Як зміниться відкритий банкінг після набуття чинності директиви PSD3

Україна знаходиться в процесі імплементації основних принципів Другої платіжної директиви ЄС PSD2 та розробки стандартів відкритого банкінгу, що в свою чергу сприятиме інтеграції українського ринку з європейським, створенню нових інноваційних сервісів та  розвитку фінтеху.

Платіжна директива PSD2, яка набула чинності у 2018 році змінили правила гри на європейських фінансових ринках та принесла регулювання у сферу відкритого банкінгу, відкривши можливості для його розвитку.  Відповідно до PSD2, банки зобов’язані сприяти доступу до інформації по рахункам своїх клієнтів третім сторонам (AISP і PISP) через безпечний інтерфейс при наявності згоди користувача.

Однак,  одночасно з розвитком відкритого банкінгу  у Європі ставали більш очевидними і слабкі місця даної сфери, а саме:

 - існуюча технічна інфраструктура для обміну даними потребує вдосконалення, оскільки значні відмінності в якості та функціональності API призводять до частих збоїв при використанні сервісів відкритого банкінгу;

-  споживачі періодично висловлюють занепокоєння щодо довіри, зокрема щодо конфіденційності даних та обережно ставляться до обсягу інформації, яку сторонні постачальники можуть зібрати про них. Крім цього у споживачів виникає стурбованість щодо того, чи не використовуватимуть сторонні постачальники їхні дані у власних інтересах;

- питання безпеки також викликають деякі занепокоєння, оскільки отримання даних через відкриті інтерфейси підвищує ризик кібератак;

- відсутність стандартизованих даних створює проблему для обміну сумісною інформацією між відкритими банківськими платформами.

 Європейська комісія оцінила ефективність PSD2 та маючи на меті вирішення проблем відкритого банкінгу  влітку 2023 року запропонувала поправки до директиви, що лягли в основу проекту PSD3,  серед яких:

1. Інформаційна панель –  користувач контролює надані згоди на доступ до даних

Згідно з пропозицією, банки та постачальники платіжних рахунків повинні створити зручну «інформаційну панель», яка дозволить користувачам відкритих банківських послуг легко переглядати та керувати наданими згодами доступу до даних.Ця інформаційна панель надасть користувачам чітке уявлення про те, яким організаціям надано доступ до їхніх даних та на який термін, і забезпечить зручний спосіб відкликання згоди через цю платформу. Впровадження даної ініціативи  посилить захист персональних даних відповідно до Загального регламенту захисту даних (GDPR).

2. Послаблення в застосуванні Strong Customer Authentication (SCA)

Згідно з новими вимогами, банки вимагатимуть SCA лише для початкового доступу постачальниками послуг до   інформації про відкриті банківські рахунки, якщо немає вагомих причин підозрювати шахрайство. Подальший доступ до даних по рахункам буде відповідальністю постачальників інформаційних послуг облікового запису і вони повинні визначити в яких випадках застосовувати SCA;

3. Виділені інтерфейси доступу до даних та забезпечення безперебійної діяльності третіх сторін - провайдерів

Запропоновані правила містять нові вимоги до виділених інтерфейсів доступу до даних, у рамках цих змін банки більше не будуть зобов’язані постійно підтримувати два інтерфейси доступу до даних (виділений і «резервний»). Проте постачальники послуг відкритого банківського обслуговування все одно матимуть варіанти для альтернативного доступу на випадок непередбачених ситуацій у певних і тимчасових ситуаціях, щоб забезпечити безперервність свого бізнесу в разі недоступності основного інтерфейсу.

Європейська комісія визнає критичну важливість безперебійного доступу до даних для відкритих банківських провайдерів (AISP та PISP), яким їхні клієнти надали дозвіл на доступ до таких даних. У разі збою у відкритому банківському інтерфейсі банку, який потенційно може зашкодити доступу до даних для постачальників, і якщо банк не може негайно запропонувати ефективне альтернативне рішення, постачальники мають можливість запитати дозвіл у своїх регуляторів на тимчасове використання іншого інтерфейсу, а саме того, який банки використовують для обслуговування своїх клієнтів. Контролюючий орган може встановити крайній термін для відновлення виділеного інтерфейсу, і недотримання цього терміну може призвести до штрафних санкцій. Відповідно до цивільного законодавства постачальники відкритих банківських послуг також зберігають за собою право вимагати від банку компенсації за будь-які понесені бізнес-збитки.

4.Стандартизація даних клієнтів та інтерфейсів доступу

Стандартизація клієнських даних і інтерфейсів обміну має вирішальне значення для забезпечення масштабного агрегування даних і обміну ними у фінансовому секторі ЄС. Пропозиція спрямована на досягнення такої стандартизації. Крім того, вона передбачає, щоб установи в яких відкрито рахунок клієнта відповідали встановленим стандартам і мали достатні економічні стимули для надання високоякісних інтерфейсів. Витрати, пов’язані з впровадженням цих стандартів та інтерфейсів, будуть розподілені між фінансовими установами та користувачами даних. Схеми обміну фінансовими даними також будуть вдосконалені з метою встановлення чіткої системи відповідальності та механізмів вирішення спорів.

Очікується, що наступна директива заправадить спільні правила обміну даними та контролю клієнтів над даними які які передаються.

Таким чином перший драфт  PSD3  є багатообіцяючим і незважаючи на те, що повноцінно нова директова  набуде чинності не раніше 2026 році - потрібно вже зараз приймати до уваги заплановані зміни з метою розуміння подальшого вектору розвитку ринків.