Директива PSD2: что это такое и что ее введение изменит на банковском рынке

Дарина Сидоренко, координатор группы IT и кибербезопасности Sayenko Kharenko, и Александра Максименко, младший юрист Sayenko Kharenko, написали для AIN.UA колонку на тему директивы PSD2: что это такое и что она изменит.

Летом 2019 года НБУ взял курс на имплементацию Директивы ЕС PSD2, которая в скором времени откроет в Украине доступ финтех-компаниям и стартапам к самому ценному ресурсу – данным пользователей банков. 

Что такое PSD2? Как именно ее имплементация изменит развитее финтех-компаний в Украине, а также какие нюансы нужно учитывать компаниям-разработчикам, мы расскажем далее. 

Что такое PSD2?

PSD2 – это Директива, которая регулирует платежные услуги в ЕС и приходит на замену Директивы PSD 2007 года. Документ был принят еще в 2015 году из-за высокого темпа диджитализации в банковской сфере, а также необходимости предоставлять пользователям более качественные и современные услуги, в том числе и через мобильные приложения. 

Главная цель PSD2 – создать открытый банкинг, где третьи лица («Third Party Providers», или сокращено «TPP») могут получать доступ к финансовой информации о клиенте банка с его прямого разрешения и через систему повышенной аутентификации. Согласно PSD2 такое согласие может даваться как на отдельные операции, так и на полный доступ TPP к информации о клиенте, которая хранится в банке. При этом нужно, чтобы клиент был должным образом осведомлён об объёме своего согласия, и оно должно быть явно выраженным. 

В Европе PSD2 начала действовать еще с января 2018 года, но главная дата реализации состоялась 14 сентября 2019 года, когда начали работать технические стандарты по защите пользователей. 

Участники рынка платежных услуг долго готовились к этой дате, так как технические стандарты внесли правила для повышенной аутентификации клиентов и требования к платформам для открытого доступа к банковской информации. Нормы предусматривают, что за исключением ряда незначительных операций, должна производиться строгая аутентификация пользователя. Происходит это при использовании двух или более следующих элементов: 

Также банки до 14 сентября 2019 года должны были обеспечить взаимодействие с TPP таким образом, чтобы защитить информацию о своих клиентах. Хотя PSD2 прямо не предусматривает механизмы для такого взаимодействия, технические стандарты рекомендуют создание специальных интерфейсов для банков – открытых API, которые собирают информацию, полученную со счетов клиентов и передают её TPP с согласия клиентов. 

PSD2 также ввела двух новых игроков, которые оказывают услугу предоставления финансовой информации (AISP), а также услугу инициирования платежей (PISP). 

Функция PISP заключается в том, что этот новый участник рынка получает доступ к счету пользователя и инициируют онлайн платеж вместо использования клиентами карточек или онлайн банкинга. AISP получает доступ от имени клиента к информации, которая хранится в финансовом учреждении через открытый API. Некоторые аналоги AISP уже существовали до вступления в силу PSD2. Это такие приложения, как Personal Capital, которые собирали информацию со счетов пользователей. Они занимались «screen scraping», что не давало возможности получить все необходимые данные и не достаточно защищало пользователей, так как приложения получали пароли и другую конфиденциальную информацию. Проблемой также являлось заключение отдельных соглашений с каждым банком, что было затратным по времени и финансам. 

Ниже представлено сравнение старой и новой модели после вступления в силу PSD2:

Как изменится рынок в Украине с имплементацией PSD2? 

10 июля 2019 года НБУ объявил о начале работы над концептуальными изменениями законодательства в сфере платежных систем и перевода денег c привлечением внешних консультантов и при поддержке иностранных доноров. 

В своем пресс-релизе регулятор сообщил, что планирует внедрить ряд новых платежных услуг (финансовых и нефинансовых); изменить субъектов рынка платежных услуг; запустить открытый банкинг; создать новые правила лицензирования и регистрации небанковских учреждений, которые будут оказывать платежные услуги; усилить защиту платёжных услуг; повысить защиту прав пользователей и улучшить систему регулирования сферой. 

По итогам таких изменений у украинских банков теперь не будет монополии на владение финансовой информацией о своих клиентах. Банки теперь будут конкурировать с новыми игроками – TPP, которые смогут предоставить пользователям новые удобные решения для управления их финансами. С имплементацией PSD2 в Украине TPP будут действовать в качестве нефинансовых учреждений на рынке банковских услуг. 

Согласно Концепции реформирования платежного законодательства Украины, запуск открытого банкинга и вместе с ним повышенной безопасности платежей можно ожидать в 2022 году, а изменения в законодательство начнут вноситься уже в 2020. 

Как и в Европе, в Украине проблема состоит в том, что открытость финансовой информации вызывает опасения со стороны финансовых учреждений и пользователей, а повышенная аутентификация и разработка безопасного открытого API требует много усилий от банков и инвестиций в инфраструктуру.  

Тем не менее, по примеру развития рынка платежных услуг в Европе после принятия PSD2 можно утверждать, что сразу несколько игроков смогут выиграть от таких нововведений в Украине:

Как результат, имплементация PSD2 станет новой эпохой для финтеха в Украине, которая сможет повысить удобство для пользователей и даст старт новым инновационным продуктам. Теперь компании смогут строить свои приложения, используя возможности по инициированию платежей и информацию по счетам клиентов, которые раньше были доступны только банкам.

В мире уже действует ряд приложений, которые пользуются такими возможностями. Мы проанализировали некоторые из них и составили список самых успешных продуктов для разработчиков, которые можно будет запускать в Украине после имплементации PSD2:  

1. Один интерфейс для всех аккаунтов. Новые приложения смогут собирать информацию со всех счетов пользователя в одном месте и предоставлять консолидированный отчет. Mint и Yolt – примеры приложений, которые уже дают такую возможность пользователям за границей. 
2. Финансовый анализ. С доступом к большему объёму информации разработчики смогут лучше анализировать кредитоспособность клиентов, что выгодно банкам, и давать советы по займам самим пользователям. Такие решения ускорят процесс анализа информации и смогут дать более полную картину. В этой сфере уже действуют такие сервисы, как Credit Kudos.
3. Управление финансами. Новые сервисы помогут сделать процесс перевода средств легче. Уже появились приложения, которые переводят определенную сумму денег на счет для сбережений по индивидуальному механизму, который устанавливает сам пользователь. Пример такого приложения – Moneybox. Приложение Plum идет дальше и может использовать деньги со счета для сбережений в целях дальнейшего инвестирования.  
4. Помощь в принятии финансовых решений. Приложения смогут собирать информацию по осуществленным покупкам, включая подписки и оплату коммунальных услуг, и давать новые предложения по сбережению средств или смене тарифного плана, как это сейчас делает Bean. 
5. Защита личных данных пользователей, или как PSD2 будет работать, соблюдая требования GDPR

PSD2 и GDPR были введены в 2018 году как два закона, ориентированных на данные потребителей. Однако, несмотря на это сходство, эти два закона были разработаны с очень разных точек зрения. Так, GDPR ограничивает компании в обработке персональных данных граждан ЕС, а PSD2 стремится создать доступ к персональным данным. Но при чем здесь Украина и наши разработчики? Все очень просто! Во-первых, рынок сбыта ваших приложений будет рынок ЕС, и вам необходимо будет соблюдать требования GDPR. Также стоить отметить, что в случае работы исключительно с данными граждан Украины финтех-компании также должны будут соблюдать требования украинского законодательства, а именно – Закона Украины «О защите персональных данных».

Что же необходимо сделать, чтобы уберечь компанию от потенциальных рисков?

Несмотря на разные цели, PSD2 и GDPR зависят от согласия на обработку данных, которое необходимо будет получить от пользователей, соблюдая ряд требований. PSD2 также, как и GDPR, устанавливает, что для предоставления услуг потребителям необходимо «явное согласие», концепция не определена, и нет никаких предположений о том, что оно имеет то же значение, что и в GDPR. Отсутствие ясности в отношении согласия представляет проблему для сторон и может повлечь за собой ряд проблем, которые в конечном итоге могут привести к штрафу. 

Также стоить отметить, что GDPR дает новое право для пользователей, а именно – право на переносимость данных (right to data portability), которое позволяет им передавать данные, которые они предоставили своему банку, в AISP и PISP – в структурированном, широко используемом и машиночитаемом формате. То есть, проще говоря, алгоритмы приложения должны позволять вам без проблем достать все личные данные пользователя в таком формате, который бы позволил другой финтех-компании имплементировать их в свою систему без потери данных. Звучит немного сложно, но такова реальность. 

API-интерфейсы могут обеспечить стандартизацию связи между действующими банками и AISP или PISP, но их успех по всей Европе будет зависеть от того, будет ли достигнуто соглашение по использованию этих стандартов. 

Выводы:

Согласно данным аудиторских исследований, объём инвестиций по миру в 2018 году в финтех-компании достиг 57,9 миллиардов долларов, и этому в том числе поспособствовала европейская PSD2. Поэтому пока НБУ разрабатывает изменения в законодательство в связи с имплементацией PSD2, самое время стартапам начать думать о новых разработках для пользователей банковских услуг. Описанные в статье изменения в законодательстве откроют возможность для новых идей, большей конкуренции и привлечения инвестиций в финтех в Украине.

Авторы: Дарина Сидоренко и Александра Максименко, Sayenko Kharenko.