Открытый банкинг: стоит ли делиться банковской тайной ради комфорта

Почему Украина должна была ввести открытый банкинг

Одним из обязательств Украины по Соглашению об ассоциации с ЕС является гармонизация законодательства в сфере финансовых услуг с директивой ЕС PSD2 (Payment Services Directive 2). Эта директива — уже второй акт ЕС, регулирующий рынок платежных услуг. Он расширяет положения первой PSD от 2007 года, которая должна была обеспечить быстрые, безопасные и прозрачные трансграничные платежи в пределах ЕС, но ее существенные недостатки создавали неравные условия конкуренции между поставщиками услуг в разных странах-членах.

PSD2, принятая в 2015 году, ввела ключевые изменения:

• расширен круг поставщиков платежных услуг;
• введена Strong Customer Authentication (SCA), надежная аутентификация клиента с использованием как минимум двух независимых факторов (например, пароля и биометрии);
• расширено действие директивы на операции из третьих стран, если одна из сторон находится на территории ЕС.

Именно PSD2 требует внедрения открытого банкинга: банки обязаны с согласия клиента открывать доступ лицензированным компаниям к его счетам через стандартизированные API. Такой подход ограничивает монопольное положение банков и способствует развитию конкуренции на финансовом рынке.

Что такое открытый банкинг

Открытый банкинг — это модель, по которой банки или другие поставщики платежных услуг с согласия клиента предоставляют доступ к его финансовым данным поставщику (провайдеру, например, финтехкомпании). Он инициирует проведение платежных операций от имени клиента через стандартизированные открытые API (Application Programming Interface) — программные интерфейсы, которые обеспечивают обмен данными на основе четко определенных правил безопасности.

В ЕС технические и безопасности требования определены в Regulatory Technical Standards (RTS), которые регулярно пересматриваются Европейским органом по банковскому надзору (EBA). Основные требования RTS предусматривают:

• двухфакторную аутентификацию клиента (SCA) при доступе к платежному счету или при инициации платежа;
• соответствие техническим стандартам (в частности, в отношении шифрования данных);
• управление операционными рисками и рисками безопасности (требует внедрения внутренних систем мониторинга и оценки рисков для предотвращения и выявления нарушений);
• уведомление регулятора и клиентов о случаях нарушения кибербезопасности, возможных кибератаках.

Кто будет предоставлять услуги открытого банкинга

Законодательство будет предусматривать четыре основных субъекта — поставщика услуг открытого банкинга в Украине:

1. ASPSP (Account Servicing Payment Service Provider) — банк, который хранит и обслуживает счет пользователя и предоставляет доступ через API.

2. AISP (Account Information Service Provider) — поставщик платежных услуг, который получает доступ к информации о счетах для просмотра баланса, аналитики и финансового планирования.

3. PISP (Payment Initiation Service Provider) — поставщик платежных услуг, который инициирует платежи от имени пользователя непосредственно с его счета;

4. TTP (Trusted Third Party) — посредник, который обеспечивает безопасную передачу данных между ASPSP и AISP/PISP.

До 1 января 2026 года указанные субъекты должны:

• внедрить открытые API;
• обеспечить двухфакторную аутентификацию пользователей (SCA) и обеспечить защиту их персональных данных;
• пройти процедуру регистрации в НБУ как технологический оператор платежных услуг;
• внедрить внутренние политики и процедуры контроля доступа к счетам;
• обнародовать на своих веб-сайтах информацию о предоставлении услуг открытого банкинга с указанием подключенных сервисов и условий пользования.

Что изменится для пользователей

Многие функции, которые предлагает открытый банкинг, уже частично реализованы в Украине. Из новинок стоит выделить возможность пользователей осуществлять централизованный контроль всех своих счетов через единое приложение по упрощенной процедуре доступа.

Это позволит быстро и комплексно управлять своими финансами независимо от того, в каких банках открыты счета. В перспективе для бизнеса есть возможность обеспечить частично автоматизированный контроль финансовых потоков и потенциальную интеграцию с аналитическими и бухгалтерскими системами. Впрочем, все это будет зависеть от готовности банков и технологических возможностей провайдеров.

Риски

Персональные данные и банковская тайна. Поскольку законопроект о внедрении в Украине положений, аналогичных GDPR, ожидает рассмотрения с 2024 года, эффективная защита персональных данных в Украине ограничена.

Открытый банкинг предполагает, что пользователь, давая согласие сторонним провайдерам, фактически в законной форме раскрывает им свою банковскую тайну. Если поставщики услуг не имеют надлежащей защиты, это, в свою очередь, может привести к утечке данных, потере контроля над счетами и т. д. Кроме того, в Украине отсутствуют механизмы для оперативного пресечения нарушений и четкие положения об ответственности поставщиков услуг за такие нарушения.

Техническая неподготовленность. Не все банки будут иметь техническую возможность в полном объеме внедрить стандартизированные API, что в результате ограничит доступ к счетам пользователей. Также стоит учесть, что само наличие сертификации у поставщиков услуг не гарантирует полной защиты от кибератак и бесперебойной интеграции с API.

Регуляторные пробелы. В настоящее время мониторинг и отчетность поставщиками услуг будет осуществляться по общим правилам. Отсутствуют механизмы для быстрого реагирования и конкретные санкции за нарушение правил безопасности.

Подробные технические стандарты API в настоящее время находятся на стадии разработки, поэтому пока трудно оценить их достаточность и соответствие международным стандартам.

Влияние на финансовый рынок

Для государства внедрение открытого банкинга является одним из механизмов, обеспечивающих прозрачность и контроль транзакций, а соответственно и борьбу с незаконными операциями. Фактически, пользователи будут добровольно раскрывать банковские данные поставщикам услуг.

Хотя правоохранительные органы не имеют прямого законного доступа к финансовой информации пользователей без решения суда, они потенциально могут получить ее опосредованно через регуляторов (НБУ, Госфинмониторинг) при наличии законного основания, например для расследования отмывания средств или финансирования терроризма.

Это не означает автоматический доступ правоохранительных органов к этим данным, однако при наличии законного основания информация может быть использована государственными органами для контроля финансовых операций.

Для поставщиков финансовых услуг открытый банкинг создает новые возможности для расширения клиентской базы, внедрения дополнительных продуктов и сервисов и, соответственно, новых источников дохода. Кроме того, это возможность повысить конкурентоспособность и адаптироваться к европейским стандартам.

Что следует учесть пользователям

Ключевой задачей государства в настоящее время является создание четких правил и стандартов, прежде всего в области безопасности, а также правил мониторинга, реагирования на утечки данных или мошеннические операции. Не менее важным приоритетом является принятие нового закона о защите персональных данных для создания основы для внедрения положений GDPR в украинских реалиях.

В июне 2025 года был опубликован проект новых PSD3 и PSR, которые предусматривают усиленные меры безопасности, механизмы чрезвычайного вмешательства в случае киберугроз и введение обязательных реестров, а значит, Украина должна быть готова к адаптации к новым потенциальным требованиям в будущем.

Банки и поставщики платежных услуг должны активно развивать инфраструктуру безопасности с современными стандартами защиты данных, SCA и шифрованием для обеспечения стабильности финансового рынка, что особенно критично в условиях войны и угрозы кибератак.

Пользователям важно осознавать, что, давая согласие на доступ к своим финансовым данным поставщикам услуг, они соглашаются на обработку и использование таких данных, включая платежи и управление финансами. Поэтому стоит внимательно ознакомиться с условиями и политиками безопасности поставщиков, контролировать, какие именно сервисы имеют доступ к счетам, и в случае сомнений своевременно отозвать у них согласие.