Что стало с Open Banking к 2022 году

Мы на рынке с 2016 года и за эти года разрабатывали приложения и веб-сервисы для Сбера, ВТБ и прочих. Мы активно развиваем финтех-проекты и искренне их любим.

Сегодня решили взглянуть на такую популярную и стремительно развивающуюся концепцию, как Open Banking.

С 2019 года наблюдается рост цифровой трансформации, который затрагивает все отрасли, в том числе финансы. По прогнозам IDC уже в этом году 65% глобального ВВП будет создаваться цифровыми технологиями. Банки повышают качество обслуживания клиентов, решают вопросы мошенничества и кибербезопасности. Клиенты, в свою очередь, ждут больше контроля над персональными данными со стороны финансовых организаций.

Open Banking как раз и появился, чтобы дать клиентам и финансовым организациям полный контроль над их данными.

Open Banking — это концепция, которая позволяет обмениваться данными внутри финансового рынка с помощью Open API. Открытый банкинг стимулирует появление новых решений на рынке, а также увеличивать конкурентную борьбу. Это повышает качество сервиса в финансовой отрасли за счет большей вовлеченности участников рынка.

Концепция Open Banking сокращает время на настройку API и ускоряет процесс получения данных, а также позволяет достаточно легко выполнять операции между разными банками. Однако проблемы с безопасностью никуда не денутся, но вернемся к этому позже.

Благодаря Open Banking финтех-компании могут получить доступ к пользовательским данным из любого банка. Отметим, что пользователь может не делиться своими персональными данными. На основании информации, которую получают финтех-компании, например номера счетов, истории транзакций и т.д. можно разрабатывать новые продукты.

Персональные данные пользователей и их последующий анализ открывают большие возможности для финансовой отрасли в направлении персонализации услуг. Спрос на такие услуги заставляет финтех-компании заняться разработкой новых продуктов, которые бы решали потребности бизнеса.

Так в США разработали платформу для управления финансами и отслеживанием расходов. Самым интересным в Mint, так называется платформа, является наличие персонализированных предложений для пользователей.

Также стоит упомянуть европейский сервис Chip, который содержит в себе предложения касательно сберегательных счетов. Приложение автоматически накапливает сбережения и подбирает для пользователей выгодные ставки в зависимости от потребностей.

Обратим внимание и на британскую разработку под названием Sync Money, которая показательно использует возможности Open Banking. С помощью приложения пользователь может управлять своими счетами, производить обмен валют и совершать переводы в разных банках и других финансовых организациях. К слову, Великобритания предложила концепцию Open Banking еще в 2015 году.

Россия также уверенно движется в сторону Open Banking. Так японская финансовая группа SBI Holdings в 2020 году приобрела 20% нашей российской финтех-платформы под названием QPlatform. Платформу разработала компания Qiwi в 2015 году, и с ее помощью банки могут интегрировать финтех-решения с использованием Open API.

В 2021 году Сбер одержал победу на “World’s Best Digital Bank Awards 2021” в категории “Best Open Banking APIs” по Центральной и Восточной Европе. В этом немного есть и наша заслуга :)

Концепция Open Banking реализована с помощью API и дополнительных инструментов, благодаря которым осуществляется взаимодействие между различными программами и сервисами. Важно отметить, что Open API просто адаптировать под приложения, что и позволяет финансовым организациям предлагать новые услуги.

Открытое API предоставляет разработчикам и бизнесу целый спектр возможностей. С его помощью можно снизить количество действий, которые совершает пользователь для достижения своей цели. Например, вместо того, чтобы пользоваться большим количеством различных сервисов и пытаться разобраться в сложных механизмах оплаты eCommerce, пользователю достаточно выбрать интересующий его банк в мобильном приложении и подтвердить транзакцию, что снижает количество действий. Благодаря упрощенному механизму взаимодействия с пользователем бизнес не теряет клиентов.

Также стоит отметить уровень безопасности Open API, которая обеспечивается в основном за счет системы аутентификации, разработанной в соответствии с требованиями регуляторов. Например в соответствии со второй директивой о платежных услугах Евросоюза или PSD2.

Далеко не отходя от темы, поговорим о безопасности Open Banking и на что стоит обратить более пристальное внимание. Ведь с ростом популярности и распространением открытых банков злоумышленники ищут новые лазейки и уязвимости.

Как правило целями для кибератак становятся:

• API;
• Мобильные приложения;
• Инфраструктура финтех-компаний;
• Пользователи.

Давайте подробнее остановимся на каждом пункте.

Начнем с API. Теперь злоумышленнику не нужно взламывать защиту самого банка, он может подключиться к автоматизированной системе. К тому же многие банки до сих пор передают конфиденциальную информацию в URL своих API. Такие параметры, как пароли, email и т.д. могут оказаться в логах, отображаться в браузере и истории браузера, а также станут видны устройствам, которые осуществляют перехват SSL.

Когда речь заходит о мобильных приложениях, то тут опасность исходит от SDK. Известно много примеров, в которых изначально безобидные приложения становились вредоносным ПО. Подобные «скрытые фичи» могут привести к неприятным последствиям, особенно когда мы говорим о финансовых данных и персональной информации.

Финтех-проекты чаще всего реализуются с использованием облачных технологий. В таком варианте в нашу длинную цепочку участников процессов с Open API добавляется еще и поставщик облачных сервисов. Хакеры могут внедриться в сеть провайдера и оказать влияние на несколько финтех-компаний сразу. При этом пользователи, банки и сами компании не узнают о компрометации.

Самые простые и дешевые атаки совершаются на пользователей. И хоть в 2022 никого не удивишь фишингом в контексте обычного банка, то с Open Banking не все так просто. Это связано с тем, что пользователь заранее осведомлен о большой цепочке посредников и может быть слишком доверчив. Некоторые мошенники прилагают много усилий и создают фальшивые приложения, которые впоследствии размещают на маркетах.

Только комплексный подход к безопасности обеспечивает достаточную устойчивость системы к угрозам. Сфера финтеха не исключение.

Обязательным требованием регулятора PSD2 является многофакторная аутентификация. По данным компании Microsoft она предотвращает 99,9% попыток взлома аккаунтов.

Также Open Banking рекомендует использовать FAPI — интерфейс на базе OAuth 2.0. Он является более безопасной версией OAuth 2.0 и позволяет предоставлять доступ к услугам без данных пользователя с помощью токенов. При этом токен можно отозвать в любой момент.

Финтех-компаниям важно обратить внимание на защиту инфраструктуры. Стоит обеспечить безопасность облачных систем, контрольных точек и механизмов разработки. Таким образом закрываются оставшиеся для хакеров лазейки.

Благодаря развитию Open Banking новые участники рынка финтеха смогут внести глобальные изменения в сферу финансов. Банки и финансовые организации смогут предлагать качественный сервис и персонализированные услуги для клиентов. А те в свою очередь получат большой выбор и будут мотивировать банки вступить в конкурентную гонку.

Чтобы изменения, которые за собой несет Open Banking носили позитивный характер, финтех-компаниям, банкам и финансовым организациям стоит обратить внимание на угрозы безопасности и вовремя закрывать уязвимости. Кроме того разработчикам необходимо оперативно дорабатывать Open API и вести разработку в соответствии с регуляторами.