainoa oikea vastaus on: meillä yksityishenkilöillä. Jos yritys saisi “et kyllä saa näitä” -vastauksen omalta pankiltaan, sitä pidettäisiin nykyisellään pöyristyttävänä. Jos kuluttajalle tarjotaan samaa vastausta, sillekin löytyy puolustajansa. Miksi näin?

    7) Olen ollut todella kärsivällinen ja uskon missioomme niin paljon, että uskon lopulta elämme maailmassa, jossa tällaisten palveluiden ei tarvitse perustella olemassaolonsa merkitystä, vaan ne nähdään itsestäänselvyytenä. Onneksi moni näkee samoin. Sanoin tänään vaimolleni, että emme tunnu sitten kuitenkaan olevan kovin myöhässä, vaikka ideaa on suunniteltu jo vuodesta 2002. Tämän todisteena on keskustelu, jota nyt käydään. Ei Suomi ilmeisesti olisi ollut valmis vielä 2002, kun toinen perustajaosakkaamme sai idean palvelusta. Silloin olisi ollut liian aikaista. Ehkä nyt on se oikea aika. Tuntuu olevan oikea aika muuallakin Euroopassa. Kun perustimme yrityksen, löytyi 1 Iso-Britanniasta. Nyt vuosi tästä eteen ja Iso-Britanniassa on 2, Hollannissa 1, Saksassa 1, Ruotsissa 1, Virossa 1…

    8) Sain kollegoilta palautetta tänään, että yrittäessäni olla diplomaatti näissä keskusteluissa, unohdan välillä kiittää kaikkia siitä, että tätä keskustelua ylipäätään käydään. Siksi kiitän nyt: kiitos! Uskon nimittäin itse avoimuuteen, raivorehellisyyteen ja suoraan puheeseen. Samalla saan uskomattoman paljon voimia pitkiin työpäiviini siitä, että meillä on niin paljon tukijoita. Kiitos teille kaikille tästä! Muistilapuksi pankeille – tämän toki jo tiedättekin – olemme toimialan täydentäjä, emme vihamielinen markkinahäirikkö.

    Loppuun voisi todeta vielä, että muistetaan välillä puhua itse asiasta: olemme rakentamassa Suomen ensimmäisenä riippumattomana toimijana palvelua, joka tekee sen, mitä ainakin me perustajat olemme toivoneet kauan. Rakennamme palvelua, jossa käyttäjä on kuningas. Kuningas siksi, että hänellä on itsellä yksinoikeus oman datansa hakuun, sen arkistointiin ja analysointiin palvelumme avulla. Palvelun, joka auttaa arjen talouden suunnittelussa, seurannassa ja siinä, että käyttäjällä on työkalut omien elämänmittaisten – pienten tai suurten – tavoitteiden toteuttamiseen.

    Aika näyttää, kuinka kauan menee ennen kuin luottamuksen, XML-rajapintojen ja loistavan palvelun rakentaminen rakentaminen kestää. Käyttäjäpalautteen peruseella: ei enää kovin kauan. Tämä on myös henkilökohtainen missioni, jotta en joudu palaamaan siihen aikaan, kun keräsin jokaisen ostokuitin oman “excel-Balancionini” raaka-aineeksi. Olen siis rakentamassa tätä palvelua myös itselleni.

    Kerrataan vielä: kiitos kaikille, keskustelu jatkukoon ja nöyränä haasteidemme keskellä ;)

    t. Jussi Muurikainen
    perustaja/toimitusjohtaja
    Balancion Oy
    050-567 3100
    jussi.muurikainen@balancion.com

  6. Osma says:

    Lähetin pari päivää sitten melko kiukkuista asiakaspalautetta OP:lle Balancionin kieltämisestä, ja tänään tuli hieman erilainen viesti takaisin: lyhennettynä “OP ei voi taata palvelun turvallisuutta, käyttö on asiakkaan omalla vastuulla”. Tähän voisi sanoa “no shit, Sherlock” – mutta ainakaan he eivät varsinaisesti KIELLÄ käyttöä.

  7. Teemu Hauhia says:

    Tähän mielenkiintoiseen ketjuun liittyen: Balancion on juuri sulkenut palvelunsa sieltä mahdollisesti löytyneen tietoturvaongelman vuoksi.

  8. Jussi Muurikainen says:

    Hei Teemu!

    Olemme tosi tarkkana tietoturva-asioissa ja jopa liian tarkkoja, niin oudolta kuin se kuulostaakin. Tässä hieman lisätietoa:

    Saimme historian 1. relevantin vihjeen siitä, että eräs osa palvelumme datahaun prosessista saattaa mahdollistaa koodin rikkomisen. Pelkkä aavistus riitti meille ja suljimme palvelun eikä koko tuota prosessia ehditty edes testaamaan. Saimme tiedon asiasta illalla korviimme ja toimimme välittömästi. Voi olla siis, että tämä oli turhankin nopeaa reagointia, mutta se on valitsemamme linjamme.

    Hyvää tässä on tietysti se, että pelkkä koodin rikkominen ei sellaisenaan ole kriittinen tietoturvauhka, sillä sen lisäksi palvelumme datahaku varmistaa, että tuo edelleen vasta mahdollinen rikkoutuminen ei sellaisenaan vielä riitä, koska tämän lisäksi palvelumme erinäiset tarkistusprosessit katsovat onko koodiin koskettu ennen kuin “rikottua moottoria” on mahdollista käyttää palvelussamme. Testaamme asiaa huomenna ensin siten, että a) onko tuo koodin murtaminen todella mahdollista, b) jos on, voiko tarkistusprosessia ohittaa. Jos jompaan kumpaan vastaus on kyllä, korjaamme asian.

    Valitsemamme rehellinen ja avoin tiedotuspolitiikka ei ehkä ole klassista “kiistämme kaiken” -politiikkaa, mutta se on valittu linjamme. Siksi emme laittaneet lappua luukulle normaaliin “päivitämme järjestelmää” -tyyliin vaan ilmoitimme tästä historiamme ensimmäisestä mahdollisesta löydetystä tietoturva-aukosta suoraan ja rehellisesti.

    Historia näyttää, voiko näin rehellinen olla ja onko keskusteleminen näistä asioista näin suoraan aina kaupallisesti kannattavaa. Uskomme, että lopulta on, sillä luottamus perustuu avoimuuteen, ei peittelyyn.

    t. Jussi Muurikainen
    perustaja/toimitusjohtaja
    Balancion Oy
    050-567 3100
    jussi.muurikainen@balancion.com

  9. asmunder says:

    Täytyy kyllä nostaa hattua Jussille ja kumppaneille avoimesta tiedottamisesta & aktiivisesta vuoropuhelusta eri puolella verkkoa!

  10. spekkola says:

    Jussi, isot peukut Balancionin tavasta kommunikoida! Tsemppiä!!

  11. Antti says:

    Enpä tiedä kuinka avointa tuo on kun www-sivutkin ovat maissa ja tullut posti oli varsin kysymyksiäherättävä. Vaikea on käyttäjien tätä tietoa ympäriinsä hakea. www-sivuilla se toisi “turvallisuutta”.

    “Piuhat irti ja Pattayalle” vai miten se wincapita tekikään ;)

  12. Jussi Muurikainen says:

    Hei Antti!

    Kotisivumme menivät rehellisesti sanottuna aidon oman virheeni takia kiinni, kun päätin pyytää sulkuun kaikki Nebulan palvelimet heti kuultuani tuosta mahdollisesta haavoittuvuudesta – ja vahingossa en rajannut kotisivujemme palvelinta tästä sulusta. Ymmärrän toisaalta erinomaisesti, että tuo aiheutti hämmennystä.

    Tässä on mielestäni paras yleiskuvaus toimittajan sanoin:

    http://www.digitoday.fi/tietoturva/2010/02/05/java-korjaus-pitaa-balancionin-kiinni-viikonlopun/20101864/66

    Hyvää viikonloppua kaikille!

    t. Jussi Muurikainen
    perustaja/toimitusjohtaja
    Balancion Oy
    jussi.muurikainen@balancion.com
    050-567 3100