Проект
КОНЦЕПЦИЯ
развития открытого банкинга
в Кыргызской Республике
Бишкек – 2023
Оглавление
Оглавление 2
Перечень сокращений и терминов, используемых в настоящей Концепции 4
Введение 5
1. Текущий обзор использования API участниками банковского сектора 5
1.1. Предпосылки внедрения принципов открытого банкинга 7
1.2. Проблемы, связанные с отсутствием унифицированных требований к API, и потенциальные подходы к их решению 8
2. Международный опыт внедрения открытого банкинга 9
2.1. Определение целей открытого банкинга и его регулирование 10
2.2. Круг субъектов открытого банкинга 11
2.3. Охват стандартов открытого банкинга 11
2.4. Защита данных и кибербезопасность 11
2.5. Требования к аутентификации клиентов 12
3. Внедрение открытых API в Кыргызской Республике 12
3.1. Институциональный подход к стандартизации 13
3.2. Обязательность стандартов API 14
3.3. Функциональность API 15
3.4. Перечень субъектов открытого банкинга 16
Заключение и дальнейшие шаги 17
Перечень сокращений и терминов, используемых в настоящей Концепции
|
Интерфейс прикладного программирования (API, Application programming interface) |
Набор процедур, протоколов и инструментов для создания программных приложений. API определяет, как должны взаимодействовать программные компоненты. |
|
Передача репрезентативного состояния (REST, Representational State Transfer) |
архитектурный стиль взаимодействия компонентов распределенного приложения в сети. |
|
Открытые API (Open API) |
Программные интерфейсы, предоставляющие возможность цифрового обмена данными на основе унифицированного стандарта API. |
|
Открытый банкинг (Open Banking) |
Комплекс подходов использования открытых API банками для предоставления информации о клиентах (с их согласия) третьим сторонам. |
|
ЕАЭС |
Евразийский экономический союз |
|
Национальный банк |
Национальный банк Кыргызской Республики |
|
ЕС |
Европейский союз |
|
Second Payment Services Directive (PSD2) |
Вторая платежная Директива ЕС |
|
General Data Protection Regulation (GDPR) |
Общий регламент по защите данных |
|
КБ |
коммерческие банки Кыргызской Республики |
|
ОПС/ПО |
операторы платежных систем/платежные организаций Кыргызской Республики |
|
ОНРПС |
Основные направления развития платежной системы Кыргызской Республики на 2023-2027 гг., утвержденные постановлением Правления Национального банка от 29 марта 2023 года № 2023-П-14/20-4-(ПС) |
Введение
В соответствии с ОНРПС Национальным банком прорабатываются возможные подходы развития открытых программных интерфейсов в банковском секторе с целью последующей имплементации (программирования) соответствующих единых стандартов в Кыргызской Республике.
Настоящая Концепция рассматривает основные подходы и стратегии к внедрению концепции открытого банкинга в Кыргызской Республике, а также описывает актуальные вопросы проведения соответствующих реформ в этом направлении в Кыргызской Республике.
Цель Концепции – определить подходы и шаги внедрения открытого банкинга в Кыргызской Республике. В Концепции также приведена дорожная карта, в которой определены ключевые этапы реализации открытого банкинга.
Концепция подготовлена с учетом комментариев и предложений КБ, ОПС/ПО, а также ассоциаций банков и платежных систем (далее – банковский сектор).
Цель внедрения открытого банкинга – повышение инновационного потенциала в банковском секторе. Реализация возможности защищенного и безопасного обмена информацией между участниками банковского сектора позволит разрабатывать новые продукты и услуги, обеспечивающие конечных потребителей более широким доступом и контролем над своими финансами, что в перспективе будет способствовать улучшению платежной инфраструктуры и повышению конкуренции участников банковского сектора.
В конечном итоге внедрение открытого банкинга должно привести к повышению доступности финансовых услуг в Кыргызской Республике.
Под открытым банкингом в данной Концепции понимается совокупность стандартов, инфраструктуры, правил регулирования, предоставляющих способы безопасного обмена данными посредством интерфейсов прикладного программирования.
Необходимо отметить, что ключевым показателем успешного внедрения открытого банкинга является востребованность созданных на его основе услуг и сервисов у конечных потребителей, в связи с чем критически важным является обеспечение доверия клиентов. Такое доверие должно быть обеспечено, в первую очередь, за счет безопасных, надежных правил и предсказуемых процедур, предусматривающих соответствующий надзор за всеми участниками и эффективные механизмы потребителей для защиты своих прав и интересов. Правила и процедуры должны разрабатываться с участием всех заинтересованных сторон.
Несмотря на то что обмен данными на основе API уже широко используется участниками банковского сектора Кыргызской Республики, разнообразие стандартов, наборов данных и условий доступа к ним приводят к высоким издержкам технологической интеграции. Стандартизация протоколов и условий обмена данными должны снизить такие издержки для участников платежных систем и сделать обмен информацией для них более доступным и безопасным.
1. Текущий обзор использования API участниками банковского сектора
API благодаря своей универсальности широко используется участниками банковского сектора для обеспечения обмена данными как для интеграции с платежными системами Кыргызской Республики, так и для предоставления сервисов и услуг, предполагающих обмен данными между информационными системами участников.
Анализ текущего состояния платежной системы показал, что API выступают в качестве основного инструмента при обеспечении интеграции участников банковского сектора и платежных систем. Подобная интеграция расширяет перечень доступных услуг для населения и приводит к постепенному появлению инновационных платежных продуктов на рынке страны.
На текущий момент можно выделить следующие сценарии взаимодействия участников платежных систем посредством API.
Использование API в рамках агентских соглашений
В ходе встреч и опросов участников платежного рынка, проведенных в 2022-2023 годах, отмечалось, что участники платежных систем широко используют API для предоставления услуг и сервисов клиентам. Большинство КБ и ОПС/ПО отметило использование REST API при взаимодействии с другими участниками финансового рынка.
Вместе с тем API применяются в узких нишах, преимущественно для обмена информацией о переводах средств, например, пополнения счетов, депозитов, погашения кредитов, а также взаимодействия с агентами. Во всех случаях использование API предполагает наличие прямого договора и установление специальных требований по защите информации.
Помимо этого, участниками рынка API используются для дополнительной проверки клиента, создания сервисов по управлению финансами, скоринга в отношении заемщика и прочие взаимоотношения КБ с другими участниками платежных систем.
В частности, КБ зачастую используют API для организации взаимодействия с их розничными агентами. В качестве примера можно отметить ОПС/ПО, деятельность которых непосредственно связана с предоставлением удобных и современных решений для населения.
Кроме того, некоторые КБ через платежные организации распространяют карточные продукты.
Использование API в рамках интеграции и подключения к платежным системам
С использованием API разработано приложение «Элкарт Мобайл». «Элкарт Мобайл» является одним из инновационных продуктов (приложением), позволяющим через одно приложение привязать и управлять несколькими картами национальной платежной системы «Элкарт», эмитированными разными коммерческими банками Кыргызской Республики.
API также используется для подключения участников к основному оператору взаимодействия в рамках обеспечения интероперабельности платежей с использованием двухмерных символов штрихкода (QR-кода).
В целях увеличения доли безналичных платежей и расчетов в Кыргызской Республике и повышения доступа населения к платежным услугам путем расширения платежной инфраструктуры и предоставления качественных и безопасных банковских и платежных услуг постановлением Национального банка от 11 декабря 2019 года № 2019-П-14/62-5-(ПС) были утверждены Правила проведения платежей и переводов с использованием двухмерных символов штрихкода (QR-код). Данные Правила обеспечили интероперабельность платежных систем, использование национальных стандартов QR-кода для проведения платежей и возможности межсистемной интеграции различных платежных систем для предоставления плательщикам единого платежного пространства.
Помимо этого, при рассмотрении вопроса об использовании API в рамках интеграции и подключения к платежным системам необходимо отметить, что Национальный банк проводит работу по внедрению на территории Кыргызской Республики системы быстрых платежей. Постановлением Правления Национального банка от 24 мая 2023 года № 2023-П-14/34-4-(ПС) утверждена Концепция развития Системы быстрых платежей в Кыргызской Республике.
В рамках Системы быстрых платежей предполагается подключение участников системы быстрых платежей через API-интерфейсы, что позволит создать в Кыргызской Республике централизованную систему, в которой интеграция участников будет осуществлена в рамках единых стандартов API.
Дополнительно апробирование и последующее внедрение проекта «Цифровой сом» предполагает подключение участников платежных систем через использование единых стандартов API.
Использование API в рамках финансовых платформ (маркетплейсов)
Постановлением Правления Национального банка от 2 июня 2022 года № 2022-П-14/35-3-(НПА) утверждено Положение «О регулировании доступа к финансовым услугам через финансовые платформы (маркетплейс) с использованием открытых программных интерфейсов в Кыргызской Республике».
Данным Положением предусмотрено создание специализированных маркетплейсов – электронных онлайн-платформ/витрин, на которых размещена информация о финансовых услугах поставщиков финансовых услуг и имеется техническая возможность совершить сделку через личный кабинет и/или путем ссылки через финансовую платформу самого поставщика финансовых услуг или с использованием других технологических решений на финансовой платформе. В рамках таких маркетплейсов предусмотрено как предоставление поставщиками финансовых услуг оператору финансовой платформы доступа к открытым API, так и операторами услуг финансовой платформы использовать собственные разработанные и стандартизированные API для унификации взаимодействия между поставщиками финансовых услуг.
На сегодняшний день уведомление о начале предоставления финансовой платформы (маркетплейса) со стороны юридических лиц (операторов услуг финансовой платформы), которые обеспечивают взаимодействие поставщиков финансовых услуг на одной платформе через открытые программные интерфейсы (API) и/или поставщиков финансовых услуг, подключившихся к правилам оператора услуг финансовой платформы, и предоставляющего в онлайн-режиме «24/7» доступ к платформе пользователю финансовых услуг, не поступало.
Необходимо отметить, что на текущий момент в Кыргызской Республике API активно применяются для обмена данными между определенными участниками банковского сектора, и, учитывая важность и значимость внедрения открытого банкинга для банковского и платежного сектора и страны в целом, Национальный банк считает важным определить единый подход по унификации и внедрению API на территории Кыргызской Республики для участников.
1.1. Предпосылки внедрения принципов открытого банкинга
В течение 2022 года функционировало 23 коммерческих банка, 26 юридических лиц имели лицензии Национального банка Кыргызской Республики, из них 25 лицензий на право осуществления деятельности оператора платежной системы и 26 лицензий на право осуществления деятельности платежной организации.
Согласно исследованию, проведенному в 2022 году Национальным банком при содействии Международной финансовой корпорации (далее – МФК) среди КБ и ОПС/ПО, более 60% КБ-респондентов и 40% ОПС/ПО отмечают определенный уровень знаний об открытом банкинге в финансовом секторе. При этом респонденты (67,6%) отмечали наличие барьера высокого порога входа для интеграции, а также отсутствие регулятивных требований (40% респондентов). По итогам опроса, проведенного в 2023 году, установлено, что участники банковского сектора активно используют API в своей деятельности на основе двусторонних договоров, при этом стандарты обмена данными варьируются.
Открытые интерфейсы применяются для обмена информацией о переводах по счетам, при пополнении счетов и электронных кошельков, для скоринга заемщика и погашения кредитов, а также взаимодействия с платежными агрегаторами, организациями-партнерами и клиентами.
Участники банковского сектора также используют API в целях продвижения своих сервисов среди участников платежной системы в их мобильных кошельках и устройствах самообслуживания, а также приема платежей с применением интернет и мобильного банкинга, электронных кошельков, а также для платежных терминалов.
Кроме этого, API используются при идентификации клиентов и выпуске платежных карт, при подключении к процесинговым центрам при сборе и обработке банковских карт, запросе данных клиентов из государственных учреждений, проведении платежей в пользу третьих лиц, подключении других финансово-кредитных учреждений к своим API, а также отслеживания активных участников и анализа их услуг (минимальная-максимальная сумма платежа, наименование полей ввода, текущий баланс и т.д.), а также при обмене информацией с поставщиками товаров и услуг из небанковского сектора.
Использование API также сопровождается процедурами, направленными на снижение рисков. В частности, применяются различные механизмы аутентификации клиентов, защиты данных, различные подходы к фиксации согласия клиентов на передачу персональных данных. Все эти требования в значительной степени устанавливаются на уровне двусторонних соглашений.
Участники банковского сектора отмечают следующие преимущества: применение API позволяют внедрять инновационные решения и предоставлять выбор и удобство пользователям, поскольку потребители могут получить доступ к новым финансовым продуктам и услугам, предоставляемым сторонними поставщиками – интегрированными участниками взаимодействия, а также обеспечить улучшение финансового планирования и контроля.
Развитие открытого банкинга в Кыргызской Республике, как элемента открытых финансовых платформ (Open Finance), соответствует целям Национального банка и будет способствовать достижению целей национальной стратегии развития. Открытый банкинг является одним из связующих элементов цифровой инфраструктуры финансового рынка, и его внедрение заложит основы для передачи данных между информационными системами различных организаций финансового рынка, используя стандартизированные подходы и технологические решения.
Кроме того, открытый банкинг позволит существенно снизить сроки и издержки на запуск новых финансовых продуктов, а также упростит их последующее развитие и масштабирование.
1.2. Проблемы, связанные с отсутствием унифицированных требований к API, и потенциальные подходы к их решению
Для финансового рынка Кыргызской Республики характерны несколько проблем, связанных с отсутствием унифицированных требований к использованию API.
1. Высокий уровень концентрации крупных участников на финансовом рынке по ключевым секторам. В большинстве сегментов банковского сектора преобладает незначительное число крупных участников, что создает риски монополизации использования данных и выступает сдерживающим фактором для создания удобных и безопасных финансовых услуг, расширения ассортимента цифровых сервисов и развития инноваций существующими участниками рынка.
Внедрение принципов открытого банкинга само по себе может способствовать появлению на рынке новых участников с предложениями инновационных услуг, развитию финтеха в Кыргызской Республике, Центральной Азии и странах ЕАЭС, а также упростит для клиентов переход из одной финансовой организации в другую и позволит пользоваться более качественными услугами и продуктами.
2. Ограниченный доступ к данным. Участники банковского сектора обмениваются данными через API с определенным кругом участников на основании двусторонних соглашений. При этом взаимоотношение участников, как правило, осуществляется в рамках конкретного сценария и ограничено предметом заключенных соглашений. Держатели данных самостоятельно определяют, какие именно данные, кому и на каких условиях могут передаваться. В результате практика обмена информацией через API остается сконцентрированной только несколькими сценариями, а у держателей данных нет стимулов более активно обмениваться информацией с другими участниками.
3. Сложность построения и поддержания интеграций. Участники банковского сектора вынуждены нести высокие издержки на подключение и одновременное поддержание интеграций в рамках API с каждым участником. Даже если организация имеет возможность заключения партнерского соглашения с финансовой организацией (поставщиком данных), ей необходимо поддерживать множество интеграций по различным протоколам и спецификациям в зависимости от ИТ-решения этих поставщиков данных. Любые изменения протокола на стороне держателя данных требуют доработки систем. В Кыргызстане также отсутствуют какие-либо централизованные интеграторы API, которые позволяли бы получить доступ к API по принципу «одного окна».
4. Угроза безопасности данных. API зачастую используются для передачи чувствительных данных, поэтому критически важно обеспечить защиту каналов передачи информации от несанкционированного доступа. Личная информация также должна передаваться с согласия клиента. В настоящее время такие требования, равно как и ответственность сторон, как правило, фиксируются в двусторонних соглашениях между участниками рынка.
5. Дефицит квалифицированных в этой области кадров для разработки архитектуры API, проведения технологической интеграции и работы с данными.
2. Международный опыт внедрения открытого банкинга
Анализируя международный опыт внедрения открытого банкинга, необходимо отметить, что исчерпывающего перечня услуг и возможностей, которые можно получить через открытые данные, не существует, так как они формируются под влиянием потребностей рынка и запросов потребителей.
Исходя из опыта других стран можно сделать некоторые выводы. Одним из важнейших факторов успешного создания и внедрения открытых API являются разумные сроки. Внедрение существенных изменений в сложные финансовые системы с многочисленными заинтересованными сторонами может потребовать больших временных затрат. Важным также является то, что многие страны не пытаются сами изобрести нечто новое, а берут за основу уже успешную модель и существующий стандарт и адаптируют его под свои особенности.
Следствием внедрения открытых API в Европе является наличие множества функционирующих открытых банковских API и финтех-компаний, доказавших свою эффективность. Модель финансовых систем с ограниченным набором предложений устарела. Будущее за созданием новых услуг, адаптированных к конкретным потребностям потребителей, и первостепенное значение имеют технологические структуры, которые могут быстро адаптироваться.
В США государственное регулирование вопроса открытых API банков отсутствует, технологические интеграции разрабатываются самими участниками рынка. Одна из наиболее известных компаний сектора – банковский агрегатор компания Mint – получила широкое распространение, ее сайтом уже в 2016 году пользовались около 20 млн жителей США и Канады.
В Сингапуре денежно-кредитное управление (MAS) поддерживает принципы открытого банковского API. Ассоциация банков Сингапура (ABS) и MAS подготовили документ Finance-as-a-Service: API Playbook, содержащий информацию и рекомендации для финансового сектора и призванный обеспечить эффективный обмен финансовой информацией, а также создать почву для запуска инновационных банковских проектов.
В Индии была создана информационная платформа открытых API India Stack, которая позволяет разработчикам и технологическим стартапам выходить на рынок мобильных приложений по идентификации и аутентификации пользователей финансовых услуг.
В Австралии открытые банковские интерфейсы внедрены поэтапно. Первый этап реформы открытого банковского обслуживания был проведен в июле 2019 года. Для поддержания инициативы внедрения открытых API в Австралии приняты поправки в законодательство, обязывающие обеспечить обмен данными между финансовыми организациями, и утверждено единое положение о защите данных потребителей Consumer Data Right (CDR). Первоначально действие CDR распространялось только на банковский сектор. Так, четыре крупнейших банка Австралии открыли доступ к информации о счетах и транзакциях с 1 июля 2020 года, а с 1 февраля 2022 года — это требование должны соблюдать все австралийские банки. Клиенты четырех крупнейших банков (Commonwealth Bank of Australia (CBA), the National Australia Bank (NAB), the Australia and New Zealand Banking Group (ANZ), Westpac) используют этот проект для обмена данными о транзакциях, депозитах, дебетовых и кредитных картах с другими аккредитованными поставщиками финансовых услуг. Впоследствии расширялся и спектр данных, которые участники рынка обязаны передавать через API – от базовых, о платежных услугах, до более сложных – кредитов, в том числе ипотечных.
На территории стран ЕАЭС применение открытых API находится на стадии становления и развития. На сегодняшний день в Российской Федерации, в Республике Беларусь и Республике Казахстан утверждены Концепции и рекомендованы регулятором единые стандарты API для определенных услуг и обмена информацией.
В Республике Беларусь Концепция развития открытых банковских API Республики Беларусь была утверждена в 2021 году. Согласно Концепции, в экосистему открытых API входят субъекты (участники), выполняющие определенные функции (роли) в рамках данной экосистемы: регулятор, центр компетенций, испытательная лаборатория, поставщики и пользователи API открытого и закрытого типов, а также клиенты.
Национальный банк Республики Беларусь предоставляет удобные API для получения актуальных сведений о банковской системе и финансово-экономических показателях в целях увеличения доступности цифровых услуг и повышения эффективности банковской системы.
В Республике Казахстан работа по внедрению и развитию открытых интерфейсов ведется, согласно мероприятиям, утвержденным Концепцией развития Open API и Open Banking в Казахстане на 2023-2025 гг.
На сегодняшний день на базе оператора платформы организована технологическая инфраструктура с основными элементами и подсистемами, разработаны стандарты взаимодействия участников, спецификации требований к функциональности банковских сервисов, а также необходимая методологическая документация. В ноябре 2023 года с участием отдельных банков запущен пилотный проект Open API по передаче информации о банковском счете клиента.
Полномасштабное внедрение платформы открытого банкинга планируется поэтапно до конца 2025 года.
В Российской Федерации открытые API развиваются в рамках сотрудничества Центрального банка Российской Федерации и Ассоциации развития финансовых технологий. Внедрение открытых API происходит поэтапно: летом 2019 года была одобрена Концепция открытых API, которая включает платежные, информационные, сервисные и регуляторные API. В октябре 2020 года Банк России официально опубликовал спецификации стандартов открытых API, которые разрабатывались совместно с участниками рынка. Они содержат принципы и рекомендации внедрения открытых API для конкретных сервисов: при получении информации о счете клиента банка другими организациями и инициирования денежных переводов.
В 2020 году также были запущены пилотные проекты, в 2021 году запущена инфраструктура открытого банкинга, проводится присоединение первых участников к среде, в ноябре 2022 года Банк России опубликовал Концепцию внедрения открытых API на финансовом рынке, в июле 2023 года на площадке Ассоциации финтех проведено пилотное тестирование по обмену данными с использованием открытых API в микрофинансовом секторе и протестирован универсальный шлюз для подключения микрофинансовых организаций к маркетплейсам.
На сегодняшний день участниками открытых API являются банки, финтех-компании, клиенты. При этом обязательное использование API не вводилось.
Обобщенный международный опыт открытого банкинга позволяет определить несколько наиболее важных факторов, которые необходимо учитывать при его внедрении.
2.1. Определение целей открытого банкинга и его регулирование
В ЕС основные факторы открытого банкинга определены во Второй директиве о платежных услугах (PSD2), принятой с целью:
(i) сделать европейский рынок платежей более интегрированным и эффективным;
(ii) обеспечить равные условия для поставщиков платежных услуг (включая новых игроков);
(iii) повысить безопасность и надежность платежей;
(iv) обеспечить защиту потребителей.
В настоящее время данная Директива пересматривается, что позволит расширить сферу ее применения и интегрировать стратегию цифровых финансов за счет поддержки цифровой трансформации финансового сектора и регулирования связанных с ними рисков. В частности основная цель – найти способ обеспечить финансирование малого и среднего бизнеса, работающих в ЕС.
Основными целями открытого банкинга в Бразилии являются повышение конкурентоспособности на финансовых рынках, поощрение инноваций и расширение возможностей потребителей путем продвижения их «финансовой гражданственности».
В Индии структура открытого финансирования разрабатывалась с целью расширения доступа к финансовым услугам. Страна решила плавно расширить спектр используемых населением услуг: от стандартных платежных счетов к дополнительным услугам и продуктам.
Открытый банкинг на Филиппинах направлен на стимулирование инноваций и конкуренции, позволяя третьим сторонам, таким как финтех-компании, использовать финансовые данные клиентов (с их разрешения) для разработки новых приложений и услуг.
Правительство Кореи ожидает, что открытый банкинг будет стимулировать инновации и конкурентоспособность в финансовом секторе за счет внедрения комплексной платформы финансовых услуг, предоставления финтех-компаниям возможности внедрять открытый банкинг и улучшения пользовательского опыта для потребителей.
Управление по защите конкуренции и рынкам Великобритании внедрило пакет мер в области открытого финансирования, чтобы гарантировать обслуживание клиентов банками более эффективно и в полной мере используя преимущества новых технологий.
2.2. Круг субъектов открытого банкинга
В ЕС в соответствии со Второй директивой о платежных услугах (PSD2) поставщики услуг по инициации платежей должны проходить авторизацию в качестве платежных институтов, а поставщики услуг по агрегации финансовой информации – регистрацию. Однако, если поставщик услуг информации о счетах намерен предоставлять дополнительные услуги, он должен подать заявку на авторизацию в качестве платежного учреждения. Что касается поставщиков данных, PSD2 требует, чтобы поставщики платежных услуг, обслуживающие счета, предоставляли информацию поставщикам услуг инициирования платежей и поставщикам услуг информации о счетах.
Лицензированные банки и институты электронных денег обязаны выступать в качестве поставщиков данных и могут быть их потребителями.
В Австралии предусмотрена аккредитация третьих сторон в Австралийской комиссии по вопросам конкуренции и защиты прав потребителей (ACCC). Процесс занимает 4-6 месяцев и включает в себя требования, касающиеся информационной безопасности, защиты данных, политики разрешения споров и цели использования данных.
2.3. Охват стандартов открытого банкинга
Центральный банк Бразилии включил описание различных наборов данных, к которым будет обеспечиваться доступ на различных этапах, определенных в ходе внедрения открытого финансирования (совместная резолюция Центрального банка Бразилии 1/2020).
Мексика определила в качестве первого набора элементов данных расположение банкоматов.
В Великобритании были разработаны спецификации для каждого типа данных (локатор филиалов, локатор банкоматов). Например, для локатора филиалов были определены следующие поля: (i) уникальный идентификатор филиала, (ii) порядковый номер, (iii) название филиала, (iv) тип (физический или мобильный), (v) клиентский сегмент, (vi) фото, (vii) код, связанный с филиалом. При этом через банковские API-интерфейсы формируются следующие наборы данных/каталоги: данные о текущем счете предприятия, личном текущем счете, кредите МСП, коммерческой кредитной карте малого и среднего бизнеса, – сбор которых в настоящее время осуществляется путем анализа экранных данных (в отсутствие стандартного API-интерфейса). Дополнительно разработаны стандарты по инициации платежей.
В Сингапуре в рамках работы по стандартизации API-интерфейсов, которую ведет Денежно-кредитное управление (MAS), был издан Сборник API-интерфейсов, где предлагается классификация API-интерфейсов. Использование этого сборника является добровольным.
В Европейском союзе устанавливается базовый (обязательный) набор данных, которые должны передаваться бесплатно и без заключения договора. Остальные сведения участники могут передавать по желанию, на коммерческой основе.
2.4. Защита данных и кибербезопасность
Согласно требованиям PSD2 и Общего Регламента о защите данных, в ЕС доступ к сведениям о клиенте предоставляется с согласия клиента.
Кроме того, в 2020 году было выпущено специальное руководство Европейского совета по защите данных (EDPB), в котором согласие клиента должно быть выражено в явной форме.
В Бразилии организации должны обеспечивать управление данными согласия клиентов, в том числе позволять просматривать ранее данные согласия клиентов, управлять ими, а также отзывать их.
В 2020 году Национальный институт преобразования Индии выпустил стандарты для архитектуры расширения возможностей и защиты данных (DEPA), цель которых – обеспечить потребителям беспрепятственный и безопасный доступ к своим данным и делиться ими со сторонними учреждениями. Институт предлагает создать новую форму механизма управления согласием клиентов, которая гарантировала бы, что пользователи могут давать согласие на каждую отдельную часть передаваемых данных и обеспечивать защиту их прав на данные.
В мировой практике вопросы кибербезопасности в открытом банкинге тесно связаны с общеотраслевыми стратегиями по кибербезопасности; регуляторы также отдельно анализируют новые риски, связанные с открытым банкингом.
В 2021 году Валютное управление Сингапура опубликовало Руководство по управлению технологическими рисками, в котором особое внимание уделяется безопасности API-интерфейсов. Механизмы снижения соответствующих рисков включают в себя мониторинг трафика данных, передаваемых через API в режиме реального времени и возможность оповещения при обнаружении подозрительных действий. Не имея обязательной юридической силы, это Руководство тем не менее позволяет сформировать систему управления технологическими рисками, которая охватывает следующие аспекты:
(i) идентификация рисков; (ii) оценка рисков; (iii) обработка рисков; (iv) мониторинг, анализ и отчетность по рискам.
Дополнительно Руководство устанавливает: (a) четко определенный процесс проверки для третьих сторон; (b) стандарты безопасности для API-интерфейсов, включая меры по защите ключей API или токенов, используемых для доступа к конфиденциальной информации, и сроки действия токенов; (c) надежное шифрование; (d) проверка безопасности и тестирование; (e) технологии, позволяющие осуществлять мониторинг и оповещение в режиме реального времени.
Помимо этого, Руководство предлагает рекомендации по обеспечению достаточной пропускной способности системы для обработки большого количество вызовов API.
2.5. Требования к аутентификации клиентов
В ЕС статья 97 Директивы (ЕС) 2015/2366 о платежных услугах на внутреннем рынке (PSD2) требует, чтобы поставщики платежных услуг проводили усиленную аутентификацию клиента каждый раз, когда пользователь платежных услуг хочет получить доступ к своему платежному счету онлайн (напрямую или через поставщика услуг информации о счете), с учетом некоторых исключений, связанных с ситуациями пониженного риска.
В августе 2012 года правительство Кореи установило правила для агентств по проверке личности, а в декабре 2012 года Корейская комиссия по связи (KCC) предоставило трем операторам мобильной связи право выступать в качестве агентств по проверке личности в частном секторе. По мере распространения смартфонов были добавлены методы аутентификации на основе приложений: QR-код и биометрическая аутентификация. В конце 2017 года KCC добавило в список агентств по проверке личности семь крупных компаний – эмитентов кредитных карт, которые стали оказывать услуги по идентификации в апреле 2018 года. После того, как стране был принят Закон о цифровой подписи, потребители могут выбирать систему сертификатов из нескольких вариантов, предлагаемых частными компаниями. Например, в 2018 году три крупнейшие телекоммуникационные компании Южной Кореи (SK Telecom, KT и LG Uplus) совместно запустили приложение для аутентификации личности PASS, а в этом году приступили к работе с Корейским национальным полицейским управлением и Управлением дорожного движения (KoRoad) над внедрением цифрового водительского удостоверения.
Принятая в мае 2020 года в Бразилии Совместная резолюция №1 устанавливает конкретные требования по аутентификации потребителей, а также поставщиков услуг инициирования платежей или получателей данных. Правила аутентификации клиентов основаны на риск-ориентированном подходе с учетом типа данных и канала.
3. Внедрение открытых API в Кыргызской Республике
В настоящей главе описываются ключевые подходы, связанные с реализацией принципов открытого банкинга в Кыргызской Республике.
Реализация открытого банкинга в Кыргызской Республике может принести ряд преимуществ для участников рынка и потребителей, которые отмечены ниже.
Преимущества для потребителей:
- повышение прозрачности и качества предоставляемых услуг при сохранении безопасности на приемлемом уровне;
- появление совершенно новых и улучшение существующих финансовых сервисов и услуг (управление личными финансами, доступ ко всем счетам в одном месте, рекомендации о том, как сэкономить, приумножить средства, выбрать лучший сервис и т.д.);
- упрощение передачи документов и информации между участниками банковского сектора;
- удобство использования и сокращение издержек и времени при использовании продуктов и услуг, оказываемых участниками банковского сектора;
- увеличение ассортимента продуктов и услуг для ежедневного использования при оплате за государственные услуги, оплату штрафов, пополнение счетов и депозитов, погашение кредита и пр.;
- возможность самостоятельно управлять своими данными, которые находятся в распоряжении участников финансового рынка.
Преимущества для держателей данных (КБ, ОПС/ПО и др.):
- получение новых каналов привлечения клиентов;
- дополнительный спрос на банковские услуги;
- ускорение обмена данными с регулятором, клиентами, другими участниками банковского сектора;
- снижение затрат на привлечение клиентов, разработку интерфейсов;
- улучшение сервисного обслуживания и возможность быстрого получения/обмена данными при осуществлении операций и предоставлении новых продуктов и услуг;
- дополнительные возможности для кооперации с иными участниками банковского сектора.
Преимущества для потребителей данных (КБ, ОПС/ПО, финансовых платформ (маркетплейсов) и др.):
- возможность создавать новые и расширять функциональность существующих сервисов;
- использование данных для повышения качества обслуживания клиентов;
- повышение качества комплаенс-процедур (например, за счет более глубокого анализа данных о клиенте);
- повышенный спрос на услуги;
- снижение затрат на внедрение новых сервисов;
- внедрение и развитие инноваций компании.
Важно отметить, что в рамках открытого банкинга одна и та же организация одновременно может являться и держателем, и потребителем данных, что обеспечит системные кумулятивные эффекты.
Вместе с тем при реализации открытого банкинга в Кыргызской Республике необходимо учитывать, что она потребует больших трудозатрат и ресурсов со стороны участников рынка. Предложения Национального банка исходят из необходимости максимизировать положительные эффекты открытого банкинга при сохранении разумного уровня трудозатрат как со стороны государственного, так и частного рынков.
3.1. Институциональный подход к стандартизации
Мировая практика указывает на необходимость разработки стандартизированных подходов к API при внедрении принципов открытого банкинга. В обратном случае системные эффекты реформы могут быть не достигнуты: поставщикам придется адаптировать программное обеспечение для подключения к каждой конкретной информационной системе.
В целом нестандартизированные API применяются в Кыргызской Республике и сейчас, но участники рынка отмечают невозможность эффективно масштабировать эту практику.
Разработка, утверждение и обновление технических стандартов, а также сопутствующих механизмов требуют координации всех участвующих сторон. В мире существует несколько подходов к подобной координации.
Таблица 1.. Подходы координации Open API/Open Banking в мире
|
1. Разработка под руководством регулятора |
2. Разработка силами частного сектора |
3. Гибридная модель |
|
§ Великобритания § Европейский союз § Австралия § Бразилия § Мексика § Канада § Индия § Чили |
§ Соединенные Штаты Америки § Новая Зеландия |
§ Сингапур § Гонконг § Япония
|
В первой модели весь цикл разработки технических стандартов контролируется регулятором. Регулятор самостоятельно, с учетом мнения рынка, разрабатывает технические параметры API, определяет круг доступной информации, требования к аутентификации клиентов, клиентскому опыту, обновляет требования при необходимости.
Такой подход требует существенных ресурсов со стороны регулятора, поскольку разработка технических подходов к достижению регулятивных ожиданий, как правило, не входит в его ключевые функции.
В рамках второго подхода разработка стандартов и сопутствующих процедур ведется частным сектором, без участия или с минимальным участием регулятора. В таких моделях требуется высокая степень самоорганизации участников рынка; также рыночные игроки должны выработать правила саморегулирования (в том числе соблюдения правил безопасности, рассмотрение жалоб клиентов). Должна быть также выработана постоянно действующая система поддержки стандартов и сопутствующих процедур.
Третий подход является гибридным, т.е. разработка стандартов и сопутствующих процедур ведется совместно частным сектором с участием регулятора. Данная модель требует координации между частным и государственным сектором, тем не менее позволяет более эффективно управлять циклом разработки стандартов. Данная модель также позволяет учесть как интересы бизнеса, так и защитить интересы общества при внедрении открытого банкинга.
Принимая во внимание проведенные опросы участников платежных систем, Национальный банк, учитывая важность и значимость внедрения API в рамках совершенствования платежной инфраструктуры, считает целесообразным определить в качестве оптимальной модели для Кыргызской Республики гибридную, подразумевающую разработку унифицированных стандартов API для участников с учетом их возможностей и особенностей инфраструктуры.
3.2. Обязательность стандартов API
Как отмечалось выше, одной из целей открытого банкинга является повышение конкуренции на финансовом рынке, в том числе за счет устранения монополии на данные клиентов и интерфейсы для совершения платежей.
В настоящее время использование API носит локальный характер, что, вероятно, ограничивает эффективное использование данных на финансовом рынке.
Необходимо отметить, что проведенные в 2022-2023 гг. опросы показали, что у участников рынка пока отсутствуют конкретные предложения по практическому применению принципов открытого банкинга. Одной из основных причин может являться то, что на текущий момент участники платежных систем, в частности ОПС/ПО сконцентрированы на проработке и расширении собственных сервисов и услуг путем интеграции с участниками банковского сектора.
Вместе с тем развитие открытого банкинга в перспективе упростит интеграционные работы между участниками платежных систем, поскольку единые стандарты API выступят инструментом, унифицирующим интерфейсы для взаимодействия с внешними участниками. В свою очередь, внедрение единых стандартов API возможно послужит стимулом появления новых продуктов и сервисов.
В этой связи, учитывая важность и значимость внедрения принципов открытого банкинга для банковского и платежного секторов, Национальный банк в рамках данной Концепции считает целесообразным разработать унифицированные стандарты API для обмена данными между участниками банковского сектора.
В свою очередь, участникам банковского сектора необходимо будет привести свою деятельность в соответствие с унифицированными стандартами, что, возможно, приведет к определенным финансовым издержкам со стороны участников.
Национальный банк в рамках своих полномочий будет проводить мониторинг и анализ внедрения участниками стандартов API, а также рассматривать предложения для дальнейшего их совершенствования.
Необходимо отметить, что мероприятия Национального банка по внедрению и развитию инфраструктурных систем Национального банка, предполагающих взаимодействие между Национальным банком и другими участниками посредством интерфейсов API, будут проводиться по утвержденным стандартам либо стандартам, созданным на их основе.
Вместе с тем следует упомянуть, что работы по унификации средств аутентификации и авторизации в Кыргызской Республике проводятся вне рамок настоящей Концепции, однако, по итогам их успешного внедрения единая система аутентификации клиентов для авторизации доступа к данным может быть рекомендовано для использования всеми участниками банковского и платежного секторов.
3.3. Функциональность API
В рамках открытого банкинга выделяют несколько типов API в зависимости от их функциональности и набора доступных данных:
1. API для агрегации информации;
2. API для инициации платежных операций.
Функциональность API напрямую определяет ценность новых продуктов и услуг для конечных потребителей и в конечном итоге востребованность открытого банкинга среди населения. В то же время Национальный банк принимает во внимание, что для разных типов API может быть характерен различный уровень рисков. Как следствие, в некоторых случаях требуется введение дополнительных мер, включая вопросы безопасности обмена данных, а также обеспечения требований законодательства в сфере защиты персональных данных, в том числе банковской тайны.
С учетом сложившейся на рынке практики, а также необходимости обеспечить более свободный обмен данными Национальный банк считает наиболее приемлемым следовать поэтапному подходу в реализации открытого банкинга, который заключается в последовательном увеличении функциональности API:
- разработка стандартов API для доступа к информации;
- разработка стандартов API для инициации платежей и иных поручений.
Разработка стандартов API будет возложена на созданную Национальным банком рабочую группу, в рамках которой будут определены детальные наборы данных для обмена, а также сценарии такого обмена.
Национальный банк считает обоснованным такой подход внедрения открытого банкинга, поскольку он отвечает ОНРПС, а также опыту зарубежных стран и в итоге будет способствовать мероприятиям по интеграции цифровых платежных инфраструктур с другими странами.
3.4. Перечень субъектов открытого банкинга
В рамках реализации Концепции открытого банкинга в Кыргызской Республике следует также определить перечень организаций, которые будут иметь права и обязанности, связанные с предоставлением доступа к API. Выбранная модель должна учитывать интересы существующих участников рынка, а также необходимость эффективного надзора за финансовыми организациями в целях обеспечения безопасности, устойчивости и конкуренции.
В наиболее ограниченной модели поставщиками и потребителями данных являются только финансовые организации, поднадзорные Национальному банку.
В расширенной модели, которая также реализована в ЕС, в качестве потребителей данных могут выступать организации со специализированным статусом: агрегаторы платежной информации и сервиса по инициации платежей. Такие субъекты должны находиться под определенным регулированием и надзором в целях обеспечения безопасности и управления рисками, что возможно потребует разработки соответствующих нормативных правовых актов. В настоящее время лицензирование таких организаций в Кыргызской Республике не предусмотрено.
Относительно подхода к внедрению открытого банкинга в Кыргызской Республике Концепция, в первую очередь, направлена на организации, открывающие клиентам банковские счета и электронные кошельки. Принимая во внимание необходимость соблюдения требований к обеспечению информационной безопасности, а также защиты прав потребителей, целесообразно в рамках открытого банкинга разрешить доступ к API только организациям, поднадзорным Национальному банку.
Заключение и дальнейшие шаги
В данной Концепции представлены основные подходы к внедрению открытого банкинга в Кыргызской Республике с учетом текущей практики использования API участниками банковского сектора и международного опыта.
В настоящее время использование API в Кыргызской Республике сконцентрировано в узких нишах, связанных с обработкой платежей (пополнения счетов, погашения кредитов), а также взаимодействием с розничными агентами. Обмен данными позволяет реализовывать новые модели обслуживания клиентов, но пока не привел к появлению принципиально новых продуктов и сервисов, основанных на эффективном управлении данными.
Несмотря на наличие регуляторной базы для создания финансовых платформ (маркетплейсов), в Кыргызской Республике в настоящее время финансовые маркетплейсы еще не созданы.
Инициативы по внедрению открытых API также реализуются на пространстве ЕАЭС. Участники финансового рынка Кыргызской Республики должны быть готовы и конкурентоспособны в рамках проектов по региональной интеграции.
При внедрении открытого банкинга в Кыргызской Республике следует учитывать особенности рынка, а также имеющиеся у участников рынка ресурсы. Национальный банк исходит из того, что внедрение открытого банкинга не является самоцелью, а должно, в первую очередь, привести к повышению доступности и качества финансовых услуг, появлению продуктов и сервисов, которые отвечают потребностям конечных потребителей.
Важным приоритетом для Национального банка является обеспечение безопасности и защищенности обмена данными между участниками рынка. Любые шаги по внедрению открытого банкинга должны сопровождаться мерами по снижению рисков информационной безопасности.
В связи с изложенным при реализации открытого банкинга в банковском секторе будет учитываться, что:
1. разработка основных параметров API будет проводиться в партнерстве с участниками платежного рынка: будет создана рабочая группа, в которой будут представлены основные заинтересованные стороны.
2. ключевой задачей рабочая группы будет разработка единых стандартов API для банковского сектора и параметров их использования.
3. стандарты API будут разработаны для расширения банковской и платежной инфраструктур.
4. при внедрении открытого банкинга будет использоваться поэтапный подход в зависимости от функциональности API.
5. потребителями и поставщиками данных будут поднадзорные Национальному банку субъекты.
6. разработанные стандарты API обязательны, в первую очередь, для участников банковского сектора, которые осуществляют обмен данными, закрепленными соответствующими стандартами.
7. требования к безопасности, аутентификации клиентов, защите информации, в силу их значимости для обеспечения прав потребителей, могут быть закреплены в качестве обязательных для всех участников рынка. Приложение
к Концепции развития
открытого банкинга
в Кыргызской Республике
ДОРОЖНАЯ КАРТА
по развитию открытого банкинга в Кыргызской Республике
|
Этап проекта |
Мероприятия в рамках этапа |
Срок реализации |
Ответственные |
|
Определение и формализация требований (стандартов) API для обмена и доступа банковских и платежных услуг. |
Создание межведомственной рабочей группы, а также изучение, проработка и применение используемых стандартов API на предмет возможной адаптации в Кыргызской Республике |
I кв. 2024 года |
Национальный банк, министерства и ведомства (по согласованию), КБ, ОПС/ПО, ассоциации и союзы (по согласованию). |
|
Определение набора информации и сценариев для обмена данными в рамках платежных услуг |
II кв. 2024 года |
||
|
Разработка стандарта API для обмена и доступа к информации банковских и платежных услуг. |
III кв. 2024 года |
||
|
Определение и формализация требований (стандартов) API для инициации платежей и иных поручений |
Проработка запросов для инициации платежей и перечня иных поручений и определение сценариев использования набора запросов в рамках платежных услуг |
IV кв. 2024 года - I кв. 2025 года |
Национальный банк; КБ, ОПС/ПО, ассоциации и союзы (по согласованию). |
|
Разработка стандарта API для инициации платежей и иных поручений в рамках платежных услуг |
II кв. 2025 года |
||
|
Организация обмена данными между информационными системами участников платежных систем с использованием API |
Содействие внедрению участниками платежных систем стандартов API для организации обмена данными. |
2025-2026 гг. |
КБ, ОПС/ПО, операторы финансовой платформы (маркетплейс) (по согласованию). |
|
Рекомендация стандартов API для финансовых платформ (маркетплейсов) |
2025 год |
||
|
Рекомендации стандартов API для подключения к системе быстрых платежей участников платежных систем |
2025 год |
