Сьогодні українські банки, навіть в умовах повномасштабної війни, активно працюють над розробкою низки програмних і безпекових рішень в рамках впровадження системи відкритого банкінгу. Про open banking в Україні знають уже не перший рік і давно готуються до його імплементації
Олександр Карпов
Закон «Про платіжні послуги», котрий регулює цю галузь був прийнятий ще 19 лютого 2021 року після кількарічної підготовки, правок, допрацювань та законотворчої тяганини. Документ почав діяти в Україні з 1 серпня 2022 року, тоді як розділ про обовʼязкову участь надавачів платіжних послуг в екосистемі відкритого банкінгу набуде чинності з 1 серпня 2025 року. Закон передбачає впровадження в Україні відкритого банкінгу та відкритих API , які дозволяють забезпечити стандартизований обіг (надання, отримання, використання) даних користувачів для надання фінансових та супутніх послуг за допомогою сервісів учасників екосистеми, і як результат – інтеграцію українського платіжного ринку з європейським та появу нових можливостей для розвитку платіжних та інформаційних фінансових сервісів та продуктів.
Open banking – це концепція, що передбачає відкриття банками та іншими компаніями, які обслуговують платіжні рахунки користувачів, доступу до даних клієнтів третім сторонам (рітейлерам, установам мікрокредитування, компаніям з управіння фінансами та надання бухгалтерських послуг, маркетплейсам, IT-компаніям, банківським і небанківським установам тощо) лише за згодою та на основі запитів клієнтів. Відповідно до закону, окрім банків, надавати платіжні послуги зможуть платіжні установи, поштові оператори, установи електронних грошей, котрі у тому числі матимуть змогу надавати послуги без обов’язкової участі у платіжній системі та емітувати платіжні інструменти, включаючи платіжні картки та електронні гроші.
Відкритий банкінг є доволі багатогранним поняттям і непростою галуззю – українські банки та небанківські установи мають пройти шлях розробки і стандартизації відкритих API, і матимуть багато організаційної роботи, перш ніж будуть на 100% готові до роботи у нових умовах. Українські фінансисти, економісти, банкіри та Національний банк, як регулятор, зазначають, що вказаний закон в цілому позитивно позначиться на ринку платіжних послуг країни. Він сприятиме розширенню платіжного ринку, покращенню якості платіжних послуг та пришвидшенню співпраці клієнта з надавачами таких послуг. Крім того, на ринку посилиться конкуренція, що стане стимулом для розвитку бізнесу.
На тлі впровадження в Україні системи відкритого банкінгу ми вирішили обговорити його перспективи з експертом. PaySpace Magazine поспілкувався з Олександром Карповим, директором Української міжбанківської асоціації членів платіжних систем ЄMA, співзасновником OpenAPIGroup про впровадження відкритого банкінгу в Україні, переваги, які він принесе отримувачам і надавачам платіжних послуг, а також про підводні камені, що ховаються у прийдешньому оновленні фінансової системи України.
– Олександре, розкажіть, будь ласка, скільки українських банків наразі не мають впровадженого онлайн-банкінгу, а скільки мають?
– Варто розпочати з того, що зараз в Україні не існує банків, у яких не було б онлайн-комунікації і співпраці з клієнтами. Якщо у тебе їх немає, ти просто не можеш працювати з клієнтами. Принаймні, в Україні це відбувається саме так.
Взагалі під онлайн-банкінгом треба розуміти певні формати взаємодії з клієнтами, у першу чергу, зв’язок через комп’ютер – коли клієнт логіниться на сайті банку і стає учасником екосистеми онлайн-банкінгу. Усі банки в України мають можливість давати клієнтам доступ до онлайн-платежів та рахунків, до відкриття додаткових послуг, як-от: кредитів, нових карток і рахунків, депозитів. Крім того, онлайн-банкінг існує, і переважно розвивається у специфічному форматі – у застосунках. Українцям усе це давно знайоме.
Скажу відверто – я ніколи не намагався порахувати, скільки банків України створили і запустили застосунки, але можу сказати точно, що 97-98% клієнтів в Україні можуть мати доступ до банку і користуватися його послугами через мобільний пристрій. Я оперую тут саме кількістю клієнтів, адже перша десятка українських банків обслуговує якраз 98% усіх клієнтів України.
– Яким саме чином закон про платіжні послуги збільшить коло учасників платіжного ринку і розширить можливості для банків та «небанків»?
– Історія про те, чи може хтось в Україні, крім банків, надавати фінансові/платіжні послуги – дуже стара. Це питання обговорюється уже щонайменше останні десять років. Українські законодавці мають приклад європейського регулювання та законодавства. Разом з тим закон, який би надавав можливість не тільки банкам, а й іншим установам надавати фінансові платіжні послуги, розроблявся в Україні приблизно років шість і минулоріч нарешті був прийнятий.
Приблизно перші 20 глав закону про платіжні послуги описують, які саме нові платіжні послуги з’явилися на українському ринку. Відповідно до старого закону про переказ коштів та платіжні системи ми мали об’єднану послугу – переказ коштів. У новому ж законі НБУ розбив цю послугу на окремі, з якими ми давно знайомі, – внесення коштів на рахунок, зняття коштів з рахунку, відкриття рахунків, емісії, еквайринг, надання зазначених послуг з кредитуванням, електронні гроші, тощо.
Крім того, законодавець, реалізуючи наміри НБУ, досить докладно описав юридичних осіб (крім банків), які матимуть право надавати ці платіжні послуги. Також було детально описано перехрещення цих послуг – коли одна установа має на щось право, а інша не має, адже, окрім фінансових платіжних послуг, існують ще й допоміжні: аутсорсинг та агентські послуги. До того ж уся екосистема платіжних послуг не обмежується виключно фінансовою установою, яка їх надає, і клієнтом. Крім них, ще може бути багато різних юридичних осіб, які надають додаткові послуги отримувачу або надавачу платіжних послуг.
Тож підсумуємо – новий закон, по-перше, передбачив розширення кількості юридичних осіб, які можуть надавати в першу чергу фінансові, а також нефінансові та допоміжні платіжні послуги. По-друге, уточнив, що платіжних послуг більше, ніж одна По-третє, закон уточнює права та обов’язки надавачів та споживачів платіжних послуг і надає Нацбанку повноваження з нормотворення, оверсайту та ліцензування нових та старих учасників ринку.
Якби ми говорили про довоєнні дані та реалії, я б сказав, що очікуємо подвоєння кількості надавачів платіжних послуг. Проте зараз війна, і ці показники трохи менші – за оцінками фахівців та аналітиків НБУ, наступного року на ринку з’явиться від 10 до 20 нових надавачів фінансових платіжних послуг. Ким саме будуть ці учасники поки невідомо, треба дочекатися ІІІ кварталу 2023 року, щоб провести хоча б умовний аналіз результатів впровадження закону «Про платіжні послуги».
ЧИТАЙТЕ ТАКОЖ: Розширюють послуги для клієнтів і чекають на open banking: Як українські банки впроваджують новітні технології під час війни
– Які компанії, крім банків, в Україні зможуть надавати фінансові послуги відповідно до нового закону?
– Варто зазначити, що український закон скопійований з Європейської платіжної директиви №2, яку впровадили у Євросоюзі п’ять років тому. Директива передбачає, що, крім банків, існують нові типи юридичних осіб, які матимуть право надавати фінансові платіжні послуги. Це такі компанії та установи:
- платіжні установи – звичайні юридичні особи, котрі не є банком, але звернулися до регулятора (в Україні це Нацбанк) і отримали ліцензію на надання платіжних послуг;
- установи електронних грошей;
- оператори поштового зв’язку, які уже давно надають послуги еквайрингу і переказу коштів без відкриття рахунків, а тепер отримують право на надання інших платіжних послуг;
- філії іноземних платіжних установ, зареєстрованих належним чином в інших юрисдикціях, які хочуть надавати послуги українцям і пройшли відповідну авторизацію від НБУ.
Олександр Карпов на конференції ЄМА
– Які саме переваги та інструменти відкритий банкінг надасть банкам та небанківським установам в Україні?
– Модель відкритого банкінгу є взаємовигідною, адже банки (та інші надавачі послуг з обслуговуваня платіжних рахунків) можуть інтегрувати сторонніх постачальників в свій асортимент продуктів через API та пропонувати клієнтам додаткові послуги, розширюючи вибір для них. Також банки можуть аналізувати якими сервісами третіх сторін користується їх клієнт, щоб краще зрозуміти його потреби, а також на основі отриманої інформації про рахунки клієнта в інших установах проводити належний андерайтінг, AML, KYC та використовувати скорінгові дані для підвищення доходів по групах і окремих клієнтах. Таким чином, до класичних сторін − банку і клієнта − в екосистему відкритого банкінгу додаються нові учасники, такі як Third Party Provider (TPP). Вони є авторизованими постачальниками нефінансових платіжних послуг, що використовують інтерфейси, розроблені відповідно до вимог Закону, для доступу до рахунків клієнта, в цілях надання інформаційних послуг, ініціації платежів і/чи перевірки наявності доступних коштів на рахунку. Роль TPP можуть виконувати як PISPs, AISPs так і безпосередньо самі банки.
Давайте візьмемо для прикладу ті банки і компанії, які відкривають рахунки і обслуговують клієнтів, надаючи їм платіжні інструменти, та оперують грошима. Для них перевагами будуть:
- прискорення обміну даними між усіма учасниками екосистеми про моделі поведінки їх клієнтів, фінансовий “стан здоров’я”, інвестиційні плани та цілі;
- отримання нових каналів залучення клієнтів;
- загальне підвищення попиту на фінансові послуги та можливість створювати нові унікальні сервіси;
- альтернативні довірчі канали отримання даних, що забезпечать додаткові доходи та суттєве скорочення витрат на основі аналізу даних про клієнтські рахунки в інших установах. Компанія знатиме про клієнта більше для оцінювання його ризиків, і на основі цього прийматиме рішення про надання чи ненадання йому додаткових послуг, або належного управління існуючими послугами, лімітами тощо;
- спрощене отримання додаткової інформації про свого клієнта в рамках процедури KYC («Know Your Customer» – тобто «знай свого клієнта» – перевірка банком клієнта на предмет підозрілих фінансових операцій), а також протидії платіжним шахрайствам.
ЧИТАЙТЕ ТАКОЖ: Відкритий банкінг, платежі під час війни та перша українська крипто-картка: про що говорили під час Global Payments Week-2022?
– А які тоді переваги відкритий банкінг принесе клієнтам в Україні?
– Давайте подивимося на клієнта як на особу, якій щось потрібно від фінансової установи. Коли він приходить до нового для себе банку чи установи, він хоче стати клієнтом швидко, отримати щонайбільше послуг на максимально сприятливих умовах.
Впровадження відкритого банкінгу, використання API, відкритих інтерфейсів і відкритих даних передбачає прискорення взаємодії між клієнтом та фінансовою установою, спрощення управління цифровими фінансовими продуктами та total digital для кожної можливої потреби клієнта.
По-перше, в рамках відкритого банкінгу клієнт надає новому надавачу платіжних послуг доступ до своїх рахунків в інших фінустановах, їх дуже швидко оцінюють і він зможе отримувати потрібний набір послуг. Тобто клієнт впевнений, що дотримання ним клієнтських зобов’язань в рамках платіжної і кредитної історій в інших платіжних установах оцінять швидко і коректно. Це дасть йому змогу максимально швидко почати користуватися послугами у новому банку.
Друге – зараз, якщо ви хочете скористатися послугами кількох фінустанов, бо вам, скажімо, подобається депозит у банку Х, платіжна картка – у фінкомпанії У, а іпотека чи кредит на автівку – у надавача фінпослуг D, потрібно звертатися до усіх них окремо і мати три застосунки. Це витрати часу та зусиль клієнта.
Дуже скоро клієнт зможе скористатися новими можливостями відкритого банкінгу, знайти фінансового посередника, який надаватиме послуги агрегації інформації цих трьох установ, і бачитиме в одному застосунку усі свої рахунки і усі можливості фінустанов. Це дозволить високоефективно та зручно управляти особистими фінансами, отримувати роботизовані рекомендації щодо заощаджень коштів та їх примноження
Тож інакше кажучи, відкритий банкінг – це підвищення якості управління клієнтськими фінансами, покращення якості інформації і можливість заощаджень завдяки можливостям штучного інтелекту, “вбудованого” у додаток.
Потрібно зазначити, що у клієнта існують й інші спеціалізовані потреби і вимоги – швидко (і максимально дешево) заплатити за товари, послуги, комуналку, подати звіти та іншу інформацію в державні (в т.ч. фіскальні) органи. Тому будь-яка компанія в країні, яка набуде статусу надавача нефінансової платіжної послуги або його агента (наприклад, Rozetka, Сільпо, Wog, ДФС, Пенсійний фонд, або аудиторська чи бухгалтерська компанія) в рамках екосистеми відкритого банкінгу надаватиме клієнтам ефективну послугу з ініціювання платежу або управління фінансами. Зазначені компанії також мають власні інтереси на фінансовому ринку, відповідно їх нові ролі в умовах відкритого банкінгу дозволяють їм нарощувати клієнтську базу та розробляти проривні інноваційні рішення та продукти, спрощувати процедури та заощаджувати на обслуговуванні клієнтських платежів.
Олександр Карпов на конференції ЄМА
ЧИТАЙТЕ ТАКОЖ: Чи буде НБУ корегувати офіційний курс гривні та які плани на валютні обмеження
– Що саме мають оновити/впровадити/переробити у своїх процесах до 2025 року банки та інші компанії, щоб впровадити відкритий банкінг?
– Закон передбачає, що екосистема відкритого банкінгу працюватиме для тих рахунків, які є в онлайні. Зараз доступ до депозитного або кредитного рахунку може виявитися неможливим, адже деякі банки не надають такої можливості через доступні клієнту (і іншим учасниками фінансовї екосистеми) інтерфейси. У рамках відкритого банкінгу фінустанови надаватимуть клієнту доступ до будь-якого його рахунку в онлайн-режимі. Тож, всі (!) рахунки мають бути в онлайні, і для цього банкам і небанкам доведеться попрацювати, зокрема змінивши процедури взаємодії IT-систем в межах та поза межами відповідних організацій.
Крім того, відкритий банкінг передбачає, що клієнт може/має надавати іншим учасникам ринку (на їх запит) доступ до власного рахунку. У цьому контексті закон розрізняє так звані базові послуги та комерційні послуги в рамках відкритого банкінгу. Відмінність у них є. Отримання інформації в рамках базових послуг є безкоштовним і для запитувача, і для надавача. Якщо йдеться про комерційні послуги, то для того, аби хтось міг їх отримати і надати, має існувати система договорів між усіма учасниками екосистеми.
Тож існує банк, який веде рахунок, та компанія, що агрегує інформацію і надає клієнту додаток, через який можна до цього банку під’єднатися. Відповідно до закону, базовою інформацією ці учасники екосистеми обмінюються між собою безкоштовно, а іншою інформацією – за гроші. Враховуючи, що таких учасників працює на ринку сотня, то платити за обмін інформацією кожного з кожним дорого. Відтак, на ринку зʼявлятимуться хаби та інші посередники, котрі даватимуть можливість кожній стороні зекономити на технічних та організаційних підключеннях, на укладенні договорів, забезпечать кліринг та сетлмент розрахунків при використанні комерційних API тощо.
Це означає, що банки та інші надавачі фінансових послуг протягом наступних року-двох доведеться зорганізувати систему договорів і розрахунків і втілити систему підключень, щоб вона могла працювати. Для цього на рівні кожного з надавачів платіжних послуг має бути реалізований SandBox – програмний функціонал, що дозволяє учаснику у тестовому режимі підключитися до іншого учасника і протестувати відправку запиту, отримання інформації, інтерпретацію даних тощо. До речі, існують регуляторний SandBox (сукупність методологічних та регуляторних дій Нацбанку) і технічний SandBox (IT-рішення кожного банку), який в рамках відкритого банкінгу має бути впроваджений банком, щоб тестувати підключення кожного учасника, який забажає отримувати інформацію.
Головне, як на мене, те, що усі взаємодії в рамках відкритого банкінгу відбуваються за згоди клієнта. Закон передбачає, що банк (інший фінінститут), який відкрив та обслуговує рахунок клієнта, має отримувати від організації, яка звертається за клієнтською інформацією, згоду клієнта, а також зберігати і управляти нею. Згода має бути надана, збережена, перевірена, – тож управління згодами має бути впроваджено на рівні екосистеми – у всіх надавачів фінансових та нефінансових платіжних послуг.
Крім того, в рамках відкритого банкінгу одним з елементів забезпечення надійності та безпечності обігу фінансової клієнтської інформації в системи є використання посиленої аутентифікації. Ці нові вимоги, передбачені законом, мають бути належним чином інтерпретовані кожним учасником ринку і впроваджені, а це значний обсяг роботи.
ЧИТАЙТЕ ТАКОЖ: Нацбанк частково послабив обмеження щодо діяльності фінустанов: постанова НБУ №229
– Які ризики несе відкритий банкінг в Україні, зокрема, у реаліях повномасштабної війни? Йдеться про ризики розголосу конфіденційної клієнтської інформації, ризик витоку даних під час обробки платежів і даних тощо.
– Насправді ще минулого року в Україні виникали певні «безпекові» запитання до Дії, яка накопичує у собі величезний обсяг персональних даних клієнтів. Свого часу повідомлялося, що нібито з використанням ідентифікації через Дію хтось намагався отримувати доступ до особистої інформації. Але усі безпекові шпарини, якщо навіть і існували, то були швидко усунені.
Щодо відкритого банкінгу, то хто б не надавав інформацію клієнта, за це несе відповідальність у першу чергу установа, яка веде клієнтські рахунки. Це означає, що якщо посередники у рамках системи відкритого банкінгу звертаються до установи, яка тримає рахунки клієнта, то саме ця установа має пересвідчитися, що у посередника є дозвіл від НБУ, а згода клієнта була отримана, перевірена і належним чином опрацьована.
Якщо у тримача рахунку є підозри, що з посередником (надавачем нефінансових платіжної послуги або його агентом) щось не гаразд і його, приміром, зламали, він може згідно із законом перервати сеанс зв’язку або відключити для посередника можливість звертатися до банку за інформацією про клієнта. Ця ланка між клієнтом посередником і тримачем рахунку є контрольована і дуже докладно прописана у законі та нормативно-правові акти НБУ (їх оприлюднення очікується у грудні 2022 року) у контексті безпеки.
Насправді ж зламують не стільки технологію чи додаток, скільки, так би мовити, мозок клієнта. Якщо ви віддасте шахраю доступ від додатку, то він, очевидно, зможе зробити з вашими грошима все те, що і ви можете робити, користуючись додатком самостійно. Тож українцям варто пам’ятати, що не можна розголошувати критичні дані, які можуть бути використані шахраями для несанкціонованого доступу до застосунків.
Олександр Карпов з колегами
– Ким і як буде регулюватися відкритий банкінг в Україні?
– Дискусія з цього приводу зараз триває, але скоріше на рівні організаційних питань. Відповідно до закону «Про платіжні послуги», відкритий банкінг регулюється Нацбанком. Але що ми взагалі маємо розуміти під регулюванням? Існує регулювання належного доступу кожного учасника до кожного учасника в рамках безкоштовних сервісів. Це НБУ гарантовано забезпечить, тож всі учасники матимуть можливість отримувати інформацію.
Щодо контролю безпеки посиленої аутентифікації і управління згодою – то відкритий банкінг є елементом фінансової діяльності у рамках надання фінансових послуг учасникам ринку, тому, безумовно, цей масив роботи залишається за НБУ. Так, є питання щодо специфікацій (описання програмного забезпечення, яке буде використане для розробки реалізації системи) запитів і уніфікації цих специфікацій. Кожен ринок іде по своєму сценарію, але загальносвітовий тренд такий – спершу ринок розробляє специфікації, а центробанк країни або спостерігає за використанням специфікацій, або надає їм правову підтримку. Те, що ми знаємо на сьогодні – НБУ прагне слідувати другому сценарію. Це дає Нацбанку впевненість у тому, що екосистема відкритого банкінгу з технічної точки зору буде прогнозована, максимально ефективна і стабільна.
Триває дискусія щодо того, як швидко посередникам (надавачам нефінансових платіжних послуг) даватимуть ліцензії (або авторизують діяльність) на отримання інформації в рамках відкритого банкінгу. Сподіваємось не потрібно буде чекати 2025 року, щоб формально отримати статус PISPа, AISPа або їх агента. Позиція регулятора така – після того, як специфікації будуть розроблені і затверджені Нацбанком, він вважатиме, що екосистема відкритого банкінгу в Україні запрацювала. Але це не повинно заважати ліцензуванню і авторизації відповідної діяльності.
Все, що відбувається до затвердження вказаних специфікацій, є продовженням діяльності з елементами використання, розбудови або тестування відкритого банкінгу, яка зараз на ринку вже є. Як швидко специфікації будуть затверджені – у 2023, 2024 або 2025 році – подивимося. Ніхто не знає, як швидко ми зможемо допрацювати специфікації і масштабувати це на загальноукраїнський рівень.
За нашими оцінками, це 3-4 квартал 2024 року – специфікації будуть відтестовані, пілотні учасники екосистеми в рамках цих специфікацій підтвердять, що все працює добре, а НБУ схвалить результати пілоту і затвердить специфікації нормативно-правовим актом. Після такого затвердження Нацбанк зможе, якщо захоче, ініціювати зміни у законі термін початку обов’язкової участі кожного надавача фінансових платіжних послуг в екосистемі відкритого банкінгу та наданні обов’язкової інформації в рамках використання базових сервісів та API. Для цього буде потрібно звернутися до парламенту і вказати, що, мовляв, чекати до 2025 року довго, і обов’язкові сервіси та елементи відкритого банкінгу можна впровадити раніше – приміром, з 2024 року. Усе залежить від спроможності ринку швидко відтестувати розроблені специфікації. OpenAPIGroup продовжує опрацювання специфікації та готує пілот, тож стежте за новинами.
ЧИТАЙТЕ ТАКОЖ:
НБУ призупинив механізм екстреної фінансової підтримки банківської системи: причини
Як створити необанк з нуля за мінімальних витрат: поради з розробки фінтех-продукту
Британський банк HSBC першим запустив VRP-платежі у рамках переходу на відкритий банкінг
