Yfirlit

Blogg

Fréttir
20.06.2018

Hlaupandi forstjóri og 6.596 bankar

Þegar ég hóf störf hjá RB á sínum tíma þá bar það svo til að ég fór í ferð til Dan­merkur ásamt for­stjóra félags­ins. Þetta væri nú ekki til­efni til mik­illa frétta, nema vegna þess að áður en lagt var af stað þá skor­aði hann á hóp­inn að taka með sér hlaupa­skó til að taka morg­unskokk í Köben.

Fréttir
29.11.2017

Ógnir gagnagrunna í netvæddum viðskiptum nútímasamfélags - Hugvekja gagnagrunnssérfræðings

Tækniumhverfi í nútímasamfélagi hefur tekið miklum breytingum og ef bara er litið til síðustu áratuga þá er breytingin geysileg. Í augum margra, sérstaklega af eldri kynslóðinni, er hún í senn ógnvekjandi og yfirþyrmandi en einnig spennandi. Sem betur fer taka langflestir þessum tækniframförum fagnandi og bókstaflega gleypa tæknina í sig. Dæmi um nýjungar sem í dag þykja orðið sjálfsagðar eru að versla á Internetinu sem og að eiga bankaviðskipti við sinn viðskiptabanka á þeim vettvangi. Þessi viðskipti hafa síðan teygt anga sína í farsímana með tilheyrandi „þægindum“ fyrir alla.

En að baki allra vefverslanakerfa, netbanka og smá-forrita (e. apps), sem tengjast verslun eða banka, er einhver gagnagrunnur. Gagnagrunnur sem heldur utan um öll viðskipti einstaklinga við viðkomandi verslun eða banka. Þessar upplýsingar eru persónugreinanlegar og því afar viðkvæmar og lúta því persónuverndarlögum og bankaleynd þar sem það á við.

Þróun gagnagrunna og forritunarmála undanfarna áratugi

Gagnagrunnar hafa undanfarinn áratug tekið gríðarlegt stökk í þróun, afkastageta þeirra hefur margfaldast sem og viðhald og annað utanumhald orðið betra samhliða auknu flækjustigi. Þetta hefur orðið til þess að margvíslegir möguleikar í forritun með SQL fyrirspurnamálinu hafa litið dagsins ljós. M.a. eru möguleikar á að varpa gögnum úr einu formi í annað, áður en gögnunum er skilað til forrits, mun fjölbreyttari í dag en áður. Það sem er nýjast og heitast í dag er vörpun úr töfluformi (relational) yfir í JSON (Javascript Object Notation) til að geta flutt gögn yfir í snjallsíma með auðveldum og hraðvirkum hætti. En þessar framfarir hafa líka orðið til þess að það, að skrifa SQL fyrirspurn og/eða gagnagrunns-forrit (gagnagrunns-pakka) er mun vandmeðfarnara en áður.

Eins hefur þróun margra forritunarmála eins og Java, JavaScript, PHP, Ruby, ASP.Net, Python, C og C++ (að ógleymdum öðrum forritunarmálum sem ekki verða talin upp hér) einnig orðið gríðarleg fyrir forritun vef-, bakvinnslu- og smá-forrita og mögulegur stuðningur við ótal mismunandi gagnagrunna aukist frá því sem áður var. Samfara þessum framförum, sem nefndar eru hér að framan, og með tilkomu vefverslanakerfa, netbanka, banka- og verslunarforrita fyrir farsíma (e. mobile apps) hafa kröfur um hraðvirkar SQL-fyrirspurnir sem og aðra gagnavinnslu fengið aukið vægi. Framleiðendur gagnagrunna hafa, að sama skapi, verið duglegir að koma fram með nýjungar er styrkja það sem glímt er við enn frekar. Sú þróun hefur oft í för með sér að flóknar beinlínu- og/eða Internet-tengdar (e. online ) SQL-fyrirspurnir sem geta tekið einhverjar sekúndur með eldri SQL-rithætti detta undir sekúndu í keyrslu með nýrri SQL-rithætti og bakvinnslur í gagnagrunnum sem áður tóku mínútur uppí margar klukkustundir geta hæglega dottið niður í fáeinar sekúndur.

Hverjar eru þá helstu ógnir gagnagrunna?

Segja má að ein stærsta ógn gagnagrunna í dag sé sú að forritarar nýti ekki til fulls þær nýjungar, sem framleiðendur gagnagrunna bjóða upp á og/eða hafa komið með undanfarinn áratug, sem myndu bæta afköst kerfanna. Forritarar þurfa að vera vel vakandi fyrir nýjungum í gagnagrunnum til að skapa hugbúnaðarlausnum sínum framgang í ört vaxandi samkeppni um hraðvirkari lausnir á þeim fjölmörgu vandamálum sem glímt er við. Ég hef orðið þess áskynja í mínu fagi sem gagnagrunns- og hugbúnaðarsérfræðingur vegna aðstoðar sem ég veiti í gegnum fagvefi að kollegar hér heima og erlendis fara oft á mis við nýjungar sem í boði eru í þeim gagnagrunnum sem þeir eru að vinna á móti og eru þeir oftast þakklátir fyrir ábendingar. Lausnir þessar hafa skilað því að kerfin vinna allt að 98 prósent hraðar og og af meiri skilvirkni en þær gerðu áður.

Auðvitað skiptir val á vélbúnaði einhverju máli þar sem gagnagrunnar þurfa bæði afl og vinnsluminni. Vélbúnað þarf einnig að endurnýja reglulega og í sumum tilfellum getur það reynst nauðsyn. Val á vélbúnaði ætti þó að taka mið af því um hverskonar vinnuálag (e. workload) og gagnamagn er að ræða. Hitt er annað að rannsóknir hafa sýnt að 80 prósent af afkastavandamálum kerfa, sem nýta sér gagnagrunn, liggur í rangri kóðun á SQL fyrirspurnum miðað við þá útgáfu af gagnagrunni sem unnið er með hverju sinni. Þannig að hvort sem menn velja nýja stórtölvu, stóra, miðlungs eða litla miðlara (e. servers ) þá er hagkvæmt að ráðast á þungar SQL-fyrirspurnir, töflustrúktúr og aðra gagnagrunnshögun og innleiða þær nýjungar sem í boði eru. Ein lausn sem ég lagði til á einum fagvefnum sparaði, eða öllu heldur seinkaði, kaupum erlends fyrirtækis á nýjum miðlara af miðstærð undir gagnagrunn.

Önnur ógn sem er nátengd ógninni sem lýst var hér að framan er öryggi gagnanna. Gríðarlega mikilvægt er að huga vel að því hvernig fyrirspurnir og innsending gagna og gagnabreytinga eru formaðar og prófaðar (e. validation) og sendar inní gagnagrunnana sem og hvernig gögnunum er skilað til baka til vefsins eða forritsins. Eitt þekktasta dæmið um árás á gagnagrunna er SQL-innspýting (e. SQL-injection) þar sem hakkari bætir inní SQL-fyrirspurn og eða innsláttar-textasvæði, sínum SQL-skipunum og nær þannig að komast inní gagnagrunninn. Það er alltof algengt að forritarar átti sig ekki á að nýta þá einföldu tækni sem kemur í veg fyrir slíkar árásir. SQL innspýting er í dag (árið 2017 ) í fyrsta sæti skv. TOP 10 lista OWASP (www.owasp.org ) yfir ógnir sem steðja að tölvukerfum og gagnagrunnum.


Myndatexti: SQL innspýting

Og því miður hafa margir stærstu gagnalekar (e. data breaches) útí heimi undanfarin ár, þar sem persónugreinanlegar upplýsingar og kreditkorta-upplýsingar hafa komist í hendur glæpagengja, einmitt notast við SQL-innspýtingu. Hjúpun SQL-fyrirspurna og innsendinga gagna í kóða, sem og notkun á gagnagrunns-stefjum (e. stored procedures) ásamt góðri og ítarlegri prófun (validation) gagna fyrir innsendingu, skiptir sköpum í þeirri baráttu en það vill brenna oft við að hugbúnaðarlausnir skorti slíka nálgun í hönnun. Það er sérstaklega áberandi í vefkerfum þar sem SQL kóði er berskjaldaður fyrir hökkurum og sýnilegur í vafra með því einu að opna sýn á kóða síðunnar.

Lokaorð

Með þróun forritunarmála og gagnagrunna skapast gríðarleg fjölbreytni í hugbúnaðarlausnum fyrir vefi, bakvinnslukerfi sem og smá-forrita. Þessari fjölbreytni ber að fagna en að sama skapi þarf að vega og meta hverju sinni með ítarlegum prófunum hvort þessi eða hin lausnin henti þeim vandamálum sem glímt er við, m.t.t. öryggis gagna og afkastagetu og eins samanburði við gömlu lausnina.

Hugbúnaðarþróun er langhlaup og eins og í langhlaupi þá krefst hugbúnaðarþróun agaðrar, vel skipulagðrar og markvissrar þjálfunar. Þjálfun og endurmenntun í hugbúnaðargerð og gagnagrunns-forritun/hönnun, í ört vaxandi tækniframförum samtímans krefst mikillar athygli hugbúnaðar-sérfræðings á þeim framförum sem verða til þess að hann/hún geti skapað sínum lausnum framgang í ört vaxandi samkeppni um betri, öruggari og hraðvirkari lausnir.

Greinin birtist fyrst í Tölvumálum, tímariti Skýrslutæknifélags Íslands, í nóvember 2017

Fréttir
21.11.2017

Aukið öryggi í greiðslumiðlun

Fyrirtæki sem bjóða upp á lausnir sem gera neytendum kleift að greiða fyrir vöru og þjónustu með símanum sínum hafa verið að spretta upp um allan heim. Með þessum lausnum gefst tækifæri til þess að nýta nýjar leiðir til að greiða fyrir vöru og þjónustu. Hingað til hafa seljendur innkallað eða sótt greiðslur að fullu úr viðkomandi kortakerfi (e. pull payments). Nýjar farsímagreiðslulausnir snúast hins vegar um að koma fjármunum beint til viðtakanda/seljanda (e. push payments).

Netverslun sem býður upp á greiðslur með debet- eða kreditkorti eru gott dæmi um greiðslur þar sem seljandi sækir fjármuni í tiltekið greiðslukerfi.

  1. Greiðandi afhendir seljanda allar upplýsingar sem seljandi þarf til þess að sækja þá fjármuni sem greiðandi á að greiða fyrir tiltekna vöru eða þjónustu.
  2. Seljandi kallar eftir fjármunum t.d. með því að framkvæma kortafærslu.
  3. Seljandi fær síðan fjármuni frá færsluhirði.

Ógreiddir reikningar í netbönkum er hins vegar ágætt dæmi um greiðslur þar sem greiðandi ýtir fjármunum til móttakanda.

  1. Seljandi sendir greiðanda upplýsingar um sig.
  2. Greiðandi sendir greiðslubeiðni á sína fjármálastofnun.
  3. Fjármálastofnun færir fjármuni frá greiðanda til seljanda.

Nýjar farsímagreiðslulausnir nýta sumar hverjar sambærilegar aðferðir við framkvæmd greiðslna.Þó svo að neytendur upplifi það ekki þegar þeir versla á netinu eða nota greiðslukort í verslunum þá eru þeir í raun að treysta móttakandanum fyrir lyklinum að bankahólfinu sínu. Þótt það sé ólíklegt að móttakandinn muni misnota upplýsingarnar þá eru mun meiri líkur á því að einhver þriðji aðili komist yfir kortaupplýsingarnar meðal annars með innbroti í kerfi þeirra sem greiðendur hafa treyst kortaupplýsingunum sínum fyrir.

Evrópusambandið bregst við misnotkun kortaupplýsinga með PSD2

Árið 2015 jókst misnotkun á kortum í Bretlandi um 18% sem er langt umfram aukningu á kortaveltu[1]. Misnotkun á kortaupplýsingum er stórt vandamál í heiminum og verja fjármálafyrirtæki gríðarlegum fjármunum í varnir gegn þessari misnotkun. Með nýrri tilskipun um greiðsluþjónustu, PSD2, er Evrópusambandið að bregðast við þessari misnotkun og herða öryggisreglur í greiðslumiðlun.

Áhættan á misnotkun er töluvert minni þegar greiðandi sendir fjármuni beint til móttakanda. Í þannig ferli fara einungis fjármunir til móttakanda en ekki upplýsingar sem hægt er að misnota. Hollenska netgreiðslugáttin iDEAL hefur nýtt sér greiðslur þar sem greiðandi sendir fjármuni beint til móttakanda með frábærum árangri undanfarin ár. Samkvæmt tölum frá Dutch Payments Association þá hefur verslun á netinu aukist jafnt og þétt í Hollandi á meðan svikamálum fer fækkandi. Frá árinu 2012 hafa greiðslusvik lækkað um um rúmlega 70 milljónir evra[2].

Nýjar farsímagreiðslulausnir sem eru í boði víðs vegar um heim eru nánast allar að ýta eða senda fjármuni beint til viðtakanda eða móttakanda. Í hinni nýju tilskipun ESB um greiðsluþjónustu, PSD2, er lagaramminn fyrir þannig greiðslum (push payments) skýrður en þar er t.d. gert ráð fyrir nýju þjónustuhlutverki, svo kölluðum greiðsluvirkjendum, sem geta miðlað greiðslum beint frá kaupanda til verslunar. Öryggi í greiðslum ætti því að aukast töluvert þegar við hættum að afhenda lykilinn að bankahólfinu okkar mistraustum aðilum á netinu. Þannig verður svo hægt að draga úr þeim kostnaði sem hlýst af kortasvikum.

________________________________________
[1] https://www.financialfraudaction.org.uk/fraudfacts16/assets/fraud_the_facts.pdf
http://www.theukcardsassociation.org.uk/2015-facts-figures/credit_and_charge_card_figures_2015.asp
[2] https://www.betaalvereniging.nl/en/nieuws/payments-the-netherlands-fast-safe-simple-and-efficient

Fréttir
20.10.2017

Þjóðarhagsmunir og greiðslumiðlun

Dagsdaglega göngum við út frá því sem gefnu að geta nýtt greiðslukortin okkar til að greiða fyrir vöru og þjónustu. Einstaka sinnum koma upp tæknilegir hnökrar sem valda því að ekki sé hægt að nota kortin til að greiða og rata slík tilvik nær alltaf í fjölmiðla, jafnvel þótt atvikið vari í bara nokkrar mínútur og hafi eingöngu áhrif á hluta kortahafa.

Ein af þeim spurningum sem yfirvöld standa fram fyrir, er hvernig hægt sé að tryggja greiðslumiðlun þegar vá steðjar að, í samfélögum þar sem reiðufé hefur verið nærri útrýmt. Ef til viðskiptadeilna kæmi milli tveggja ríkja væri t.d. hægt að loka á virkni greiðslukorta í tilteknu landi ef yfirvöld í Bandaríkjunum settu þrýsting á bandarísku kortasamsteypurnar? Sagan segir okkur að svarið við því er já. Bandarísk stjórnvöld lögðu árið 2014 viðskiptaþvinganir á rússnesk stjórnvöld og fyrirtæki vegna stríðsins í Úkraínu. Einn þáttur í þeim viðskiptaþvingunum var að loka á viðskipti kortasamsteypanna Visa og MasterCard við Bank Rossiya og Sobinbank(1).

En það þarf ekki endilega stjórnvaldaðgerðir til þess smágreiðslumiðlun í landi sé ógnað. Við hrun íslensku bankanna í október 2008 kom til álita hjá erlendu kortasamsteypunum að loka greiðslukortum á Íslandi vegna ótta um að útgefendur kortanna, þ.e. gömlu bankarnir, gætu ekki gert upp við færsluhirða sem þurftu að standa skil á greiðslum til kaupmanna. Sú hótun náði í reynd aðeins til kreditkortanna því debetkortakerfið, sem búið var til hjá RB, var að fullu undir innlendri stjórn þannig að erlendu kortasamsteypurnar gátu ekki gripið til lokunaraðgerða hvað þau varðar hér á landi. Debetkortakerfið frá RB er í raun innlent kortakerfi þó það sé framleitt fyrir erlendu kortasamsteypurnar. Því var hægt að tryggja að debetkortin myndu virka áfram á Íslandi þótt að á tímabili hafi litið út fyrir að lokað yrði á notkun þeirra erlendis.

Seðlabankanum tókst þessa sömu helgi að koma í veg fyrir bæði lokun kreditkorta og tryggja fulla virkni debetkortanna erlendis. Þetta og það að almenningi var tryggður aðgangur að innstæðum sínum gerði það að verkum að innlend greiðslumiðlun hélst virk þrátt fyrir önnur óþægindi og þann fjárhagslega skaða sem af hruninu leiddi. Almenningur gat farið út í búð og keypt vörur og þjónustu. Hefði þessi starfsemi ekki verið til staðar, þá hefðum við mögulega verið að tala um annars konar byltingu en búsáhaldabyltingu.

Öryggi greiðslumiðlunar með tilkomu nýrra greiðslumiðla

Með tilkomu nýrra greiðslumiðla er vert að spyrja sig hvort við verðum eitthvað betur sett hvað varðar öryggi íslenskrar greiðslumiðlunar? Eins og oft er þegar breytingar eiga sér stað að þá er svarið já og nei. Fjölgun greiðslumiðla, t.d. möguleikinn á að nota farsímagreiðslur sem byggja á innlánareikningum banka í stað kreditkorta, eykur rekstrarlegt öryggi í greiðslumiðlun landsins. Þótt að ein greiðslurás rofni að þá er líklegt að hin sé opin og aðgengileg neytendum, enda byggja greiðslurásirnar tvær á aðskildum tæknilegum innviðum.

En ef við horfum til kerfislegu áhættuþáttanna tveggja, sem nefndir voru hér að ofan, að þá yrðu þeir enn til staðar með tilkomu farsímagreiðsluappa. Þeir flytjast í raun einfaldlega frá kortasamsteypunum, þ.e. VISA og MasterCard, til tæknirisanna Google og Apple sem hvor um sig reka gríðarlega mikilvæg markaðstorg fyrir alls konar öpp. Fyrirtækin geta að eigin frumkvæði eða í samræmi við stjórnvaldsaðgerðir stöðvað virkni farsímagreiðsluappa með að minnsta kosti tvennum hætti. Í fyrsta lagi geta félögin fjarlægt öpp greiðsluþjónustuveitanda úr Apple Appstore eða Google Play, og þannig komið í veg fyrir að nýir notendur geti náð í öppin. Í öðru lagi geta þau komið í veg fyrir að öpp virki á farsímum með uppfærslum á stýrikerfum farsímanna. Notandi farsímans þarf hins vegar að samþykkja uppfærsluna áður en hún er framkvæmd. Það að samþykki notandans þurfi til að uppfæra stýrikerfið dregur verulega úr skammtíma áhrifum kerfislegrar áhættu sem gæti skapast vegna deilna við utanaðkomandi stjórnvöld eða við tæknirisana. Svo lengi sem stýrikerfi símans er ekki uppfært eða sjálft greiðsluappið er ekki fjarlægt úr símanum getur neytandinn nýtt símann til að greiða fyrir vöru og þjónustu á Íslandi.(2)

Íslenskt farsímagreiðsluskema eykur öryggi í greiðslumiðlun

Eins og ég hef fjallað um í öðrum pistlum (sjá www.rb.is) munu ný greiðsluþjónustulög, PSD2, opna aðgengi nýrra aðila að innlánareikningum bankanna. Lögin gera ráð fyrir að svo kallaðir greiðsluvirkjendur, megi með samþykki neytenda framkvæma greiðslur beint af innlánareikningi neytandans. Samkvæmt lögunum ber bönkum að veita greiðsluvirkjendum aðgengi að innlánareikningum viðskiptavina bankanna í gegnum opin stöðluð þjónustuskil (e. Open API) án þess að sérstakur samningur sé til staðar á milli bankans og greiðsluvirkjandans og án þess að bankinn geti rukkað greiðsluvirkjandann sérstaklega fyrir þjónustuna. Einnig gerir PSD2 ráð fyrir að til verði samevrópskur markaður í greiðslum. Ef fjármálaeftirlit eins EES ríkis hefur veitt fyrirtæki réttindi sem greiðsluvirkjandi, veitir sú heimild fyrirtækinu rétt til að veita þjónustu hvar sem er innan EES.

Í ljósi þessara breytinga áforma fjölmörg fyrirtæki í heiminum að þróa farsímagreiðsluöpp sem nota þetta beina aðgengi að innlánareikningum neytenda. Fremst á meðal þeirra eru tækni- og netrisar á borð við Amazon Pay, AliPay, PayPal, GooglePay og ApplePay. Ef nýju farsímagreiðslulausnirnar, sem PSD2 opnar dyrnar fyrir, verða í vaxandi mæli erlendar þá skapar það aftur möguleikann á kerfislegri áhættu sem er sambærileg þeirri sem er til staðar við notkun greiðslukorta sem tengjast erlendu kortasamsteypunum. Þannig getur greiðsluapp eingöngu virkað ef til staðar er miðlægur hugbúnaður (þ.e. bakendakerfi) sem tryggir samskipti appsins við POSa, netverslanir, o.fl. Ef lokað er á virkni tiltekinna appa í bakendakerfinu er ekki hægt að greiða með þeim farsímum sem appið er í. Þessi staðreynd opnar aftur á möguleikann fyrir erlend stjórnvöld að beita tækni- og netrisunum fyrir sér við framkvæmd viðskiptaþvinganna.

Þótt að þetta sé allt saman fjarlægur möguleiki í dag að þá hefur þetta verið einn af þeim þáttum, sem hefur legið til grundvallar við þróun sameiginlegra farsímagreiðsluskema bankanna í Danmörku, Noregi og Svíþjóð. Í hverju landi fyrir sig er til eitt sameiginlegt farsímagreiðsluapp, sem byggir á innlánareikningum bankanna í viðkomandi landi. Byggð hafa verið upp sterk vörumerki og fyrirtæki í kringum öppin, sem neytendur og fyrirtæki í viðkomandi landi þekkja og treysta. Einnig hafa verið þróuð skýr greiðsluskema og öflug bakendakerfi sem halda utan um réttindi og skyldur neytenda, bankanna, verslana og tækniþjónustuveitanda í greiðsluferlinu. Loks hefur verið leitast við að tryggja að allar fjármálastofnanir í viðkomandi landi geti opnað á þennan greiðslumáta fyrir sína viðskiptavini óháð því hvort að þeir eru eigendur að fyrirtækinu sem stendur að baki appinu eða ekki.

1) https://www.theatlantic.com/international/archive/2014/04/visa-and-mastercard-russia/361361/2) Ýmsar kenningar hafa sést um það á netinu að Apple og Google geti nýtt sér „bakdyr“ inn í farsíma neytenda í gegnum stýrikerfi símanna til að  safna upplýsingum og jafnvel framkvæma breytingar í símanum. Þótt að slíkar bakdyr hafi verið nýttar til að safna upplýsingum um virkni símanna að þá hafa félögin hafnað því að verið sé að safna persónugreinalegum upplýsingum.  Þau hafa einnig mótmælt því að fullri hörku að þau myndu nokkurn tíman breyta innihaldi eða virkni símana án samþykki notandans.  Slík aðgerð myndi stórskaða traust almennings á vörum fyrirtækisins og hafa afar alvarlegar afleiðingar fyrir afkomu fyrirtækjanna.

Fréttir
06.10.2017

Aukin samvinna fjármálafyrirtækja

Með tilkomu nýrra laga um greiðsluþjónustu (PSD2) standa hefðbundnir bankar frammi fyrir því að tekjur þeirra af greiðsluþjónustu geti minnkað á sama tíma og þeir eiga það í hættu að fjarlægast viðskiptavini sína með tilkomu nýrra þátttakenda á markaði. Þessir nýju þátttakendur munu geta stillt sér upp sem milliliður á milli banka og hinna endanlegu notenda bankaþjónustunnar. Ef bankar bregðast ekki við gætu þeir smám saman breyst í „geymsluhólf“ fyrir fjármuni sem skapa lítinn virðisauka fyrir viðskiptavini.

Yfir 88% af stjórnendum evrópskra banka telja að PSD2 muni hafa áhrif á rekstur þeirra. Því hafa fölmargir evrópskir bankar ýtt úr vör ýmsum nýsköpunarverkefnum til að undirbúa sig undir PSD2. Um er að ræða nýsköpun sem snertir flest svið bankastarfseminnar, t.d.:

• Aukin samvinna banka á markaði.
• Endurnýjun tæknilegra innviða.
• Þróun nýrra afurða, þjónustu og þjónustuferla.
• Þróa net samstarfsaðila til að skapa aukinn virðisauka fyrir viðskiptavini bankanna.
• Grundvallarbreytingar á hinum hefðbundnu viðskiptamódelum banka.

Í þessum pistli verður eingöngu fjallað um aukna samvinnu banka en í Norður Evrópu hafa á undanförnum árum sprottið fram fjölmörg samstarfsverkefni banka sem hafa það markmið að gera neytendum mögulegt að nýta farsíma til að senda fjármuni sín á milli og til að greiða fyrir vöru og þjónustu í verslunum. Flestar þessara lausna hafa það sameiginlegt að bankar hafa með einum eða öðrum hætti stofnað til samstarfs til að setja upp nýjar greiðslurásir fyrir farsíma sem nýta innlánareikninga neytenda í stað greiðslukorta. Samstarfið hefur einnig náð til þróunar á farsímaforritum, vörumerkjum og reglum sem gilda um réttindi og skyldur banka, neytenda og verslana í greiðsluferlinu sem nýta þessar greiðslurásir.

Swish í Svíþjóð

Í desember 2012 var farsímagreiðslufyrirtækið Swish stofnað af SEB, Danske Bank, Handelsbanken, Länsförsäkringar Bank, Nordea, Swedbank og Sparbankerna. Swish var til að byja með eingöngu notað fyrir greiðslur á milli einstaklinga en í dag nota ríflega 5 milljónir Svía appið til að greiða einnig fyrir vöru og þjónustu í verslunum og netverslunum. Til að virkja þessa greiðsluleið þurfa neytendur eingöngu að nota BankID (sænska útgáfan af Auðkenni) til að skrá sig inn í appið og að velja þann bankareikning sem á að vera tengdur appinu og farsímanúmerinu. Neytendur geta síðan millifært með símanúmerinu einu saman eða greitt í verslunum. Neytendur greiða ekkert fyrir notkun lausnarinnar en verslanir greiða um 1,5-2 SEK (ca 24-30kr) fyrir hverja færslu.

MobilePay í Danmörku

Árið 2012 hófu danskir bankar samstarf um þróun á sameiginlegri farsímagreiðslulausn sem byggði á innlánareikningum. Í árslok sama ár hætti Danske Bank þátttöku í samstarfinu og kynnti, í maí 2013, eigin farsímagreiðslulausn, MobilePay, sem nýtir greiðslurásir kortaskema til að miðla greiðslum. Ákvörðun Danske Bank að byggja sína eigin lausn á kortakerfinu og að markaðssetja hana undir merkjum MobilePay reyndist farsæl enda tókst þeim þannig að vera fyrstir á markað. MobilePay náð hratt mikilli útbreiðslu jafnt hjá viðskiptavinum Danske Bank sem og hjá viðskiptavinum annarra banka þar sem hægt var að tengja appið við greiðslukort frá hvaða banka sem var í Danmörku. Í dag er MobilePay með 3,6 milljónir notenda.

Þrátt fyrir útgáfuna á MobilePay þá héldu hinir dönsku bankarnir sínu striki og kynntu sína útgáfu af greiðslulausn í júní 2013. Um var að ræða tæknilega greiðslurás sem hver og einn banki gat tengt við sitt app. Þessi greiðslulausn náði aldrei flugi enda ruglaði það neytendur í ríminu að hún skyldi markaðssett undir mismunandi merkjum yfir 70 banka. Einnig gekk hægt og erfiðlega að samþætta lausnina inn í öpp bankanna.

Í ljósi þessa afleita árangurs stofnuðu samkeppnisaðilar Danske Bank, Swipp í ágúst 2014, sjálfstætt vörumerki og app sem neytendur gátu sótt í AppStore og Google Play. Swipp appið varð loks aðgengilegt í ágúst 2015, en þá var á brattann að sækja í samkeppninni við MobilePay sem var komið með yfirburðar stöðu á markaðnum með hátt í þriðja milljón notenda. Swipp gekk hins vegar ágætlega í markaðssókn sinni. Í október 2016 var Swipp komið með 1 milljón notenda og um 28 þúsund verslanir tóku við Swipp greiðslum sem voru álíka margar verslanir og MobilePay hafði náð í viðskipti á þremur árum.

Það sem keyrði vinsældir Swipp áfram var að lausnin var mun hagkvæmari greiðslumáti fyrir verslanir en MobilePay. Einnig tryggði Swipp verslunum rauntímaaðgengi að fjármunum og hægt var að greiða með farsímanum á hefðbundnum POSa. MobilePay kallaði hins vegar á að settur væri upp viðbótarbúnaður í verslunum svo kassarnir gætu tekið á móti greiðslum og það sem meira var þá byggði MobilePay á kortakerfinu þannig að verslunareigendur fengu ekki strax aðgengi að greiðslunum.

Í október 2016 ákváðu Danske Bank og Nordea að slíðra sverðin með samningi sem fól í sér að MobilePay yrði sett í sér fyrirtæki og að Nordea myndi flytja sína notendur frá Swipp til MobilePay. Í framhaldinu var samstarfinu um Swipp sjálfhætt, enda eru þessir tveir bankar með um 70% markaðshlutdeild á viðskiptabankamarkaði í Danmörku og hafa nú allir bankar í Danmörku flutt sig til MobilePay.

Ástæða þess að bankarnir í Danmörku ákváðu að sameinast um eina lausn var að þeir stóðu frammi fyrir því að geta barist sín á milli um danska neytendur næstu tvö árin eða að hefja samvinnu til að undirbúa sig undir aukna samkeppni við tæknirisana Apple, Google, Amazon, í kjölfar innleiðingu á PDS2 löggjöfinni. MobilePay varð einfaldlega fyrir valinu þar sem það var mun sterkara vörumerki en Swipp. Hins vegar þurfti MobilePay að skuldabinda sig samhliða breytingunni til þess að flytja MobilePay appið af greiðslurásum kortaskemanna yfir á nýjar og hagkvæmari greiðslurásir sem myndu byggja á innlánareikningum bankanna, þ.e.a.s. lausn sem væri í raun sambærileg Swipp lausninni.

Vipps í Noregi

Í framhaldi af samkomulagi danskra banka um að nota MobilePay, hófu norskir bankar að ræða saman um möguleikann á því að sameinast um eina farsímagreiðslulausn sem myndi byggja á innlánakerfum bankanna. Í febrúar 2017 var tilkynnt að þeir hyggðust sameinast um að nota lausn DnB bankans, Vipps, og að hún yrði sett í sér fyrirtæki og að bankarnir yrðu allir eignaraðilar að fyrirtækinu. Vipps var ein af mörgum norskum lausnum sem var í notkun fyrir þessa ákvörðun, en Vipps hafði náð mestri útbreiðslu af þeim lausnum sem voru í boði. Í samtali við norska blaðamenn sagði Rune Bjerke forstjóri DnB að megin ástæða fyrir samkomulaginu væru fyrirsjáanlegar breytingarnar sem PSD2 myndi hafa á greiðslumarkaðnum á næstu árum. Til að mæta alþjóðlegri samkeppni þyrftu norskir bankar að vinna saman að því að búa til innviði fyrir farsímagreiðslur sem neytendur treystu.

Samvinna banka yfir landamæri

Samvinna banka vegna breytinga sem munu fylgja PSD2 er ekki takmörkuð við Norðurlöndin. Þannig hafa hollenskir og belgískir bankar sameinað krafta sína og eru þessa dagana að þróa lausn, Payconiq, sem verður hægt að nota jöfnum höndum í báðum löndunum. Þetta er fyrsta dæmið um farsímagreiðslulausn, sem mér er kunnugt um, sem verður hægt að nota til að greiða í fleiri en einu landi.

Líklegt verður að telja að þróunin verði sambærileg í öðrum ríkjum innan EES og að smám saman verði til alþjóðleg farsímagreiðslulausn sem tryggir að hægt verði að senda peninga á milli einstaklinga og hægt verði að greiða með símanum fyrir vöru og þjónustu á POSa. Lykillinn að því er einhvers konar evrópskur samskráningargrunnur þar sem farsímanúmer er tengt við innlánareikning neytanda, sem tryggir að neytandi geti tekið á móti greiðslum frá þriðja aðila eða borgað fyrir vöru og þjónustu nærri því hvar sem er innan EES.

Íslenskur samkeppnisréttur sækir um margt fyrirmynd til samkeppnisreglna Evrópusambandsins. Meðal þess sem þó greinir á milli er að í samkeppnisrétti annarra landa er víða ekki að finna ákvæði um að samkeppnisaðilar, t.d. á Norðurlöndunum, þurfi ekki sækja um samþykki samkeppnisyfirvalda fyrir samstarfi á markaði, heldur er það sett á þeirra herðar að tryggja að samstarfið uppfylli skilyrði slíks samstarfs. Þannig er það t.a.m. á ábyrgð fyrirtækjanna sjálfra að tryggja að ávinningur neytanda sé verulegur af slíku samstarfi og að samstarfið skaði ekki samkeppni. Íslensk samkeppnislög gera hins vegar ráð fyrir því að sótt sé fyrirfram um undanþágu fyrir samstarfi frá ákvæðum samkeppnislaga um samvinnu fyrirtækja og samtaka fyrirtækja. Slíkt ferli getur verið tímafrekt sem leiðir til þess að hugmyndir sem gætu skapað ávinning fyrir íslensk fyrirtæki og neytendur komast aldrei í umræðu, hvað þá þróun, og verða því aldrei að veruleika.

Blogg
26.09.2017

Aparnir og fjármálakerfi morgundagsins!

Ör framþróun í tækni og markvissar aðgerðir stjórnvalda víðsvegar í Evrópu til að opna fjármálamarkaði munu leiða til mikillar grósku og nýsköpunar í fjármálaþjónustu á komandi árum. Þessar breytingar munu gerbylta hvernig viðskiptavinir nota fjármálaþjónustu, hvernig hún er veitt og hvaða aðilar koma til með að geta veitt slíka þjónustu.

Fréttir
19.09.2017

Kapphlaupið um gögnin

Í athyglisverðri grein sem birtist nýverið í tímaritinu Economist var því haldið fram að gögn séu orðin verðmætustu auðlindir hagkerfisins í dag og séu í raun olía tuttugustu og fyrstu aldar. 

Fréttir
14.09.2017

Aukin neytendavernd með nýjum persónuverndarlögum

Ný persónuverndarlög, GDPR (General Data Protection Regulagion) taka gildi 25. maí 2018. Stefnt er að því að lögin taki gildi á sama tíma á Íslandi.

Fréttir
12.09.2017

Nýir þátttakendur á fjármálamarkaði

Á næsta ári taka gildi innan ESB ný lög um greiðsluþjónustu (e. PSD2) sem munu koma til með að hafa byltingarkennd áhrif á markaðinn. Fyrirhugað er að innleiða tilskipunina í íslensk lög á komandi ári. Með nýju lögunum, PSD2, er verið að aðgreina á milli framleiðslu og dreifingu fjármálaþjónustu.

Blogg
06.09.2017

Fjármálamarkaðurinn fyrir og eftir ný lög um greiðsluþjónustu

Ný samevrópsk löggjöf um greiðsluþjónustu, PSD2, mun hafa mikil áhrif á fjármálafyrirtæki, verslanir og neytendur. Fjallað var um löggjöfina í öðrum pistli (sjá hér) en markmiðið með þessum pistli er að skoða hin praktísku áhrif sem löggjöfin mun hafa á markaðinn með tveimur dæmum.

Blogg
29.08.2017

Ísland - ekki lengur eyland á fjármálamarkaði

Á næstu fimm árum mun fjármálaþjónusta á Íslandi, og þá sérstaklega starfsemi viðskiptabanka, taka stakkaskiptum með tilkomu nýrra fjártæknilausna, nýrra viðskiptamódela í fjármálaþjónustu og nýrra samevrópskra laga um fjármálaþjónustu.  Þessar breytingar munu leiða til þess að þátttakendum á íslenskum fjármálamarkaði mun fjölga.

Blogg
26.04.2017

Stjórnun upplýsinga í alvarlegum atvikum

Eitt það mikilvægasta í stóratvikastjórnun er að sjá til þess að allir sem þurfa séu upplýstir frá upphafi til enda. Þetta er einnig sá hluti sem er hvað viðkvæmastur og erfiðastur að útfæra fyrir alla þá sem að ferlinu koma. Major incident manager RB (hér eftir MIM) léttir þessari upplýsingaskyldu að miklu leyti af þeim sem vinna að lausn og hlífir þeim við stöðugu áreiti frá viðskiptavinum og yfirstjórn. Á sama tíma þarf MIM alltaf að vera upplýstur um stöðuna til að geta veitt upplýsingum áfram viðeigandi aðila.

Blogg
17.11.2016

ITIL Major Incident Management

Hvað er Major incident og Hvenær verður incident að Major incident?

Blogg
22.04.2016

Að miðla þekkingu - DB2 Got Talent 2016

Fyrir fáeinum vikum síðan tók ég þátt í fyrirlestra-keppni á netinu sem bar yfirskriftina “DB2 Got Talent 2016” og fólst í því að keppendur fengu 7 mínútur til að koma frá sér afmörkuðu efni sem það hefur öðlast reynslu af og dýpri þekkingu á í tengslum við vinnu þeirra á DB2 gagnagrunninum, hvort sem um er að ræða DB2 á Linux Unix Windows (LUW) umhverfinu eða á stórtölvu (Mainframe z/OS). 

Blogg
11.11.2015

Um jólagjafir vinnustaða

Þessa dagana hrúgast inn jólagjafahugmyndirnar til fyrirtækja landsins frá hinum ýmsu söluaðilum. Þá hefjast heilaumbrotin miklu hjá hinum útvöldu sem fá það „vinsæla“ hlutskipti að finna jólagjöfina í ár fyrir starfsfólkið. Þetta er klárlega fyrsti forboði jólanna og við færumst sífellt framar í dagatalinu með jólaundirbúninginn. Stundum verður þetta til þess að einhver á skrifstofunni fer að humma jólalög á þessum annars ótímabæra tíma ársins, sem er bara hressandi!

Blogg
28.09.2015

Þróun á nýju kerfi er langhlaup

Undanfarna mánuði hef ég ásamt vinnufélögum mínum og samstarfsaðilum unnið að því að þróa stórt tölvukerfi, sem taka á við mörgum af mikilvægustu verkefnum fjármálakerfisins á Íslandi. Stundum gengur allt eins og í sögu, allir eru glaðir í bragði og vissir um góðan árangur. Stundum er svo eins og allt gangi á afturfótunum.  „Hinir“ eru allir að gera eitthvað vitlaust og trúin á að við munum ljúka verkefninu á réttum tíma brestur.

Blogg
08.04.2015

Persónuleg samskipti

Í síðustu viku sendi átta ára sonur minn mér sms klukkan sjö um morgun úr næsta herbergi og bað mig um að finna föt á sig.  Við vitum að nánast heil kynslóð er hætt að tala saman í síma og flest samskipti fara fram í rafrænu formi.  Það sem ég velti fyrir mér er á hvaða hátt hefur þetta áhrif á okkur dags daglega bæði í okkar persónulega lífi og vinnutengt.  Erum við almennt orðin feimnari við að hringja í fólk og hitta það eða þykir það orðið of persónulegt að hringja beint í gsm síma hjá viðskiptavinum okkar og tengiliðum ?   Sjálf hef ég reynt að leggja upp úr því að þekkja mína tengiliði persónulega og reyni heldur að hringja beint í þá og hitta í kaffi til að ræða málin.

Blogg
05.01.2015

Aukin skilvirkni í hugbúnaðargerð

Hjá Reiknistofu bankanna starfa um 70 manns á hugbúnaðarsviði og því eru mörg scrum-teymi að störfum hverju sinni.  Tækniumhverfið er einnig ansi viðamikið hjá okkur þar sem við erum bæði að viðhalda eldri lausnum, útfæra nýjar lausnir og í stórum innleiðingarverkefnum á aðkeyptum lausnum.  Til að flækjustigið verði ekki of mikið í útfærslu, viðhaldi og rekstri á öllum þeim lausnum sem er verið að vinna með þá höfum við útbúið mikið af fyrirfram skilgreindum hönnunarlýsingum og sniðmátum (e. Design Patters and Templates) þvert á teymi og lausnir.

Blogg
15.09.2014

Hverjar eru þínar væntingar?

Dags daglega mynda ég mér allskonar væntingar, án þess raunverulega að gera mér jafnvel grein fyrir því sjálf. Ég vakna í rútínu dagsins, bind vonir við að börnin vakni „réttu megin" og þjóti fram úr morgunhress, fer síðan í vinnuna með ýmsar væntingar í kollinum. Væntingar vinnudagsins geta ýmist verið að ráða fram úr krefjandi verkefnum sem ég veit að liggja á borðinu þegar ég mæti, eða bara að kaffibollinn verði jafngóður í dag og í gær hjá kaffiþjóninum á Kaffistofunni Höfðatorgi. Hann gefur mér gjarnan speki dagsins í farteskið. Ég er eiginlega farin að binda væntingar við að það almennt fylgi bollanum. Eðli okkar er svolítið þannig, að innan sem utan vinnustaðarins erum við sífellt að móta okkar eigin væntingar.

Blogg
19.06.2014

Viltu upplifa?

Fyrir rúmri viku var ég „plötuð" til að vera driver fyrir  samstarfsfélaga mína sem höfðu skráð sig til leiks í Blue Lagoon Challenge. Mitt hlutverk var einungis að sækja þá í Bláa lónið þar sem endamark keppninnar var. Ég hef aldrei tekið þátt í hjólakeppni, rekin áfram af forvitni sló ég til. Vikuna fyrir hlustaði ég á umræður þeirra félaga í liðinu RBz; hvaða tíma þeir ætluðu að ná, hvort létta ætti hjólið, hvernig þeir ætluðu klæddir, hvað ætti að innbyrða á leiðinni, hvernig veðrið yrði, hvenær ég ætti að koma að sækja þá o.s.frv.

Blogg
10.06.2014

Þegar Captain Kirk kenndi mér að vera verkefnastjóri

Í haust var ég plataður til þess að taka að mér verkefnastýringu á Torgvæðingu Grunnkerfa RB. Á þessum tíma hafði ég aðeins litla reynslu af verkefnastjórn og ég fór því að velta fyrir mér til hvaða fyrirmynda ég myndi vilja líta. Í gegnum tíðina hef ég haft marga góða yfirmenn en eiginlega enginn þeirra var frábær verkefnastjóri það var því ekki annað að gera en að leita fanga víðar. Sem betur fer þá mundi ég eftir einum kappa sem ég gat leitað til og það var Captain James Tiberius Kirk. Hann hefur á sínum glæsta ferli stýrt stórum hópi fólks til þess að komast í gegnum hina ótrúlegustu erfiðleika.

Blogg
22.05.2014

Er forritun jafn mikilvæg fyrir krakkana okkar og íslenska eða stærðfræði?

Þegar stórt er spurt er fátt um svör enda ekkert eitt rétt svar til við þessari spurningu og skoðanirnar á þessu örugglega jafn margar og einstaklingarnir sem þær hafa.  Í aðalnámskrá grunnskóla má finna þessi fög auk ensku, dönsku, íþrótta, listgreina, náttúrugreina, samfélagsgreina o.fl. Allt góð, gild og mikilvæg fög og ekkert út á þau að setja.  Upplýsinga- og tæknimenntun má líka finna á námskránni en fær töluvert minni sess en fyrrnefnd fög í henni.

Blogg
14.05.2014

Sjálfumglaði hjólarinn

Það er fátt meira óþolandi en feitlagni dúddinn á hjólinu sem þvælist fyrir þér í umferðinni, klæddur allt of þröngum spandexfatnaði, hjólandi eins og hann eigi heiminn. Með skítaglott á smettinu og rífandi kjaft út af engu og gefandi fingurinn hægri vinstri.  Getur hann ekki drullast til að hjóla á gangstéttinni þar sem hann á heima? Þessi dúddi er ég.

Blogg
07.05.2014

Saklaus hugleiðing um mataræði fyrir kyrrsetufólk

Það er örlítið skondið að ég ætli í þessum pistli að fjalla um mataræði fyrir kyrrsetufólk. Sjálfur hef ég alla tíð unnið á gólfinu „tekið vaktina" eins og sagt er í matreiðslunni. En eftir að ég snéri mér að hefðbundnum dagvinnutíma í starfi mínu sem matreiðslumeistari í mötuneyti Reiknistofu Bankanna hef ég í auknum mæli varið frítíma mínum í  hreyfingu s.s. hjólreiðar, sund og hlaup.

Blogg
30.04.2014

Þróun og afkastageta gagnagrunna

Gagnagrunnar hafa undanfarin áratug tekið gríðarlegt stökk í þróun, afkastageta þeirra hefur margfaldast sem og  viðhald og annað utanumhald orðið betra samhliða auknu flækjustigi. Þessi þróun hefur orðið til þess að  margvíslegir möguleikar í forritun með SQL fyrirspurnamálinu hafa litið dagsins ljós. M.a. eru  möguleikar á að varpa gögnum úr einu formi í annað, áður en gögnunum er skilað til forrits, mun fjölbreyttari í dag en áður. Það sem er nýjast og heitast í dag er vörpun úr töfluformi (relational) yfir í JSON (Javascript Object Notation) til að geta flutt gögn yfir í snjallsíma með auðveldum hætti.

Blogg
15.04.2014

Sérstaða RB á heimsvísu í greiðslumiðlun

Við Íslendingar gerum okkur ef til vill ekki grein fyrir því hversu góðrar og skilvirkrar greiðslumiðlunar við njótum.  Í nágrannalöndum okkar er algengt að það taki einn dag að færa fjármuni á milli bankastofnanna. Sem dæmi, ef ég geri millifærslu í netbanka Landsbankans yfir á reikning í Arion banka, þá gerist það á stundinni, um leið og ýtt er á ,,millifæra". Oft er talað um T og T+1 í þessu sambandi, þar sem T  stendur fyrir daginn sem beðið er um millifærslu (transaction date) og T+1 stendur þá fyrir daginn eftir, þegar millifærslan er komin í gegn á áfangastað. Í sumum tilfellum getur millifærsla í nágrannalöndum okkar tekið þrjá daga eða T+3, en hjá okkur gerist þetta samdægurs eða T.

Blogg
08.04.2014

Stjórnendavandamál?

Á síðustu árum og áratugum hefur mikið verið fjallað um frammistöðustjórnun. Helstu áherslurnar hafa verið um hvað stjórnendur þurfa að gera gagnvart starfsfólki til að ná fram góðri, eða bættri frammistöðu hjá starfsfólki.