Форма заказа консультации по регулированию Open Banking в ЕС
user icon
mail icon
phone icon
comment icon

Открытый банкинг – важная движущая сила революции в сфере финансовых технологий. Регулирующие органы признали открытый банкинг средством введения конкуренции и инноваций в банковском секторе. Точно так же регистрация финтех-компании в Европе подразумевает использование возможностей, возникающих в результате появления стимулирующих режимов регулирования финансовых технологий в ЕС, призванных стимулировать нарушение традиционных розничных банковских услуг. Сторонние поставщики (TPP) являются основными движущими силами изменений в этом секторе.

В статье рассмотрены нормативные акты, влияющих на TPP и финансовые учреждения, и выделены некоторые из ключевых изменений в регулировании открытых банковских услуг в Европейском Союзе. 

Регулирование открытого банковского дела в ЕС

Базельский комитет по банковскому надзору определил открытый банкинг в странах Европейского Союза как «обмен и использование данных, разрешенных клиентами, банками со сторонними разработчиками и фирмами для создания приложений и услуг, в том числе, тех, которые обеспечивают платежи в реальном времени, большую финансовую прозрачность для владельцев счетов, возможности маркетинга и перекрестных продаж». Это широкое определение, охватывающее функции платежей, а также инструменты финансового планирования и продаж.

Регулирование открытых банковских услуг в ЕС в соответствии с Директивой II о платежных услугах (PSD2) распространяется на:

  • информационные услуги по счетам;
  • услуги по инициированию платежей. 

Информационные услуги по счетам определяются как онлайн-службы, позволяющие поставщику предоставлять консолидированную информацию об одном или нескольких счетах, которые клиент ведет либо в другом банке, либо в нескольких банковских учреждениях. Услуги инициирования платежа – это посреднические услуги, позволяющие клиенту инициировать платежную транзакцию между двумя поставщиками счетов.

Регулирование поставщиков информационных услуг по счетам (AISP) в Европе осуществляется согласно PSD2. От них не требуется соблюдать пруденциальные требования (финансовые ресурсы), стандарты безопасности или требования к корпоративному управлению, применимые к другим поставщикам платежных услуг. Напротив, поставщики услуг инициирования платежей (PISP) ​​подчиняются всем требованиям, применимым к другим поставщикам платежных услуг, включая пруденциальные. Таким образом, начинающим TPP с ограниченным опытом в предоставлении платежных услуг будет проще сначала зарегистрироваться в качестве AISP в ЕС и соответственно ограничить свои услуги, а затем получить европейскую лицензию PISP, как только они смогут расширить свои функции.

Разработка Open Banking API

Ключевым элементом финтех-приложений и сервисов, новых нормативных режимов для таких приложений являются интерфейсы прикладного программирования (API). В процессе регулирования деятельности fintech-компаний в Евросоюзе, финансовых учреждений и других хранилищ данных API-интерфейсы позволяют обеспечить более контролируемый и надежный интерфейс. 

В процессе регулирования Open Banking в государствах-членах ЕС интерфейсы API помогают облегчить взаимодействие с участием клиента, банков клиента и TPP в открытой среде с использованием общих стандартов коммуникации. API должен обеспечивать безопасную связь между финансовым учреждением, клиентом и TPP и ограничивать передачу информации теми данными, которые были разрешены клиентом. Банки и другие поставщики учетных записей не заинтересованы в предоставлении доступа к данным клиентов через API, даже если они соответствуют этим стандартам. Поэтому многие из основных юрисдикций по всему миру разработали минимальные стандарты для API-интерфейсов и потребовали, чтобы банки разрешали TPP получать доступ к информации о клиентах через выделенные API-интерфейсы, за исключением США. 

Когда предоставляются ограниченные рамки, регулирующие разработку API-интерфейсов, как в настоящее время в Соединенных Штатах, TPP полагаются на обратное проектирование для предоставления открытых банковских услуг в Европе. Обратный инжиниринг предполагает создание TPP собственного API для получения доступа к учетной записи клиента посредством анализа информации, передаваемой между клиентом и банком в клиентском интерфейсе банка. 

Существует глобальное стремление внедрить режимы регулирования открытых банковских услуг в европейских государствах, требующие использования специальных открытых API. Тем не менее, существует большая разница в объеме этих режимов и конкретных правил разработки API, что делает предоставление открытых банковских услуг на трансграничной основе сложной задачей. Некоторые юрисдикции, такие как Гонконг, разработали легкую нормативную базу с минимальными стандартами API и минимальными требованиями, применимыми к вводным TPP. В отличие от Гонконга, юрисдикции с ограничительным подходом (например, Индия) предоставляют информационные услуги по счетам исключительно юридическим лицам, авторизованным в этих странах, и TPP должны соблюдать строгие требования по защите данных. Многие государства имеют ограниченный режим регулирования европейских TPP по сравнению с финансовыми учреждениями, поскольку такие организации обычно не регулируются. 

Разработка API под PSD 2

ЕС является передовой юрисдикцией с точки зрения введения минимальных требований к созданию открытых банковских API. Согласно PSD2, банки должны установить API, которые соответствуют следующим минимальным стандартам:

  • позволить AISP и PISP идентифицировать себя в банке;
  • позволять AISP и PISP безопасно обмениваться данными для запроса и получения информации в отношении одной или нескольких учетных записей; и
  • позволить PISP:
  1. инициировать платежное поручение;
  2. получать все данные о начале платежной операции; 
  3. получать доступную для банка информацию об исполнении платежной операции.

Подробную информацию по разработке и запуску API-интерфейсов в Евросоюзе вы можете получить у профильных специалистов, заказав консультацию по влиянию открытого банкинга на сектор финтех в ЕС.

Если вы решили внедрить API в финтех-бизнес в Европе, обратите внимание, что интерфейсы, предоставляемые AISP и PISP, должны обеспечивать, по крайней мере, такой же уровень доступности и производительности, включая поддержку, что и интерфейсы, предоставляемые клиентам банков для прямого доступа к платежному счету клиента в Интернете. Однако разработка API-интерфейсов, соответствующих стандартам PSD2, неравномерно разрабатываются и внедряются в странах-членах ЕС. 

В отличие от Евросоюза, открытое банковское регулирование в США до сих пор подпадает под более либеральный подход. В ноябре 2016 г. Бюро финансовой защиты потребителей (CFPB) рассмотрело, но в конечном итоге решило не рекомендовать введение обязательных правил в отношении открытого банковского обслуживания. Вместо этого в октябре 2017 г. CFPB обнародовал список необязательных принципов для защиты прав потребителей, которые были призваны «подтвердить важность интересов потребителей для всех заинтересованных сторон на развивающемся рынке услуг, основанных на разрешенном потребителем использовании финансовых данных». В результате в настоящее время только несколькими крупнейшими американскими банками было произведено внедрение открытых банковских API в США.

Рекомендации по защите данных

Планируя получить лицензию поставщика открытых банковских услуг в ЕС, стоит учесть, что такие лица получают и обрабатывают важные данные о клиентах в рамках своих операций, и используют аналитику данных, относящуюся к транзакциям клиентов и финансовым данным. Учитывая расширенные категории и объем персональных данных, собираемых такими поставщиками, в Европейской экономической зоне (ЕЭЗ) существует тесная взаимосвязь между PSD2 и законами о защите данных, в частности, Общим регламентом защиты данных (GDPR) в соответствии с национальными законами государств-членов ЕЭЗ. 

Для уточнения интересующих вас деталей вы можете заказать консультацию по соблюдению правил GDPR у квалифицированных специалистов. 

Концепция минимизации данных в рамках PSD2 и GDPR

Понятие минимизации данных отражено как в PSD2, так и в GDPR. Основная цель минимизации данных в обоих режимах – гарантировать, что TPP не обрабатывают или не имеют доступа к большему количеству данных, чем необходимо для предоставления их услуг клиентам. PSD2 определяет, что поставщикам платежных услуг разрешен доступ к личным данным, которые необходимы для предоставления платежных услуг. Это соответствует принципу минимизации данных GDPR, который требует, чтобы персональные данные были актуальными и ограничивались тем, что необходимо для целей обработки. 

Повышенные риски защиты данных и кибербезопасности

Регулирование открытых банковских технологий в ЕС подразумевает, что простота доступа к персональным данным может увеличить вероятность утечки персональных данных, в частности:

  • TPP потенциально могут передавать или продавать данные клиентов третьим лицам без согласия субъектов данных (или банков).
  • TPP, многие из которых являются быстрорастущими стартапами, часто получают устаревшие данные как часть активов в сделках M&A.
  • TPP пользуются услугами субподрядчиков.
  • Согласие может быть получено недействительным образом, поскольку клиенты могут не знать, что данные, передаваемые их финансовым учреждениям, также предоставляются и обрабатываются TPP.
  • Некоторые TPP хранят данные неопределенный срок для выполнения их аналитики и платежных транзакций в реальном времени, что увеличивает риск атак кибербезопасности.
  • TPP могут не иметь соответствующих технических и организационных мер безопасности для эффективной защиты персональных данных, что может привести к последующей утечке персональных данных.

Как независимые контролеры данных, финансовые учреждения и TPP могут столкнуться с серьезными административными штрафами в соответствии с GDPR (до 20 млн EUR или 4% годового глобального оборота) в случае несоблюдения требований защиты персональных данных в ЕС. Они могут нести дополнительную ответственность, связанную с утечкой личных данных или нарушением GDPR, например, нормативные расследования, нанесение ущерба репутации и коллективные иски. Учитывая серьезные последствия, для финансовых учреждений важна комплексная проверка субподрядчиков. Более того, согласно PSD2, применяются дополнительные обязательства в отношении «конфиденциальных платежных данных», в том числе персонализированных учетных данных безопасности, которые могут использоваться для совершения мошенничества. 

Если вы хотите запустить финтех-стартап в Европе, вы можете заказать консультацию по лицензированию платежных учреждений в ЕС в соответствии с PSD2.

В заключение

Финтех, TPP и разработчики API должны будут учитывать меняющуюся нормативную среду при разработке и проектировании своих продуктов. Стремление к цифровизации финансовых услуг посредством внедрения и регулирования открытого банковского обслуживания в Европейском Союзе открывает значительные возможности для создания новых инновационных продуктов и услуг. Успешное прогнозирование нормативных изменений будет ключом к полноценному использованию этих возможностей.

Дополнительные вопросы вы можете обсудить с представителями компании IQ Decision UK во время консультации по особенностям регулирования открытого банкинга в ЕС.