Найближчим часом, з 1 серпня, в Україні стартує відкритий банкінг – нова система, що дозволить зібрати банківські рахунки будь-якого користувача з різних установ в одному інтерфейсі. Це означає, що ви зможете розраховуватись однією платіжкою, не думаючи, на якій саме з ваших карток є кошти, керувати дозволами на доступ і бачити повну картину своїх фінансів в одному застосунку.
Під час війни, постійних переміщень, нестабільності та фінансової фрагментації така можливість для багатьох є критично важливою опцією. У багатьох українців є по декілька карток: для зарплати, донатів, виплат, допомоги родичам, підприємництва. Але об’єднати їх у щось цілісне було неможливо. Тепер така можливість буде.
Нацбанк України вже оприлюднив проєкт регламенту відкритого банкінгу, що визначає новий протокол доступу до рахунків через сторонні застосунки. Документ чітко прописує, як саме сторонні сервіси – бюджетні трекери, фінтех-застосунки чи агрегатори – зможуть отримати доступ до ваших рахунків (але лише з вашої згоди), і як банки зобов’язані цей доступ забезпечити.
Для користувача це виглядатиме просто й зручно: уявіть застосунок, схожий на Revolut чи Monzo, але з підключенням до українських банків. У ньому ви зможете бачити всі картки та рахунки з різних банків, оплачувати з “об’єднаного рахунку”, не думаючи, звідки спишуться кошти, отримувати зведену аналітику, керувати, який з сервісів має доступ лише до перегляду, а який – до переказів, та відкликати доступи в один клік, без дзвінків у банк.
Система стартує поетапно. Уже в червні-липні триває пілотне тестування в закритому середовищі. У серпні почнеться сертифікація гравців. І вже з 1 серпня банки будуть зобов’язані надавати доступ до рахунків через API. Відмова стане підставою для санкцій або навіть відкликання ліцензії.
До наступного року планується ще глибша інтеграція: багаторівнева ідентифікація, під’єднання до “Дії”, включення небанківських установ – страхових, кредитних тощо.
За словами експертів, це справжній прорив. Відкритий банкінг означає передачу контролю над фінансами самому користувачу, нова технологія стане поштовхом для конкуренції серед сервісів і еволюціонування цифрової мобільності. Замість того, щоб вручну переказувати гроші з картки на картку, щоб не натрапити на відмову через нульовий баланс, ви отримаєте керування всіма ресурсами в один дотик.
API замість паролів у відкритому банкінгу в Україні
Open Banking тримається на технології API, що виступає буфером між банком і стороннім сервісом. Наприклад, ви ставите фінансовий трекер або податковий застосунок і даєте йому дозвіл підглянути у ваші банківські рахунки (але тільки на те, що ви дозволили). Цей трекер не буде “хапати” дані без вашої згоди, а лише з дозволу, і лише в межах його дозволу.
Розглянемо ситуацію: відкриваєте додаток і бачите свій баланс у Приваті, monobank, і ще десь. І з того ж додатку оплачуєте покупки, податки, або просто переказуєте гроші з рахунку А на рахунок Б. Більше не треба входити в кожен банківський застосунок окремо.
Є два типи “права доступу” AIS (Account Information Service). По-перше, сервіси, які тільки читають: відслідковують залишок грошей, витрати чи реквізити. Платити вони не можуть. Наприклад, це трекери бюджету чи застосунки для обліку податків.
Натомість ініціювати платіж можуть PIS (Payment Initiation Service). Тобто ви, наприклад, платите за Netflix напряму з банківського рахунку через сторонній додаток, не витягуючи карту.
В Європі й Британії Open Banking працює вже давно, будучи регульованим директивою PSD2. Вона зобов’язує банки давати доступ до рахунків через API, якщо клієнт цього хоче. Тому у Revolut ви можете бачити всі свої рахунки в одному місці і з будь-якого платити. Бухгалтер чи податковий сервіс можуть бачити всі ваші операції, навіть з різних банків через TrueLayer. Ще одна платформа, на якій будуються різні сервіси: від трекерів до перевірки кредитної історії, – Tink.
Українці вже звикли до цифрових сервісів, довіряють застосункам і хочуть зручності. Дія, monobank, можливість оплатити щось одним свайпом – це вже наша стала реальність. Тому очікування того, що open banking швидко приживеться, вельми закономірне. І це не лише про технології, а й про зміну культури користування грошима.
Український Open Banking за європейськими стандартами: що гарантує безпеку фінансових API
Коли йдеться про відкритий банкінг, виникає слушне запитання: хто гарантує безпеку? Маються на увазі не лише IT-шифрування чи паролі. У державі, яка одночасно воює, реформується й цифровізується, захист фінансових даних – питання легітимності й довіри до проєкту. Тому тут передбачено багаторівневу відповідальність, а контроль розподілений між державою, технологічною інфраструктурою та громадянином.
Відповідно до регламенту НБУ щодо відкритого банкінгу, система безпеки побудована на чотирьох “стовпах”. Регулятором виступає НБУ, встановлюючи стандарти, ведучи реєстр сертифікованих учасників та контролюючи виконання. Зі свого боку, банки зобов’язані надати API-доступ до рахунків лише перевіреним суб’єктам. Далі зовнішні провайдери (TPP) отримують дозвіл після проходження незалежної сертифікації та аудиту безпеки. Нарешті, користувачі надають доступ лише за власною згодою і контролюють, які саме сервіси отримують права
Це інституційно структурований механізм довіри, де кожен рівень має свій простір відповідальності й несе санкції за його порушення.
У проєкті регламенту зазначено, що всі канали взаємодії між банком, TPP і користувачами мають бути зашифровані з використанням сучасних криптографічних протоколів – на рівні TLS 1.3 або вище.
Також передбачено двофакторну аутентифікацію (2FA), коли користувач підтверджує доступ через другий канал (наприклад, код із SMS або застосунку типу Google Authenticator), одноразові токени доступу (OAuth2/OpenID), що автоматично анулюються після завершення сесії. Також обов’язкові логування всіх запитів: дата, IP, суб’єкт, мета та параметри; і система сповіщень про наданий або відкликаний доступ у реальному часі.
Ці механізми уже застосовуються в європейській практиці – зокрема в моделі Open Banking UK та платформах на базі Tink і TrueLayer.
Нацбанк створює Єдиний реєстр учасників системи відкритого банкінгу, до якого можуть увійти лише ті, хто пройшов технічну перевірку, підтвердив наявність внутрішніх політик кіберзахисту, продемонстрував прозору структуру власності та має фінансову відповідальність (страхування професійної відповідальності або резерви на випадок порушень).
Доступ до API банків можливий лише для учасників цього реєстру. Тобто регулятор не лише “відкриває двері”, а й встановлює інституційний фільтр довіри, за аналогією з допуском до ліцензованої професії.
Впроваджуючи відкритий банкінг, Україна орієнтується на PSD2 (EU Payment Services Directive 2), що регламентує права користувача, обмеження для банків, статус TPP і технічні вимоги до API. У свою чергу GDPR (General Data Protection Regulation) визначає обов’язок інформування користувача, право на забуття та обмеження мети обробки. Нарешті, використано й eIDAS для юридично значущої цифрової ідентифікації та підпису.
Нацбанк прагне гармонізувати регламент з цими нормами, а пілотні сценарії реалізуються на базі специфікацій, сумісних із європейськими API‑стандартами Berlin Group.
…Наступного разу ми розглянемо, які з запуском open banking fintech-компанії отримають доступ до ринку. Це відкриє шлях до сервісів на кшталт бухгалтерії, фінансових помічників та кредитних платформ. Важливо, чи готові банки до цього технічно й ментально, адже вони ризикують втратити клієнта, який перейде до зручнішого стороннього застосунку. Також існує загроза шахрайства, якщо будуть порушені протоколи безпеки.
Досвід Британії, Естонії, Польщі й країн Балтії показує: open banking стимулює внутрішній фінтех і дозволяє створювати нові сервіси, зокрема для порівняння кредитів, керування бюджетом, інтеграції інвестицій. Це також може сприяти зменшенню готівки в обігу й полегшити дерегуляцію мікрокредитування та доступ до кредитних історій.
Тетяна Вікторова
