#openbanking #openapi #psd2 #uk
Open banking в Великобритании:
что стоит перенять в 2021 году
что стоит перенять в 2021 году
Open banking на примере UK
Какие риски должны страховать британские финтехи, кого боятся крупнейшие банки страны, как определить, кто должен отвечать перед пользователем, и почему мультибанкинг ― это хорошо, рассказывает Алексей Петров, CEO и сооснователь цифровой платформы APIBank.
Недавно мне удалось пообщаться с людьми, которые «стоят на передовой» британского открытого банкинга, ― Гэвином Литтлджоном, председателем The Financial Data and Technology Association (FDATA), и Крисом Майклом, техническим директором OBIE и CEO компании Ozone, являющейся, по сути, разработчиком британского стандарта Open API. Вместе с Татьяной Жарковой, управляющим директором Ассоциации ФинТех, мы расспросили коллег из Соединенного Королевства, которое сегодня считается лидером в области open banking, как у них устроено взаимодействие между банками и финтехами. Это особенно интересно в свете документа «Основные направления развития финансовых технологий 2018-2020», выпущенного ЦБ. Давайте посмотрим, какие принципы лежат в основе британского опыта и можно ли применить их у нас.
Оператор следит за порядком
В 2016 году Управление по конкуренции и рынкам (англ. Competition and Markets Authority, CMA) опубликовало отчет о розничном банковском рынке Великобритании. В отчете говорилось, что монополизация рынка крупными банками не позволяет развиваться малым и новым банкам. Для решения этой проблемы они предложили внедрить в стране открытый банкинг (Open Banking), который позволяет физическим и юридическим лицам безопасно делиться информацией о своих текущих счетах со сторонними организациями.
В январе 2018 года девять крупнейших кредитных организаций Великобритании выполнили предписание регулятора и открыли свои API. Чтобы получить доступ к данным, финтехам больше не нужно заключать договор с каждым банком напрямую, но необходимо получить аккредитацию у британского регулятора ― FCA (англ. Financial Conduct Authority ― Управление по финансовому регулированию и надзору). Оператором же открытого банкинга в стране является независимая организация OBIE (англ. Open Banking Implementation Entity ― Организация по внедрению открытого банкинга).
Именно оператор OBIE разрабатывает стандарты, спецификации и гайдлайны по взаимодействию всех участников системы открытого банкинга. Речь не только о технических протоколах, но и об алгоритмах действий в различных ситуациях. Например, куда должен обращаться клиент, если он несогласен с проведенным платежом ― в финтех или банк? OBIE собирает подобный клиентский опыт и вносит в гайдлайны, чтобы банки и финтехи действовали в рамках единой согласованной процедуры. Например, уведомляли клиента по смс в случае инициации платежа.
Кроме того, OBIE является площадкой для арбитража и решения споров. Оператор регулярно проводит встречи и общественные обсуждения разных предложений по совершенствованию системы открытого банкинга. Затем варианты решений выносятся на публичное голосование, которое проходит на сайте ассоциации. Итоговое решение принимается большинством голосов. Таким образом, OBIE прислушивается ко всем сторонам ― и тем, кто регулирует предоставление банковских данных, и тем, кто их потребляет.
В январе 2018 года девять крупнейших кредитных организаций Великобритании выполнили предписание регулятора и открыли свои API. Чтобы получить доступ к данным, финтехам больше не нужно заключать договор с каждым банком напрямую, но необходимо получить аккредитацию у британского регулятора ― FCA (англ. Financial Conduct Authority ― Управление по финансовому регулированию и надзору). Оператором же открытого банкинга в стране является независимая организация OBIE (англ. Open Banking Implementation Entity ― Организация по внедрению открытого банкинга).
Именно оператор OBIE разрабатывает стандарты, спецификации и гайдлайны по взаимодействию всех участников системы открытого банкинга. Речь не только о технических протоколах, но и об алгоритмах действий в различных ситуациях. Например, куда должен обращаться клиент, если он несогласен с проведенным платежом ― в финтех или банк? OBIE собирает подобный клиентский опыт и вносит в гайдлайны, чтобы банки и финтехи действовали в рамках единой согласованной процедуры. Например, уведомляли клиента по смс в случае инициации платежа.
Кроме того, OBIE является площадкой для арбитража и решения споров. Оператор регулярно проводит встречи и общественные обсуждения разных предложений по совершенствованию системы открытого банкинга. Затем варианты решений выносятся на публичное голосование, которое проходит на сайте ассоциации. Итоговое решение принимается большинством голосов. Таким образом, OBIE прислушивается ко всем сторонам ― и тем, кто регулирует предоставление банковских данных, и тем, кто их потребляет.
А как у нас?
Сейчас в России идет разработка собственного стандарта открытых банковских API, в основе которого будет лежать мировой опыт. Станут ли в итоге открытые API обязательными для всех банков или это коснется только крупнейших игроков, как в Великобритании, пока неясно. Но мы в APIBank убеждены, что стимулировать к открытию API нужно и крупные банки, и небольшие региональные организации, иначе последние рискуют сильно отстать технологически от лидеров и выпасть из конкуренции.
Ответственность за взаимодействие банков и финтехов сейчас отчасти взяла на себя Ассоциация ФинТех, в которую входят крупные банки. Однако непосредственно к обсуждению стандарта финтехи пока не привлекались, хотя именно они могли бы предоставить информацию о пользовательском опыте. С этой точки зрения, включение ряда компаний в Ассоциации ФинТех ― по примеру OBIE ― было бы, на наш взгляд, вполне целесообразным, и АФТ готова обсуждать такую возможность. А пока, чтобы проверить клиентский опыт, АФТ планирует в 2020 году провести ряд пилотных проектов по российскому стандарту открытых банковских API, что мы только приветствуем.
Ответственность за взаимодействие банков и финтехов сейчас отчасти взяла на себя Ассоциация ФинТех, в которую входят крупные банки. Однако непосредственно к обсуждению стандарта финтехи пока не привлекались, хотя именно они могли бы предоставить информацию о пользовательском опыте. С этой точки зрения, включение ряда компаний в Ассоциации ФинТех ― по примеру OBIE ― было бы, на наш взгляд, вполне целесообразным, и АФТ готова обсуждать такую возможность. А пока, чтобы проверить клиентский опыт, АФТ планирует в 2020 году провести ряд пилотных проектов по российскому стандарту открытых банковских API, что мы только приветствуем.
Финтехи выбирают: страхование рисков или API-хаб
В системе открытого банкинга Великобритании большое внимание уделено вопросам безопасности. Если финтех хочет напрямую подключиться к банковским открытым API, он должен не только пройти аккредитацию, но и застраховать свою ответственность на случай утечки или неправомерного использования данных.
Страхование финтехов соответствует требованиям европейской платежной директивы PSD2, четко разграничивающей риски участников открытого банкинга: кто виноват, тот и отвечает перед регулятором и клиентами. Финтех ― как мостик между банком и клиентом ― обязан обеспечить надежность передачи и правильность использования данных и не может перекладывать на кого-либо свою ответственность.
Если финтех пока не может или не хочет проходить аккредитацию в FCA и страховать свою ответственность, у него есть альтернативный вариант: получать данные через цифровые платформы, или API-хабы, например, tink.com. Такие посредники аккредитованы и интегрированы со всеми банками, которые открыли свои стандарты. Платформы выступают гарантом безопасности и своеобразным фильтром, отсекающим мошенников из числа финтехов. Хабы берут на себя часть рисков, вводя дополнительный контроль финтехов в части комплаенса, AML-процедур и т. д. Также платформы помогают банкам выполнять требования регулятора: кредитные организации могут открывать свои API не самостоятельно, а путем интеграции с цифровой платформой ― и уже через нее отдавать данные финтехам.
Страхование финтехов соответствует требованиям европейской платежной директивы PSD2, четко разграничивающей риски участников открытого банкинга: кто виноват, тот и отвечает перед регулятором и клиентами. Финтех ― как мостик между банком и клиентом ― обязан обеспечить надежность передачи и правильность использования данных и не может перекладывать на кого-либо свою ответственность.
Если финтех пока не может или не хочет проходить аккредитацию в FCA и страховать свою ответственность, у него есть альтернативный вариант: получать данные через цифровые платформы, или API-хабы, например, tink.com. Такие посредники аккредитованы и интегрированы со всеми банками, которые открыли свои стандарты. Платформы выступают гарантом безопасности и своеобразным фильтром, отсекающим мошенников из числа финтехов. Хабы берут на себя часть рисков, вводя дополнительный контроль финтехов в части комплаенса, AML-процедур и т. д. Также платформы помогают банкам выполнять требования регулятора: кредитные организации могут открывать свои API не самостоятельно, а путем интеграции с цифровой платформой ― и уже через нее отдавать данные финтехам.
А как у нас?
Будет ли в России введено страхование для финтехов, конечно, большой вопрос, на которой вряд ли сейчас можно ответить.
Что же касается цифровых платформ, в России они работают так же, как в Великобритании и помогают развивать конкуренцию в области финансовых сервисов. Как показывает опыт APIBank, сотрудничество с платформами особенно выгодно средним и небольшим банкам, а также финтехам. С одной стороны, хабы помогают безболезненно интегрировать инфраструктуру банков и финтехов и выстраивать в банках новое бизнес-направление по предоставлению коммерческих API. С другой ― использование цифровых платформ позволяет финтехам не зависеть от якорного банка и активнее конкурировать.
Что же касается цифровых платформ, в России они работают так же, как в Великобритании и помогают развивать конкуренцию в области финансовых сервисов. Как показывает опыт APIBank, сотрудничество с платформами особенно выгодно средним и небольшим банкам, а также финтехам. С одной стороны, хабы помогают безболезненно интегрировать инфраструктуру банков и финтехов и выстраивать в банках новое бизнес-направление по предоставлению коммерческих API. С другой ― использование цифровых платформ позволяет финтехам не зависеть от якорного банка и активнее конкурировать.
Пользователь решает, что можно и нельзя
По словам британских коллег, один из самых острых вопросов, которые сегодня обсуждают участники британской системы открытого банкинга, ― какой информацией можно и/или нужно делиться по стандартам открытых API. Финтехи хотят получать максимум данных, а банки видят в этом предпосылки для усиления конкуренции, что последним совсем не нравится.
Кроме того, ситуация осложняется расхождениями в законодательстве. Например, в соответствии с GDPR ― Общим регламентом по защите персональных данных в ЕС ― клиент может направить обратное требование-запрет на использование персональных данных. Теоретически это должно автоматически приводить к разрыву цепочки по предоставлению и банковских данных между банком и финтехом. Однако подобная норма не предусмотрена платежной директивой PSD2, на основе которой строится открытый банкинг в Европе. Подобные вопросы технического и юридического взаимодействия между банками, финтехами и клиентами все еще не урегулированы.
Сегодня в распоряжении банков есть клиентские данные, в первую очередь это персональные данные и банковская тайна, ― и собственные данные кредитных организаций, например, онлайн-канал, логотип продавца, MCC-код и т. д. При этом разные банки обладают разными видами информации в зависимости от того, какие услуги они оказывают клиентам, но в обязательном порядке предоставляют лишь минимальный набор данных в соответствии с требованиями регулятора. Предоставлять ли больше информации, каждая кредитная организация решает самостоятельно и с учетом волеизъявления клиентов.
Британские коллеги убеждены ― и я с ними абсолютно согласен, ― что самая важная часть открытого банкинга, его фундамент ― это право пользователя распоряжаться своими данными. Если пользователь согласен делиться данными, которые не входят в число обязательных для обмена, банк может предоставлять к ним доступ на коммерческой основе. Например, банк может предложить финтехам имя и адрес пользователя бесплатно, а дополнительную информацию об идентифицированных действиях с использованием банковского ID ― за деньги.
Кроме того, ситуация осложняется расхождениями в законодательстве. Например, в соответствии с GDPR ― Общим регламентом по защите персональных данных в ЕС ― клиент может направить обратное требование-запрет на использование персональных данных. Теоретически это должно автоматически приводить к разрыву цепочки по предоставлению и банковских данных между банком и финтехом. Однако подобная норма не предусмотрена платежной директивой PSD2, на основе которой строится открытый банкинг в Европе. Подобные вопросы технического и юридического взаимодействия между банками, финтехами и клиентами все еще не урегулированы.
Сегодня в распоряжении банков есть клиентские данные, в первую очередь это персональные данные и банковская тайна, ― и собственные данные кредитных организаций, например, онлайн-канал, логотип продавца, MCC-код и т. д. При этом разные банки обладают разными видами информации в зависимости от того, какие услуги они оказывают клиентам, но в обязательном порядке предоставляют лишь минимальный набор данных в соответствии с требованиями регулятора. Предоставлять ли больше информации, каждая кредитная организация решает самостоятельно и с учетом волеизъявления клиентов.
Британские коллеги убеждены ― и я с ними абсолютно согласен, ― что самая важная часть открытого банкинга, его фундамент ― это право пользователя распоряжаться своими данными. Если пользователь согласен делиться данными, которые не входят в число обязательных для обмена, банк может предоставлять к ним доступ на коммерческой основе. Например, банк может предложить финтехам имя и адрес пользователя бесплатно, а дополнительную информацию об идентифицированных действиях с использованием банковского ID ― за деньги.
А как у нас?
На текущий момент мы не видим прямых регуляторных ограничений для использования открытых API, но с другой стороны у банковских юристов существует недопонимание как состыковать законодательство, требования бизнеса и особенности технологий. Например, есть регулирование, касающееся банковской тайны, и ФЗ 152 #laquo;О персональных данных#raquo;, в которых нет четких указаний, каким образом клиент мог бы позволить третьей стороне ― финтеху ― получить доступ к банковской тайне и своим персональным данным. Сейчас предоставить такое подтверждение удаленно можно с помощью электронной подписи, причем желательно квалифицированной, однако она есть лишь у небольшого процента россиян. Решить проблему могло бы введение правил прописанных в законе или разъяснениях ЦБ. А также наличие зафиксированных регулятором требований к финтехам, что позволит снизить уровень риска и контролировать соблюдение стандартов безопасности. Но для этого нужно провести большую работу и внести изменения нормативно-правовые акты
Банки ускоряют развитие
Британские коллеги особо отметили, что внедрение стандарта открытых API всего за полтора года заметно повлияло на игроков банковской отрасли, основные рамки которой были созданы еще 40 лет назад. Банки активно начали учиться применять новые технологии, чтобы успешнее конкурировать в диджитале и предоставлении лучшего пользовательского опыта. Так, один из крупнейших банков страны Королевский банк Шотландии (англ. Royal Bank of Scotland) существенно изменил свои бизнес-процессы и корпоративную культуру. Раньше банк обновлял софт раз в девять месяцев, и если финтех не успевал интегрироваться к часу Х, то ему приходилось ждать следующего обновления. А сейчас новый банковский софт может перевыпускаться и обновляться хоть каждую неделю, а значит, и интеграции проходят намного оперативнее, что позволяет банку быть более конкурентоспособным.
В то же время эксперты говорили о том, что британские банки больше всего опасаются делиться данными друг с другом, а вовсе не с финтехами. Это вызвано тем, что кредитные организации могут одновременно выступать и поставщиками, и потребителями открытых API. Используя чужие данные, банк берет на себя, по сути, роль финтеха и предлагает клиентам мультибанковское решение, когда в одном интерфейсе можно управлять счетами, открытыми в нескольких банках. Участники рынка высказывают мнение, что банк-владелец решения может манипулировать клиентским опытом. Однако с другой стороны, такое положение должно мотивировать остальных игроков развиваться, создавать собственные подобные сервисы и соответствовать требованиям рынка.
В то же время эксперты говорили о том, что британские банки больше всего опасаются делиться данными друг с другом, а вовсе не с финтехами. Это вызвано тем, что кредитные организации могут одновременно выступать и поставщиками, и потребителями открытых API. Используя чужие данные, банк берет на себя, по сути, роль финтеха и предлагает клиентам мультибанковское решение, когда в одном интерфейсе можно управлять счетами, открытыми в нескольких банках. Участники рынка высказывают мнение, что банк-владелец решения может манипулировать клиентским опытом. Однако с другой стороны, такое положение должно мотивировать остальных игроков развиваться, создавать собственные подобные сервисы и соответствовать требованиям рынка.
А как у нас?
Нужно отметить, что российский банкинг технологически куда более развит, чем британский. Это связано с тем, что наша банковская система моложе и у нас нет тяжелого наследства в виде устаревших систем. Уже сегодня у многих российских банков есть открытые API, хотя стандарты у всех разные, что затрудняет взаимодействие финтехов с разными кредитными организациями.
Несмотря на различия в ситуации на рынке, и у британских, и у российских банков опасения в отношении конкурентов довольно схожи. Правда, на наш взгляд, эти страхи не слишком обоснованы. Более того, мультбанкинговые решения могут стать преимуществом для небольших российских банков, у которых нет ресурсов для дорогостоящих инвестиций в разработку красивых и удобных интерфейсов, но есть выгодные предложения по основным банковским продуктам. Мультибанковское решение позволит клиентам управлять своими счетами через красивый и удобный интерфейс крупного банка, но хранить денежные средства они будут в региональной кредитной организации, которая предлагает, например, более высокие ставки по депозиту, или возьмут там более выгодный кредит. В результате региональный банк сможет сократить операционные расходы и увеличить портфель депозитов или кредитов.
Несмотря на различия в ситуации на рынке, и у британских, и у российских банков опасения в отношении конкурентов довольно схожи. Правда, на наш взгляд, эти страхи не слишком обоснованы. Более того, мультбанкинговые решения могут стать преимуществом для небольших российских банков, у которых нет ресурсов для дорогостоящих инвестиций в разработку красивых и удобных интерфейсов, но есть выгодные предложения по основным банковским продуктам. Мультибанковское решение позволит клиентам управлять своими счетами через красивый и удобный интерфейс крупного банка, но хранить денежные средства они будут в региональной кредитной организации, которая предлагает, например, более высокие ставки по депозиту, или возьмут там более выгодный кредит. В результате региональный банк сможет сократить операционные расходы и увеличить портфель депозитов или кредитов.
У APIBank наработан большой опыт в части стандартизации открытых API и интеграции банков и финтехов. Более того, наша платформа технологически очень похожа на оператора открытого банкинга. Однако мы уверены, что если будет принято решение о применении британского опыта, оператором должна стать независимая некоммерческая организация, как, например, Ассоциация ФинТех, или любой другой инфраструктурный провайдер, который сможет наладить продуктивное взаимодействие между представителями всех заинтересованных сторон. Создание условий, когда финтехи, соответствующие определенным требованиям, не обязаны заключать договоры с отдельными банками ― одно из ключевых достижений британской системы открытого банкинга, которое, безусловно, стоит перенять для стимулирования конкуренции в области финансовых сервисов.
28 ноября 2019 г.