

В ноябре 2022 года Банк России опубликовал объёмный стратегический документ, посвящённый развёртыванию на российском финансовом рынке технологии передачи данных на основе открытых программных интерфейсов. Сейчас Концепция внедрения Открытых API носит рекомендательный характер, но со временем их использование может стать обязательным. Это запустит последовательный переход рынка к модели Открытых финансов (Open Finance).
В рамках этой модели между собой взаимодействуют участники рынка (банки, страховые и инвестиционные компании, МФО и пр.), а также поставщики и рядовые потребители финансовых услуг. Информационный обмен между ними осуществляется при помощи универсального языка, которым являются Открытые API (Open API).
Внедрение стандартизированных программных интерфейсов создаёт преимущества для всех участников этого обмена.
Преимущества банков:
Преимущества для финтехов:
Преимущества для пользователей:
Основными выгодоприобретателями от перехода участников рынка финансовых услуг к модели передачи данных на основе Открытых API станут рядовые пользователи (рис. 1).
Рисунок 1. Преимущества цифровизации на основе модели Открытых финансов
Демонополизация доступа к информации о счетах и продуктах банковских клиентов развязывает руки поставщикам услуг и финтехам, позволяя им предлагать более смелые пользовательские приложения.
Выбор клиента более не ограничен одним-двумя решениями: в парадигме обслуживания Open Finance он получает новые возможности для управления персональными продуктами, альтернативные платёжные методы, широкий список адресатов денежных переводов и сопутствующие финансовые опции (например, приложения для ведения бюджета, повышения финансовой грамотности и т. п.).
Управление персональными финансовыми данными — право самого пользователя
Другая проблема, которую решают Открытые API, связана с правом пользователя на его личные данные, точнее — с отсутствием подобного права в современной парадигме финансового обслуживания.
Рассмотрим стандартную ситуацию: покупатель приобретает товар через приложение маркетплейса и хочет получить кешбэк за транзакцию. Поскольку финансовое сообщение, составляющее суть платёжной операции, содержит данные покупателя о счёте, его личные реквизиты и т. п., логично предположить, что он ими владеет. Тем не менее это не так — поделиться информацией с кешбэк-сервисом он не может.
Так происходит потому, что в классической модели обслуживания пользователь, формально являясь владельцем счёта, фактически не может самостоятельно предоставить доступ к нему стороннему поставщику финансовых сервисов. Ему позволено взаимодействовать со счётом только из приложения банка — то есть именно банку принадлежит абсолютное право распоряжаться ресурсами пользователя.
Модель обслуживания, опирающаяся на Открытые API, делегирует это право пользователю, который может напрямую через приложение стороннего поставщика услуг передать тому данные о счёте и согласие на их хранение и обработку.
Возрастает безопасность транзакций. Благодаря строгим стандартам API сторонние поставщики финансовых услуг получают доступ к пользовательским ресурсам непосредственно от первоисточника. Контроль регулятора за единообразием взаимодействия внутри доверенной среды гарантирует, что информационный обмен между её участниками надёжно защищён от компрометации, более вероятной при использовании различных частных API.
Защита интересов полноценного участника информационного обмена, которым является потребитель финансовых услуг, — одна из ключевых целей, которую преследует Банк России, стимулируя рынок к переходу на использование Открытых API.
Движение к новой модели финансового обслуживания отчасти напоминает сценарий внедрения на российский рынок сотовой связи MNP-технологии (Mobile Number Portability), позволяющей абонентам переходить к другому оператору с сохранением телефонного номера. Реализация этой меры не была простой и заняла немало времени, однако её итогом стала фактическая отмена «мобильного рабства», — и за десять лет более 24 млн пользователей воспользовались услугой MNP [1].
Рынок финансовых услуг столкнулся с подобным сценарием во время подключения банков к Системе быстрых платежей. Преимущества СБП на первых порах также были неочевидны — как для пользователей, так и для поставщиков платёжных услуг. И всё же по итогам 2023 года участниками системы являются более двухсот банков, а более 1 млн предприятий принимают оплату по СБП, которой за год хотя бы раз воспользовался каждый третий житель России [2].
Открытые API — общемировой тренд, развитие которого в нашей стране направляет финансовый регулятор (Банк России). Сейчас в России наступило время пилотных проектов с применением Открытых API — первые из них уже внедрены и монетизируются рядом банков и финтех-организаций, задающих вектор направления всей отрасли.
В ноябре 2023 года Ассоциация ФинТех опубликовала плейбук «Открытые API» — практическое пособие, в котором рассказывается о пилотируемых в России бизнес-кейсах, где успешно используется технология открытых программных интерфейсов [3].
Два пути к Открытым финансам
Длительный процесс перехода банков и финансовых организаций к Open Finance начнётся с выполнения обязательств по подключению к доверенной среде Открытых API [4]. Существует два пути его реализации — долгий и короткий. Рассмотрим пошаговое движение по обоим (таб. 1).
Таблица 1. Два пути подключения к доверенной среде Открытых API
Если банк или финансовая организация решили подключиться к среде регуляторных API по короткому пути, они могут обратиться к системному интегратору — поставщику программного обеспечения с готовым «коробочным» решением. Такое ПО будет обладать рядом преимуществ перед внутренней разработкой:
Разработчик программного обеспечения, направленного на интеграцию инфраструктуры финансовой организации в среду Открытых API Банка России, должен учитывать два важных момента. ПО должно не только поддерживать существующие регуляторные стандарты, но и иметь возможность адаптироваться к будущим наборам требований. Если в наборе регуляторных Открытых API появляется новый программный интерфейс, интегратор может подключить его по прикладному протоколу.
Кроме того, в состав программного решения должен входить инструмент для создания и хранения ресурсов согласия пользователя. Это чрезвычайно важно: именно открытое согласие является краеугольным камнем Open Finance. Оно даёт пользователю право управлять своими уязвимыми конфиденциальными данными и предоставлять сторонним поставщикам финансовых услуг доступ к ним.
На неограниченной свободе пользователя по желанию предоставлять и отзывать явное согласие на доступ к своим ресурсам построено информационное сообщение «в духе» Открытых API.
Если банк хочет взаимодействовать с партнёрами посредством собственных API и при этом обеспечить эффективность и безопасность обмена информацией, он может использовать готовое ПО, используемое для подключения к регуляторной среде. Тем самым лучшие практики применения регуляторных стандартов Открытых API будут адаптированы финансовыми организациями для клиентского обслуживания в рамках обычного бизнес-взаимодействия.
«Коробочное» ПО в проектах с регуляторными API
В 2022 году Московский кредитный банк стал полноценным участником среды Открытых программных интерфейсов Банка России в роли поставщика платёжных услуг для сценария «Получение информации о счёте клиента третьей стороной».
МКБ получил опыт работы со стандартом безопасности СТО БР ФАПИ. СЕК-1.6-2020 и всего за несколько месяцев прошёл путь от внедрения eKassir Open API Adapter до успешного завершения сертификационных испытаний [5].
Для успешного прохождения сертификационного тестирования и программное обеспечение, и бэкенд банка прошли отладку на стенде «Песочница» [6], где проверяются конфигурации и настройки криптографии. Стандарт Банка России предполагает применение OIDC для аутентификации, формата передачи утверждений JSON Web Token и криптографического протокола mTLS, отвечающего за взаимную аутентификацию клиента и сервера на основе сертификатов (с использованием PKI).
Кейс Московского кредитного банка — пример проекта, реализованного в полном соответствии с регуляторными обязательствами, предваряющими развитие концепции Open Finance в России. Но как было сказано выше, практику использования готового ПО для интеграции со средой строго регламентированных Открытых API можно распространить и на частные задачи финансовых организаций, желающих расширить портфолио пользовательских услуг за счёт сервисов своих партнёров.
«Коробочное» ПО в проектах с нерегуляторными API
Если организация заинтересована в развитии собственных прикладных программных интерфейсов в соответствии с проверенными стандартами регуляторных API, она может использовать «коробочное» программное обеспечение. Для интеграции с подобным ПО нет ограничений, однако необходимо учитывать функциональность модулей, входящих в его состав. Рассмотрим некоторые на примере решения eKassir Open API Adapter (рис. 2).
Важнейший из них — Consent Service — отвечает за создание, хранение и централизованное использование ресурсов с согласия пользователя. Поскольку частные API заводятся через этот сервис, клиент финансовой организации может быть уверен, что доступ к его данным производится исключительно с явного и подтверждённого согласия.
Рисунок 2.Состав решения eKassir Open API Adapter
Компоненты Identity Gateway и Access Manager отвечают за защиту информационного обмена между его участниками и сервисов, которыми они пользуются. Оба компонента входят в состав комплекса eKassir Identity Platform (внесён в Единый реестр российского программного обеспечения — запись № 13332 от 26.04.2022) [7].
Identity Gateway выполняет функции шлюза, reverse-proxy, отделяющего внешнюю и локальную сеть, в которой происходит взаимодействие банка и стороннего поставщика. Identity Gateway обогащает API доступа к счёту пользователя информацией о ресурсе согласия, выполняет привязку транспортного сертификата к токену доступа и проверяет цифровую подпись API-запроса.
Access Manager управляет централизованной многофакторной аутентификацией и реализует Стандарт СТО БР ФАПИ.СЕК-1.6-2020.
Описанные возможности заинтересовали один из банков СНГ, который захотел использовать программное обеспечение eKassir Open API Adapter в частном проекте, поддерживающем развитие финансового обслуживания по модели Открытых API. Выбор нашего решения был обусловлен его применением на российском рынке, высокими темпами развития государственной стратегии внедрения открытого банкинга и общим уровнем цифровизации банковского сектора в России (в топ-10 по версии международного консалтингового агентства Deloitte) [8].
Согласно дизайну проекта, проприетарный набор прикладных интерфейсов банка предоставляется одному из крупнейших местных операторов мобильной связи. Пользовательские данные передаются на основании явного согласия и предоставляют клиентам банка возможность открывать новые счета и управлять ими, заказывать изготовление платёжных карт и оформлять банковские продукты в мобильном приложении сотового оператора (рис. 3).
Рисунок 3. Бизнес-кейс: применение технологии Открытых API для предоставления банковских услуг в мобильном приложении сотового оператора
Обращение к конфиденциальным данным пользователей происходит с их явного согласия, а безопасность передачи сообщений осуществляется по тому же набору требований, что и в Стандарте СТО БР ФАПИ.СЕК-1.6-2020.
Таким образом, при помощи «коробочного» ПО создаётся частный контур взаимодействия, внутри которого участники обмениваются финансовой информацией по модели, реализуемой за счёт соблюдения требований к среде регуляторных API, но без внешнего контроля.
Пример подобного проекта характеризует зарождающийся у банков оптимизм в отношении Open Finance. Скоординированное вовлечение в развитие этой модели участников финансового рынка способно расширить их доступ к технологическим ресурсам и новым методам организации безопасного обмена данными.
Двустороннее движение к широкому применению Открытых API — то есть сочетание стимулирующих инициатив регулятора и самостоятельный практический опыт банков, финтехов и поставщиков услуг — поспособствует скорейшему повышению финансовой доступности и качества персонализации взаимодействия с клиентом.
[1] https://www.rbc.ru/newspaper/2022/12/28/63ab03e99a794751b4182367
[2] https://www.cbr.ru/analytics/nps/sbp/3_2023/
[3] В числе реализованных проектов рассмотрены сервис «Без бумаг», осуществляющий получение выписки для скоринга при онлайн-кредитовании юрлица (банки «Точка» и «Промсвязьбанк»), агрегатор информации по счетам и картам клиентов, платформа «Цифровая ипотека», проект интеграции микрофинансовых организаций с Финуслугами Московской биржи и проч.
[4] https://bosfera.ru/bo/vse-dumali-api-zima-eto-ottepel
[5] https://bosfera.ru/bo/kak-mkb-k-open-api-podklyuchalsya
[6] Песочница — инструмент «Сертификационного стенда Открытых API», с помощью которого ПО проверяется на соответствие стандартам Банка России, включая криптографию.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных