Опыт внедрения PSD2/Open Banking в Европейском союзе

01-04-2019

Как внедряется Open Banking в Европейском союзе и что от него ждать? Каким образом российские банки могут участвовать в процессе реализации Open Banking? Об этом — в статье Дмитрия Барбасуры, сооснователя и CEO компании Salt Edge Inc.

Вторая европейская платежная директива (PSD2) уже сегодня меняет правила игры на платежном рынке Европы. После вступления PSD2 в силу 13 января 2018 г. в соответствии с законодательством банки должны открыть доступ к счетам своих клиентов сторонним поставщикам финансовых услуг, то есть реализовать возможности Open Banking. Используя PSD2, Европейский союз стремится объединить свой финансовый рынок, создать условия для инноваций в финансовом секторе и предоставить дополнительную защиту клиентам. Прежде чем более подробно рассказать об опыте внедрения PSD2, необходимо обозначить используемые понятия:
Account Servicing Payment Service Provider (ASPSP) — банки и электронные кошельки, которые предоставляют клиенту платежные счета. ASPSP обязаны предоставить интерфейсы, позволяющие с согласия клиента осуществлять платежи, инициированные сторонними поставщиками, и предоставлять информацию о состоянии счета и истории транзакций;
Payment Services User (PSU) — клиент платежных услуг, являющийся физическим или юридическим лицом и использующий платежную услугу ASPSP в качестве плательщика, получателя или обеих ролей;
Third Party Provider (TPP) — авторизованный поставщик услуг, который использует интерфейсы ASPSP, разработанные в соответствии с требованиями PSD2, для доступа к счетам клиента, в целях предоставления информационных услуг, инициации платежей и (или) проверки наличия доступных средств на счете;
Account Information Service Provider (AISP) — TPP, выполняющий функцию предоставления агрегированной информации об одном или нескольких счетах клиента, открытых в одном или нескольких ASPSP;
Payment Initiation Service Provider (PISP) — TPP, который выполняет функцию инициирования платежа по запросу клиента в отношении платежного счета, находящегося у ASPSP. PISP не имеет право хранить деньги клиента на своем счете;
Payment Instrument Issuer Service Provider (PIISP) — TPP, который выполняет функцию проверки наличия определенной суммы денежных средств на счете клиента; на свой запрос PIISP получит ответ вида «Да/Нет»;
European Banking Authority (EBA) — европейское банковское управление, занимающееся разработкой технических стандартов (RTS) и рекомендаций (Guidelines) к PSD2. EBA регулирует процесс внедрения PSD2 в рамках Европейского союза;
регулятор — компетентный орган страны, несущий ответственность и осуществляющий надзор за процессом внедрения PSD2, обеспечения безопасности данных, авторизации или регистрации TPP и т.д.;
Strong Customer Authentication (SCA) — аутентификация, основанная на использовании двух или более элементов, классифицированных как знание (то, что клиент знает, например пароль), владение (то, что есть у клиента во владении, например мобильный телефон) и наследственность (то, чем клиент уникально характеризуется, например отпечаток пальца);
Dynamic Linking (DL) — дополнительный метод авторизации онлайн-платежей, который генерирует код, основанный на сумме платежа и информации о получателе. Сумма платежа, информация о получателе и авторизационный код должны использоваться клиентом для подтверждения платежа на стороне ASPSP;
electronic IDentification, Authentication and trust Services (eIDAS) — законодательство Европейского союза по выдаче электронных сертификатов.
Отдельно стоит отметить, что в зависимости от типа лицензии TPP может одновременно выступать в роли AISP, PISP, PIISP или их комбинации. Также любая роль TPP может быть использована ASPSP после информирования регулятора.Взаимоотношения между участниками PSD2 подробно описаны в самой PSD2, технических стандартах (RTS) и рекомендациях (Guidelines), а для обработки персональных данных применяется общий регламент по защите данных (GDPR).

Регулятор на основе законодательных требований налаживает взаимоотношения между тремя главными участниками директивы: PSU, ASPSP и TPP. Основными взаимоотношениями между сторонами являются следующие:
взаимодействие TPP и ASPSP основано на бесконтрактной основе, так как оба участника являются регулируемыми в соответствии с PSD2. Это важно для обеспечения работоспособности цепочки взаимоотношений в целом, иначе возникнет множество препятствий, которые будут мешать стабильной работе Open Banking;
взаимоотношения TPP и PSU выстраиваются на основе «PSD2-согласия» (PSD2 Consent). TPP в обязательном порядке должен запросить согласие PSU на доступ к счету клиента. Согласие на доступ к информации о счете (AISP Consent) может оставаться в силе до 90 дней, после этого необходима повторная авторизация. Согласие на доступ к информации о счете может быть отозвано в любой момент по желанию клиента;
на стороне ASPSP клиент должен авторизовать PSD2-согласие. Для этого применяются SCA и Dynamic Linking, благодаря которым обеспечивается безопасность аутентификации и авторизации клиента. Во время авторизации доступа PSU может выбрать, к каким счетам он хочет предоставить AISP доступ или из какого счета необходимо сделать PISP платеж.
Описанные взаимоотношения между PSU, TPP и ASPSP являются базой для PSD2 и Open Banking. Если какая-то связь нарушена или какой-то элемент выйдет из строя, то вся система перестанет работать. Сразу же поднимается один из самых важных вопросов: как правильно построить экосистему Open Banking и какие дополнительные выгоды она может принести всем ее участникам? Из существующих на данный момент подходов к регулированию и реализации Open Banking самым успешным является подход Великобритании.

PSD2/Open Banking на примере Великобритании
Великобритания — первая страна Европейского союза, где Open Banking уже начал работать. Есть ряд проблем в реализации и стабильности, но новая концепция приносит результаты. Такие банки, как Barclays, HSBC, Allied Irish Banks, Danske, Santander и др., открыли TPP доступ к своим Open Banking API. Это подтверждается цифрами, которые Open Banking Limited опубликовала в своем твиттере.

На декабрь 2018 г. доступность API составила более 97%, а количество успешных API-запросов превысило 17 миллионов. Банки в других странах Европейского союза должны предоставить тестовые окружения для TPP, начиная с 14 марта 2019 г., и дать доступ к рабочим окружениям с 14 сентября 2019 г. На данный момент уже доступны десятки тестовых окружений от таких банков, как BBVA, Deutsche Bank, BNP Paribas, Raiffeisen, OTP Banka и ряд других. Некоторые европейские банки, включая, к примеру, Swedbank и Nordea, уже предоставляют полный доступ к рабочим окружениям для AISP и PISP.

Банки в мире PSD2
Чтобы соответствовать требованиям PSD2, банки проводят ряд мероприятий, включая предоставление TPP доступа к своему API, тестовой среде, документации, а также системе мониторинга доступности банковского API. В то же время PSU должен иметь интерфейс для просмотра PSD2-согласий с TPP и иметь возможность отозвать согласие. Для проверки TPP банки внедряют системы валидации сертификатов eIDAS. И последним по счету, но не по значимости требованием является реализация системы SCA и Dynamic Linking, которые выводят на новый уровень безопасность банковских операций. Стоит заметить, что для малых и средних банков реализовать данный список требований — задача не из простых, но на рынке существуют поставщики, которые реализуют эти требования как по отдельности, так и в совокупности. Некоторые представительства российских банков в Евросоюзе уже выполнили данные требования благодаря такому сотрудничеству.

Также стоит подчеркнуть, что любой банк может выступать в роли TPP. В своем роде PSD2 является толчком к модернизации банковской системы. К примеру, нидерландский банк ING выпустил приложение для управления финансами Yolt, в котором пользователи могут агрегировать и анализировать финансовые данные не только самого банка ING, но и других банков. Для ING это дает следующие выгоды: Yolt в данной модели выступает в роли канала лидогенерации, то есть помогает банку привлечь новых клиентов, знать, какие продукты конкурирующих банков пользуются популярностью, и предложить свои индивидуальные и подходящие продукты.

Заключение
Анализируя тенденции развития PSD2 и Open Banking, можно с уверенностью сказать, что Open Banking — это явление глобального масштаба. Страны из разных частей света активно исследуют, обсуждают и имплементируют его, а в Европейском союзе уже вовсю идут разговоры о PSD3.

Open Banking — это революция в банковском секторе, которая постоянно расширяется и оказывает влияние на весь финансовый сектор, изменяя повседневный образ жизни клиентов. В свое время мы пользовались только стационарными телефонами, но теперь не можем представить себя без использования современных смартфонов. Пройдет несколько лет, и мы не заметим, как Open Banking станет неотъемлемой частью нашей повседневной жизни.

Источник и фото: http://futurebanking.ru/