Apple ha appena rilasciato pubblicamente iOS 17, ma l’azienda è già proiettata verso il rilascio della release 17.1 che, stando a quanto emerso in queste ore, conterrà un importante novità. Per adesso, si tratta di un’innovazione che riguarda esclusivamente gli utenti che risiedono nel Regno Unito ma che prossimamente potrebbe essere portata negli altri Paesi europei.
L’app Wallet installata sugli iPhone è di solito usata per accoppiare carte di credito e di debito con Apple Pay, aggiungere carte fedeltà e avere in unico posto i vari sistemi di pagamento che si posseggono. Con iOS 17.1, Wallet diventa in grado di “dialogare” con i server delle banche mostrando il saldo e le transazioni effettuate, comprese quelle delle carte di pagamento (utilizzate senza passare per Apple Pay).
Apple utilizza le Open Banking API per mostrare saldo e transazioni finanziarie
Alla base del meccanismo aggiunto a iOS 17.1, ci sono le Open Banking API. Esse poggiano su un insieme di protocolli e standard permettendo agli istituti di credito e alle organizzazioni finanziarie, di condividere dati in modo sicuro e standardizzato con terze parti, come altre banche o fornitori di servizi.
L’obiettivo principale delle Open Banking API è quello di favorire l’innovazione nel settore finanziario, consentendo a sviluppatori esterni di creare applicazioni e servizi che possono accedere ai dati finanziari dei clienti, nel rispetto delle normative sulla privacy e della sicurezza.
Attraverso le Open Banking API le applicazioni possono richiedere e scambiare informazioni finanziarie, come saldi del conto, transazioni, pagamenti e altri dati correlati, previa acquisizione di un’esplicita autorizzazione da parte dell’utente.
Nel Regno Unito, la nuova funzione è inizialmente supportata solo da una manciata di istituti di credito (tra cui anche Barclays, HSBC, Lloyds e RBS) ma altre banche dovrebbero aderire all’iniziativa in un secondo tempo. L’app Applet Wallet si connette ai loro servizi senza memorizzare credenziali o detenere direttamente i dati degli utenti. L’approccio garantisce che Apple non abbia accesso alle transazioni o ai dati degli utenti.
Come funzionano le Open Banking API
Sebbene ci troviamo ancora in una fase embrionale, Apple ha voluto cogliere subito la palla al balzo. Le Open Banking API funzionano come ponti digitali tra le diverse piattaforme e consentono ai clienti di autorizzare la condivisione dei propri dati finanziari con le terze parti autorizzate. Ad esempio, un individuo può autorizzare un’app di gestione finanziaria ad accedere ai dati del suo conto bancario per fornire servizi di budgeting e monitoraggio delle spese.
Il funzionamento delle Open Banking API si articola su una struttura multilivello, distribuita in più fasi:
- Autorizzazione: l’utente autorizza un’app o un servizio di terze parti ad accedere ai suoi dati finanziari tramite API. Il permesso può essere revocato in qualsiasi momento.
- Autenticazione: l’app o il servizio di terze parti si autentica presso l’istituto di credito usando le credenziali fornite dal cliente durante il processo di autorizzazione.
- Richiesta di dati: l’app o il servizio di terze parti invia una richiesta all’API per accedere ai dati finanziari del cliente, come il saldo del conto o la cronologia delle transazioni.
- Risposta con i dati: l’API restituisce i dati richiesti in un formato standardizzato, come JSON o XML.
- Aggiornamento dei dati: l’API può anche consentire all’app o al servizio di terze parti di aggiornare i dati finanziari del cliente, ad esempio effettuando un pagamento o trasferendo fondi tra conti.
La sicurezza dei dati trasferiti con le Open Banking API
Le Open Banking API poggiano le loro fondamenta su diverse tecnologie e protocolli a basso livello per garantire la sicurezza delle attività espletate dagli utenti:
- HTTPS: Le comunicazioni tra clienti, banche e terze parti tramite le Open Banking API avvengono spesso attraverso il protocollo HTTPS beneficiando quindi della crittografia dei dati in transito.
- OAuth: Il ben noto protocollo di autorizzazione OAuth che consente a un’applicazione di terze parti di ottenere accesso limitato a un sistema senza la necessità di condividere credenziali di accesso. Nelle Open Banking API, OAuth è spesso utilizzato per consentire alle applicazioni di accedere ai dati dei clienti con il loro consenso, senza rivelare le credenziali di accesso.
- JWT (JSON Web Token): Uno standard aperto che definisce un modo compatto e autonomo per rappresentare informazioni tra due parti. Nei contesti di Open Banking, i JWT possono essere utilizzati come mezzo per trasmettere informazioni di autenticazione e autorizzazione in modo sicuro tra i diversi componenti del sistema.
- PKI (Public Key Infrastructure): La PKI è una struttura di sicurezza che utilizza coppie di chiavi crittografiche pubbliche e private. Nel caso dell’Open Banking, la PKI può essere utilizzata per garantire l’autenticità delle parti coinvolte, consentendo la verifica delle firme digitali e l’implementazione di crittografia asimmetrica.
- SCA (Strong Customer Authentication): È un requisito chiave per sviluppare piattaforme conformi con PSD2. Richiede che gli utenti forniscano almeno due elementi di autenticazione: ad esempio qualcosa che il cliente conosce (come una password), qualcosa che il cliente possiede (come un dispositivo mobile) e qualcosa che è specifico per il cliente (come un’impronta digitale).
La normativa europea apre alla condivisione dei dati bancari
Nell’Unione Europea, l’adozione delle Open Banking API è guidata principalmente da due importanti regolamenti: la Direttiva sui servizi di pagamento, nota come PSD2 (Payment Services Directive 2), e il Regolamento sui servizi di pagamento (Payment Services Regulation, PSR). Gli istituti finanziari sono tenuti a fornire accesso a terze parti autorizzate dai clienti (con il consenso degli utenti) e a garantire che l’accesso avvenga in modo sicuro attraverso le API.
L’Europa si colloca tra le aree più progressiste in termini di adozione dell’open banking ed è probabilmente per questo che Apple ha deciso di partire da un Paese che fino “all’altro ieri” era uno degli Stati membri. L’attuale normativa è stata introdotta al fine di spostare la proprietà dei dati del consumatore lontano dalle banche, restituendo potere agli utenti finali e consentendo l’accesso a terze parti esplicitamente autorizzate. La Mela è una delle prime realtà mainstream a cogliere l’opportunità offerta dalle Open Banking API.
Credit immagine in apertura: iStock.com/Fabio Principe