In occasione di Appathon 2015, l’hackathon lanciato da UniCredit in programma il 7 e 8 novembre (scadenza iscrizioni: 25 ottobre), la banca metterà a disposizione degli sviluppatori le sue API. È una delle novità dell’edizione di quest’anno.
Nonostante l’assonanza con gli insetti che producono il miele, le API (acronimo di Application Programming Interface), in ambito informatico, sono interfacce standardizzate di programmazione che consentono a programmi e siti esterni di comunicare e scambiare informazioni.
Se le API sono aperte, i programmatori possono realizzare applicazioni o servizi utilizzando il “kit” di dati, standard e strumenti
contenuti in queste interfacce. Per un’azienda, dare accesso alle proprie API significa dare vita a un processo di innovazione in crowdsourcing potenzialmente molto ampio e a basso costo. Perché sia la comunità dei programmatori che altre aziende possono prendere alcune interfacce e sfruttarle per costruire servizi a cui l’azienda che fornisce le API non aveva neanche pensato. Naturalmente, se le API vengono aperte, le prime a beneficiare delle eventuali innovazioni create sono le stesse aziende fornitrici.
Ma cosa succede se ad aprire le API sono delle aziende particolari come le banche? EconomyUp lo ha chiesto a Paolo Malinverno, Research VP di Gartner ed esperto di business legati alle API.
Che significato può avere per una banca l’apertura delle proprie API?
In generale apre lo spazio a nuove idee, a un sacco di innovazioni che altrimenti internamente non sarebbero realizzate. Serve a creare applicazioni nuove e ad avere indicazioni sull’utilizzo di strumenti bancari per scopi a cui la banca non avrebbe mai pensato. D’altronde, per le banche è anche un obbligo. C’è una direttiva europea, PSD2, che impone agli istituti di rendere pubbliche le interfacce dei propri sistemi di pagamento entro i prossimi due anni. Non è più una scelta. Quindi, chi lo fa prima ha un vantaggio competitivo rispetto alle altre. Inoltre, anche le divisioni non IT di una banca possono concepire applicazioni utili all’utente finale. Ormai chiunque può sviluppare delle app. La facilità di accesso alle skill di programmazione permette teoricamente a chiunque di innovare: utenti finali compresi, che se hanno la possibilità di partecipare a un hackathon, spesso ci provano.
Che tipo di API si prestano meglio all’innovazione in ambito bancario-finanziario?
Sicuramente, il settore dei pagamenti è uno di quelli che più può essere innovato attraverso le API. Ma è difficile stabilire cosa crea valore per ogni singola banca. Per esempio, se un istituto si apre per avere un touch point vicino al cliente finale, a quel punto le fonti dell’innovazione possono essere le API del customer service.
Quali sono le maggiori resistenze delle banche rispetto a questo approccio?
Sono di carattere culturale. Il ragionamento che molte banche fanno è: diamo in mano le interfacce a persone che non conosciamo, chissà cosa ci fanno sopra. E poi c’è il timore della pirateria informatica. Un istituto può essere spaventato dall’idea che i clienti possono pensare che la banca non sia sicura, anche se concretamente non succede niente, solo perché ha subito dei cyber-attacchi. È ovvio che per una banca la reputazione è tutto.
Quali sono i principali rischi a cui si espone una banca che apre le sue API?
Ci sono rischi legati alla sicurezza, naturalmente, perché appunto gli hacker sono dappertutto. Ma con un approccio disciplinato, i rischi sono gestibili. I sistemi per gestire le API in modo sicuro ci sono. In sostanza si può dare accesso alle API solo a determinati sviluppatori e quando realizzano qualcosa la si guarda, la si analizza e solo in un secondo momento si “adotta” quell’innovazione. Inoltre, le banche ormai sono maestre nell’autenticare l’utente finale anche su piattaforme mobile. Poi chiaramente ci sono rischi di accesso a informazioni riservate, legate a trasferimenti di fondi, conti correnti. Ma finora le banche non hanno mai fatto uscire informazioni. Sanno che è un tema delicatissimo e fanno massimo attenzione. In più, i pirati informatici ma quasi mai sono le banche a far uscire informazioni. E poi, i pirati informatici difficilmente vanno all’attacco di banche perché sanno che si tratta di soggetti forti, molto poco vulnerabili.