كانت بيانات عملائنا المصرفية سجينة: كيف أنقذتنا ‘المصرفية المفتوحة’ (Open Banking) من جحيم الأنظمة المغلقة؟

يا جماعة الخير، السلام عليكم. اسمحوا لي أبدأ معكم بقصة صارت معي قبل كم سنة، قصة بتلخص المعاناة اللي كنا نعيشها كمطورين في قطاع التكنولوجيا المالية (Fintech). في هذاك الوقت، كنت شغال مع فريق صغير على تطبيق ذكي لإدارة المصاريف الشخصية. فكرتنا كانت بسيطة: المستخدم يربط حسابه البنكي، وتطبيقنا يحلل مصاريفه تلقائيًا ويعطيه نصائح عشان يوفر.

الفكرة كانت حلوة، بس التنفيذ كان كابوس. وصلنا لمرحلة بدنا نربط التطبيق مع البنوك عشان نسحب بيانات الحركات المالية. وهون بدأت المأساة. البنوك كانت زي القلاع المحصنة، أبوابها مغلقة وما في أي طريقة “رسمية” أو “نظيفة” عشان نوصل للبيانات، حتى لو صاحب الحساب نفسه موافق ومتحمس!

شو كان الحل وقتها؟ لجأنا للطريقة الوحيدة المتاحة، وهي “كشط الشاشة” (Screen Scraping). كنا نطلب من المستخدم يعطينا اسم المستخدم وكلمة السر لحسابه البنكي – تخيلوا الرعب! – وبعدين روبوت برمجي (bot) من عنا كان يفوت على صفحة البنك أونلاين، يسجل دخول بحساب الزبون، ويصير “يكشط” أو ينسخ البيانات من كود الـ HTML تبع الصفحة. كنت أقضي أيامي وليالي أصلّح في الروبوت كل ما بنك من البنوك يقرر يغير لون زر أو مكان فاصلة في موقعه. كان شغل لا هو آمن، ولا هو مستقر، وبصراحة… شغل بجيب الجلطة. حسينا حالنا محبوسين في جحيم الأنظمة المغلقة، وبيانات العملاء كانت هي السجينة.

إلى أن بدأت تظهر في الأفق بوادر ثورة اسمها “المصرفية المفتوحة” أو الـ Open Banking. وهي اللي أنقذتنا، وحوّلت هذا الكابوس إلى فرصة عظيمة للإبداع. خلوني أحكيلكم كيف.

ما هي المصرفية المفتوحة (Open Banking) ببساطة؟

عشان نبسطها، المصرفية المفتوحة مش تطبيق ولا شركة، هي فكرة وثورة تنظيمية وتقنية. المبدأ الأساسي تبعها بسيط جدًا: أنت، كعميل للبنك، تملك بياناتك المالية، وليس البنك. ومن حقك تشارك هاي البيانات بشكل آمن ومُحكم مع أي طرف ثالث (مثل تطبيق لإدارة المصاريف) أنت بتختاره وبتوثق فيه.

كيف بصير هاد الحكي؟ عن طريق ما يسمى بواجهات برمجة التطبيقات (APIs). بدل ما البنك يكون قلعة مغلقة، بفتح “شبابيك” آمنة وموحدة (APIs) بتسمح للتطبيقات المرخصة إنها تطلب بيانات معينة بعد موافقتك الصريحة. الموضوع بشبه تمامًا لما تستخدم حسابك في جوجل أو فيسبوك عشان تسجل دخول في موقع ثاني. أنت ما بتعطي الموقع كلمة سر حسابك في جوجل، إنت بس بتعطيه إذن ياخذ اسمك وإيميلك.

كيف كنا “نُعاني” قبل المصرفية المفتوحة؟

قبل ما نكمل في جماليات الحل، لازم نتذكر بشاعة المشكلة. الطرق القديمة للوصول للبيانات كانت كارثية بكل المقاييس، وأهمها طريقتين:

الأسلوب الكارثي: كشط الشاشة (Screen Scraping)

زي ما حكيت في قصتي، هاي كانت الطريقة السائدة. وهي باختصار روبوت برمجي بينتحل شخصية المستخدم وبفوت على حسابه. مشاكلها لا تعد ولا تحصى:

• غير آمن إطلاقًا: يا ساتر! المستخدم كان مضطر يشارك أقدس معلوماته (اسم المستخدم وكلمة السر المصرفية) مع جهة ثالثة. هذا بفتح باب لكل أنواع الاحتيال وسرقة الهوية.
• هش وغير مستقر: أي تغيير بسيط في واجهة موقع البنك الإلكتروني، حتى لو كان تغيير في اسم كلاس CSS، كان يكسر الروبوت تبعنا. كنا في حالة صيانة مستمرة ومطاردة للتغييرات اللي بتعملها البنوك.
• بطيء ومحدود: الروبوت كان بطيء جدًا، وكان فقط قادر على قراءة البيانات المعروضة على الشاشة. ما في طريقة للحصول على بيانات تاريخية غنية أو تنفيذ عمليات متقدمة.

الأسلوب اليدوي: “ارفع كشف حسابك”

بعض التطبيقات، يأست من “كشط الشاشة”، ولجأت لحل ثاني: تطلب من المستخدم يروح على حسابه البنكي، يحمّل كشف الحساب كملف PDF أو Excel، وبعدين يرفعه على التطبيق. هاي الطريقة، مع إنها أكثر أمانًا من الأولى، لكنها كانت فاشلة من ناحية تجربة المستخدم:

• تجربة مستخدم سيئة: عملية مرهقة ومملة للمستخدم، وبده يعملها كل فترة عشان يحدّث بياناته.
• صعوبة تحليل البيانات: التعامل مع ملفات PDF من بنوك مختلفة هو جحيم برمجي آخر. كل بنك له تنسيق مختلف، وأحيانًا تحتاج لتقنيات التعرف الضوئي على الحروف (OCR) اللي نسبة الخطأ فيها عالية.

كان الوضع أشبه بمحاولة شرب الماء من خرطوم إطفاء حريق مثقوب. فوضى عارمة ونتائج غير مضمونة.

كيف أنقذتنا المصرفية المفتوحة؟ ثورة الـ APIs

المصرفية المفتوحة جاءت كحل جذري ومنظم لكل هذه الفوضى. بدل الطرق الملتوية، صار فيه طريق رسمي، آمن، ومباشر. هذا الطريق هو واجهة برمجة التطبيقات (API). البنك الآن يوفر API خاصة للمطورين، وهذه الـ API مبنية على ثلاثة مبادئ أساسية:

1. الموافقة الصريحة للمستخدم (Explicit Consent): أنت المتحكم الأول والأخير. لما تطبيق يطلب بياناتك، يتم تحويلك لصفحة آمنة على موقع أو تطبيق البنك الرسمي. هناك، البنك بسألك سؤال واضح: “تطبيق X يطلب الإذن للاطلاع على قائمة معاملات حسابك الجاري لمدة 90 يومًا. هل توافق؟”. أنت بتشوف بالضبط شو البيانات المطلوبة ولمين ولأي مدة، وبتقرر.
2. الأمان أولًا (Security First): العملية كلها بتتم باستخدام بروتوكولات آمنة عالمية مثل OAuth 2.0. ما في مشاركة لكلمات المرور نهائيًا. التطبيق بحصل على “مفتاح” أو “توكن” مؤقت وصلاحياته محدودة جدًا، وبقدر البنك أو أنت تسحبه في أي وقت.
3. التوحيد القياسي (Standardization): في كثير من المناطق حول العالم (مثل بريطانيا والاتحاد الأوروبي تحت تشريع PSD2)، تم فرض معايير موحدة للـ APIs. هذا يعني أن المطور بيكتب كوده مرة واحدة للتعامل مع المعيار، وبصير أسهل عليه يربط مع بنوك متعددة بدل ما يبني تكامل خاص لكل بنك على حدة.

نظرة تقنية: كيف تعمل الـ API في المصرفية المفتوحة؟

للمهتمين بالجوانب التقنية، خلونا نأخذ مثال على تدفق البيانات النموذجي (يُعرف بـ OAuth 2.0 Redirect Flow):

1. الخطوة 1: أنت في تطبيق إدارة المصاريف (خلينا نسميه “تطبيق مصروفي”) وتضغط على زر “اربط حسابك البنكي”.
2. الخطوة 2: “تطبيق مصروفي” يعيد توجيهك إلى صفحة الدخول الآمنة الخاصة ببنكك. (مهم: أنت الآن على موقع البنك الرسمي، وليس على “تطبيق مصروفي”).
3. الخطوة 3: تقوم بتسجيل الدخول باستخدام اسم المستخدم وكلمة المرور الخاصة بالبنك. (“تطبيق مصروفي” لا يرى هذه المعلومات أبدًا).
4. الخطوة 4: يعرض عليك البنك شاشة الموافقة التي تحدد الأذونات التي يطلبها “تطبيق مصروفي” (مثال: الوصول إلى رصيد الحساب وقائمة المعاملات).
5. الخطوة 5: بعد موافقتك، يقوم البنك بإعادتك إلى “تطبيق مصروفي” مع “رمز تفويض” (Authorization Code) مؤقت.
6. الخطوة 6: يقوم “تطبيق مصروفي” في الخلفية وبشكل آمن، بتبديل هذا الرمز بـ “رمز وصول” (Access Token) من البنك.
7. الخطوة 7: الآن، يمكن لـ “تطبيق مصروفي” استخدام هذا الـ Access Token لطلب بياناتك من الـ API الخاصة بالبنك بشكل آمن ومباشر.

كمثال برمجي بسيط (بصيغة JavaScript) لكيفية استخدام الـ Access Token لجلب المعاملات:

// هذا الرمز يتم الحصول عليه بعد موافقة المستخدم
const accessToken = 'ey... (رمز وصول طويل وآمن)'; 
const accountId = 'ACC-123456789';

// استدعاء API البنك لجلب المعاملات
async function getTransactions(token, account) {
  try {
    const response = await fetch(`https://api.examplebank.com/open-banking/v3.1/accounts/${account}/transactions`, {
      method: 'GET',
      headers: {
        'Authorization': `Bearer ${token}`,
        'Accept': 'application/json'
      }
    });

    if (!response.ok) {
      throw new Error(`HTTP error! status: ${response.status}`);
    }

    const data = await response.json();
    console.log('تم جلب المعاملات بنجاح:', data.Data.Transaction);
    // هنا يتم عرض البيانات في التطبيق
    
  } catch (error) {
    console.error('فشل في جلب المعاملات:', error);
  }
}

getTransactions(accessToken, accountId);

لاحظوا كيف أن الطلب يحتوي على `Authorization: Bearer ${token}`. هذا هو المفتاح الآمن الذي يثبت للبنك أن الطلب قادم من تطبيق مصرّح له.

نصائح من “أبو عمر” للمطورين في عالم التكنولوجيا المالية

بعد ما خضت هذه التجربة، بحب أشارككم كم نصيحة عملية من القلب:

• ابدأ بالأمان ولا تتهاون فيه: هذا هو المجال المالي، الخطأ فيه لا يُغتفر. تعلم جيدًا عن بروتوكول OAuth 2.0، وكيفية تخزين المفاتيح والرموز بشكل آمن (Secure Token Storage)، والتزم بتشريعات حماية البيانات في المنطقة التي تعمل بها.
• لا تُعد اختراع العجلة (ريح راسك): بدلًا من محاولة بناء تكاملات منفصلة لكل بنك، هناك شركات رائعة تُعرف بـ “مجمّعي الـ API” (API Aggregators) مثل Plaid, TrueLayer, Yapily وغيرها. هذه الشركات قامت بالعمل الشاق وبنت التكاملات مع مئات البنوك، وتوفر لك API واحدة بسيطة تتعامل معها. هذا يوفر عليك شهورًا، إن لم يكن سنوات، من العمل.
• ركز على القيمة وتجربة المستخدم: الآن بعد أن أصبح الوصول للبيانات أسهل، لم يعد التحدي في “كيف” نحصل على البيانات، بل في “ماذا” نفعل بها. ركز على بناء تجربة مستخدم سلسة، واجعل عملية ربط الحساب واضحة وشفافة، وقدم قيمة حقيقية للمستخدم من خلال تحليل البيانات التي سمح لك بالوصول إليها.
• افهم اللوائح التنظيمية: المصرفية المفتوحة ليست مجرد تقنية، بل هي مدفوعة بتشريعات مثل PSD2 في أوروبا، و CDR في أستراليا، وغيرها حول العالم. فهم هذه اللوائح ضروري لمعرفة ما هو مسموح وما هو ممنوع، وكيف تحصل على التراخيص اللازمة إذا تطلب الأمر.

الخلاصة: من سجون البيانات إلى فضاء الإبداع ✨

الانتقال من “كشط الشاشة” إلى “المصرفية المفتوحة” كان نقلة نوعية بكل معنى الكلمة. لقد حررنا بيانات العملاء (بموافقتهم طبعًا) من سجون الأنظمة المصرفية القديمة، وفتحنا الباب على مصراعيه لموجة هائلة من الابتكار في الخدمات المالية.

اليوم، بفضل هذه الثورة، يمكننا بناء تطبيقات للقروض الفورية، أدوات ذكية للاستثمار، منصات لإدارة أموال الشركات الصغيرة، وكل ذلك بطريقة آمنة وفعالة. لقد انتقل التركيز من المعاناة في الوصول للبيانات إلى الإبداع في استخدامها لتقديم قيمة حقيقية للناس.

لذلك، نصيحتي لكل مطور أو رائد أعمال يفكر في دخول عالم التكنولوجيا المالية: العصر الذهبي بدأ الآن. الأدوات أصبحت متاحة، والبيانات أصبحت محررة. كل ما تحتاجه هو فكرة رائعة والتركيز على حل مشكلة حقيقية للمستخدم. بالتوفيق يا جماعة!