Відкритий банкінг: чи варто ділитися банківською таємницею заради комфорту

Чому Україна мала запровадити відкритий банкінг

Одним із зобов’язань України за Угодою про Асоціацію з ЄС є гармонізація законодавства у сфері фінансових послуг із директивою ЄС PSD2 (Payment Services Directive 2. Ця директива — вже другий акт ЄС, який регулює ринок платіжних послуг. Він розширює положення першої PSD від 2007 року, яка мала забезпечити швидкі, безпечні й прозорі транскордонні платежі в межах ЄС, але її суттєві недоліки створювали нерівні умови конкуренції між надавачами послуг у різних країнах-членах.

PSD2, яку було прийнято у 2015 році, запровадила ключові зміни:

• розширено коло надавачів платіжних послуг;
• впроваджено Strong Customer Authentication (SCA), надійну автентифікацію клієнта з використанням щонайменше двох незалежних факторів (наприклад, паролю та біометрії);
• поширено дію директиви на операції з третіх країн, якщо одна зі сторін перебуває на території ЄС.

Саме PSD2 вимагає впровадження відкритого банкінгу: банки зобов’язані за згодою клієнта відкривати доступ ліцензованим компаніям до його рахунків через стандантирзовані API. Такий підхід обмежує монопольне становище банків та сприяє розвитку конкуренції на фінансовому ринку.

Що таке відкритий банкінг

Відкритий банкінг — це модель, за якою банки або інші надавачі платіжних послуг за згодою клієнта надають доступ до його фінансових даних постачальнику (провайдеру наприклад, фінтехкомпанії). Він ініціює проведення платіжних операцій від імені клієнта через стандартизовані відкриті API (Application Programming Interface) — програмні інтерфейси, які забезпечують обмін даними на основі чітко визначених безпекових правил.

У ЄС технічні та безпекові вимоги визначені у Regulatory Technical Standards (RTS), які регулярно переглядаються Європейським органом з банківського нагляду (EBA). Основні вимоги RTS передбачають:

• двофакторну автентифікацію клієнта (SCA) при доступі до платіжного рахунку чи при ініціації платежу;
• відповідність технічним стандартам (зокрема щодо шифрування даних);
• управління операційними ризиками та ризиками безпеки (вимагає впровадження внутрішніх систем моніторингу та оцінки ризиків для запобігання та виявлення порушень);
• повідомлення регулятора та клієнтів про випадки порушення кібербезпеки, можливі кібератаки.

Хто надаватиме послуги відкритого банкінгу

Законодавство передбачатиме чотири основних суб'єкти — надавачів послуг відкритого банкінгу в Україні:

1. ASPSP (Account Servicing Payment Service Provider) — банк, який зберігає та обслуговує рахунок користувача та надає доступ через API.

2. AISP (Account Information Service Provider) — надавач платіжних послуг, який отримує доступ до інформації про рахунки для перегляду балансу, аналітики та фінансового планування.

3. PISP (Payment Initiation Service Provider) — надавач платіжних послуг, який ініціює платежі від імені користувача безпосередньо з його рахунку;

4. TTP (Trusted Third Party) — посередник, який забезпечує безпечну передачу даних між ASPSP та AISP/PISP.

До 1 січня 2026 року зазначені суб'єкти мають:

• впровадити відкриті API;

• забезпечити двофакторну автентифікацію користувачів (SCA) та забезпечити захист їх персональних даних;
• пройти процедуру реєстрації в НБУ як технологічний оператор платіжних послуг;
• впровадити внутрішні політики та процедури контролю доступу до рахунків;
• оприлюднити на своїх веб-сайтах інформацію про надання послуг відкритого банкінгу з зазначенням підключених сервісів та умов користування.

Що зміниться для користувачів

Багато функцій, які пропонує відкритий банкінг, вже частково реалізовані в Україні. З новизни варто виділити можливість користувачів здійснювати централізований контроль всіх своїх рахунків через єдиний застосунок за спрощеною процедурою доступу.

Це дозволить швидко та комплексно управляти своїми фінансами незалежно від того, в яких банках відкриті рахунки. В перспективі для бізнесу є можливість забезпечити частково автоматизований контроль фінансових потоків та потенційну інтеграцію з аналітичними та бухгалтерськими системами. Втім, все це залежатиме від готовності банків та технологічних можливостей провайдерів.

Ризики

Персональні дані та банківська таємниця. Оскільки законопроєкт щодо впровадження в Україні положень, аналогічних GDPR, чекає на розгляд з 2024 року, ефективний захист персональних даних в Україні обмежений.

Відкритий банкінг передбачає, що користувач, надаючи згоду стороннім провайдерам, фактично в законній формі розкриває їм свою банківську таємницю. Якщо надавачі послуг не мають належного захисту, це, у свою чергу, може призвести до витоку даних, втрати контролю над рахунками тощо. Крім того, в Україні відсутні механізми для оперативного припинення порушень та чіткі положення щодо відповідальності надавачів послуг за такі порушення.

Технічна непідготовленість. Не всі банки матимуть технічну змогу в повному обсязі впровадити стандартизовані API, що у результаті обмежуватиме доступ до рахунків користувачів. Також варто врахувати, що сама наявність сертифікації у надавачів послуг не гарантує повного захисту від кібератак і безперебійної інтеграції з API.

Регуляторні прогалини. Наразі моніторинг та звітність надавачами послуг здійснюватиметься за загальними правилами. Відсутні механізми для швидкого реагування та конкретні санкції за порушення безпекових правил.

Детальні технічні стандарти API наразі перебувають на етапі розробки, тому поки важко оцінювати їхню достатність та відповідність міжнародним стандартам.

Вплив на фінансовий ринок

Для держави впровадження відкритого банкінгу є одним із механізмів, що забезпечує прозорість та контроль транзакцій, а відповідно й боротьбу з незаконними операціями. Фактично, користувачі добровільно розкриватимуть банківські дані надавачам послуг.

Хоча правоохоронні органи не мають прямого законного доступу до фінансової інформації користувачів без рішення суду, вони потенційно можуть отримати її опосередковано через регуляторів (НБУ, Держфінмоніторинг) за наявності законної підстави, наприклад для розслідування відмивання коштів або фінансування тероризму.

Це не означає автоматичний доступ правоохоронних органів до цих даних, проте при наявності законної підстави інформація може бути використана державними органами для контролю фінансових операцій.

Для надавачів фінансових послуг відкритий банкінг створює нові можливості для розширення клієнтської бази, впровадження додаткових продуктів та сервісів та відповідно нові джерела доходу. Крім того, це можливість підвищити конкурентоспроможність та адаптуватись до європейських стандартів.

Що варто врахувати користувачам

Ключовим завданням держави наразі є створення чітких правил і стандартів, насамперед безпекових, а також правил моніторингу, реагування на витоки даних або шахрайські операції. Не менш важливим пріоритетом є прийняття нового закону про захист персональних даних для створення основи для впровадження положень GDPR в українських реаліях.

У червні 2025 року було опубліковано проєкт нових PSD3 та PSR, які передбачають посилені заходи безпеки, механізми надзвичайного втручання у випадку кіберзагроз та запровадження обовʼязкових реєстрів, а отже Україна має бути готова до адаптації до нових потенційних вимог в майбутньому.

Банки та надавачі платіжних послуг мають активно розбудовувати безпекову інфраструктуру з сучасними стандартами захисту даних, SCA та шифруванням для забезпечення стабільності фінансового ринку, що особливо критично в умовах війни та загрози кібератак.

Користувачам важливо усвідомлювати, що надаючи згоду на доступ до своїх фінансових даних постачальникам послуг, вони погоджуються на обробку та використання таких даних, включно з платежами та управлінням фінансами. Тому варто уважно ознайомлюватись з умовами та політиками безпеки постачальників, контролювати які саме сервіси мають доступ до рахунків та у разі сумнівів своєчасно відкликати у них згоду.