I forrige bloggpost snakket jeg om BitCoin og den underliggende teknologien (blockchain), samt Cryptokitties, et spill der du driver avl av digitale (virtuelle?) katter, og kan kjøpe og selge kattene. Cryptokitties er blitt rimelig populært siden spillet ble lansert. Vi kan anta at det er den store medieoppmerksomheten knyttet til BitCoin spesielt, og kryptovalutaer generelt, som har gitt Cryptokitties en bra start, samt inntrykket av at du kan tjene store penger på å selge kattene du avler frem.
Men der som er mer interessant enn selve spillet er hvordan spillet er laget! Som jeg sa i bloggposten om BitCoin så er løsningen implementert på plattformen til kryptovaluten Ethereum som «smart contracts», og all handel med kattene skjer i Ether som er valutaen til Ethereum. Dette er spesielt interessant av 2 grunner:
Cryptokitties viser en offentlig implementasjon av en løsning der blockchain teknologien bak Bitcoin er brukt til noe annet enn en kryptovaluta. Det har vært mye snakk om å bruke blockchain teknologien til annet enn valuta, men dette er den første offentlige løsningen jeg har sett.
Cryptokitties er ikke laget ved å implementere en ny blockchain plattform, men er laget inne i en eksisterende blockchain plattform som egentlig er laget for å håndtere kryptovaluta. Dette viser hvordan «smart contracts» kan brukes til å lage løsninger som nok er veldig fjernt fra hva man så for seg når man først kom på ideen om «smart contracts».
Punkt 2 er det mest spennende punktet, fordi vi ser konturene av at blockchain løsningene laget for kryptovaluta kan bli en programvareplattform for veldig mange andre løsninger! Riktignok er ikke dagens kryptovaluta helt klar for dette (f.eks. fikk Ethereum kapasitetsproblemer da Cryptokitties ble lansert), men dette er trolig barnesykdommer som vi blir kvitt etter hvert. Mulig vi får se en global, robust og skalerbar kryptovaluta komme på markedet om noen år som en arvtaker til både BitCoin, Ethereum og resten av dagens kryptovalutaer? En kryptovaluta som har en så sofistikert støtte for «smart contracts» at veldig mange andre løsninger blir implementert som «smart contracts» inne i denne nye kryptovaluten, fremfor å bli utviklet fra bunnen av som selvstendige løsninger?
Fryktelig mye mediaomtale om BitCoin om dagen, Dagens Næringsliv har for eksempel 15 sider om BitCoin i sin lørdagsutgaven 16. desember 2017. Årsaken er at BitCoin har hatt en ganske utrolig utvikling de siste årene. Verdien på en BitCoin har steget med 1.700 % til nå i 2017, noe som betyr at hadde du kjøpt BitCoin for 1.000 kroner 1. januar 2017, så hadde du hatt en papirgevinst på 17.000 kroner. (Til sammenligning har beste bank på Finansportalen en sparerente på 2,55 %, noe ville gitt en gevinst på 25,5 kroner, en ganske signifikat forskjell. Men det er skyhøy risiko for tap i BitCoin, og null risiko for tap i banken.) Men hadde du blitt med tidligere kunne du hatt en enorm gevinst, f.eks. ble det kjøpt 2 pizzaer for 10.000 BitCoin i 2010, med dagens BitCoin kurs på 162.922,39 kr for en BitCoin (17.12.2017) hadde disse 2 pizzaene koster 1,6 milliarder kroner! Det er denne eventyrlige utviklingen som gjør at så mange nå er interessert i BitCoin og ønsker å kjøpe BitCoin. De som kjøper håper at utviklingen skal fortsette, noen påstår at en BitCoin vil bli verd 1 million US dollar om 5 til 10 år, andre mener dette er en boble som vil sprekke, og advarer om at verdien til BitCoin vil falle drastisk, og investorene tape penger.
Uansett om verdien av BitCoin vil klatre videre mot nye høyder eller kollapse, så er BitCoin veldig spennende! BitCoin er nemlig den første valutaen som er lager for å:
Gi rask overførsel av penger (betaling) globalt.
Fungere uten en sentral eier som kontrollerer valutaen og som kan endre valutaen ved å øke/minke pengemengden og justere rentene. (For «normale» valutaer snakker vi her om de nasjonale sentralbankene, ala Norges Bank.)
Gjøre det mulig å gjennomføre transaksjoner uten at man må ha en tredje part som kan tvinge gjennom at en transaksjon faktisk blir gjennomført. (Vi snakker her om politi og rettsvesen.)
Være sikker. Det skal være umulig å urettmessig endre hvor mange BitCoin en person eier. (For «normale» valutaer kan banken din rent teoretisk gå inn i databasen der kontoen din ligger og endre hvor mye penger du har på konto, eller slette alle pengene dine.)
Her er hvordan BitCoin gjør dette:
En kryptovaluta som BitCoin er heldigital, og når den blir laget så definerer man hvor mye av valutaen som skal kunne finnes i valutaens levetid. Dette kan ikke endres.
BitCoin opererer på Internett, og er derfor per definisjon global.
BitCoin transaksjoner er raske, da de utføres internt i en felles (om enn distribuert) digital løsning. Det er derfor ikke behov for å involvere en eller flere forsinkende tredjeparter for å få gjennomført en transaksjon mellom 2 BitCoin aktører, selv om disse aktørene er i 2 forskjellige land. (Dette er som regel nødvendig i dag for å få gjennomført en betalings i «normal» valuta på tvers av landegrenser. )
En kryptovaluta består av en lenke av blokker, der dataene som definerer valutaen og alle transaksjonene som er gjort i valutaen er lagret. Blokkene består av en eller flere transaksjoner i valutaen, og disse blokkene lenkes sammen i en kjede i kronologisk rekkefølge, derav navnet blockchain.
Kryptovaluten er distribuert, dvs. det finnes et nettverk av aktører, kalt noder (cirka 5,000 for BitCoin), som alle har sin kopi av blockchain lenken til valutaen, og disse passer kollektivt på at det ikke gjøres ulovlige endringer i lenken.
Siden blockchain lenken er distribuert til alle nodene i kryptovalutaen sitt nettverk, så er informasjonen om transaksjonene i kryptovalutaen offentlige, men hvem som har utført transaksjonene er skjult gjennom bruk av pulic key krypteringsteknologi.
Nettverket av noder konkurrerer om å legge en ny transaksjon (blokk) til kjeden av transaksjoner. Den som vinner får betalt et gebyr av den som har initiert transaksjonen. (Det er dette som er «Bicoin mining» i Bitcoin kryptovalutaen, og det er slik de som driver med «Bitcoin mining» tjener penger.)
Konkurransen om å legge til en ny transaksjon i kjeden av transaksjoner går på tid, slik at den som er raskest «vinner». For å vinne må man løse en kompleks beregningsoppgave som tar relativt lang tid. Beregningen inkluderer informasjon om den nye blokken og om forrige blokk i lenken, og gir et resultat som legges ved blokken når den legges inn bakerst i lenken av transaksjoner.
Når en node «vinner» konkurransen om å få legge den nye transaksjonen til blockchain lenken distribuerer den oppdaterte kjeden ut til de andre nodene, slik at hele nettverket av noder hele tiden har en oppdatert versjon av kjeden. Oppdager de andre nodene avvik i den distribuerte kjeden avvises den.
Grunnlaget for at det skal være umulig å manipulere en kryptovaluta ligger i at hver blokk inneholder resultatet fra en tung matematisk beregning som er basert på innholdet i blokken og innholdet i forrige blokk (Hashing). Dette betyr at for å endre en blokk så må du etter endringen løse beregningsoppgaven på nytt for den aktuelle blokken, og alle blokker som ligger kronologisk etter denne endrede blokken i lenken. Forutsetningen er at det å gjøre beregningen på nytt for alle disse blokkene vil ta så lang tid at du aldri blir ferdig, fordi det stadig kommer nye blokker inn i lenken fordi nye transaksjoner gjennomføres og legges inn i kjeden av de andre nodene i nettverket. For at dette skal fungere må antallet nye transaksjoner og noder være stort nok.
I tillegg til å inneholde transaksjoner kan en blokk også inneholde noe som kalles «smarte avtaler» («smart contracts»). Dette er avtaler som implementeres i programvare i en blokk i blockchain lenken. I det øyeblikket en slik avtale legges inn i skal den være umulig å endre, og det er da programvaren i avtalen som avgjør hva avtalen gjelder og hva som skjer i fremtiden. Mange betrakter dette som bedre enn dagens løsninger, fordi man ikke lengre vil være avhengig av en tredjepart, f.eks. advokater, domstoler og politi, for å sørge for at en kontakt blir overholdt, siden ingen av partene som er del i en slik kontakt kan endre den, og ev. penger bare blir frigitt når programvaren som er kontakten beslutter at avtalte betingelser er oppfylt. (Et problem man ikke har tenkt nok på når man har inngått slike kontrakter er programmeringsfeil i programvaren til kontakten, noe som har skapt noen problemer.)
Noe som er verd å merke seg når det gjelder kryptovalutaer som BitCoin er at saldoen din, dvs. hvor mange BitCoin du eier ikke ligger i blockchain lenken. Blockchain lenken inneholder bare transaksjoner! Dette betyr at for å finnet ut hva saldoen din er må man gå gjennom alle transaksjoner i hele blockchain lenken, og summen av dine inngående og utgående transaksjoner gir deg da saldoen din. (Saldoen vil alltid være 0 eller positiv, det er ikke mulig å ende opp med overtrekk i en kryptovaluta.) Det ville jo være noe tungvint å skulle gå gjennom hele blockchain lenken hver gang man trenger å vite BitCoin saldoen sin. Derfor finnes det firmaer som tilbyr «Bitcoin Wallets» løsninger. Dette er nesten som en nettbank for BitCoin, der du får se saldoen din og kan kjøpe og selge BitCoin, og overføre BitCoins til andre Bitcoin aktører (betaling).
Så selv om BitCoin kanskje ikke overlever, så har BitCoin introdusert ny teknologi og nye måter å implementere og håndtere valutaer på. Dette har resultert i at en mengde nye kryptovalutaer er blitt lansert, og det er mange som snakker om å bruke den underliggende teknologien (blockchain) på nye områder. Det mest spennende akkurat nå er muligens at det er etablert en løsning for digitale kjæledyr (CryptoKitties) gjennom bruk av «smart contracts» på plattformen til kryptovalutaen Ethereum. Løsningen lar deg drive avl av disse digitale kattedyrene, og selge/kjøpe dem via transaksjoner i Ether, som er valutaen til Ethereum. Denne løsningen har virkelig tatt av, sjeldne digitale katter er solgt for over 100.000 US dollar! (En «normal» digital katt koster ca. 50 norske kroner.) Dette viser at den nye blockchain teknologien introdusert av Bitcoin har uante utnyttelsesområder!
Hacking av datamaskiner er et tema som vi hører om i nyhetene til stadighet. Og det vil vi fortsette å gjøre. Ingen som jobber med IT sikkerhet tror at vi noensinne vil klare å kvitte oss med problemet, vi har, og vil trolig alltid ha, et våpenkappløp mellom hackere og de som jobber med IT sikkerhet. Hackerne jobber med å finne nye måter for å kunne ta kontroll over datamaskiner slik at de kan stjele penger eller informasjon som kan selges eller brukes til utpressing av dataeieren. De som jobber med IT sikkerhet utvikler løsninger for å gjøre hacking vanskeligere, og med å tette sikkerhetshull som hackere har oppdaget og utnytter. Det er verd å merke seg at sikkerhetshull som regel oppstår fordi vi lever med programvare som ikke er utviklet med tanke på IT sikkerhet. Dette gjelder både operativsystemene våre, og programvaren som vi bruker og som kjører på toppen av operativsystemet. Årsaken til dette er at de som lager operativsystemer og programvare har for dårlig kompetanse når det gjelder IT sikkerhet, og i hovedsak tenker på å få nye programmer ut i markedet raskt slik at de kan tjene penger, og derfor ikke prioriterer IT sikkerhet.
Mulig du har hørt utsagnet: «Ingen datamaskiner er trygge, alle kan hackes.» Dette er trolig 100 % korrekt, men hvis du ikke sitter på forretningshemmeligheter eller annen mer eller mindre hemmelig informasjon som lett kan selges for virkelige store summer, er det lite trolig at noen hackere vil jobbe spesielt hardt for å hacke akkurat din datamaskin. Hackere er nemlig ikke mer interessert i hardt arbeid enn deg og meg. De vil velge hacking metoder som gir en bra «inntekt» for minst mulig arbeid. Og det å bryte seg inn i de datamaskinene som inneholder virkelig verdifull informasjon er vanskelig fordi de som regel er godt beskyttet mot angrep, og du må være en dyktig hacker som er villig til å jobbe lenge og hardt for å klare å hacke disse datamaskinene. De aller fleste hackerne vil derfor gå etter de lette målene, der du kan tjene greit med penger uten å måtte slite for mye. For øyeblikket er dette de 3 hovedmetodene disse hackerne bruker:
Randsomware/Utpressingsprogram.
Nettbank svindel.
Direktørsvindel/CEO svindel.
Her følger en rask beskrivelse av disse 3 hacker metodene:
Randsomware: Dette er en metode der hackeren skaffer seg tilgang til datamaskinen din, og krypterer alle filene på datamaskinen, slik at datamaskinen din blir ubrukelig, og ev. viktige dokumenter du har lagret på datamaskinen blir kryptert og uleselige. Hackeren krever da løsepenger for å gi deg passordet/krypteringsnøkkelen som lar deg dekryptere filene dine. Se mer om dette i dette blogginnlegget.
Nettbank svindel: Det er i nettbanken du har pengene dine, og får hackerne kontroll over nettbanken din så kan hackerne sende pengene dine til konti som hackerne kontrollerer. Tidligere jobbet hackerne med «man in the middle» angrep mot nettbankene, dvs. man la seg mellom datamaskinen til bankkunden og nettbanken, og prøvde å stjele bankkundens penger, enten ved å lure inn ekstra transaksjoner, eller ved å justerte kundenes transaksjoner (bytte mottakerkontonr, øke beløpene), når bankkunden betaler sine regninger i nettbanken. Nå har hackerne gått vekk fra dette fordi de oppdaget at det er enklere å lure deg til å gi fra deg BankID koder via falske nettsteder (f.eks. falsk pålogging til nettbanken e.l.). Får de tak i kodene logger de seg direkte inn i nettbanken din og overfører pengene dine til konti de kontrollerer.
Direktørsvindel: Dette svindelmetoden går ut på lure en ansatt i et firma (en ansatt som er autorisert til å betale firmaets regninger), til å overføre penger til hackerne. Dette gjøres ved at hackerne utgir seg for å være administrerende direktør e.l. i det aktuelle firmaet, og kontakter en ansatt i firmaet som er autorisert til å betale regninger, via e-post, der svindlerne sier at det må utføres en hastebetaling til en konto hackerne kontrollerer, men dette må være hemmelig fordi det gjelder en hemmelig avtale, og dessverre er ikke direktøren tilgjengelig for verifikasjon, fordi han må løpe ombord i et fly.
Fellesnevneren for alle disse hacking metodene er at de baserer seg på sosial manipulasjon (social engineering) av personer for å få dem til å gjøre noe som gavner hackerne. Ransomware og Nettbank svindel baserer seg på masseangrep (SPAM), der teorien er at sender man en e-post til mange nok så er det alltid noen som ikke skjønner at det er et hackerangrep og utfra innholdet i e-posten gjør noe som gir hackeren nødvendig kontroll til å få utført sitt oppdrag: Stjele pengene dine eller drive utpressing! Slike e-poster prøver derfor å være så troverdige som mulig, og utgir seg ofte for å komme fra organisasjoner man stoler på, f.eks. banken din eller offentlige myndigheter. Her tjener ikke hackerene så veldig mye per person, men stort volumet gjør at man totalt kan tjene en god del penger. Hvis man f.eks. sender ut 10 millioner e-poster og 0,1 % ikke skjønner at det er hacking, så er dette 10.000 personer. Klarer man å svindle alle disse for 1.000 kr så har man tjent 10 millioner kroner. Når det gjelder direktørsvindel så er dette et mer målrettet arbeid, men med større potensiell gevinst. Hackerne må samle inn informasjon om firmaet som er målet, informasjon om firmaets ledelse (direktøren m.f.), tekniske løsninger (firmaets e-post adresser m.m.), og hvem i firmaet som er autorisert til å gjennomføre betalinger (målet for den sosiale manipulasjonen). Alt dette for å kunne gjennomføre angrepet og fremstå som mest mulig troverdig. Her er det mer jobbing, men potensielt kan man klare å svindle til seg flere 10 talls millioner kroner fra et firma.
Hvordan kan man beskytte seg mot disse typene hacker angrep? Her er noen tips:
Sørg for at datamaskinene dine alltid oppdateres med de siste sikkerhetsoppdateringene fra de programvareleverandørene du bruker.
Sørg for filtrering av all innkomne e-post, slik at SPAM e-post med kjente svindelforsøk blir stoppet før de kommer frem til deg eller dine ansatte.
Sørge for at nye typer svindel e-poster raskt kommer inn i SPAM filteret ditt.
Sørg for at dine ansatte har nødvendig kompetanse innen IT og IT sikkerhet slik at de gjenkjenner forsøk på hackerangrep, og ikke lar seg lure av e-poster med sosial manipulering.
Direktør svindel:
Ha god rutiner internt, slik at det er en trygg prosess som sier hvordan betalinger skal initieres og utføres i bedriften, men minimal sannsynligvis for at svindelforsøk skal lykkes.
Innføre at alle betalinger alltid må godkjennes av 2 personer.
Sørge for en godkjenningsprosess for betalinger som sier at alle betalinger alltid skal verifiseres, og verifikasjonen skal utføres via en annen kanal enn betalingen be initiert gjennom, og at kontaktinformasjon i mottatt e-post ikke kan brukes til slik verifisering.
Det som jeg mener er viktigst er å sørge for at du, og ev. de ansatte i din bedrift, har grunnleggende kompetanse innen IT og IT sikkerhet. Dette betyr at denne kunnskapen må testes og oppdateres regelmessig. Dette er kritisk! Det nyttet ikke med verdens beste tekniske beskyttelse mot hacking, hvis hackerne sniker seg inn i datamaskinene dine ved å manipulere menneskene som bruker disse datamaskinene.
IT Sikkerhet er kritisk for deg både som privatperson og som eier eller ansatt i et firma. Ta nødvendige grep for å beskytte deg!
Har du hørt om PSD2, Åpne APIer eller muligens Open Banking? Ikke? Vel, da er det lite rolig at du jobber i finansnæringen! Innen finansnæringen (bankene) er dette (for øyeblikket) den store stygge ulven!
Det er PSD2 (Revised Payment Service Directive – Revidert betalingstjenestedirektiv) som er synderen. Dette er et nytt direktiv fra EU som blir en del av det norske lovverket fra januar 2018. EU ønsker at PSD2 skal skape økt konkurranse og økt innovasjon innen banknæringen i EU og EØS området. PSD2 skal fremhjelpe dette på 2 måter:
Betaling (som i betaling av regninger):
(PISP: Payment Initiation Service Provider)
PSD2 tvinger bankene til å la sine kunder betale sine regninger og gjøre sine pengeoverførsler via tredjeparter. Dette betyr at registeringen av en betaling, som du i dag gjør i Nettbanken eller Mobilbanken, gjøres hos en tredjepart, og denne tredjeparten sender så betalingen videre inn til banken din for behandling, via et IT grensesnitt, et API (Application Program Interface). Tredjeparten her kan være Facebook, Amazon, Finn.no, COOP, REMA, en annen bank, eller en ny aktør vi ikke har hørt om ennå.
Tilgang til betalingsinformasjon (kontoutskrifter):
(AISP: Account Information Service Provider.)
PSD2 pålegger bankene å la sine kunder gi tillatelse til tredjeparter å hente ut betalingsinformasjon fra kundens betalingskonti. Dette gjøres ved at tredjeparten henter betalingsinformasjonen fra banken din via et IT grensesnitt, et API. Tredjeparten kan her være Facebook, Amazon, Finn.no, COOP, REMA, en annen bank, eller en ny aktør vi ikke har hørt om ennå.
Risikoen for bankene knyttet til PSD2 er at de mister kontakten med kundene sine. I dag har banken i hovedsak kontakt med kundene hvis de er inne i Nettbanken eller Mobilbanken for å sjekke saldo eller gjennomføre betalinger. Da kan banken kommuniserer med kundene, og prøve å selge dem nye produkter eller prøve å få dem til å oppgradere eksisterende produkter. Hvis kunden utfører sine betalinger, ev. sjekker saldo hos en tredjepart mister banken kontakten med kunden, banken kan få redusert kundelojalitet, og et større press på priser. I tillegg kan banken får større konkurranse og marginpress på utlånssiden, hvis f.eks. tredjepartene begynner å distribuere lån fra forskjellige aktører.
EU sitt motiv for å innføre PSD2 er et ønske om å øke konkurransen i bankmarkedet, og dermed gi forbrukerne i EU lavere priser og bedre, nye, og mer innovative bankløsninger.
Den gevinsten man ser for seg for bankkundene er som følger:
På betalingssiden vil PSD2 muliggjøre at en tredjepart kan vis deg alle dine betalingskonti (med saldo) som du har i alle bankene i Norge, og potensielt i hele Europa. Dette betyr at de kan gi deg en totaloversikt over alle betalingskontoene dine og deres saldoer, og du kan velge hvilken konto vil bruke for å betale en spesifikk regning. I tillegg Kan du få råd om at du får høyere renter eller mindre gebyrer hvis du flytter større pengebeløp fra en konto en bank til en konto i en annen bank, eller gjør betalingene din i en annen bank. Hvis en nettbutikk blir en tredjepart kan man også få muligheten til å betale for en handel du gjennomfører på f.eks. Finn.no inne i Finn.no gjennom denne løsningen, istedenfor å bruke kredittkort, debetkort eller VIPPS, da vil nettbutikken spare de prosentene av hver betalingstransaksjon som i dag går som gebyrer kortleverandørene. I tillegg ser EU for seg at PSD2, ved å gi de mange nye og meget innovative FinTech selskapene tilgang til betalingsfunksjonaliteten, vil gjøre at det kommer mange nye og innovative løsninger knyttet til betaling ut på markedet, noe som vil hjelpe til med å gi bankkundene en enklere, billigere og bedre hverdag.
Ved å gi tredjeparter tilgang til din betalingsinformasjon håper EU at disse tredjepartene, ved å bruke og analysere denne informasjonen, vil kunne lage nye og innovative tjenester som skal hjelpe bankkundene til en enklere hverdag. Eksempler på dette kan være å analysere forbruket ditt, og foreslå måter du kan spare penger på, eller anbefale deg å endre betalingsvaner for å spare gebyrer. Videre kan vi ser for oss introduksjon av mer avanserte rådgivningsløsninger som basert på betalingsinformasjon, som din inntekt og dine forbruks vaner (+ev. annen informasjon du er villig til å gi dem), kan gi deg råd relatert til f.eks. boligkjøp, lån og sparing/investeringer.
Nå er det ikke slik at hvem som helst kan bli en PSD2 aktør. Heldigvis! Vi vil ikke ha kriminelle organisasjoner som PSD2 aktører! Skal du være med her må du søke om konsesjon fra Finanstilsynet, og jeg forventer at Finanstilsynet også vil komme med en del krav og forskrifter som disse aktørene må forholde seg til for å ikke miste konsesjonen. (Ala IKT Forskriften m.m. som bankene må forholde seg til.) I tillegg er det stor fokus på sikkerheten, både mellom kunden og PSD2 aktøren, og mellom PSD2 aktøren og bankene. Antar vi ser krav om pålogging til PSD2 aktørens løsninger med BankID, og strenge autentiseringskrav mellom PSD2 aktørens løsninger og bankenes APIer. I tillegg må du trolig som kunde godkjenne en PSD2 aktør i bankens Nettbank eller Mobilbank før aktøren kan hente ut dine konti/data fra banken via APIene og send inn betalinger. Dette betyr også at du kan fjerne disse tillatelsene i Nettbanken/Mobilbanken om du ønsker det på et senere tidspunkt.
Så hvordan vil PSD2 påvirke banknæringen, f.eks. i løpet av 2 til 3 år? La oss se på mulige scenarier:
Banken tar grep og beholder mer eller mindre den posisjonen de har i dag, fordi det er bankene kundene stoler på når det gjelder å ta vare på pengene deres, og bankene kommer med nye innovative tjenester som de enten har utviklet selv, eller har fått på plass gjennom partnerskap med innovative gründerbedrifter. I dette scenariet har de nye tredjepartsaktører ikke klart å ta noen signifikat markedsandel fra bankene.
Noen få nye og innovative aktører kommer på markedet med nye, brukervennlige og spennende løsninger, noe som gjør at de tar mer eller mindre hele markedet fra bankene. Her har de nye aktørene klart å levere løsninger som kundene synes er så bra at de, på tross av sin sterke lojalitet til bankene, velger å ta dem i bruk. Bankene ender opp som rene produktleverandører og mister kontroll over kundene sine.
Det kommer mange nye aktører på markedet, og bankene mister markedsandeler til disse. Men ingen klarer å vinne kampen om kundene, og vi ender opp med et meget fragmentert marked der veldig mange aktører, inklusiv bankene, kjemper for å ta nye markedsandeler, og for å beskytte sine eksisterende markedsandeler.
Personlig tror jeg at scenarium A er det mest sannsynlige. Bakgrunnen til dette er at bankkundene er meget lojale overfor bankene sine, og også stoler på bankene når det gjelder å ta vare på pengene deres. I tillegg jobber bankene nå med å få på plass nye løsninger, ofte i samarbeid med nye innovative grundere, slik at de kan kjempe mot de nye aktørene på like fot.
Figur1: Til venstre på figuren er dagens lukkede system for håndtering av banktjenester. Til høyre er situasjonen etter innføring av SPD2.
