В открытом доступе: как новый технологический стандарт может изменить банковский сектор

Сейчас почти у каждого российского банка есть собственное мобильное приложение, через которое можно узнать баланс и совершать финансовые операции. И если у пользователя несколько счетов в разных банках, то, скорее всего, таких приложений тоже несколько. Они никак не связаны между собой, и чтобы перевести деньги с определенной карты, нужно входить в соответствующее приложение. Повсеместное внедрение открытых API в банковской сфере позволит третьим лицам, в данном случае финансово-технологическим компаниям, создавать приложения, которые смогут объединить все финансы в одном сервисе.

Благодаря открытым API появится возможность из одной программы управлять сразу всеми счетами, от дебетовых до кредитных, и в режиме "одного окна" совершать все необходимые операции. В США и Канаде уже существует подобный сервис для управления личными финансами (англ. personal finance management, PFM) - он называется Mint, им пользуются более 20 млн человек. И это не все: открытые API позволят, к примеру, оплачивать покупки на сайте или внутри приложений через интерфейс приложения банка, что значительно упростит процесс оплаты.

Как устроены открытые API и кому они нужны

API - это аббревиатура от Application Programming Interface, что переводится на русский язык как "программный интерфейс приложения".  Это определенный набор технических протоколов и методов, благодаря которым программы могут обмениваться информацией. Проще говоря, открытые API позволяют свободно интегрировать "части" одной программы внутрь другой или внутрь стороннего сайта.

Пример: вы читаете статью про новый альбом любимой группы и замечаете красиво оформленный плейлист со всеми треками из Apple Music или другого крупного стримингового сервиса. Ваш сайт обращается именно к API Apple Music и получает из него всю необходимую информацию, которую вы и видите на странице - и все это возможно только благодаря тому, что API открыты сторонним разработчикам.

Концепт внедрения открытых API в банковскую сферу зародился в Европе. Например, в Германии с 2010 года существует Open Bank Project, а в Великобритании в 2015-м правительство в рамках инициативы Open Banking обязало девять крупнейших банков страны делиться банковской информацией. Но зачем это нужно?

Современные методы оплаты и управления финансами в банковской сфере приживаются относительно быстро (вспомнить хотя бы Apple Pay, Android Pay, Visa payWave и другие способы бесконтактной оплаты, пользовательская база которых растет с каждым годом), но все же API своих приложений банки открывают не очень охотно. Тем не менее открытые API выгодны и самим банкам. Пожалуй, главное преимущество - расширение каналов дистрибуции услуг. Если раньше банку для новых функций или продуктов приходилось обновлять приложение или создавать новое (что весьма затратно, учитывая цены на разработку ПО), то благодаря открытым API эту задачу могут взять на себя сторонние организации - нужно просто открыть для них свой интерфейс. Это, в свою очередь, может привести к расширению клиентской базы банков.

Кроме того, открытые API дают возможность банкам учиться: через двусторонний обмен информацией они могут получать данные от финансовых и технологических организаций, с которыми сотрудничают, черпая для себя что-то полезное и не отставая от современных финансовых трендов.

Все это неизбежно приведет к росту конкуренции, что хорошо уже для клиентов: банки, соперничая за пользователей, будут предлагать им наиболее выгодные условия, более качественный сервис и инновационные продукты. Повышение доступности и качества финансовых услуг, создание единого цифрового пространства для обмена данными, стимулирование инновационных платежных и финтех-решений - это как раз главные стратегические цели Ассоциации ФинТех (АФТ) на российском рынке в рамках направления "Развитие открытых API", появившегося в конце 2016 года.

Ассоциация выступает в том числе как бизнес-партнер участников рынка. Она ведет сотрудничество с финтех-компаниями, а совместно с 13 банками-участниками инициировала пилотный проект с использованием открытых API для малого и среднего бизнеса. Первые результаты пилотирования этой технологии ожидаются в первой половине 2020 года.

Условия для внедрения открытых API

Для того, чтобы подобная система работала, недостаточно просто взять и открыть все API. Нужен отраслевой стандарт и четко очерченные правила, по которым банки будут взаимодействовать с финансово-технологическими компаниями и друг с другом, а также поправки, легитимизирующие подобный обмен данными. В России эти вопросы прорабатываются на площадке АФТ. В частности, совместно с ключевыми участниками российского финансового рынка была разработана "Концепция открытых API" - сейчас она находится на рассмотрении в Банке России.
Эта концепция - масштабный гайдлайн, описывающий подходы к разработке и использованию открытых API в России, в том числе стандартизацию. Она позволит даже крупным банкам внедрять их без риска нарушить закон. Дмитрий Барбасура, сооснователь и исполнительный директор финтех-компании Salt Edge, рассказывая на секции "Open banking: право или обязанность?" форума Finopolis о кейсах внедрения открытого банкинга за рубежом, отметил, что в Великобритании банки перестали бояться переходить на открытые API сразу, как только появились стандарты и соответствующая законодательная база. "Стандарт - это важно, это язык, на котором мы (банки и финтехи - прим. ТАСС) общаемся", - добавил Барбасура.

В процессе разработки российской концепции были проанализированы лучшие зарубежные практики. "Мы посмотрели на мировой опыт и разработали, как нам кажется, наиболее удачный подход к внедрению и регулированию открытого банкинга, где четко определены "правила игры": технологические стандарты, стандарты информационной безопасности, а также "дорожная карта" по внедрению открытых API", - заявила на секции Татьяна Жаркова, управляющий директор Ассоциации ФинТех.

Согласно "Концепции открытых API", открытые API будут разделены на три больших группы. Коммерческие API направлены в первую очередь на клиентский сервис. Сюда входит, например, информация о работе отделений банков, о продуктах и услугах, а также о транзакциях и финансовых операциях клиентов. Регуляторные API предназначены для обмена информацией с Банком России и другими государственными органами, а инфраструктурные, согласно концепции, позволят обмениваться данными участникам инфраструктурных проектов, направленных на развитие финансового рынка.

В целом стандартизация открытых API позволит всем участникам обмена информацией лучше понимать, к каким данным они могут (и хотят) получить доступ, и упростит взаимодействие между всеми сторонами. Стоит отметить, что "Концепцию открытых API" уже поддержали крупнейшие банки страны. Например, Илья Вельдер, старший вице-президент Ак Барс Банка, считает, что внедрение открытых API - это "условие выживания" и краеугольный камень бизнес-модели цифровой трансформации банков. "В сегодняшней шеринговой экономике клиентский опыт начинается и заканчивается не в банке, а далеко за его пределами, - отметил Вельдер. - Мы не можем это игнорировать и понимаем, что в целом ряде случаев представляем именно финансовый слой, финансовый бэк, который необходим для того, чтобы клиент удовлетворил свои первоочередные задачи". Поэтому Ак Барс Банк уже сейчас начал готовить инфраструктуру, взаимодействовать со стартапами и активно разрабатывать сервисы, основанные на открытых API.

Стандарты безопасности

Пожалуй, самый острый вопрос, который стоит перед создателями концепции, - это обеспечение информационной безопасности (ИБ). Ведь сам принцип открытых API предполагает обмен информацией о счетах и операциях пользователей со сторонними компаниями, а эти сведения составляют банковскую тайну. Согласно российскому законодательству, такие данные могут быть предоставлены только самому клиенту или его представителю, а также определенным госструктурам. Однако концепция открытых API не противоречит букве закона: представителями в данном случае могут выступить потребители API - для этого понадобится обязательное согласие пользователя. По закону без согласия клиента банковскую информацию передать будет невозможно.

Кроме того, на площадке АФТ совместно с ключевыми участниками российского финансового рынка был разработан стандарт информационной безопасности открытых API, который сейчас находится на рассмотрении Технического комитета №122 "Стандарты финансовых операций". Предполагается, что все компании, получающие доступ к банковским данным, будут обязаны соответствовать определенным требованиям, которые касаются в том числе способов аутентификации и шифрования, безопасности инфраструктуры провайдера и др. Поэтому финансовая организация сможет получить доступ к данным клиентов банков только в том случае, если используемые ей методы защиты не уступают методам самих банков.

Источник: "ТАСС" – "Tass.ru"