В Банке России не оспаривают независимую оценку возможного совокупного экономического эффекта от внедрения Open Finance — около 160 млрд рублей, а переход к Open Data — около 1 трлн рублей. Кому достанутся эти деньги?
Медиапроект «Банковское обозрение» 1 декабря 2023 года провел в Москве шестую практическую конференцию «OPEN API эволюция: Banking, Finance, Data», которая собрала в гибридном формате около 100 экспертов.
Особенностью мероприятия стало то, что впервые после Форума FINOPOLIS 2023, прошедшего месяцем ранее, представители Банка России, АБР, Ассоциации ФинТех смогли озвучить первые практические и правовые шаги, сделанные во исполнение решений, озвученных на Форуме.
Важно и то, что банкиры и вендоры смогли донести до регуляторов свое мнение, которое, по словам Станислава Коропа, и.о. директора департамента финансовых технологий Банка России, не остается без должного внимания, учета и реагирования.
Станислав Короп (Банк России). Фото: «Б.О» / Надежда Дьякова
Концепт вызывает опасения
В начале первой сессии «Open Banking в России: регулирование, технологии, рынок», модератором которой выступил финтех-эксперт Данил Поминов, Мария Шевченко, председатель совета директоров КИВИ Банка, поделилась обобщенным мнением участников финансового рынка, которое было сформулировано в ходе недавнего опроса, проведенного АБР.
«Проблематика Open API обсуждается уже несколько лет на различных уровнях, но до сих пор вызывает опасения на уровне самого концепта. Есть понимание, что делиться своими данными надо, но остро стоит вопрос: “Как обеспечить их безопасность?”. Суть проблемы заключается в том, что в ожидании законодательного введения до конца 2023 года значительных оборотных штрафов за утечку персональных данных (ПДн) делиться этими самыми ПДн придется и с компаниями нефинансового сектора. С учетом не столь высоких достижений множества подобных компаний в области защиты информации как идентифицировать реального виновника возможной утечки? Рынок ожидает соответствующего стандарта Банка России».
Доводы банкиров кажутся вполне разумными — в случае массовых утечек ПДн, что пока представляется неизбежным, клиенты финансовых учреждений столь же массово перестанут давать согласие на передачу своих данных. Концепция Open API может рухнуть, так толком и не начавшись, ведь финансы — предусматривают доверие.
«Вторая часть проблемы заключается в самом слове “обмен” — банкиры хотят не только отдавать свои данные, но и получать их (в первую очередь от маркетплейсов, e-сom, крупного ретейла), чтобы создавать максимально удобные финансовые сервисы для своих клиентов. Поэтому необходим совместный поиск практических кейсов», — добавила Мария Шевченко.
Видя активные интеграционные процессы в сегменте «крупные с крупными», наиболее активные сторонники перехода на Open API из числа малых и средних банков сетовали в публичном пространстве на некоторое замедление соответствующих активностей, сравнивая ситуацию с «API-заморозкой».
Кирилл Кузьмин, заместитель генерального директора Ассоциации ФинТех, решительно опроверг «теорию заговора»: «Текущий момент развития Open API носит исключительно эволюционный характер, характеризующийся тем, что отрасль уже далеко ушла от Open Finance в сторону Open Data. В песочнице АФТ массово идут интеграционные пилотные проекты с ипотечными структурами, медицинскими ИС, системами геопозиционирования и т.д. Накопленный опыт активно изучается всеми, включая регуляторов, и он постепенно трансформируется в проекты стандартов и технических спецификаций. Это является ответом на запросы в интероперабельности внутри финансового сектора и кросс-взаимодействия с другими субъектами экономики».
По данным спикера, Ассоциация ФинТех активно участвует в процессах модернизации стандартов Банка России в области информационной безопасности и приведения их в соответствие с новыми требованиями в этой сфере, в том числе в аспекте достижения технологического суверенитета. Сейчас происходит активное голосование в Техническом комитете (ТК) № 122, и до конца декабря 2023 года планируется завершить эту работу, выпустив новый стандарт в области ИБ.
«Мы готовимся с нашими участниками к любому развитию событий. В частности, разрабатывается определенный инструментарий, а также реализуются определенные технологические проекты. Это, во-первых, разработка типового коробочного решения наподобие SDK для быстрого подключения малых и средних игроков к инфраструктуре информационного обмена с помощью Open API. Сейчас идет работа по интеграции в это решение требований Платформы коммерческих согласий (ПКС). Во-вторых, готовится финальный релиз портала для разработчиков в целях упрощения разработки, тестирования и запуска пилотных решений в среде Open API. И, наконец, идет модернизация сертификационного стенда для проверки ПО на соответствие стандартам Open API», — поделился последними достижениями и планами на 2024 год Кирилл Кузьмин.
Годы на диалог
В ноябре 2022 года был опубликован документ регулятора «Открытые API на российском рынке: концепция Банка России». После этого состоялось его широкое обсуждение, в том числе и на площадке АФТ.
«Предполагаются ли регулятором сейчас какие-либо изменения в этой связи? Какие этапы внедрения заложены в нормативных документах? Какие предполагаются тарификация и монетизация?» — задал вопросы представителю регулятора Дмитрий Ищенко, заместитель генерального директора Ассоциации ФинТех, в рамках второй сессии.
Дмитрий Ищенко (Ассоциация ФинТех), Станислав Короп (Банк России), Сергей Леонидов («Сравни»),
Игорь Алутин (Мосбиржа), Ольга Сорокина (Страховой Дом ВСК). Фото: «Б.О» / Надежда Дьякова
«Мы не ошиблись в тех основных постулатах, которые были заложены в данную концепцию. Поэтому в ходе Форума FINOPOLIS 2023 Банк России, по сути, открыл финальный раунд дискуссии по концепции Open API, презентовав тот подход, который был концептуально согласован с участниками рынка и который нашел поддержку внутри самого регулятора», — начал обстоятельный доклад Станислав Короп.
Диалог регулятора с участниками рынка состоялся в виде нескольких раундов опросов, результаты которых, очевидно, будут опубликованы вместе с предлагаемыми ЦБ «Подходами» по развитию данной проблематики. Однако некоторые цифры уже известны. В частности, 99% участников рынка проголосовали за внедрение Open API, а большая часть респондентов выступает за поэтапный, последовательный и плавный переход от модели Open Finance к Open Data. Около 22% участников рынка призывают к тому, чтобы сразу идти к Open Data, без промежуточных этапов. И все 100% выступают за необходимость регулирования, для чего предлагают закрепить за Банком России необходимые компетенции и наделить его полномочиями разрабатывать нормативные подзаконные акты. Кроме того, 75% респондентов поддерживают расширение перечня спецификаций, которые изначально были заложены в Концепцию. Это вызвано бизнес-эффектом нескольких кейсов, отрабатываемых совместно с АФТ.
«На FINOPOLIS 2023 было анонсировано, что ЦБ выбрал гибридный подход. Это означает движение в сторону Open Finance с параллельной отработкой концепта модели Open Data. Трек Open Finance подразумевает принцип поэтапного внедрения. Первый этап с дедлайном до 2026 года будет предполагать обязанность крупнейших участников финансового рынка из различных его секторов раскрывать данные в пользу их крупнейших потребителей. В ходе следующих этапов произойдет расширение круга участников, которые будут задействованы в рамках информационного обмена с конечной целью — охватить весь финансовый рынок. Переход на каждый последующий этап будет сопровождаться сбором обратной связи, исправлением недочетов, совершенствованием при необходимости регулирования и т.д.», — пояснил Станислав Короп.
Что касается системы регулирования, то, по данным ЦБ, она будет базироваться на трех основных уровнях. Первый уровень — это Федеральный закон, который определит полномочия и компетенции, уточняя рамочные нормы благодаря подзаконным актам Банка России, которые будут составлять второй уровень регулирования. И, наконец, в состав третьего уровня войдут технические спецификации, которые будут доступны всем и будут обеспечивать процесс обмена информацией. Эта схема напоминает ту, которая заложена в регулирование сбора отчетности в формате XBRL.
В Банке России заканчиваются согласования упомянутого ФЗ, а в 2024 году его проект внесут в Госдуму. Весь следующий год уйдет на обсуждение этого нормативного акта законодателями. В данном ФЗ будет прописана процедура включения в реестр поставщиков и потребителей данных в целях заключения с ними договора с базовым уровнем SLA, который по умолчанию все участники информационного обмена примут на себя как обязательство. Международная практика говорит о том, что подобная процедура нужна для минимизации мошенничества и гарантии доступности сервисов для клиентов.
Кроме того, в регулировании заложат дополнительные меры в области повышения уровня информационной безопасности, а также тарификации. Банк России будет наделен возможностью регулирования тарифов и установления заградительных мер, при этом предполагается сосуществование бесплатных и платных сервисов информационного обмена. Практика монетизации Open API в нашей стране пока отсутствует, но обмен должен быть выгоден как участникам финансового рынка, так и их клиентам.
Отвечая на критику о некоей «API-зиме», Станислав Короп заявил: «Весь проект строится на очень плотном и качественном взаимодействии регулятора с участниками финансового рынка. При этом Банк России очень хорошо понимает, что именно он делает, и считает, что здесь лучше не спешить, а каждый шаг тщательно взвешивать. Поэтому, наверное, два последующих года будут посвящены именно этому активному диалогу».
Дизрапторы и черные лебеди
Данил Поминов, на финальной сессии «Цифровая эволюция банковского корпоративного бизнеса», совместно с участниками рынка и вендорами попытался в рамках «визионерской пятиминутки» проанализировать неочевидные плюсы и минусы концепции Open API в некоей временной перспективе.
Первый потенциальный черный лебедь при ближайшем рассмотрении оказался, напротив, драйвером и конкурентным преимуществом России. Дело в том, что в ЕС такой компонент Open API, как BaaS, начал стагнировать. Опасения в распространении этого явления на наш финансовый рынок оказались напрасными. В ЕС этот сегмент рынка был отдан на откуп глобальным вендорам, впрочем, как и у нас в свое время. А они, к сожалению, не сочли этот сегмент прибыльным. Однако коренным отличием нашей страны является то, что BaaS у нас успешно развивается благодаря усилиям самих банков, обладающих мощными компетенциями как в IT, так и в интеграции с казначействами крупнейших корпораций.
Однако это же самое технологическое преимущество в финтехе, например, в виде внедрения цифрового рубля, ставит множество вопросов к Концепции Open API. Вопросы появляются и со стороны вендоров, которые пока осторожно говорят об усложнении общего IT-ландшафта, что приводит к параллельному развитию высоконадежных, но дорогих core-систем и недорогих, но «одноразовых» интерфейсов к ним. Отчасти помочь в хаосе интеграции того и другого мог бы искусственный интеллект в виде GPT-моделей. Но не станет ли AI сам черным лебедем?
Таким образом, диалог регулятора и участников рынка только начинается. И спектр вопросов, на которые предстоит дать ответы, гораздо шире, чем представлялось в начале пути. Есть масса непростых вопросов, например, к стандартизации и универсальной идентификации. Требуются дополнительные механизмы в запускаемой Платформе получения согласия на информационный обмен. Но экономический эффект от перехода на Open API говорит сам за себя, поэтому процесс будет идти!
МНЕНИЕ УЧАСТНИКОВ
Юрий Кардюков, руководитель направления Identity и Open API
На конференции «Open API: Эволюция» мы рассказали о практике применения коробочного ПО «eKassir Open API Adapter» для подключения банков к открытым прикладным интерфейсам. Его безопасность базируется на другом нашем решении — Identity Platform, состоящем из компонентов Access Manager и dentity Gateway, которые реализуют аутентификацию пользователей, авторизацию запросов и защиту API соответственно.
На сторону Access Manager заказчик передает вопросы аутентификации. Банк не тратит ресурсы разработчиков на реализацию функций входа в приложение, организацию двухфакторной аутентификации и хранение чувствительной информации, он делегирует эти задачи Identity Platform и получает единую точку входа в свою информационную систему. Банк подключает к нашему ПО решения как собственной, так и сторонней разработки и получает учетную запись с единым паролем входа во все информационные системы. Благодаря технологии Single Sign-On (SSO) пароль достаточно ввести один раз.
Функциональность Identity Gateway обеспечивает защиту приложений банка, выполняет функции авторизации (в том числе централизованной) и ограничения запросов к API. Наше решение помогает защитить как UI-приложения, так и прямое обращение вида System-2-System.
Тесная интеграция решений обоих классов создает Enterprise-продукт Identity Platform, который закрывает все инфраструктурные вопросы безопасности на уровне приложений компании. Решение Identity Platform включено в Единый реестр российского программного обеспечения (Реестровая запись № 13332 от 26.04.2022).
Дмитрий Шустерняк, руководитель направления, Фирма 1С
В решении 1С:ДиректБанк подписание платежных документов доступно с помощью как электронной подписи, так и кодов из СМС. Каждый банк при подключении к 1С:ДиректБанку самостоятельно выбирает способ подписания, который он готов поддерживать. При этом возможна опция, при которой в одном банке для различных категорий клиентов используются разные варианты. Таким образом, при работе с мультибанковским ДБО каждый банк сам определяет подходящий именно для него способ реализации подписи вне зависимости от того, в каких еще банках обслуживается клиент.
Например, для ИП и компаний из сегмента МСБ настраивается подписание с помощью кодов из СМС как наиболее простой вариант для работы, а для средних и крупных компаний, имеющих в штате IT-специалистов, способных помочь бухгалтерам с настройкой криптопровайдера, ключей ЭП и т.п., — вариант с помощью электронной подписи.
ПРИ ПОДДЕРЖКЕ
ПАРТНЕРЫ
ПРЕЗЕНТАЦИИ СПИКЕРОВ
Make humans great again. Алексей Хахунов, сооснователь и технический директор, Dbrain
Считаем деньги и управляем ими в одной программе: Мультибанковское ДБО прямо в 1С. Дмитрий Шустерняк, руководитель направления, 1С
Открытые API как отправная точка для трансформации взаимодействия банка и клиента. Виктория Чинчук, исполнительный директор, дивизион «Цифровой Корпоративный Банк», Сбер
Подключение бизнеса к Открытым финансам. Практика использования «коробочного» ПО в (не)регуляторных проектах. Юрий Кардюков, руководитель направления Identity и Open API eKassir