Центральные банки в последние годы начинают занимать более активную позицию по отношению к рынку. Если раньше регуляторы пытались анализировать то, что происходит, и применять какие-то критерии правильности или неправильности, то сейчас они активно вмешиваются, вплоть до того, что сами становятся игроками. Так произошло, например, с СБП — регулятору не нравилось, что банки не могут между собой договориться, и он решил взять инициативу в свои руки. В случае с открытыми API ЦБ решил высадить их на рынок небанковских поставщиков платежных услуг (НППУ), чтобы изменить конкурентную ситуацию на рынке.

Посмотрим на опыт ЕС. Там вторая платежная директива (PSD2) вводит понятие открытых API, то есть инструмента, при помощи которого третья сторона с согласия клиента может получать доступ к управлению его банковскими счетами. Суть PSD2 — в том, что передача управления становится принудительной. То есть, если приходит некий игрок-посредник нового типа (в терминах ЦБ РФ — НППУ) с необременительной лицензией и небольшими требованиями к капиталу, держа в руках согласие от клиента на управление счетами, банк должен ему бесплатно на общих основаниях в стандартной форме предоставить к ним доступ.

При этом в Европе есть разграничения провайдеров: Payment initiation services providers (PISP), которые могу двигать деньги по счетам, и Account Information service providers (AISP), которые могут только получать информацию о состоянии счетов. В нашем законопроекте такого нет, а мне бы этого очень хотелось, потому что тут разные степени безопасности.   

Самый распространенный мировой кейс применения API — интеграторы счетов.

Например, у человека есть счета в пяти банках. Чтобы понять, сколько всего денег, нужно зайти в каждый банк, суммы вколотить в табличку, посчитать. Это неудобно. Интегратор же получает доступ ко всем счетам, оптимизирует их и советует, например, куда деньги переложить. Здесь интересен кейс Bank of America. В свое время такие интеграторы поступали очень просто — брали у клиента логин и пароль, заходили в банковские аккаунты и интегрировали информацию вообще без всяких открытых API. Этот подход вызывает ужас у банков и профессионалов информационной безопасности, тем не менее у таких компаний число клиентов исчислялось миллионами. Банкам, от которых требовался высокий уровень безопасности, ситуация не нравилась. Bank of America, например, через суд запретил интеграторам делать подобные операции. Но через год он отозвал решение, потому что к нему приходили недовольные клиенты, требующие обеспечить востребованную услугу. Эта история показывает реальную востребованность Open API.

Для платежей рассматривается несколько моделей; например, предполагается, что ретейлеры научатся управлять деньгами клиентов на счетах в банках. Дав ему согласие один раз, магазин будет списывать деньги за корзину с товарами без активного участия клиента.

Есть предположение, что Open API помогают финтеху. Сейчас новой компании нужно ходить к банкам, говорить: «Пожалуйста, можно мы будем пополнять кошельки с ваших счетов?». В банке резонно говорят: «Принесите нам такие-то справки, покажите нам историю деятельности, директора и все прочее». Теперь же для финтеха должен наступить рай: зарегистрировав недорогую компанию, он получает моментальный доступ ко всем счетам и может этими счетами управлять. Возможно, даже лучше, чем банк.

Возможен и другой кейс. Предположим, Сбер становится таким посредником и начинает списывать на свои счета деньги со счетов других банков. Сейчас он привлекает новых клиентов особыми условиями, надежностью и прочими доводами, но, даже если клиент соглашается перейти и переводить туда средства, его нынешний маленький банк ставит какие-то барьерные комиссии, существуют сложности с переводом зарплат на другой банк и так далее. В целом, такой переход — нудная история. Когда появляются открытые API, клиент дает согласие, и Сбер моментально перебрасывает деньги с ваших счетов в других банках. Разумеется, это работает и в обратную сторону.

Для чего вообще вторая платежная директива появилась в Европе? Во-первых, чтобы поощрить финтех. Во-вторых, чтобы повысить конкуренцию, поскольку в 2000-х годах банки действительно были не очень активны во внедрении новых технологий. Еще ставилась задача вытеснить, хотя бы частично, международные платежные системы, так как выяснилось, что, как их не регулируй, они все равно зарабатывают деньги на комиссиях и олигопольно доминируют на рынке. Политически по большому счету никому не хотелось, чтобы зарубежная компания контролировала платежный рынок. Поскольку попытки точно отрегулировать рынок через ограничения комиссий, через поправки типа поправок Дурбина в США и платежной директивы в ЕС провалились, регулятор вывел новых игроков, которые должны стать аналогами МПС. И последняя причина — это девертикализация банков. Чтобы банки работали эффективно, с ними нужно проделать тот же фокус, который «Яндекс» проделал с таксопарками, а законодатели — с энергетиками и операторами связи, то есть разрезать их на независимые кусочки (хранение счетов, платежные операции, депозиты) и заставить эти кусочки независимо конкурировать за максимальную эффективность. 

Подготовка к запуску PSD2 заняла много времени, регуляторы встретились с мощным сопротивлением, но все удалось запустить, и ожидания были большие. Статистика на данный момент такая: в Европе сейчас около 7 тыс. платежных институтов, 144 провайдера по инициации платежей, 81 провайдер финансовой агрегации. Цифры говорят, что модель API работает и востребована, но не стала массовой, так как внедрялась очень долго. Вначале регуляторы не понимали, сколько усилий стоит написать документы о платформах согласия, описать customer journey и другие существенные моменты. Потребовалось более десяти дополнительных больших документов, в которых про Open API написано гораздо больше, чем в самой второй платежный директиве. Первый оператор заработал примерно через год после того, как это стало возможным.

Такое долгое внедрение сыграло с PSD2 злую шутку. За время ее обсуждения и разворачивания появились новые системы, технологии и операторы, которые своими способами начали решать поставленные перед ней задачи. Это СБП, распространение QR-кодов, внутренние механизмы для управления счетами клиентов МПС, Apple Pay и др.

В целом, API — очень хорошая история. Центральный банк начинает переходить от институционального регулирования к функциональному: неважно, как ты называешься, а важно, что ты делаешь. Хочешь сделать интерфейс и двигать деньги — тебе не нужно открывать банк, получаешь простую лицензию на данную функцию и начинаешь работать.
 

*Материал подготовлен по выступлению на шестой практической конференции Open Banking