Open banking и какво е отворено банкиране? част 1
OPEN BANKING – КОГАТО КОНКУРЕНТИТЕ ЗАРАБОТЯТ ЗАЕДНО - част 1
Понякога се случва – конкуренти в определен бранш да започнат да си сътрудничат. Рядко, обаче, това е следствие само от добра воля или човеколюбие. Често в основата са общи кризи - видяхме такова сътрудничество по време на пандемията – фармацевтични компании обединиха усилия за създаване на бързи вериги за производство на ваксини. От няколко години се наблюдава и още нещо до скоро немислимо – банките да дават достъп до базите си данни на иновативни, често стартиращи компании. Това пък е заради законова принуда – в ЕС бяха приети регулации, които задължиха банките да сътрудничат на технологичните финансови компании, които имат нужда от тяхната информация, за да направят по-лесен финансовия живот на общите им клиенти. Именно това е все по-често споменаваното напоследък отворено банкиране, openbankingили PSD2. Затова в детайли – какво е отвореното банкиране, за какво служи и случва ли се нещо в България по тази тема?
Какво е отворено банкиране?
Отворено банкиране е даването от страна на банките на достъп до информацията от техните бази данни на трети страни. На пръв поглед звучи стряскащо – ами банковата тайна, собствените желания и опасения, а и нашумелият през няколко години GDPR?! Всъщност е по-малко страшно, отколкото изглежда.
Факт е, че информацията за конкретния потребител в банковата база данни си е негова неоспорима собственост. Затова, за да се споделят тези данни с трети страни, е нужно изрично разрешение от този потребител. Въпросното разрешение, обаче, не е официално запитване по телефон или с писмо, а най-често е едно от многото полета, които човек маркира със Съгласен съм, когато става клиент на банката или тя текущо променя общите си условия. Така че, ако човек има желание информация за него да не бъде споделяна, е добре да провери дали вече не се е съгласил това да става и ако случаят е такъв, просто да оттегли съгласието си.
Третите страни, с които въпросните данни се споделят, също не са случайни минувачи. Обикновено става въпрос за технологични финансови компании, които разработват или предлагат някакви продукти, свързани с пари – от изгодни заеми през системи за по-ефективно управление на личните финанси до евтини схеми за разплащане и преводи по целия свят. Всички тези продукти не биха били възможни без банковата информация на клиентите. И за да бъде съвсем безопасен достъпът, за да ползват данните, в България третите страни трябва да имат лиценз от БНБ като доставчици на платежни услуги. По сходен начин е решен този въпрос и във Великобритания, например – още с въвеждането на регулацията, деветте най-големи банки там се задължават да дадат достъп до базите си на конкретен списък лицензирани стартиращи компании.
Защо въобще трябва да се отварят банковите данни?
В основата отново е европейският идеализъм по отношение на справедливия и равнопоставен достъп до платежни услуги в рамките на съюза, в комбинация с желание за технологични иновации във финансовия сектор. В официалната аргументация на ревизираната Директива за платежните услуги PSD2 – EUDirective 2015/2366), която регулира отвореното банкиране, се споменават цели като подобряване на ефикасността на плащанията в съюза, повишаване на защитата на потребителите, насърчаване на иновациите, намаляване на разходите за разплащания, осигуряване на яснота при мобилните и онлайн плащания, създаване на равнопоставеност и възможност нови компании да влязат в сферата на финансовите услуги и хармонизиране на платежните услуги в целия ЕС (целият текст на Директивата на български може да бъде намерен тук). Казано накратко, идеята е плащанията да станат по-евтини и лесни за крайните клиенти, като се допусне банките да бъдат конкурирани на собствената им територия от амбициозни, но надеждни нови компании.
Директивата е приета през 2015 г., но поради времето, необходимо на банките да направят съответните технически промени, тя влиза в сила от началото на 2018 г. В момента тази регулация е позната като PSD2 в рамките на ЕС и като Openbanking във Великобритания (въвеждането и сроковете там са същите, тъй като по това време страната все още е член на съюза). И тъй като става въпрос за законова регулация, след този момент всички банки – включително и в България – имат готовност да предоставят данни на трети страни. Интересна тенденция е, че този подход към банковите данни постепено се възприема по целия свят. Разликата е в подхода – САЩ и повечето азиатски държави, както обикновено, залагат на пазарни механизми. Това означава, че няма и не се предвижда в бъдеще законово принуждаване на банките да съдействат с данни на технологичните финансови компании.
Как работи open banking решението?
Конкретните данни, които се споделят са два вида – свързани с банката и нейните продукти (локация на клонове, например, условия по заеми и депозити и т.н.) и свързани с конкретния клиент (информация за неговите трансакции – колко и как получава по сметката си и как и къде ги харчи). Ако човек се е съгласил с предоставянето на такива данни на трети страни, тогава начинът, по който трансферът се случва е чрез т.нар. APIs. API – или приложно-програмен интерфейс, както е ползвания на български превод – е нещо като среда, в която базата данни на банката си общува със специализираните софтуери на третите страни, ползвайки специфичен програмен език. Казано по друг начин, в този процес няма замесени хора – никой не се обажда да иска данни и някой друг да му ги разпечатва и праща или диктува. Цялата комуникация е автоматизирана и се осъществява от софтуери. Именно това позволява на технологичните финансови компании да имат много по-ниски разходи за продуктите си и по този случай услугите им да са значително по-евтини за крайните клиенти. Обработката на получените данни също е автоматизирана – софтуери обобщават данни за всички трансакции от всички банкови сметки на потребителя, например и това му позволява да си управлява сметките от едно единствено приложение, вместо от няколко отделни мобилни банкирания или пък въз основа на историята на приходите му мигновено му предлагат заем с конкретни, напълно съобразени с неговите финансови навици и състояние условия. Същото, но с обратен знак, се случва когато човек плаща през приложение, собственост на трета страна – тогава съответният софтуер автоматично се свързва с банковата сметка на плащащия и си взема парите директно оттам.
А сигурността при PSD2?
Като екстремен пример за пробив в сигурността в различни популярни публикации се описва възможността някоя технологична финансова компания да направи неоторизирани трансакции от банковата сметка или направо да я изтрие. На практика това няма как да се случи – нивото на сигурност на системата със споделената информация е не по-ниско от нивото на сигурност на отделните банки. Освен това самата Директива за платежните услуги въвежда допълнителни изисквания към идентифицирането на потребителите при разплащане. Става въпрос за т.нар. многофакторно удостоверяване, при което на потребителя се дава достъп до съответното приложение или сайт – мобилно банкиране, например или друга дигитална система за разплащане – чак след като предостави поне две доказателства, че наистина е той. Валидните доказателства са нещо, което само истинският потребител знае (парола за достъп, ПИН код и т.н.), нещо, което само той има (устройство, генериращо пароли, например) и нещо, директно свързано с него (пръстов отпечатък, например или лицето му при лицево разпознаване). На този принцип работи удостоверяването в GooglePay и ApplePay – човек може да плати с телефона си (устройство, което се предполага, че притежава), но преди това трябва да го отключи с отпечатък или лицево разпознаване (нещо, което е физическа част от него). Именно в изпълнение на тази част от Директивата след януари 2018 г. българските банки въведоха в допълнение към нормалната парола различни кодове и пароли с кратка валидност, които се изпращат като sms-и или се появяват в мобилните банкирания, когато човек реши да оперира с парите си през интернет. Така, дори и телефонът да бъде откраднат, крадците със сигурност не разполагат с правилния пръстов отпечатък или лице. Затова и ползването на финансови приложения, разработени от трети страни е безопасно поне толкова, колкото мобилното банкиране на собствената банка.
Разбира се по никакъв начин не са изключени злонамерени опити за достъп или кражба на цели масиви данни, но това е част от дигиталното ежедневие и в момента в области, които нямат общо с отвореното банкиране. Всъщност колкото повече ценни данни се трупат някъде – независимо дали се споделят или не – толкова по-вероятно е някой да се опита по не съвсем законни начини да достигне до тях. Отворенето банкиране не е източникът на тези рискове, а просто част от дигитализация - процес, който вече е в ход. Нещото, което, обаче, сякаш беше пропуск при самото стартиране на отвореното банкиране, е комуникацията към обществото, свързана със сигурността и надеждността.
прочетете част 2 на Open banking и какво е отворено банкиране?