Açık bankacılığın nasıl çalıştığını daha iyi anlayabilmek için öncelikle açık bankacılığın uygulanabilmesini sağlayan güvenli aracılardan yani Uygulama Programlama Arayüzü’nün (Application Programming Interface, “API”) neyi ifade ettiğine kısaca değinmekte fayda var.
API, en kısa şekilde ‘iki uygulamanın birbiriyle iletişim kurmasını sağlayan aracı bir yazılım’ olarak tanımlanabilir. Finansal hizmetler sektörü açısından ise API, ‘belirli bir inansal kuruluşun internet sitesinde geliştirilen bir uygulamanın, kodlar ve kullanıcı bilgileri gizli kalacak şekilde, üçüncü kişi hizmet sağlayıcılara ait farklı programlar tarafından kullanılabilmesini sağlayan bir teknoloji’ olarak karşımıza çıkar. Açık bankacılık kapsamında, bankaların belirli bir müşteriye ilişkin kendi yazılımlarında tuttukları inansal bilgiler, elbette müşterinin iznine ve yetkilendirmesine bağlı olarak, üçüncü kişi irmaların kullanımına açılıyor ve bu sayede müşteriye çeşitli inansal hizmetlerin sunulması mümkün hale geliyor.
Öte yandan, bazı ülkelerde inansal hizmetler dahil olmak üzere, internet üzerinden sunulan pek çok hizmet tipi için (örneğin, hava taşımacılığı ve konaklama hizmetleri gibi), “ekran kazıma” (screen scraping) yöntemi ile bir internet sitesinde belirli bir kişiye ait olan bilgilerin alınarak farklı bir platformda kullanılması zaten uygulanıyor. Ancak inansal hizmetler açısından, bu yöntemde müşterinin hizmet aldığı bankanın internet bankacılık sistemi üzerinden giriş yapabilmesi için gerekli kullanıcı bilgileri ve şifrelerini üçüncü kişiler ile paylaşması gerektiğinden veri güvenliğinin ihlali ve bankaların sahte işlemleri ayırt etmesinin güçleşmesi gibi önemli güvenlik sorunları ortaya çıkabiliyor. Gerçi buna rağmen pek çok ülkede bu yöntem inansal hizmetler için dahi kullanılmaya devam ediyor.

Bu tür bir uygulamanın Türkiye’de inansal hizmetler açısından hayata geçmesinin önündeki en temel engel, 5411 sayılı Bankacılık Kanunu’nun bankalara yüklediği müşteri sırlarını üçüncü kişilere açıklamama yükümlülüğünden kaynaklanıyor. Kanunlarla bu yükümlülüğe istisna getirilebilse ya da müşterinin rızası ve Bankacılık Kanunu’nda 20 Şubat 2020 tarihinde 7222 sayılı Kanun2 ile yapılan değişiklikle müşterinin ayrıca talep ve talimatı ile bilgiler bazı durumlarda paylaşılabilse dahi, paylaşımın belirtilen amaçlarla sınırlı olması ve ölçülülük ilkesi çerçevesinde bu amaçların gerektirdiği kadar verinin paylaşılması gerekiyor. Ekran kazıma yönteminde paylaşılan müşterinin kullanıcı bilgileri ile üçüncü kişi hizmet sağlayıcılarının erişebileceği müşteri sırrı niteliğindeki verilerin sınırsız ve dolayısıyla ölçüsüz olduğu dikkate alındığında, ekran kazıma yoluyla veri paylaşımının Türkiye’deki inansal hizmetlere uygulanması halinde hukuki sorunların ortaya çıkması kaçınılmaz.

Biz yine dönelim API meselesine. İşte tam da bu noktada, açık bankacılık hizmetlerinin müşterilere sunulabilmesi açısından API gibi güvenli arayüzlerin önemi ortaya çıkıyor. Açık bankacılığın Avrupa’da ve hatta küresel anlamda temellerini atan 2015/2366 sayılı Avrupa Birliği Ödeme Hizmetleri Direktii 3 (“PSD2”) genel olarak açık bankacılık hizmetlerinin sunulabilmesi için kullanılacak teknolojiyi taralara bırakmış olsa da, PSD2’ye ilişkin teknik standartların belirtildiği regülasyonda açık bankacılık kapsamında bankalar tarafından üçüncü kişilere sağlanacak veri erişimi için (API gibi) güvenli ve bu amaca tahsis edilmiş bir arayüz kullanılması gerektiği belirtiliyor4. Benzer şekilde Türkiye’de 1 Temmuz 2020 itibarı ile yürürlüğe girecek olan ‘Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te ilk defa açık bankacılık servisleri tanımlanırken de API üzerinden paylaşıma da atıf yapıldığını görüyoruz.
API’lerin güvenli olmasının nedeni müşterinin kullanıcı bilgilerinin üçüncü kişi hizmet sağlayıcıları tarafından öğrenilememesi ve yalnızca müşterinin talep ettiği ölçüde ve izin verdiği süre boyunca veri paylaşımı gerçekleştirilmesi. Böylece de veri kontrolünün tamamen veri sahibi olan müşterinin kendisinde bulunması.
Küresel anlamda da açık bankacılığın API’ler gibi güvenli arayüzler üzerinden gerçekleştirileceğine ilişkin büyük ölçüde mutabakatın sağlanmış olması maalesef bu işleyişin düzgün bir şekilde hayata geçirilmesi için yeterli değil. Bu noktada açık bankacılık işlemleri açısından bu arayüzler üzerinden yapılacak paylaşımların belirli
bir standarda tabi tutulması önem taşıyor. PSD2 kapsamında olduğu gibi açık bankacılıkta da sektöre öncülük etmiş olan İngiltere’de son dönemde oluşturulan regülasyonlar ile veri paylaşım standardizasyonuna yön verilmeye başlandığı görülüyor.
Dünyada pek çok inans kuruluşu, inansal teknoloji devrimine ayak uydurabilmek amacıyla API’lerini kullanıma açmış durumdalar. Dünyada olduğu gibi Türkiye’de de halihazırda bazı inans kuruluşlarının, API’lerini tek taralı olarak açtığı ve API geçidi denemeleri yapmakta olduğu, bazı bankaların ise teknoloji şirketleri aracılığıyla API portallarını açmayı tercih ettikleri biliniyor. Öte yandan hem bankaların hem de inansal teknoloji şirketlerinin özellikle veri paylaşımına ilişkin standardizasyon, veri güvenliği ve açık bankacılığa konu olacak ürün ve hizmetler gibi konuların netleştirilmesi bakımından beklentileri var.