Open Banking: каким он должен быть?

Одним из ключевых направлений работы Ассоциации ФинТех (АФТ) сегодня является разработка свода стандартов, правил и инфраструктурных компонент открытых API, которые позволят существенно повысить доступность финансовых продуктов и услуг, обеспечат возможность бездискриминационного доступа на финансовый рынок новых технологичных игроков, а финансовым организациям – улучшить уровень клиентского обслуживания и снизить ряд статей затрат. Основные подводные камни на этом пути журнал «ПЛАС» обсуждает с Евгением Голодом, руководителем направления по развитию Open API АФТ.

Open Banking: каким он должен быть?

Финтех в России: сдерживающие факторы

Евгений Голод, руководитель направления по развитию Open API АФТ
Евгений Голод, руководитель направления по развитию Open API АФТ

Развитие финансовых технологий направлено на поддержку сервисов, которые сегодня востребованы клиентами. В данном случае технологии – история производная. Ведь наша задача состоит в том, чтобы помочь сообществу профессиональных игроков финансового рынка быстро расширять набор и качество клиентских сервисов. Одновременно мы работаем над формированием среды, которая сделает возможным появление на рынке принципиально новых игроков – финтех-компаний. Все это в совокупности позволит не только быстрее и гибче реагировать на изменяющиеся требования клиентов, но и формировать ожидания этих клиентов, предлагая им те полезные финансовые услуги, о существовании которых они пока, возможно, даже не догадываются.

Если сегодня качественно сравнивать цифровые банковские сервисы, которые доступны российскому потребителю, с тем, что есть за рубежом, то Россия находится в авангарде. В определенном смысле можно говорить о том, что уже именно мы обеспечиваем референтный мировой опыт. Клиенты американских и большинства европейских банков не имеют подобных по разнообразию и качеству инструментов, которые предоставляются отечественными банками, не говоря уже про бытовые сценарии, когда происходит стыковка с сервисами государственной цифровизации. Это не означает, что мы можем почивать на лаврах, наоборот, это накладывает большую ответственность при определении векторов развития. У нас достаточно хорошие цифровые каналы обслуживания во многих отдельно взятых банках. Самое время заниматься оптимизацией межбанковского взаимодействия на основе открытых API и созданием возможностей для роста финтеха.

Несмотря на то, что сервисы, которые доступны российскому потребителю, достаточно широки, по сравнению с тем, что предоставляют традиционные банковские игроки в европейских странах и США, в нашей стране значительно ниже представленность сервисов финтех-компаний. По сути это обстоятельство и является одним из драйверов более активного развития кредитными организациями собственных каналов дистанционного обслуживания (мобильного и интернет-банкинга). Однако здесь они сталкиваются сегодня с проблемой недостаточно высокой скорости разработки. Желания растут на порядок быстрее возможностей, что связано со многими факторами: устаревшими архитектурными решениями, новыми выстраиваемыми ИТ-процессами, слишком широким спектром новых задач. Поэтому многие российские кредитные организации уже в меньшей степени смотрят на опыт зарубежных банков, а больше обращают внимание на опыт крупных ИТ-компаний, и ориентируются на скорость и объем ежедневных изменений в системах таких компаний, как, например, Amazon и Google.

Гипотетически банк может выстроить свои внутренние процессы таким образом, что сможет внедрять необходимые изменения в свою ИТ-инфраструктуру более быстро. Хотя это все равно создает много сложностей с точки зрения управления внутренними процессами, проектами и инвестициями. Кроме того, банки, особенно крупные, делая какие-то принципиальные изменения в своих собственных системах ДБО, вынуждены «гипертрофированно» подходить к оценкам рисков кибербезопасности и репутационных рисков, что с одной стороны позитивно влияет на финансовую безопасность клиентов, с другой – создает определенные барьеры на пути развития инновационных сервисов.

Пришло время оптимизацией межбанковского взаимодействия на основе открытых API

Российское население в целом очень восприимчиво к новым цифровым финансовым сервисам. Однако при этом далеко не каждый пользователь задумывается об их безопасности. Как следствие, нередки случаи хищения личных и банковских данных клиентов с использованием приемов социальной инженерии. Учитывая тот факт, что среднестатистический пользователь уверен, что обо всех вопросах безопасности должен заботиться прежде всего сам банк, нормативно-правовое регулирование направлено на то, чтобы возложить ответственность за возможное мошенничество третьих лиц именно на кредитную организацию. Стоит отметить, российское законодательство в этом плане зачастую жестче, чем в других юрисдикциях.

В результате возникает противоречие. С одной стороны, банкам необходимо быть максимально инновационными, с другой – они должны обеспечить высочайшую степень защиты интересов клиентов. Начинается вечный поиск баланса. Отсюда же вытекает и достаточная закрытость отечественного рынка финансовых услуг в части допуска на него новых игроков из числа финтехов,  не обладающих банковской лицензией.

Существуют и другие сдерживающие факторы. Например, внутренняя проблема, заключающаяся в том, что внутренние «конвейеры банковской ИТ-разработки» сегодня невозможно упростить настолько, чтобы достичь нужной скорости разработки и запуска продукта на рынок, но при этом обеспечить необходимый уровень безопасности. Одним из решений, которое могло бы позволить финансовым сервисам более активно развиваться в безопасном режиме, могут стать именно Open API.

21

Международный опыт Open Banking

В идеологии открытого банкинга можно выделить два основных подхода – американский и европейский. В США изначально была создана достаточно либеральная нормативно-регуляторная база, которая позволяет банкам открывать третьим сторонам (финтех-структурам) большое количество сервисов, при этом какой бы то ни было серьезной централизованной регуляторной инициативы в этом направлении пока не наблюдается. В свою очередь, крупные банки уже начинают строить на базе Open API собственные финтех-экосистемы.

Один из самых ярких примеров – Citibank, который создал огромный Developer Hub. С помощью него банк позволяет внешним разработчикам пользоваться своими API для создания приложений, которые могут использовать данные о  клиентах банка. Какую пользу от этого в результате получает банк? В первую очередь он обеспечивает клиентам разнообразие потребительского опыта благодаря новым приложениям, причем не только своим, но и приложениям сторонних финтех-компаний. Соответственно, развивая эту экосистему, Citibank становится своеобразной платформой для инновационных игроков. Именно его клиенты могут воспользоваться всем разнообразием сервисов. Поэтому Citibank достаточно активно привлекает разработчиков.

Потребители действительно должны получить новые сервисы, но эти сервисы должны быть максимально безопасны

С другой стороны, это позволяет банку экономить внутренние инвестиции. Когда еще только возникает идея создания нового финансового сервиса, банк не знает наверняка, заработает он на этой идее или нет. Получается, что благодаря созданию такой экосистемы банк может заранее выявить, какие финтех-приложения пользуются спросом у клиентов. Это достаточно серьезная площадка для оценки перспективности. Не будь открытого API, такие эксперименты ему пришлось бы проводить за собственные средства, а так армия энтузиастов проделывает эту работу за банк, рассчитывая на этом заработать. Стоит отметить, что свои API открывают и другие крупные банковские игроки, такие как Wells Fargo, CapitalOne, Chase.

Итак, мы рассмотрели американский подход. Европейский рынок идет другим путем. Поскольку ситуация с цифровыми каналами там в целом обстоит хуже, чем в тех же США, и банки не особенно стремились активно их развивать, ЕЦБ решил подстегнуть конкуренцию, обязав коммерческие банки положениями Второй платежной директивы PSD2 открыть свои API. В документе прописаны несколько базовых сценариев, даны определения таким понятиям, как агрегатор финансовой информации (Account Information Service Provider, AISP), инициатор платежей (Payment Initiation Service Provider, PISP) и владелец расчетного счета – банк (Account Servicing Payment Service Provider, ASPSP) Согласно PSD2 сегодня все банки ЕС без исключения обязаны обеспечить «недискриминационный доступ» к своим API любым заинтересованным структурам из числа AISP и PISP, прошедшим соответствующую сертификацию. Регулятор занял жесткую позицию в отношении защиты интересов потребителей, которым нужны новые сервисы и новый уровень конкуренции. И такую конкуренцию, по мнению ЕЦБ, способны дать только финтех-компании. Поэтому банкам необходимо создавать для них недискриминационную комфортную и понятную им среду, в которой они смогут очень быстро развиваться.

22

В то же время, по мнению многих экспертов, то, что сегодня происходит с реализацией Директивы PSD2, можно охарактеризовать словосочетанием «кавалерийский наскок». Хотя насколько можно считать наскоком то, что реализуется уже более 10 лет, ведь первая Европейская платежная директива вышла еще в 2007-м? При этом стоит отметить, что в этом направлении все процессы развиваются далеко не самым оптимальным образом, и пока никакого ажиотажа со стороны участников рынка не наблюдается. По понятным причинам банковское сообщество относится к концепту ЕЦБ, мягко говоря, философски. Суть их позиции: «ЕЦБ борется за права клиентов, но при этом обязывает банки войти в эру конкуренции с финтехом, и банки отвечают на это – если надо, то будем выполнять. Но при этом мы будем очень строго смотреть, что именно мы должны выполнять. И выявлять любое несоответствие прописанного в одном документе тому, что прописано в других нормативно-правовых актах».

Сегодня, например, существует конфликт между Директивой PSD2 и вступающим в силу в мае 2018 года Регламентом GDPR (General Data Protection Regulation), направленным на защиту персональных данных клиента. И пока европейские регуляторы пытаются разобраться и найти общее решение, банки получили возможность на еще какое-то время ничего не делать, несмотря на то, что Директива PSD2 вступила в силу 13 января 2018 года.

Бенефициары Open Banking

Главными бенефициарами Open Banking, как мы уже отмечали, являются клиенты, у которых появляется большее разнообразие сервисов. Среди них сервисы, которых раньше не было в принципе, в том числе связанные с кросс-банковскими сценариями. Например, на сегодняшний день клиенту нигде не предоставляется легитимной и безопасной возможности посмотреть свой консолидированный финансовый портфель, разбросанный по различным финансовым институтам. Каждое мобильное или интернет-приложение дает срез лишь по одному конкретному банку. В случае внедрения на рынке концепции открытого банкинга такая возможность появляется.

Главными бенефициарами Open Banking являются клиенты, у которых появляется большее разнообразие сервисов, банки тоже смогут извлекать прибыль из открытых API

До появления «легальных» Open API уже существуют попытки реализации такого рода сервисов, но в этом случае остается открытым вопрос защиты собственных данных клиентов. Большинство подобных решений работает по принципу: «предоставь мне логин и пароль от своего интернет-банка, и я от твоего имени «вытащу» все данные и представлю их у себя на экране». В Европе такой способ называют Screen-Scrapping. Получается, что в таком случае пользователи приложений зачастую защищены лишь честным словом провайдера этого решения.

Итак, потребители действительно должны получить новые сервисы, но эти сервисы должны быть максимально безопасны. Поэтому необходимо четко определить, кто эти сервисы может предоставлять, и чем (и в какой степени) он отвечает перед потребителями в случае потерь от  мошенничества.

Банки, как мы уже говорили, тоже смогут извлекать прибыль из открытых API. Это и расширение сервисов для клиентов конкретного банка, и возможность кредитной организации анализировать востребованность новых сервисов, оценивать масштабы и сроки их внедрения без серьезных финансовых вложений, и многое другое, включая новый тип доходов – оплата третьими сторонами за пользование API.

Разумеется, свою пользу получат государство и финансовый регулятор. В рамках программы развития цифровой экономики реализация проекта Open Banking означает создание нового рынка, как следствие, это новые рабочие места и дополнительные налоговые отчисления.

Пока же отрасль остается закрытой, поэтому первоочередная задача заключается в том, чтобы «открыть» ее, не подвергнув при этом риску безопасность клиентов. И решить эту задачу не так уж просто.

Концепция Open API

Кажущиеся «легкими и очевидными» меры для создания открытых API финансовых институтов – например, изменить законодательство, чтобы обеспечить банки возможностями открывать API, или вообще обязать законодательно всех участников эти API открыть – несут серьезные риски для конечных клиентов. Поэтому сейчас мы в Ассоциации ФинТех в первую очередь создаем концепцию целевой картины, в которой будет соблюден баланс между интересами клиентов, в том числе (и даже в первую очередь) в части их финансовой защищенности, и реальными возможностями развития финансовой индустрии в целом, включая финтех-компании и традиционные финансовые институты.

22-2У нас есть возможность наблюдать, как непросто происходит внедрение Директивы PSD2 в Европе, как реагирует финансовое сообщество Сингапура на  консультативный доклад местного регулятора по открытым API, и что происходит в ряде других юрисдикций (в первую очередь в Великобритании). Мы можем как учитывать позитивный опыт, так и анализировать проблемы, возникающие при разработке и первых попытках внедрения различных концепций, основанных на идеях Open API и Open Banking. Определен и понятен спектр ключевых императивов, например, обеспечение защиты финансовых и персональных данных от неконтролируемого распространения и нецелевого использования и многие другие, учесть которые необходимо на первоначальном этапе. Для нас крайне важно не повторять ошибки зарубежных коллег!

Бездискриминационный доступ

В Европе основными поставщиками API станут сегодняшние традиционные финансовые институты, но круг пользователей их API должен быть расширен. Поэтому одной из ключевых целей направления Open Banking становится, как уже отмечалось, обеспечение недискриминационного доступа к этим API, т. е. то, чего сейчас нет на рынке. Например, в США крупные банки, создавая собственные API-экосистемы, сами определяют условия и форматы подключений, решают, кого допускать к использованию своих API, а кого нет. Говоря о недискриминационном доступе, мы подразумеваем, что это будут общие правила, установленные банковским сообществом. Также должен появиться и общий информационный портал, который будет информировать финтех-компании об этих правилах и порядке подключения к среде Open API. Для того чтобы получить право пользоваться API, предоставляемыми финансовыми институтами, в будущем портал будет являться интерфейсом для регистрации новых игроков.

24Таким образом, портал станет одной из центральных информационных точек для входа в среду Open API. Он будет, с одной стороны, содержать список участников, как со стороны финтехов, так и со стороны банков, а с другой – предоставлять достаточно информации для новых игроков о том, как можно начать пользоваться API конкретного финансового института, и содержать некие правила допуска к этой среде. Прогнозировать что-то более подробно, до того, пока не сформированы основные стандарты, представляется преждевременным.

Говоря о рисках среды Open API, нужно учитывать необходимость соблюдения защищенности и надежности работы сегодняшних банковских систем. Наличие «открытых интерфейсов» для предоставления API не должно создавать существенных угроз для безопасности финансового состояния потребителей и надежности работы банков (например, вследствие потенциальных DDoS-атак). Поэтому разработка рекомендаций по правилам и порядку подключения игроков в будущей среде Open API – также одна из наших приоритетных задач.

Стандарты Open API

Для чего необходимы стандарты Open API? Например, в США у каждого банка, развивающего API-сервисы, своя API-платформа и свои стандарты на процесс подключения и дальнейшего использования сервисов. И разработчик, который сотрудничает с разными банками, вынужден делать версию интеграций приложения отдельно для каждого из них. Мы же хотим сделать так, чтобы большое число основных, наиболее востребованных сервисов были максимально стандартизованы с технологической точки зрения. Это позволит упростить жизнь финтеху и ускорить вывод их продуктов на рынок.

Одной из ключевых целей направления Open Banking становится обеспечение недискриминационного доступа к API

Уже сейчас нами проводится работа по определению приоритетных сервисов, которые должны быть стандартизованы в первую очередь. Необходимо не только обеспечить их технологическую стандартизацию, но и создать правильный контекст, связанный с безопасностью. Сейчас мы входим в зону условно активных экспериментов. Начинать будем с того, что не несет рисков для потребителя. В первую очередь это работа с неперсонифицированными данными с последующим усложнением и персонификацией этих сервисов.

Конечно же, в своей работе мы учтем международный опыт. Было бы неправильно отбрасывать тот пласт технологических наработок, который уже сделан нашими зарубежными коллегами в части стандартов. Ведь они достаточно долго и очень серьезно работают над стандартами в части Open API для финтех-приложений и прав финтех-структур на работу с финансовыми данными, которые им дает конкретное физическое лицо. Мы постараемся учесть все лучшее с поправкой на нашу рыночную специфику.

Выводы

25В состав рабочей группы Ассоциации ФинТех входят, в том числе, представители как крупных, так и средних и небольших банков. Поэтому можно с уверенностью говорить, что все банковское сообщество в той или иной мере понимает необходимость развития направления Open API. Все чаще от руководителей передовых банков можно слышать про создание экосистем. Кредитные организации все больше уходят в финтех и в цифру. И этот процесс инициируется со стороны самих банков. Вопрос лишь в темпах, которые устраивают того или иного игрока рынка. И здесь мы как Ассоциация, основанная этими банками, агрегируем все эти идеи и ожидания в общую оптимальную дорожную карту и пытаемся найти win-win решения. Таким образом, в этой ситуации мы помогаем рынку двигаться вперед скоординированно, структурированно и  осознанно.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных