Hej! Har ett par frågor.
Fråga 1: Vad är det för information som delas mellan mitt bankkonto och Spirecta när man kör autoimport?
Fråga 2: Angående en kommentar på updateringen
Därefter kommer nästa steg med att kunna göra dessa importer automatiskt under natten. Så när man logga in på dagen så är det uppdaterat med de senaste transaktionerna.
Om jag förstår det korrekt så kan Spirecta då automatiskt koppla upp till min bank och dra ner transaktionsdatat utan att jag loggar in i programmet?
Bra fråga! Själva importen är nog rätt säker, det finns ju regelverk kring hur bankerna får dela med sig av den typen av data och vad man får efterfråga. Olika nivåer av tjänster där en är att se information om dina konton, en annan nivå är att kunna göra betalningar på en bank via en annan bank. Det regleras i en EU-förordning som jag inte minns namnet på. Det är den tjänsten som tillhandahålls av Tink och som integrerats här.
En knivigare fråga är hur säker spirecta är. Det är ju den hemsidan som faktiskt skickar förfrågan och sen lagrar informationen. Även hur säker kommunikationen mellan banken och spirecta är. Görs det inte på rätt sätt är det lätt att avlyssna utan att ens ha åtkomst till spirecta.
Att bara ha ett konto på spirecta säger inte jättemycket om vem jag är, ”bara” mina rörelsemönster, hur min hur min ekonomi ser ut, vilket område jag jobbar i, vilket område jag bor i, favoritaffärer/restauranger, mina hobbys etc. E-posten vi skapade kontot och kortet vi använde för att betala kan dock avslöja oss.
Med autoimport kopplar jag min identitet till kontot på ett annat sätt.
Däremot så är största risken din e-post och lösenordet du troligen återanvänt på andra ställen. (Eller ännu värre, ett lösenord som Jan eller någon av hans utvecklare återanvänt och som används av ”hackare” för att få åtkomst till tjänsten.
) Därför vore det nice med stöd för tvåfaktorsautentisering! (Som forumet har stöd för, så forumet är ”säkrare” än själva tjänsten vi diskuterar 
)
Hur säker tjänsten är vet vi först när Jan låter göra en oberoende granskning av säkerheten. Med det sagt har jag förtroende för Jan och säkerheten.
Den enda informationen som delas är transaktionshistorik. Vi kan inte och kommer aldrig kunna genomföra en “aktion” på dina konton, t.ex. initiera en överföring eller liknande. Så det vi kan göra är att vi kan:
Notera dock att det är TINK som gör hela arbetet och de uppfyller alla kraven kring OpenBanking, PSD2 etc. Så vi (Spirecta) har aldrig någon direkt koppling till din bank. Vi ansluter till Tink och det är sedan Tink som ansluter till din bank. Så vi kommer heller inte förbi dem som mellanhand.
För att vi skulle ansluta till din bank direkt så krävs tillstånd från Finansinspektionen och sjukt mycket andra tillstånd.
Ja, precis. Det är målet som vi har, på det sättet blir Spireta kontinuerligt uppdaterat. Återigen är det dock Tink som står för hela mellanhavandet genom att du ger Tink tillåtelse att vara anslutet upp till 30 dagar till din bank. Var 30 dag kommer man behöva återgodkänna anslutningen.
Yes, det är OpenBanking och PSD2-lagstiftningen.
Ingen kommunikation sker mellan banken och Spirecta. Kommunikationen sker mellan Spirecta och Tink samt Tink och banken. Om man kollar lite mer noga hur det är utformat i Spirecta så öppnas det en “sida-i-sidan” där man loggar in. T.ex. extra tydligt är det på Revolut eller liknande där det öppnas ett helt nytt fönser.
Spirecta kan således inte se ditt personnummer, inte se någon kommunikation med Tink eller autentisering överhuvudtaget. Det enda som således går att avlyssna mellan Spirecta och Tink är information om transaktionerna, dvs. read-only-information.
Ja, det är korrekt. Min förhoppning är att i framtiden kunna erbjuda full kryptering av uppgifterna i Spirecta också, men det ligger längre ned. Det tog ju FB och WhatsApp år att göra end-to-end-kryptering.
Du får gärna utveckla hur du tänker här, för jag håller nog inte helt med. 
Vi sparar inte de uppgifterna (vi har bara en token som kopplar till Tink. Hos Tink finns kopplingen.) Så det är teoretiskt möjligt att köra fullt anonymt i Spirecta t.ex. att kalla sig Kalle Karlsson och köra auto-import utan att det går att från våra uppgifter koppla till en reell person.
Yes, ge mig någon vecka så kommer vi ha BankID-inloggning på plats. Tyvärr är det mycket att göra och begränsade resurser.
Tack. Det är tyvärr också bara en resursfråga idagsläget. Så jag får be att få återkomma.