Открытый банкинг

Концепцию открытого банкинга можно рассматривать как разновидность модели открытых инноваций. Её появление связано с развитием технологий, меняющимся отношением к вопросу о праве собственности на данные пользователей (это отражено в положениях GDPR), в качестве концепции открытых данных и по причине трансформации банков в платформы финансовых услуг BAAS^[4].

В октябре 2015 года Европейский парламент пересмотрел Директиву о платежных услугах, обновленная версия стала известна как PSD2. Директива обязала банки предоставлять сторонним организациям доступ к информации о клиентах через открытые API^[5].

У концепции открытого банкинга нет единодушной поддержки. Например, Мик Макэтир из Центра финансовой интеграции Великобритании считает, что только технически подкованные люди выиграют. С его точки зрения открытое банковское дело — это «глупая идея», которая приведет к большему финансовому отчуждению для людей с низкими доходами. Он полагает, что со стороны регулирующих органов наивно ожидать, что потребители будут передавать свои данные для получения различных выгодных предложений от банков, и указывает на опасность того, что потребители будут использоваться в своих интересах компаниями, предлагающими новые виды дорогостоящих кредитов или возникнет злоупотребление личной информацией, которую люди раскрывают в таких местах, как социальные сети.

В сентябре 2015 года в Великобритании при поддержке органов государственной власти была выдвинута инициатива Open Banking Standard в целях разработки стандарта открытого банковского API — руководства для кредитных организаций по способам создания, использования банковских данных и предоставления доступа к ним другим организациям.

В феврале 2016 года — опубликован документ The Open Banking Standard, содержащий рекомендации по разработке стандартов открытых API и их последующему внедрению.

В августе 2016 года Управление по конкуренции и рынкам Соединенного Королевства (CMA) издало постановление, которое требовало от девяти крупнейших банков Великобритании (HSBC, Barclays, RBS, Santander, Bank of Ireland, Allied Irish Bank, Danske Bank, Lloyds и Nationwide) разрешить лицензированным компаниям открыть доступ к своим данным вплоть до уровня транзакций по счетам^[6].

Директива вступила в силу 13 января 2018 года и использует стандарты и системы, созданные Open Banking Limited, некоммерческой организацией, созданной специально для этой задачи. Защита потребителей является обязанностью Управления финансового надзора (FCA) (для информации о счете и услуг по инициированию платежей в соответствии с директивой PSD2) или Управления комиссара по информации ICO (для данных)^[7].

Направление CMA используется только по отношению к девяти крупнейшим банкам и работает вместе с более широкими правилами PSD2, которые применяются ко всем поставщикам платежных счетов.

По состоянию на январь 2020 года в сфере Открытого Банкинга зарегистрировано 202 провайдера, регулируемых FCA^[8].

Регулятором открытого банкинга в России выступает Центральный Банк. По его инициативе в Ассоциации развития финансовых технологий, учрежденной совместно с крупнейшими российскими финансовыми организациями в декабре 2016 года, было открыто отдельное направление деятельности — развитие открытых программных интерфейсов (open API)^[9][10].

Открытые API — это технология обмена данными между информационными системами компаний через стандартные протоколы взаимодействия. Технология активно используется для создания партнерских сервисов — например, подключения ресторана к службе доставки и создания агрегаторов по покупке билетов.

В настоящее время фокусированная работа в сфере открытого банкинга ведется в рамках утвержденного Плана мероприятий («дорожной карты») по развитию конкуренции в отраслях экономики Российской Федерации и переходу отдельных сфер естественных монополий из состояния естественной монополии в состояние конкурентного рынка на 2018—2020 годы^[11].

В октябре 2020 года Банк России разработал стандарты открытых банковских интерфейсов, применение которых будет способствовать развитию продуктов и сервисов на финансовом рынке^[12].

Такие стандарты создают одинаковые правила взаимодействия участников на рынке и позволяют банкам и финтех-компаниям настроить обмен данными о клиенте с его согласия и в конечном счете сформировать для него персональные предложения.

Например, благодаря открытым API можно создать мобильное приложение для клиентов по управлению финансами в нескольких компаниях одновременно или организовать онлайн-оплату товаров и услуг через партнерские приложения^[13].

Применение стандартов, как заявляет Банк, будет добровольным. Они содержат принципы и рекомендации внедрения открытых API для конкретных сервисов — получения организациями информации о счете клиента банка и инициирования денежных переводов. Стандарты также определяют общие положения работы открытых банковских интерфейсов и предлагают рекомендации по обеспечению информационной безопасности при использовании этой технологии^[14].

8 июля 2021 года в Ассоциации развития финансовых технологий, созданной под эгидой ЦБ, сообщили о создании сервиса для тестирования банковских открытых API и программного обеспечения финтех-компаний^[15].

Новое решение позиционирует как сертификационный стенд, позволяющий проверить, соответствует ли ИТ-продукт стандартам ЦБ РФ. Система поддерживает стандарт Банка России по безопасности банковских операций (СТО БР ФАПИ. СЕК-1.6-2020)^[16].

Финтех-разработчики и финансовые организации смогут пройти процедуру проверки программного обеспечения на стенде. Успешно пройдя тестирование на стенде, финтех-компания или банк должны обратиться в Удостоверяющий центр для получения криптографических сертификатов для промышленной эксплуатации ПО.

Одновременно начал работу Портал Открытых API в России — openbankingrussia.ru

В настоящее время на российском рынке у банков нет обязательства открывать API для сторонних разработчиков. Сегодня свои API предоставляют такие банки, как Сбербанк, Альфа-Банк, Райффайзенбанк и другие^[17][18].

Также на рынке присутствуют API-платформы (Qplatform, APIBank), которые по аналогии с зарубежными API-провайдерами (Plaid, Tink, TrueLayer, SaltEdge и т. п.) занимаются интеграцией банков и финтех-решений^[19].

Наблюдается рост инвестиций в данном направлении: так, в 2020 году международная финансовая группа SBI Holdings проинвестировала в российскую финтех-платформу в обмен на долю 20 %^[20].

К середине 2025 года ВТБ планирует запустить технологии открытого банкинга для своих клиентов. Специалисты ожидают утверждения соответствующего законодательства, после чего россияне увидят в едином интерфейсе свои счета в различных банках^[21].

Ряд других стран выступили с инициативами открытого банкинга, где за основу были взяты европейская и британская модели. Это произошло либо в результате сотрудничества в отрасли, либо в результате законодательных изменений. В Австралии режим CDR (Consumer Data Right) для банковской отрасли был запущен 1 июля 2020 года в рамках проекта по защите прав потребителей при поддержке Министерства финансов Австралии и Австралийской комиссии по конкуренции и защите прав потребителей^[22]. Позже планируется распространение режима CDR на телекоммуникационные компании, а также в сфере энергетики. Закон о CDR (Права данных потребителей) был принят австралийским парламентом в августе 2019 года^[23].

В выпущенном в 2018 году отчете «Treasury Report» Министерство финансов США подчеркивает, что между США и Великобританией есть существенная разница с точки зрения как размера, так и разнообразия в финансовом секторе, поэтому действующая в Европе платежная директива PSD2 неприменима для американского рынка^[24].

Для финансовых организаций открытый банкинг несет определённые расходы и риски: затраты на реализацию и поддержку открытых API, риски кибератак и хищения денежных средств (вследствие раскрытия доступа к информационным системам), риски снижения доходов или потери доли на рынке за счет роста конкуренции, операционные и правовые риски, в первую очередь связанные с обменом информацией о клиентах между различными юридическими лицами (операторами систем, персональных данных).

В 2020 году для защиты пользователей в сфере открытого банкинга Банк России выпустил стандарт безопасности сервисов на основе протокола OpenID. Этот протокол предоставляет требования и рекомендации для обеспечения безопасного доступа к финансовым данным в финансовых сервисах реального времени с использованием модели обмена данными REST/JSON, защищенной технологией OAuth, включая профилирующий её протокол OpenID Connect^[25].