ЦБ зарегулирует открытые API

Участников рынка прежде всего волнуют вопросы безопасности стандарта, если он станет обязательным
Пока ЦБ лишь рекомендует банкам внедрять стандарты открытых API, но не обязывает это делать / Евгений Разумный / Ведомости

Банк России намерен регулировать открытые API и реализовать необходимые меры по обеспечению обмена данными с их использованием, говорится в проекте основных направлений цифровизации финансового рынка на период 2022–2024 гг. Документ опубликован на сайте регулятора. Сейчас ЦБ утвердил четыре стандарта открытых API, но они носят рекомендательный характер, а ассоциация «Финтех» (учреждена Банком России) на своей площадке проводит пилотный проект по их использованию.

Открытые API (application programming interfaces – англ.), или открытые программные интерфейсы, помогают банкам взаимодействовать друг с другом и поставщиками финтех-сервисов, это канал для безопасного обмена данными между банками и финтехами. Открытые банковские интерфейсы являются бесплатными и общедоступными интерфейсами прикладного программирования, они предоставляют разработчикам программный доступ к лицензионному программному приложению.

ЦБ намерен подготовить концепцию внедрения открытых API и вынести ее на обсуждение с участниками рынка, финтех-компаниями и проч. По итогам обсуждений будет проработана возможность регулирования обмена данными посредством открытых API в различных секторах экономики и нефинансовыми компаниями и разработаны соответствующие изменения в законодательство. Кроме того, ЦБ хочет разработать единые отраслевые правила обмена данными, а также требования по соблюдению информационной безопасности, что позволит унифицировать взаимодействие организаций, применяющих открытые API, обеспечить удобство обмена данными и оптимизировать сопутствующие издержки. Также регулятор рассматривает возможность создания единой среды, основным назначением которой является установление для ее участников единых принципов и подходов к проектированию, созданию, внедрению и применению открытых API. Решение о создании среды будет принято по результатам обсуждения концепции внедрения открытых API.

«Единые правила обмена данными будут определять модели данных, формат и структуру сообщений, передаваемых между участниками, а также способы обеспечения информационной безопасности и модель управления изменениями версий открытых API», – говорится в документе. В нем также отмечается, что развитие регулирования открытых API будет осуществляться с учетом разрабатываемых подходов к регулированию экосистем, регулированию в зависимости от вида деятельности на финрынке и регулированию оборота данных.

Мировой опыт

Первопроходцем во внедрении принципов открытого банкинга является Великобритания. В августе 2016 г. Управление по конкуренции и рынкам Соединенного Королевства (CMA) издало постановление, которое требовало от девяти крупнейших банков Великобритании (HSBC, Barclays, RBS, Santander, Bank of Ireland, Allied Irish Bank, Danske Bank, Lloyds и Nationwide) разрешить лицензированным компаниям открыть доступ к своим данным вплоть до уровня транзакций по счетам. И уже с января 2018 г. британские банки были обязаны открыть API. В 2015 г. Совет Евросоюза принял Европейскую платежную директиву (Payment Services Directive; PSD2), она закрепляет принцип открытого банкинга и обязывает банки открыть API. Согласно документу, с сентября 2019 г. все европейские банки обязаны включить положения PSD2 в свое национальное законодательство.

В России в 2016 г. по инициативе ЦБ ассоциация «Финтех» запустила отдельное направление деятельности – развитие открытых программных интерфейсов. В 2019 г. появилась первая концепция открытых API, а затем и пилотные проекты, к которым организации могут присоединиться до конца 2021 г. Летом 2021 г. «Финтех» сообщил о создании сервиса для тестирования банковских открытых API и программного обеспечения финтех-компаний. Новое решение позиционировалось как сертификационный стенд, позволяющий проверить, соответствует ли IТ-продукт стандартам ЦБ.

Пока ЦБ лишь рекомендует банкам внедрять стандарты открытых API, но не обязывает это делать. Регулятор только в октябре 2020 г. выпустил первые стандарты открытых API, но каждый банк вправе сам решать, следовать им или нет. К концу 2021 г. утверждено уже четыре стандарта открытых API, они затрагивают несколько направлений: получение информации о счете (стандарт обеспечивает унифицированную передачу от банков к финтех-компаниям информации о счетах и/или транзакциях клиента), платежные API (обеспечивает унифицированное инициирование платежей и переводов в российской валюте по согласию клиента из приложения финтех-компании со счетов клиента в банке), публичные данные (обеспечивает унифицированную передачу публичных данных, таких как информация о местоположении филиалов банков и банкоматов, сведения по курсам валют и т. д.). И четвертый, основной, стандарт – информационная безопасность, он обеспечивает безопасность передачи данных клиента между участниками среды, является неотъемлемой частью всех других стандартов.

Сегодня свои API предоставляют Сбербанк, ВТБ, Альфа-банк, Райффайзенбанк, Росбанк, СКБ-банк и др.

Экспертное сообщество как со стороны банков, так и со стороны компаний в сфере кибербезопасности волнует прежде всего вопрос безопасности открытых API. Как рассказал «Ведомостям» представитель банка «Зенит», использование спецификации открытых API требует осознанного подхода к защитам от внешних угроз. Унификация упрощает действия для злоумышленников, при этом внедрение открытых API не исключает использования инструментов для обеспечения кибербезопасности, отметил он.

Открыто опубликованный стандарт по безопасности открытых API будет доступен также и злоумышленникам, добавляет директор центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов. Поэтому он должен быть таким, чтобы, несмотря на его публичность, механизмы обеспечения безопасности выполняли свои функции. «Например, алгоритм шифрования открытый, но при этом без закрытых ключей шифрования его сложно взломать. Аналогичный механизм должен быть предусмотрен в стандарте регулирования открытых API. Стандарт должен обеспечивать безопасность с учетом того, что в силу публичности он доступен как участникам рынка, так и злоумышленникам», – объясняет Чернов.

Он также отмечает, что требования к регулированию открытых API должны быть подробно проработаны с точки зрения технических деталей. Если в нем будут нестыковки, которые останутся незамеченными и масштабируются на всех участников рынка, все они окажутся уязвимы. А когда об уязвимостях станет известно, потребуется время на их устранение и как раз в это время компаниям будет угрожать опасность, говорит Чернов. По его словам, с высокой долей вероятности только после детальной проработки стандарт действительно может быть принят и обязателен к исполнению, заключает эксперт.

Клиенты финансовых организаций благодаря открытым API получат доступ к инновационным сервисам, говорит гендиректор Ассоциации «Финтех» Татьяна Жаркова. Важно, что в среде открытого банкинга пользователи сами управляют своими данными, добавляет она: решают, какой информацией и с какой компанией поделиться, на какой срок разрешить доступ, и могут отозвать согласие в любой момент.