PSD2 та відкритий банкінг

ITOMYCH STUDIO є досвідченим партнером для компаній, що функціонують на фінансовому ринку. Ми маємо низку успішних додатків, запущених на міжнародному рівні. Наша команда завжди намагається знаходити нові шляхи створення досконалих продуктів та задовольняти потреби клієнтів на світових ринках. У цій статті ми хотіли б зосередитись на перспективному напрямку, який, на нашу думку, дозволить масштабувати розробку фінтех додатків та розкрити її потенціал у повній мірі.

Всебічна діджиталізація не залишила осторонь галузь фінансових послуг. Хоча застарілі банківські системи завжди вважалися суттєвою перешкодою модернізації, на урядовому рівні були ухвалені постанови, що не залишають банкам іншого вибору окрім впровадження технологічних нововведень задля майбутнього процвітання. Ухвалення PSD2 та Open Banking у вересні 2019 року змушує банки відкривати зовнішнім провайдерам доступ до своїх даних через спеціалізовані API. Обидві ініціативи мали на меті заохочення інновацій та конкуренції на ринку, підвищення безпеки здійснення платежів та надання клієнтам можливості ефективніше розпоряджатися своїми коштами. Ці постанови вже мали глобальний вплив, у результаті якого США, Австралія та Азія розробили аналогічні стандарти, аби не відставати від своїх європейських колег.

Що таке PSD2?

PSD (Директива про надання платіжних послуг) була створена в 2007 році для регулювання постачальників платіжних послуг шляхом створення законодавчих рамок для їхньої діяльності на території ЄС та ЄЕП. Друга директива про платіжні послуги (PSD2) забезпечує простіші, більш швидкі та безпечні платежі. Фінансові установи повинні надавати інформацію стосовно рахунків третім сторонам за згодою своїх клієнтів, аби уможливити автоматизацію стандартних банківських операцій та позбутися посередників. Це вимагає створення стандартизованих API для забезпечення доступу до даних рахунків та реєстру, що визначає дві категорії сторонніх постачальників платіжних послуг (TPP). Щоб стати TPP, компанія повинна подати заявку на отримання будь-якої з нижчеприведених ліцензій, різниця між якими полягає в типу інформації, що може бути вилучена, та її подальшій обробці:

• Ліцензія постачальника інформації про облікові записи (AISP) надає лише доступ до перегляду клієнтських даних. Завдяки AISP додаткам людина може слідкувати за станом різних банківських рахунків в одному місці або обмінюватися цією інформацією з кредитором задля прискорення процесу отримання позики.
• Ліцензія постачальника послуг з ініціювання платежів (PISP) ​​дає змогу ініціювати платежі з рахунків клієнтів за їх згодою. Крім здійснення платежів, додатки PISP сприяють заощадженню грошей, регулярно переказуючи узгоджену суму на ощадний рахунок, та допомагають уникнути комісій за перевитрати коштів завдяки їх переміщенню між декількома рахунками клієнта.

Отже, директива вирівнює умови гри, полегшуючи входження новачків до сектору фінансових послуг. Відтепер фінтех стартапи можуть конкурувати з великими банками, пропонуючи низку новітніх рішень та приносячи користь кінцевому користувачеві. Тим не менш, імплементація регламенту вимагає від платіжних провайдерів відповідності нормам регуляторних технічних стандартів (RTS), включаючи сувору автентифікацію клієнтів (SCA).

Покращений захист клієнтів через використання RTS

RTS - це збірка правил, яких повинні дотримуватися постачальники платіжних послуг відповідно до PSD2. Вони охоплюють сувору автентифікацію клієнтів та безпечну комунікацію, серед ключових вимог виокремлюються наступні:

• Фінансові установи забезпечують TPP доступ до своєї основної інфраструктури через спеціалізовані API.
• API для кожної країни повинен бути розроблений відповідно до зареєстрованого галузевого стандарту, як-от PolishAPI у Польщі або STET у Франції.
• Код автентифікації не повинен містити ніяких посилань на особисту інформацію клієнта, аби зловмисник не міг нею скористатися після його отримання. Більш того, новий код не може бути створений на основі попереднього.
• Банківська технічна документація, методологія та інструменти повинні знаходитися у відкритому доступі на корпоративному веб-сайті.

Мета SCA - підвищити рівень безпеки, запровадивши двоетапну автентифікацію під час входу до облікового запису та здійснення електронних платежів. Дія, зроблена в обліковому записі, підтверджується, якщо наявні два з наступних елементів:

• Знання (те, що користувач знає, наприклад, PIN-код або пароль).
• Володіння (щось приналежне користувачеві, як-от банківська картка, мобільний телефон чи токен).
• Властивість (те, що має користувач, тобто біометричні дані, такі як відбитки пальців або риси обличчя).

Існують деякі винятки стосовно необхідності виконання попередніх вимог, до них входять платежі довіреним партнерам, корпоративні платежі, а також низьковартісні транзакції. Офіційно крайній термін забезпечення дотримання стандартів SCA як розділу PSD2 продовжено до 14 березня 2021 року. У разі невиконання вимог, підприємства можуть притягнути до відповідальності й навіть відкликати їхню ліцензію.

Визначення Open Banking

Open Banking є відповіддю Великобританії на європейську директиву PSD2, яка стосується запровадження API відкритого банкінгу - набору протоколів, що зумовлюють інтеракцію зовнішніх провайдерів із цифровими банківськими системами та дозволяють будувати навколо них програмні рішення. Кроки, необхідні для виконання ініціативи, схожі на ті, які були визначені в PSD2:

1. Інтеграція компонентів відкритого банкінгу з існуючою технологічною архітектурою.
2. Розробка API відповідно до технічних умов та надання до них доступу зареєстрованим TPP.
3. Контроль за безперебійною роботою системи й надання регулярних звітів до Управління фінансової поведінки (FCA).

За умови дотримання вищезгаданих вимог банки можуть отримувати значні вигоди від співпраці з фінтехами, оскільки останні дозволяють їм розширити коло клієнтських послуг. Проте іноді фінансові установи порушують стандарти API, що призводить до штрафних санкцій. Нижче представлений перелік дій, що караються згідно з вимогами PSD2 та Open Banking:

• Деякі API та веб-сайти містять конфіденційні дані, такі як деталі транзакцій або коди IMEI клієнтів, що порушує Загальні положення про захист даних (GDPR).
• Є банки, що використовують застарілі методи агрегації та обміну даними, серед яких - метод прямого доступу.
• Банківські мобільні додатки можуть бути пов’язані зі сторонньою організацією, наприклад, рекламною чи аналітичною компанією.

Перелічені випадки є лише частиною того, з чим банки та фінансові установи повинні розібратися, перш ніж узгодять свої системи відповідно до стандартів PSD2 та Open Banking.

Нові можливості для компаній, що займаються розробкою фінтех додатків

Упровадження обговорених директив відкриває фінтеху безліч шляхів для надання користі ринку фінансових додатків. Управління з питань конкуренції та ринків (CMA) ініціювало Open Up Challenge 2020, пропонуючи приз у розмірі 1,5 млн. фунтів стерлінгів за розробку найкращого програмного рішення у середовищі Open Banking. Метою є посилення конкуренції у фінансовому секторі, упровадження інновацій та ознайомлення клієнтів із перевагами фінтех додатків. Продукти, створені завдяки Open Banking, розширюють можливості користувачів, даючи їм змогу змусити свої дані працювати на них. Зрештою, розвиток фінтеху є безпрограшним процесом, оскільки фінансові стартапи примножують свої прибутки, тоді як клієнти дізнаються про засоби ефективного управління грошима та отримують максимум від своїх прибутків.

Відкриті API зробили можливою розробку багатофункціональних додатків, забезпечивши повноцінний досвід для кінцевих користувачів. Зараз фінтех компанії можуть доповнювати свої продукти десятками додаткових функцій, реалізованих іншими гравцями ринку. Інтеграція з третіми сторонами породила такі "гібриди", як додатки P2P страхування, додатки з управління бюджетом, що містять інвестиційні опції, а також електронні гаманці. Це далеко не весь перелік, оскільки розробники постійно вигадують новітні комбінації задля збагачення клієнтського досвіду. Таким чином, є безліч технологічних можливостей, тож саме від фінтехів залежить, наскільки складні рішення вони можуть розробити.

Висновки

Європейська PSD2 та ініціатива Open Banking у Великобританії здійснили революцію у фінансовому секторі. Вони внесли технологічні зміни у застарілі банківські системи та відкрили нескінченні можливості для подальшого розвитку фінтех компаній, що вплинуло не тільки на Європу, а й на інші країни світу. Процес адаптації до нових стандартів не є простим; однак, як тільки вимоги будуть виконані, і банки, і фінансові компанії зможуть оцінити бенефіти, які він передбачає. Наша компанія з великим ентузіазмом сприймає цей напрямок, оскільки ми віримо, що міцна безпека, всебічний, як ніколи досвід клієнтів та цілком новий рівень інновацій варті зусиль. Якщо ви поділяєте наш світогляд, та, як і ми, обожнюєте розробляти додатки й маєте величезне бажання розширити свій професійний кругозір, ласкаво просимо! Команда ITOMYCH STUDIO завжди рада експертам, які мають гострий розум і ненаситну жагу до знань, тому не вагайтесь, надсилайте резюме, якщо готові до професійних викликів, і ми дійсно маємо це на увазі.