Открытые банковские API

Что такое открытый банковский API и как он работает?

Открытые банковские API меняют банковское дело. Инициатива Open Banking позволяет банковским клиентам безопасно обмениваться информацией о своих счетах с поставщиками третьих лиц (TPP). Это достигается с помощью интерфейсов прикладного программирования (API), которые позволяют программам TPP взаимодействовать с приложениями банков. Целью является продвижение инноваций в сфере цифрового банкинга и ускорение разработки новых финансовых приложений и усовершенствованных услуг для бизнеса и потребителей.

Open Banking был инициирован в 2018 году Управлением по конкуренции и рынкам Великобритании (CMA), которое предписало банкам открыть свои приложения для ТЭС. В том же году Европейский союз обновил Директиву о платежных услугах (PSD2) с той же целью, а также ввел новые правила безопасности для доступа к платежным счетам и финансовым операциям.

Типичное использование Open Banking API - агрегирование данных с различных банковских счетов в единое представление, предоставляемое приложением TPP. Существует два типа ТЭС. Поставщики услуг инициирования платежей (PISP) подключаются к банковскому счету клиента и инициируют платежи от имени клиента. Поставщики информационных услуг по счету (AISP) подключаются к банковскому счету клиента для предоставления финансовой услуги, например, управления деньгами.

Преимущества открытых банковских API

Поскольку одним из долгосрочных результатов Открытого банковского обслуживания станет усиление конкуренции, действующие банки неохотно приняли его. Исторически сложилось так, что они конкурируют с финтех-компаниями за предоставление своим клиентам более качественных финансовых услуг. Но Open Banking фактически предоставляет банкам возможность исследовать новые бизнес-модели, в которых они сотрудничают и партнерствуют с развивающимися финтех-компаниями и другими банками вместо того, чтобы пытаться конкурировать с ними. А клиенты в конечном итоге выигрывают, так как Open Banking дает им больший контроль над транзакционными данными.

Это беспроигрышная ситуация как для банковского клиентского опыта, так и для финансовых учреждений. Клиент получает лучший доступ и контроль над своими счетами и финансами, а также может воспользоваться новыми функциями и услугами. Финансовые учреждения могут предложить своим клиентам улучшенные услуги и участвовать в экосистеме разделения доходов. Согласно статье Insider Intelligence под названием " Как открытый банкинг и банковские API способствуют росту финтеха", исследовательская фирма "прогнозирует, что потенциал доходов в Великобритании, получаемых за счет предложений малого и среднего бизнеса (SMBs) и розничных клиентов с поддержкой открытого банкинга, достигнет $2 млрд. к 2024 году".

Банки, а значит и их клиенты, могут стать большими победителями, используя API открытого банкинга, чтобы открыть свои приложения для финтеха. Некоторые преимущества включают:

  • Быстрее инновации: финтех, как правило, может внедрять инновации и разрабатывать новые приложения и функциональность быстрее, чем ИТ-команды действующих банков.
  • Увеличение доходов: Финтехнологии имеют больше возможностей для участия в проектах по созданию технологий и их реализации.
  • Детальная информация о клиентах: финтех-компании могут подключаться к данным о клиентах банков для получения информации о финансовых тенденциях и закономерностях клиентов.
  • Персонализированные предложения: используя финансовые тенденции и модели поведения клиентов, финтех может повысить вовлеченность клиентов, предлагая персонализированные услуги и рекомендации.

Примеры банков, использующих открытые банковские API

В финансовой отрасли некоторые из наиболее известных и крупных банков, финансовых учреждений, кредиторов и финтех-стартапов уже используют API Open Banking для предоставления улучшенных финансовых продуктов и услуг. Вот несколько примеров:

  • O2 Banking от Telefonica Deutschland: Telefonica Deutschland запустила банковский счет только для мобильных устройств, который предлагает транзакции через номер мобильного телефона, небольшие мгновенные кредиты и лучшие тарифные планы мобильной передачи данных, построенный на платформе немецкого банка Fidor.
  • Интеграция финансовой информации клиентов в Wave: Программное обеспечение для выставления счетов и бухгалтерского учета Wave использует банковские API для подключения к банковскому счету пользователя, предоставляя своим клиентам полный контроль над финансами их бизнеса в одном месте.

Открытые банковские инициативы

Существует две основные категории движущих сил инициатив Открытого банка во всем мире: инициативы, обусловленные рынком, и нормативные инициативы.

В рыночных условиях, например, в США и некоторых азиатских странах, включая Японию, Сингапур, Индию и Южную Корею, регуляторы оставляют за игроками - банками и ТЭС - инициативу по внедрению открытых банковских API. Многие крупные банки в США начали свои собственные инициативы и работают с ТЭС. В США, например, Open Banking все еще в значительной степени основан на скрейпинге экрана, когда финтех собирает информацию о клиенте из данных, отображаемых на дисплее банковского приложения, но ожидается, что отрасль перейдет на более безопасные и надежные API.

Open Banking APIs United States podcast
Banner ad

State of Open Banking in United States podcast

The State of Open Banking in America


В условиях регулирования, например, в Великобритании и Европе, инициативы были обусловлены в первую очередь PSD2. Гонконг также придерживается нормативного подхода и позволяет финансовым учреждениям выбирать, с какими TPPS они сотрудничают.

Еще один момент, который стоит отметить, - это подход Open Banking в Австралии. Возможно, это самый амбициозный и самый инновационный подход к Open Banking на сегодняшний день. Австралия фактически выходит за рамки открытого банковского обслуживания и предлагает экономику открытых данных, в рамках которой граждане Австралии могут не только просить розничные банковские учреждения разрешить обмен данными со сторонними поставщиками, но и с другими компаниями, например, поставщиками энергии или телекоммуникационными компаниями.

Риски безопасности при использовании открытых банковских API

Открытие банковских приложений для ТЭС сопряжено с рисками, которые необходимо учитывать. Предотвращение мошенничества должно быть главным приоритетом для всех сторон. Фредерик Меннес, руководитель Центра компетенции по безопасности компании OneSpan, разделяет эти риски на три типа.

  1. Во-первых, финансовые учреждения открывают свои системы и делятся потребительскими данными с ТЭС. Поэтому финансовое учреждение обязано убедиться, что оно работает только с надежными ТЭС. Они не могут позволить злонамеренному или неавторизованному ТЭС получить доступ к их данным.
  2. Во-вторых, пользователи приложений, предоставляемых ТЭС, должны быть надлежащим образом аутентифицированы для предотвращения несанкционированного доступа, когда они обращаются к счету в банке. Это может потребовать дополнительной аутентификации, такой как строгая аутентификация клиента (SCA).
  3. В-третьих, ИТ-инфраструктура банка по существу теперь содержит ИТ-инфраструктуру ТЭС. Таким образом, если в ТЭС произойдет утечка данных или иная компрометация, банк также может пострадать.

Как защитить банки от угроз безопасности

Первый риск, описанный выше, связан с попытками неавторизованных ТЭС получить доступ к счетам банка. Для защиты от несанкционированного доступа такого рода банки могут требовать от ТЭС цифровой подписи всех запросов. TPP должны иметь пару открытый/закрытый ключ с соответствующим сертификатом, выданным надежным центром сертификации. Это позволит ТЭС аутентифицировать себя при общении через открытые банковские интерфейсы.

Для устранения рисков доступа неавторизованных пользователей к счетам банка банки должны использовать надежную аутентификацию клиентов и мониторинг транзакций в соответствии с требованиями PSD2. Среди прочих спецификаций, PSD2 предписывает аутентификацию транзакций, при которой уровень аутентификации, необходимый для обработки запроса, зависит от уровня риска запрашиваемой транзакции. Например, после входа в систему онлайн-банкинга запрос клиента на проверку баланса может быть обработан без проблем, но запрос на перевод средств может потребовать от пользователя усиленной аутентификации.

PSD2 и связанные с ним технические стандарты регулирования (RTS) предписывают проводить мониторинг мошенничества и применять строгую аутентификацию клиента (SCA) для большинства онлайн-платежей, включая те, которые осуществляются через API открытого банковского обслуживания. SCA должен применяться к доступу к информации о платежном счете и к каждой инициации платежа, включая транзакции через Открытый банкинг, если в соответствии с РТС не применяется исключение. Исключения не являются обязательными, но банки могут воспользоваться ими, если примут такое решение.

В контексте программ аналитики мошенничества Open Banking такие решения, как OneSpan Risk Analytics, поддерживают мониторинг событий, поступающих от ТЭС, работающих с одним или несколькими сервисами Open Banking через API Open Banking, опубликованные банком. OneSpan Risk Analytics предоставляет предварительно созданные сценарии правил, охватывающие требования PSD2 к мониторингу мошенничества, бизнес-логику и типичные сценарии мошенничества. Эти правила поддерживают цифровые банковские каналы, включая Open Banking.

Открытые API, требуемые PSD2, приведут к появлению новых, инновационных банковских услуг и приложений. Однако в то же время банки должны предотвратить доступ преступников к данным и транзакциям клиентов. Поэтому банки и ТЭС должны быть осведомлены о рисках и предлагать достаточную защиту. Узнайте больше в этом блоге: Открытые банковские API в рамках PSD2: как снизить риски.

Надежная аутентификация клиента

Чтобы пройти SCA, клиент должен успешно аутентифицироваться с помощью многофакторной аутентификации (MFA). В контексте онлайн-платежей согласно PSD2 это означает, что клиент должен предоставить два из трех факторов аутентификации. Этими тремя факторами являются:

  • Знание: то, что известно пользователю, например, его пароль, PIN-код и т.д.
  • Владение: то, чем обладает пользователь, например, его мобильный телефон и т.д.
  • Неотъемлемая часть: то, чем является пользователь, например, его отпечаток пальца, отпечаток ладони и т.д.

Существует три метода выполнения SCA:

  • Перенаправление с помощью веб-приложения банка
  • Встроенный подход непосредственно через приложение TPP
  • Развязанный подход с приложением банка для мобильных доверенных устройств

При перенаправленном подходе пользователи перенаправляются на сайт своего банка для ввода учетных данных аутентификации. При встроенном подходе процесс аутентификации полностью автоматизирован: пользователи передают свои учетные данные TPP, который аутентифицирует и инициирует платеж в фоновом режиме. При раздельном подходе второй фактор предоставляется через отдельное устройство от устройства, запрашивающего транзакцию.

Переход к открытым финансам

Открытое банковское обслуживание все еще является довольно новым для банковской индустрии. Но финансовые организации уже говорят о том, чтобы перейти на следующий шаг - Open Finance. Инициативы Open Banking распространяются в первую очередь на платежные счета.Теперь пришло время применить эту концепцию ко всем счетам, чтобы потребители могли получить целостное представление о своих личных финансах и финансовых данных. Нет причин, по которым новые услуги, технологии и преимущества Open Banking не могут быть применены к другим финансовым счетам, таким как ипотека, инвестиции, пенсии и страхование.

 


Тиррелл, Дарси, Yodlee, "Open Banking APIs Explained," June 2020, https://www.yodlee.com/open-banking/open-banking-api

Белмакер, Гидон, TearSheet, "7 примеров, демонстрирующих мощь банковских API", ноябрь 2016 года, https://tearsheet.co/artificial-intelligence/7-examples-showing-the-power-of-banking-apis/

Меннес, Фредерик, OneSpan, "Безопасность и соответствие нормативным требованиям в мире открытых банковских операций ", https://www.onespan.com/resources/video-open-banking-security-considerations

Свяжитесь с нами

Свяжитесь с одним из наших экспертов по безопасности, чтобы узнать больше о том, как наши решения могут помочь вам в обеспечении цифровой безопасности