Український фінансовий ринок входить у період масштабних змін: банки готуються до запуску open banking, адаптуються до нових євроінтеграційних вимог та стикаються зі зростанням загроз цифрового шахрайства на тлі розвитку ШІ. Щоб розібратися, як ринок готується до нових правил, чому частина гравців може не встигнути до дедлайнів НБУ та як Україна вже випереджає ЄС у сфері antifraud-рішень, ми поспілкувалися з директором Асоціації ЄМА Олександром Карповим
Фото: magnific.com
Ключові тренди фінансового ринку 2026 року
У 2026 році український фінансовий ринок перебуває під впливом трьох визначальних трендів.
Перший — євроінтеграція платіжного законодавства
НБУ орієнтується на 31 грудня 2027 року як дедлайн у рамках Плану виконання заходів у сфері європейської інтеграції. У цьому процесі існують чотири ключові треки:
- регулювання interchange відповідно до Регламенту 2015/751 — НБУ закінчує підготовку законодавчих пропозицій щодо поетапного встановлення граничних ставок (0,2%/0,3% для дебетових/кредитових карток) та права торговця обирати картковий продукт;
- верифікація отримувача до авторизації платежу (Verification of Payee) відповідно до Регламенту 2024/886;
- посилена відповідальність банків за шахрайство з соціальною інженерією відповідно до PSD3;
- доступ до рахунків з базовими функціями та послуга передавання рахунку (Директива 2014/92).
Невідворотність цих змін ніхто не заперечує — але реальна дискусія стосується не питання «чи буде зроблено», а пріоритетності окремих напрямів та послідовності їх запровадження. Особливо там, де імплементація потребує не НПА НБУ, а змін до законів. Країни, які вступали до ЄС впродовж останнього десятиліття, адаптували свої ринки вже в статусі членів і мали на це перехідні періоди. Україна ж бере на себе зобов’язання наздогнати ЄС до вступу, який станеться невідомо коли — і це свідомо нерівні умови для вітчизняних фінустанов.
Паралельно ринок уже сьогодні платить реальну ціну регуляторної незавершеності: технічно готові учасники витрачають ресурси не на розвиток, а на з’ясування того, що їм взагалі дозволено робити. Одні норми вже оновлені, інші залишилися в редакції п’ятирічної давності — і в цьому зазорі живе не інновація, а комплаєнс заради комплаєнсу. І саме зараз на ринок накочується новий вал євроінтеграційних вимог.
Другий — криза цифрової довіри
Генеративний ШІ зробив deepfake масовим інструментом шахраїв. Традиційні методи верифікації особи та KYC більше не є достатніми. Асоціація ЄМА реагує на ці виклики системно: AntiFraud Hub щомісяця обробляє понад 7 000 сповіщень про шахрайські перекази, понад 14 000 запитів від Кіберполіції та понад 1 млн перевірок по базі ненадійних клієнтів щоденно — 43 банки з ринковою часткою понад 98%. У 2025 році нами запущено сервіс Stolen Identity — реєстр викрадених цифрових ідентичностей; аналогів у ЄС немає.
PSD3 та PSR лише зараз формують вимоги до державно-приватного партнерства у протидії шахрайству — того, чого в ЄС досі немає як усталеної практики. Україна цей шлях пройшла раніше. Але зупинятися немає права: шахраї не стоять на місці, технології атак еволюціонують швидше, ніж суспільство встигає адаптуватися.
Третій — відкриті фінанси
Україна демонструє чудовий сценарій: не регулятор розробив стандарти й імплементував їх для ринку — ринок через Open API Group на базі Асоціації ЄМА самостійно створив фінальні специфікації відкритого банкінгу, адаптувавши Berlin Group — євростандарт у цій сфері. НБУ офіційно підтримав ініціативу, підтвердивши, що специфікації охоплюють надавачів з понад 95% рахунків ринку. Дедлайн повної технічної готовності — 1 серпня 2026 року.
Нещодавно НБУ надіслав банкам два запити — аналітичний від Департаменту платіжних систем та наглядовий від Департаменту інтегрованого нагляду. Другий — це вже повноцінний безвиїзний нагляд із вимогою документальних доказів: протоколів тестування, рішень про введення API в продуктив. І саме тоді з’ясовується реальна картина: частина малих банків шукає окремі компоненти ззовні, бо їхні вендори АБС просто не планують реалізовувати все потрібне. Формальне «ми впроваджуємо» та фактична готовність — різні речі.
Читайте також: Скільки грошей на рахунках українців — звіт за квітень 2026
Як просувається впровадження open banking і які основні виклики?
Нормативна база набула чинності з 1 серпня 2025 року, специфікації розроблені ринком через Open API Group на базі Асоціації ЄМА, НБУ їх офіційно підтримав. Технологічний дедлайн — 1 серпня 2026 року.
Стан готовності ТОП-16 системно важливих банків загалом позитивний. Шість банків обрали власну розробку — ПриватБанк, Monobank, Райффайзен, А-Банк, ПУМБ та УкрСиббанк: 48,1 млн активних карток, 81,3% ринку. Ощадбанк, Сенс Банк, ОТП Банк та Креді Агріколь — рішення Open API Hub Solutions: 9,05 млн активних карток (15,3%). Укргазбанк — Tieto (502 тис., 0,85%); ТАСкомбанк — TAS Link (138 тис., 0,23%); Кредобанк, Південний, Укрексімбанк та Ідея Банк — UPC (439 тис., 0,74%). Загалом ТОП-16 охоплює 98,1% активних карткових рахунків фізосіб.
Ширша картина менш однозначна. Щонайменше 18 банків поза ТОП-16 вже визначились з вендорами — але 19 досі не обрали нічого. І окремо: кілька банків обрали групове рішення, несумісне з українською специфікацією — це додаткові витрати на адаптацію або зміну вендора пізніше.
Прогрес демонструють і найбільші небанківські ASPSP — НоваПей та РозеткаПей.
Перший виклик — реальна, а не формальна готовність
Йдеться про групу, велику за кількістю установ, але малу за часткою клієнтів — менше 2% роздрібного ринку. Для екосистеми непомітно. Для самих установ — питання комплаєнсу: ті, хто не встигне, отримають штрафи і, можливо, хтось піде з ринку.
Другий виклик — вхід нових гравців
Щоб надавати послуги в екосистемі відкритого банкінгу — агрегувати фінансову інформацію клієнта або ініціювати платежі від його імені — потрібна нова ліцензія. Її мають отримати всі: і стартапи, і вже працюючі банки. За десять місяців дії нових правил лише чотири організації подолали процедуру ліцензування (авторизації діяльності), ще дві-три — на шляху. Асоціація ЄМА працює з НБУ над спрощенням цього процесу. Без нових (особливо, небанківських, яких багато в ЄС) учасників відкритий банкінг залишиться технічною інфраструктурою — без сервісів, які роблять її корисною для звичайної людини.
Сучасні методи протидії фінансовому шахрайству
Глобальний тренд — перехід від реактивної логіки «виявити і заблокувати» до проактивної: попередити транзакцію до її виконання, а відповідальність за втрати покласти на того, хто не вжив достатніх заходів захисту.
Цікаве по темі: Новий власник докапіталізує PINbank на ₴200 млн
Що змінює PSD3 та PSR (Регламент про платіжні послуги) в ЄС
Набрання чинності — орієнтовно Q1 2027 року. Ключові новації: обов’язковий обмін інформацією про шахрайство між надавачами платіжних послуг, посилена відповідальність за шахрайство з соціальною інженерією, обов’язкова верифікація IBAN і імені отримувача (Verification of Payee).
Що вже зробила Україна — і де випереджає ЄС
Асоціація ЄМА побудувала унікальну екосистему AntiFraud Hub: щомісяця понад 7 000 сповіщень про шахрайські перекази (Fraud Payments Tracker), понад 14 000 запитів від Кіберполіції (CrimeCheck) та понад 1 млн перевірок по базі ненадійних клієнтів щоденно. 43 банки з ринковою часткою понад 98%. Stolen Identity та MobileCheck — сервіси без аналогів у ЄС.
Ми також вивчаємо можливість розробки Enhanced VoP — з pre-payment верифікацією, агрегованим fraud scoring та liability shift для банків, що ігнорують high-score сигнали. Рішення ще не прийнято, але архітектура і переговорна позиція для ЄС і НБУ вже опрацьовані. Якщо це відбудеться — Україна матиме систему, що суттєво перевершує вимоги ЄС.
Шахраї не стоять на місці. Жодна проблема не вирішується раз і назавжди — антифрод вимагає постійного менеджменту, а не разової дії.
Open banking і безпека персональних фінансових даних
Open banking розширює периметр доступу до фінансових даних — і це одночасно його цінність і його ризик. Питання не в тому, чи є ризики, а в тому, чи побудована архітектура захисту до того, як система запрацювала.
Ключові вектори ризиків
Фішинг під виглядом легітимного провайдера: шахрай імітує сервіс і отримує від клієнта дозвіл на доступ до рахунку. Захист — QWAC-сертифікати для верифікації провайдера та QSeal для підписання платіжних ініціацій. Зловживання згодою: якщо система управління дозволами реалізована неякісно, провайдер де-факто отримує більше, ніж клієнт дозволяв. Соціальна інженерія на стику каналів: deepfake-голос «банківського співробітника» переконує клієнта самостійно авторизувати доступ або переказ.
Що вже захищає — і що потрібно додатково
Специфікації Berlin Group, адаптовані Open API Group, закладають захист на рівні стандарту: верифікація провайдера, підписання платіжних ініціацій, підтвердження доступу, обмежені токени. Consent Manager дає клієнту видимість і контроль: хто і до чого має доступ, з якого часу і на який строк — і можливість відкликати дозвіл у будь-який момент.
Найсучасніша технічна архітектура не захистить клієнта, який сам авторизує доступ шахраю. Deepfake-атаки ламають не системи — вони ламають людей. Open banking і безпека — не протиріччя, а умова одне одного. ЄМА готує матеріали для клієнтів про безпечне користування сервісами відкритого банкінгу — і планує цю роботу розширювати.
Ознайомтеся з іншими популярними матеріалами:
Частка проблемних кредитів впала до мінімуму за 15 років — НБУ
Чому українцям блокують рахунки за кордоном
Скільки в Україні мільйонерів: статистика НБУ
Telegram 
Viber 
