29 октября 2020 года в рамках Международной конференции «Платежная индустрия: практика и трансформация после пандемии» прошел круглый стол «Open API», участники которого обсудили выпущенные Банком России стандарты открытого банкинга, а также проблемы и перспективы развития Open API в России.

Ключевые темы встречи:

• Перспективные кейсы и области применения Open API;
• Регулирование юридических аспектов при работе с Open API;
• Зачем банкам и финтеху нужны услуги специализированных API-платформ;
• Нюансы взаимодействия с госорганами и другими поставщиками через Open API;
• Открытые интерфейсы (API). Безопасность.

Участники круглого стола:

• Никита Ломов, руководитель аналитического отдела АФТ;
• Екатерина Желунова, начальник отдела информационной безопасности и киберустойчивости финансовых технологий Банка России;
• Александр Нам, управляющий директор по технологическим сервисам Национального расчетного депозитария;
• Алма Обаева, председатель правления НП «Национальный платежный совет»;
• Екатерина Фроловичева, заместитель руководителя департамента IT-архитектуры, начальник управления апробации новых технологий ВТБ.

Модератор: Данил Поминов, обозреватель «Банковского обозрения», fintech-эксперт

Даниил Поминов, («Банковское обозрение»). Фото: Олег Зубко/АБР

Тезисы спикеров

Никита Ломов

• Стандарты носят рекомендательный характер и включают в себя два блока: 1) описание процедур получения информации о счете клиента потребителями API и процедур инициирования перевода денежных средств; 2) стандарты ИБ открытого банкинга на основе протокола Open ID Connect.
• На площадке АФТ готовится пилотирование процедур передачи через API информации о счетах юрлиц при онлайн-кредитовании. В тестировании примет участия первая волна заинтересованных банков.
• В качестве ближайших ориентиров обозначены две задачи: 1) обеспечить на уровне процедур согласие клиента, основанное на понимании, какие персональные данные, для чего и на какой срок он соглашается передавать; 2) сформировать доверенную среду в открытом банкинге.
• Выделяются две характеристики доверенной среды: 1) прозрачные регуляторные условия для всех участников рынка, определяющие ответственность каждого. Для этого необходима единая для всех юридическая модель, единые правила обмена данными, система мониторинга доступности API и механизм контроля выполнения SLA; 2) высокий уровень ИБ.
• В качестве системообразующих фигур поставщики API (банки), потребители API (стартапы, финтех-компании, банки и пр.) и сертификационный центр, обрабатывающий заявки потребителей и передающий их поставщикам

Екатерина Желунова

• Детализировала содержание рекомендаций по ИБ, выделив:

- применяемую при проектировании Open API спецификацию, которая предусматривает использование стандартизированных интерфейсов и модель токена для безопасного доступа;

- часть рекомендаций по безопасной разработке API с учетом возможных рисков и уязвимостей

• ЦБ будет предложен профиль защиты, содержащий проверочные кейсы для контроля качества и уязвимостей сервисов
• По мере разворачивания проекта появятся также правила допуска участников к общей среде Open API

Екатерина Флоровичева:

• Стандарты позволяют уйти от практики, когда интеграция сервиса с каждым каналом была уникальным решением, не масштабируемым на другие каналы и сервисы. Следование стандартам упрощает интеграционные взаимодействия, позволяет с меньшими затратами расширять клиентскую базу.
• Стандарты не отвечают на вопрос, как и с кем взаимодействовать, чтобы увеличить маржинальность или расширить линейку продуктов. Однако они создают благоприятные предпосылки для решения этих задач.
• Экономического эффекта от внедрения стандартов банк может достичь при условии развитой инфраструктуры. Из-за отсутствия базовых составляющих, таких как шлюз и средства аутентификации, банки не могут предоставить сторонним потребителям доступ к сервисам, отвечающий требованиям ИБ. Вложение в эти инструменты требует гораздо больших затрат, чем переписывание под стандарты имеющихся сервисов или изменение сложившихся интеграций.
• Многие банки рассматривают данные счетов юрлиц как свою собственность, что создает барьер для вхождения в среду Open banking. Этого можно избежать, если продумывать возможности использования стандартов для работы с клиентами, которые обслуживаются сразу в нескольких банках.
• Доступ к API будет предоставляться финтех-компаниям и ретейлерам, входящим в ГК ВТБ. Есть ретейлеры, заинтересованные в построении платежных инструментов на инфраструктуре банка, и стартапы, проходящие акселерационную программу в ВТБ. За пределами этого круга банк будет выбирать партнеров, сотрудничество с которыми экономически выгодно
• Банк вкладывается в создание единого стандарта и общей инфраструктуры его использования. Но как коммерческая организация строит свой бизнес самостоятельно и сам определяет, с кем и как взаимодействовать через API

Алма Обаева

• Важно, чтобы третья сторона, включающаяся промежуточным звеном между банком и клиентом, была сертифицированным провайдером, а также, чтобы работа сертификационного центра регулировалась отдельным законом или подзаконными актами.
• После решения проблемы информированного согласия клиента и практической реализации проекта в целом Россия сможет поставлять созданные в этой области технологии на мировой рынок.

Александр Нам (НРД). Фото: Олег Зубко/АБР

Александр Нам

• Мы достаточно вложились в исследования возможностей Open API и решили, что нельзя засиживаться в R&D и пора выводить на рынок продукт. Не дожидаясь выпуска стандартов, изучили API каждого банка и сделали интеграцию со всеми системообразующими банками. Для коммерческой организации важно скорейшее получение прибыли, уменьшение time to market.