При перепечатке материалов просим публиковать ссылку на портал Finversia.ru с указанием гиперссылки.
Многие слышали на конференциях восторженные выступления финтех-компаний о перспективах и возможностях концепции open banking. Что при этом легко заметить? В радужных докладах стартаперов обычно нет ни слова о уязвимостях этой модной концепции. И про ее безопасность докладчики не любят говорить, и про проблемы будущего регулирования. Все это естественно – ответов на многие вопросы просто нет, а титаническая по сложности задача обеспечения стабильности работы банковской системы страны при массовом появлении на рынке новых цифровых игроков B2B аналогов пока не имеет.
ЦБ ответит за все?
Open banking привлекателен своими возможностями как для клиентов, так и для банкиров. Стимулирование конкуренции, снижение затрат, открытие магистрального пути к финансовым инновациям, к более быстрым и удобным сервисам – все это приятные следствия его появления. Большинство банкиров серьезно подумывают об использовании архитектуры «открытого банкинга» как основы для модернизации своего бизнеса и открывающихся возможностей получения дополнительных доходов.
Плюсов у open banking действительно много, но есть и проблемы. Как происходящее должен регулировать ЦБ? На многие вопросы однозначных ответов до сих пор нет.
Какие именно услуги надо «открывать»? Стоит ли регулировать их ценообразование? Как оценивать и, возможно, сертифицировать «третьи» стороны? Как распределять ответственность сторон, если что-то пошло не так? Это только часть незакрытых вопросов. Более философские вопросы в этом ряду, также требующие осмысления – насколько жестким должно быть регулирование open banking вообще? Какие проблемы open banking решит именно в России?
Конечно, у любого регулятора по любому поводу много стратегического («дальновидного») мышления – в этом он всегда силен. Возможно кто-то в ЦБ и сегодня сможет дать ответы на эти вопросы. Однако, очевидно, что одного визионерского мышления здесь, увы, недостаточно, для получения ответов требуется еще и детальное знание новых технологий. В этом направлении ЦБ весомый шаг уже сделал – создал Ассоциацию Финтех, в которой собрал представителей основных направлений развития новых цифровых технологий.
Эти уязвимые API
Ключевая и болезненная точка соприкосновения банка и финтех-компаний – банковские данные. Открытие банковской инфраструктуры всегда сопряжено с риском и требует усиленных мер безопасности и защиты. В открытых АPI традиционные технологии защиты приобретают специфику – это касается всего. Скажем, на 100% правильно организовать авторизацию для API, вообще, видимо, невозможно. Это не пустые страхи и опасения – количество атак на API с каждым годом растет. Фактически, некоторые из самых серьезных нарушений безопасности в последнее время связаны именно с уязвимостью API. По всему миру печально известна уязвимость API, связанная с активностью компании Cambridge Analytica – тогда лазейка в API Facebook позволила этой компании раскрыть личную информацию о более чем 50 миллионах человек.
Компания Gartner уже много лет заявляет, что к 2022 году проникновения злоумышленников через API станут более частыми, а «к 2024 году атаки, использующие уязвимости в API и связанные с этим утечки данных, практически удвоятся».
Конечно, во многих хищениях и утечках виновато сверхбыстрое развитие цифровых технологий и желание разработчиков скорее удовлетворить требованиям бизнеса. Безопасность новым технологиям обычно «мешает» и ее задвигают на второй план. В условиях открытого банкинга ситуацию осложняют и системные проблемы. Например, любой формат открытого банковского обслуживания, объединяющий несколько API-интерфейсов, автоматически дает мультипликативный и непредсказуемый эффект появления новых уязвимостей.
В странах ЕС для обеспечения безопасного функционирования систем API уже введены два дополнительных механизма противодействия. Это, во-первых, сертификация всех стартапов силами регуляторов и второе – введена страховка за счёт самих стартапов от последствий возможных утечек данных. Все это, конечно, сразу отсекает значительную часть игроков рынка. Будет ли реализована эта идея нашим регулятором пока неизвестно. По словам Артема Сычева, первого заместителя директора департамента информационной безопасности, в ЦБ это открытый вопрос. Думаю, однако, что если бы спросили российских банкиров на этот счёт, то они бы однозначно проголосовали за безусловное введение этих двух механизмов, ограничивающих активность (и безответственность) стартаперов.
Сберономика на марше
Bigtech и экосистемы, владельцы которых никому стараются не подчиняться и в которые хотят превратиться некоторые наши банки, стирают грани между отраслями. Почему-то при этом они еще и всегда выходят за рамки регулирования. Технологические компании со временем, видимо, еще в большей степени будут размывать грань между финансовым и нефинансовым регулированием. Ясно, что bigtech не могут продолжать движение в этом направлении и свое развитие без соответствующего регулирования.
Регулятор в лице ЦБ старается уже сегодня многие процессы направлять, как-то регулировать, придумывает ограничения, но, видимо, с экосистемами в одиночку ему не справиться и весьма вероятное направление его будущей активности – это подключение ФАС и использование методов Федеральной антимонопольной службы – поскольку всё то, что делают огромные экосистемы (а также и средней руки финтехи, отжимающие бизнесы у более мелких структур сферы платежей), касается серьезной монополизации рынка, которой быть не должно.
Мелких вперед!
Наверное, нельзя ожидать, что небольшой стартпап в своем развитии сможет следовать той же логике, что и bigtech. Логично, если регулирующие органы будут стараться обеспечить скажем, небольшим необанкам преимущества в рыночной конкуренции с крупными финансовыми учреждениями. Это было бы естественно. С другой стороны, двойной стандарт может оказаться слишком «несправедливым» по отношению к средним и крупным организациям, которым, возможно, придется столкнуться со значительным давлением регулятора. В Германии, например, решено не делать никаких нормативных исключений для финтех-компаний, связанных с их размерами. Как будет у нас пока неизвестно.
Еще один ракурс регулирования очевидным образом связан с гибкостью технологий новых игроков. Все происходящее в open banking уже сейчас меняется очень быстро, и то, что было вчера, быстро устаревает. Это тоже важный вызов регулирующим органам. Им придется адаптироваться для отслеживания новаций и даже отчасти поменяться самим в части протекающих внутренних бизнес-процессов.
Молчание ягнят
Наверное, хороший способ построить адекватное регулирование, это изучить системы open banking в других странах и оценить последствия его внедрения для традиционного банкинга. Хотя успешных примеров пока мало (Великобритания?). Не превратился ли там открытый банкинг в завуалированную попытку технологических компаний системно подорвать основы банковского сообщества? Не стал ли open banking поводом для передела сфер влияния? И, наконец, не превращаются ли банки в баранов, которых ведут на заклание? Ответы мы скоро получим и для России.
обсуждение