Банковское обозрение. Open API по-русски: останется один банк

Банки, как правило, обладают очень сложными IT-системами в сравнении с компаниями из других отраслей экономики. Для достижения своих бизнес-задач они традиционно используют подход к разработке IT-решений «от приложения». Это приводит к появлению огромного количества приложений, каждое из которых поддерживает определенное подмножество бизнес-функций, иногда пересекающихся между собой. Постоянное появление новых требований со стороны рынка и необходимость разработки соответствующих расширений усложняет бизнес-процессы.

Поэтому сегодня многие банки как в России, так и за рубежом переосмысливают свои стратегии роста и встраивают развитие API в качестве их ключевого элемента как для развития бизнеса, так и в плане монетизации.

API (Application Program Interface - программный интерфейс приложения) представляют собой стандартизированное описание функций для их потребления другими сервисами. Они помогают структурировать функции множества приложений организации и превратить их в эффективную, прозрачную и хорошо масштабируемую систему технических и бизнес-сервисов. Это позволяет компании работать эффективнее и реагировать на изменения рынка быстрее конкурентов, а также обеспечить согласованный клиентский опыт по всем каналам обслуживания и прозрачное взаимодействие с бизнес-парт­нерами.

Исследование IBM Institute for Business Value, опубликованное в 2016 году, выделило три основных вида бизнес-модели на основе API, которые используются передовыми банками и компаниями: прямое потребление API-услуг конечными пользователями, создание маркетплейса для производителей и потребителей API-услуг и, наконец, развитие API-экосистемы с участием бизнес-партнеров. Рассмотрим основные области применения API в банковской сфере.

Области применения API

Среди наиболее распространенных областей применения API: мобильные приложения, автоматизация взаимодействия с партнерами, создание экосистем и открытых платформ для доступа к новым рынкам, использование аналитики, IoT и извлечение выгод от накопленных в организациях обширных информационных активов.

В первую очередь API используют для расширения функциональности и запуска мобильных сервисов. Сегодня компании сталкиваются с необходимостью предоставлять полный набор стандартных инструментов организации на мобильных устройствах. API дают разработчикам возможность быстрого прототипирования и итеративной разработки. Упрощенные API для мобильных устройств создаются в том числе для изоляции разработчиков мобильных приложений от внутренней сложности сервисов.

API дают разработчикам возможность быстрого прототипирования и итеративной разработки

Разработка API для бизнес-партнеров является второй по частоте реализации. Подключение бизнес-партнеров всегда было затратным процессом, требующим большого объема ручной работы. Некоторые банки значительно упростили этот процесс с помощью использования API.

Для финансовых организаций доступ к данным социальных сетей и взаимодействию между пользователями соцсетей обеспечивает крайне полезный источник информации. Однако многие взаимодействия в социальных сетях происходят через API. Полученные данные могут использоваться для дальнейшего анализа.

Основные типы API

Существует несколько типов API: открытые, защищенные и внут­ренние. Открытые API доступны всем потребителям и разработчикам. Созданные с их помощью приложения рассчитаны в основном на конечных клиентов организации, а главным бизнес-драйвером является получение доступа к большему количеству конечных пользователей за счет вовлечения сторонних разработчиков.

Хорошо известным примером открытых API в финансовом секторе может служить Citi Bank API. Решение представляет собой развитый API для создания сторонних мобильных приложений для розничного и корпоративного банковского обслуживания, операций на финансовых рынках, аналитики и управления взаимоотношениями с клиентами. Оно позволяет получать информацию о счете клиента и истории операций, данные о курсах валют и расположении банкоматов и отделений, переводить деньги другим клиентам банка, размещать заказы на куплю/продажу ценных бумаг и т.д.

Защищенные API доступны только отдельным бизнес-партнерам. Приложения могут быть рассчитаны как на конечных потребителей, так и на бизнес-пользователей. Бизнес-драйвером в этом случае могут быть разные факторы, сильно зависящие от данных и типа бизнеса.

Частные, внутренние API доступны только разработчикам внутри организации. Приложения обычно направлены на сотрудников самой организации. Бизнес-драйверы в основном заключаются в повышении продуктивности сотрудников.

Специализированные решения по управлению API

Многие современные организации уже признают определенную условность границы между внутренними и внешними API, предоставляющими доступ к функциям и компетенциям другим предприятиям, и наоборот. Именно поэтому в наиболее технологически развитых компаниях, в том числе в банковском секторе, используются специализированные решения по управлению API.

API в большинстве случаев тесно связана с эффективностью стратегии использования гибридных облаков

Они позволяют обеспечить защиту на «границе» сервиса, а также контролируемый (и потенциально тарифицируемый) доступ. При использовании подобных платформ потребитель может запрашивать ключи доступа, которые дают ему право использовать API в рамках запланированных квот.

Платформы по управлению API включают в себя функции сбора информации в привязке к конкретному потребителю. Это позволяет сопоставлять данные о потреблении API с подпиской потребителя на определенный план и использовать их для тарификации.

API и гибридное облако

Согласно исследованию IBM Center for Applied Insights, опубликованному в 2016 году, 82% ведущих организаций используют гибридное облако для ускорения инноваций продуктов и услуг с помощью API в качестве строительных блоков. Другими словами, эффективность стратегии API в большинстве случаев тесно связана с эффективностью стратегии использования гибридных облаков, то есть той или иной комбинации инфраструктур частных и публичных облаков.

Так, передовое решение для всего жизненного цикла API промышленного класса IBM API Connect обеспечивает автоматизацию процессов на всем жизненном цикле API в частных, публичных и гибридных облачных средах и позволяет быстро создавать, вводить в эксплуатацию и легко администрировать API по всей организации.

Финансовая сфера претерпевает цифровую революцию. Консервативные банки следуют современным веяниям и начинают предоставлять 3-им лицам информацию, которая раньше считалась банковской тайной. Почему это происходит, кому и зачем это нужно – разберемся в этой статье.

Раскрытие банковских данных

Тренд зародился в Европе, так, например, в Германии с 2010 года развивается Open Bank Project – проект, поддерживающий раскрытие банковских данных и пользующийся поддержкой крупнейших банков страны.

В Великобритании в сентябре 2015 года при поддержке органов государственной власти была выдвинута инициатива Open Banking Standard, которая направлена на повышение конкуренции и доступности услуг на финансовом рынке. Согласно инициативе, банки должны предоставить 3-им лицам (т.н. финансово-техническим компаниям) данные о балансе клиентов и доступ к их расчетным счетам. Применение принципа открытых банковских данных стало обязательным для 9 крупных банков Великобритании, которые обслуживают более 80% граждан страны.

Использование технологии API

Передача и предоставление информации осуществляется с помощью программного интерфейса API или Application Programming Interface, что по-русски означает «интерфейс программирования приложений». Простыми словами - это перечень команд, запросов, ответов, с помощью которых компьютерные программы обмениваются друг с другом информацией и взаимодействуют, «заставляя» друг друга выполнять какие-либо действия.

Возможности и выгоды открытого банковского API

Тенденция, набирающая популярность в мире, заключается в предоставлении банковских API всем организациям, собирающимся работать в финансовом секторе. Подобный подход открывает ряд преимуществ как для банков, так и для потребителей.

Например, появилась возможность создать универсальное мобильное приложение, с помощью которого пользователи могут видеть информацию по каждому банку, клиентом которого они являются. Раньше для каждого банка пользователю были нужны отдельные приложения, что осложняло выбор актуальных предложений и услуг, предоставляемых банками.

Мульти-банковское приложение позволяет:

• Видеть свой баланс онлайн и удобно управлять своими счетами в разных банках.
• Упростить торговые операции (выбор банка для платежа, быстрая проверка кредитоспособности, проведение оплаты с приложения).
• Воплотить ипотечные/кредитные приложения, которые могут подтверждать платежеспособность граждан с мобильного устройства, упрощать процесс получения ипотеки/кредита.

В итоге, клиентам не нужно использовать различные каналы связи и приложения для проведения рутинных банковских операций, банкинг становится удобным, наглядным и комфортным.

Открытый доступ к банковскому API выгоден и банкам:

• Банки расширят каналы дистрибуции своих финансовых продуктов и сервисов с помощью сторонних организаций и информационных систем.
• Расширение каналов дистрибуции - потенциал для наращивания клиентской базы банка.
• У банков появится доступ к информации и сервисам сторонних организаций, что даст возможность лучше ориентироваться в тенденциях, возникающих в сфере финансовых услуг.
• И наконец, открытый API даст возможность следить за новым рынком изнутри и быть может, перекупить организацию, стоящую за наиболее удачными разработками в этой области для усиления собственной позиции на рынке.

Как видим, решение об открытом банковском API приносит выгоды всем сторонам процесса. Теперь рассмотрим, как эта концепция применяется в разных странах мира.

Опыт применения открытого банковского API

В странах Европейского Союза с января 2018 года действует стандарт PSD 2 (Европейская платежная директива), которая обязывает банки предоставлять клиентские базы данных и программные интерфейсы (API) для 3-их лиц, собирающихся работать в финансовом секторе. Таким образом, планируется усилить конкуренцию на рынке мобильных онлайн-платежей за счет выхода на рынок технологических компаний.

В США государственное регулирование вопроса открытых API банков отсутствует. Тем не менее, благоприятная финансовая обстановка привела к созданию банковского агрегатора компании Mint, сайтом которой уже в 2016 году пользовались около 20 млн. жителей США и Канады.

В Сингапуре денежно-кредитное управление (MAS) поддерживает принципы открытого банковского API. Ассоциация банков Сингапура (ABS) и MAS подготовили документ Finance-as-a-Service: API Playbook, содержащий информацию и рекомендации для финансового сектора и призванный обеспечить эффективный обмен финансовой информацией, а также создать почву для запуска инновационных банковских проектов.

В Индии была создана информационная платформа открытых API India Stack, которая включает в себя такие системы и сервисы, как: Aadhaar – крупнейшую в мире систему цифровой биометрической идентификации; Национальная платежная корпорация Индии; Digital locker – платформа для формирования и верификации документов в цифровом виде и др.

IndiaStack позволяет разработчикам и технологическим сатрапам выходить на рынок мобильных приложений по идентификации и аутентификации пользователей финансовых услуг.

Опыт применения открытого банковского API в России

В России в 2016 году по инициативе Сбербанка, Альфа-банка и других финансовых компаний была создана организация ФинТех, целью которой является развитие финансовых технологий в стране. Также в России развивается ФинтехСмарт - ассоциация-профсоюз, занимающаяся развитием среды для финансовых стартапов и сообщество RusFinTech, организующее семинары и конференции на тему финансовых технологий.

Говоря о перспективах развития открытых банковских API в России, стоит упомянуть инициативу, запущенную Банком России совместно с финтех организациями.

Данное направление предполагает проработку сценариев применения открытых API, проведение пилотных проектов, а также разработку стандартов и документов по применению открытых API в России. Уже сейчас крупнейшие банки страны, такие как Сбербанк, Альфа-Банк, ВТБ 24, Газпромбанк и Банк Открытие готовы предоставить свои API сторонним организациям.

Тенденции развития открытых банковских API говорят о том, что направление по разработке мобильных приложений для бизнеса финтех организаций, а именно - мульти-банковских приложений в России станет актуальным в ближайшее время. По данным исследовательского агентства Markswebb, на территории РФ мобильными банками пользуются 18 млн человек, что составляет около 33% от общей интернет-аудитории страны. Хотя бы одним интернет-банком пользуются 35,3 млн человек, или 64,5% всех российских интернет-пользователей. Возраст пользователей интернет и мобильного банкинга ранжируется от 18 до 64 лет.

Клиенты Wellsoft из финансового сектора уже сейчас проявляют интерес к этому направлению и исследуют возможность разработки мульти-банк приложения с использованием открытых API.

Опыт Wellsoft в разработке мобильных приложений для банков позволяет реализовывать подобные решения в данный момент при желании клиента.

Дмитрий Агапитов – директор по развитию платежного сервиса SimplePay

В 2019 году россияне смогут переводить друг другу деньги, зная всего лишь номер телефона. Привязывать банковские карты к номеру при этом не нужно. Модель станет возможна благодаря внедрению принципов так называемой PSD-2 (Payment Services Directive), которая с января 2018 года уже работает в странах Европейского Союза.

Внедрение механизма PSD-2 обязует банки предоставить клиентские базы данных и программные интерфейсы (API) для третьих лиц, собирающихся работать в финансовом секторе. Такой подход позволяет создать открытый банкинг, который убирает посредников при проведении финансовых операций. Ассоциация «Финтех» при Центральном банке РФ прорабатывает законодательство и механизмы перевода денег по номеру телефона. Отмечается , что банки будут раскрывать API и базы данных не бесплатно: новым игрокам рынка придётся платить по ежемесячному тарифу, который установят позднее.

Что такое PSD-2

Директива PSD-2 стала логичным развитием первой версии Payment Services Directive, которая была принята в 2007 году. В то время ещё не было большого количества цифровых игроков финансового рынка. Однако появлялось всё больше онлайн-сервисов, которые не подпадали под действие PSD-1, а значит, не регулировались странами ЕС. Целью PSD-2 стало упрощение внедрения инноваций в финансовый сектор, повышение защищенности и безопасности пользователей, увеличение конкуренции среди финансовых игроков. Финансовые организации по требованиям директивы будут предоставлять часть данных о клиентах через API новым игрокам рынка. По сути, это будет аналог мессенджера, когда онлайн-сервис задаёт вопрос финансовой организации, например, о доступности определенной суммы на счёте клиента, и получает ответ – положительный либо отрицательный. То есть полной передачи данных клиента не будет.

Новые игроки финансового рынка по требованиям PSD-2 обязаны проходить регистрацию и лицензирование в ЕС. Для работы им будет предоставлен доступ к счетам клиентов банков по технологии XS2A. С её помощью можно, скажем, предоставить клиенту отчёт обо всех проведённых финансовых операциях клиента вне зависимости от используемой банковской карты и вывести на одну информационную панель. Пользователи смогут получить полную картину о тратах денег. Все данные по технологии XS2A будут предоставляться только при согласии клиента.

В директиве PSD-2 рассмотрен и вопрос безопасности платежей. Интернет-платежи будут защищены с помощью SCA (Strong Customer Authentication). Концепция SCA заключается в использовании минимум двух элементов аутентификации. Например, элементом аутентификации служат знания пользователя: PIN, пароль, кодовое слово; биологическая идентификация: отпечаток пальца, голос, рисунок сетчатки; физические носители информации: карты, магнитные ключи или токены.

SCA будет применяться при каждом платеже, кроме тех, которые ниже установленных банком или пользователем лимита. Также SCA можно не применять, когда бенефициар платежа ранее был идентифицирован. Защита будет применяться при первом получении данных о счете или агрегированных финансовых данных от третьих лиц, затем запрос элементов аутентификации начнет повторяться раз в 90 дней. Из положительных моментов PSD-2 – обязательное требование возврата дебетовых платежей в течение 8 недель с момента совершения платежа, запрет на дополнительные комиссии при обслуживании карточных платежей. При неавторизованных платежах клиенты будут терять всего 50 евро, если только не будет доказан факт намеренного мошенничества или грубой небрежности клиента. Все эти действия направлены на защиту клиентов от мошеннических действий.

Как открытые API-интерфейсы помогают пользователям

Внедрение PSD-2 несёт для банков и клиентов как преимущества, так и недостатки. Однако европейские чиновники постарались свести негативные последствия к минимуму.

Кто уже внедряет API-интерфейсы

Ещё до ввода директивы PSD-2 ряд финансовых организаций и стартапов стали активно использовать открытые API в практике.

Банки

Citi bank в ноябре 2016 года запустил портал для разработчиков, открыв API для приложений. Предложением банка уже воспользовались 1 800 сервисов: от стартапов до крупных компаний. Например, API банка внедрил крупный сингапурский интернет-магазин Honestbee. Ожидается, что сотрудничество с Citi bank в ближайшее время начнут мессенджеры WeChat и LINE.

Сингапурский OCBC также открыл API-интерфейсы. В январе 2017 года у финансовой организации было 700 партнёров. Например, местная туристическая компания использовала API банка для оперативного получения курса валют, чтобы помочь клиентам правильно рассчитать сумму поездки.

Открыл собственные API украинский ПриватБанк. Он предложил мерчантам совершать и принимать платежи в автоматическом режиме, узнавать курсы валют, получать данные об условиях депозитов и кредитов, выводить локации банкоматов и офисов.

Платёжные системы

Платёжная система Visa создала отдельную платформу Visa Developer, которая дает доступ к информации о клиентах через API. Например, можно получить данные о владельце счета, провести p2p-перевод, предоставить возможность контроля для расходов, получить оповещения о транзакциях. Этой платформой могут пользоваться платежные провайдеры и финансовые организации.

Финтех-сервисы

Примером использования API в сфере финансовых технологий служит американское приложение Mint. В 2009 году разработчики хотели создать инструмент для контроля личных финансов и предложили технологию, основанную на взаимодействии с API банковских организаций. К 2012 году проекту удалось агрегировать информацию от 16 000 финансовых организаций. В 2011-2013 годах несколько крупных финансовых организаций США и Канады прекратили сотрудничество с сервисом, так как он показывал сравнения параметров кредитных карт и банковских счетов. Однако пользователи банков потребовали вернуться к сотрудничеству, и финансовые организации с клиентами.

Платежный провайдер SimplePay интегрировал свой API с популярными CMS интернет-магазинов – WordPress, 1С Битрикс и Drupal. SimplePay также предлагает собственный API, который подходит для любых сайтов и интеграции с биллингами: ISPManager, BGBilling, MikBILL.

Кенийский сервис M-Shwari через API позволяет клиентам использовать мобильный телефон для доступа к депозитным и кредитным продуктам банка. Вся работа строится на мобильном приложении или USSD-запросах, в зависимости от модели телефона клиента. Сервис позволяет переводить деньги другим пользователям, получать кредиты и пополнять депозитные счета пользователей.

Мобильные операторы

В 2017 году российский телеком-оператор МТС запустил сервис «Кошелек МТС Деньги». Он позволяет проводить платежи между абонентами, имеет мобильный банкинг и проводит оплату услуг и продуктов внутри приложения. Телефонный номер используется как единый идентификатор абонента, что полностью совпадает с требованиями директивы PSD-2. Кроме того, МТС в будущем предложит абонентам других операторов также подключиться к сервису «Кошелек МТС Деньги». Для этого достаточно будет пройти идентификацию через SMS или USSD запрос. Для работы с «Кошелек МТС Деньги» компания подключила «МТС банк», который стал эквайером, расчетным банком и эмитентом счетов пользователей сервиса. Данные передаются в приложение через API, и пользователи знают об остатках на счетах и проведённых операциях. При этом партнёрам проекта предлагают воспользоваться открытым API сервиса «Кошелек МТС Деньги».

На волне скорого внедрения PSD-2 уже появляются стартапы, готовые помочь в работе. Например, проект Token предлагает облачную технологию, которая позволит внедрить банкам PSD-2. По сути, Token – платёжная система, которая объединит банки для удобства клиентов. Создатели проекта утверждают , что у них будет меньше комиссия при оплате, чем у банковских карт. А покупателям не придётся искать точки, где принимают карты их платёжной системы, ведь Token станет работать с большим количеством банков.

Британское управление по конкуренции и рынкам пришло к выводу, что банки недостаточно усердно борются за потребителя. В частности, большинство из них остается закрытыми для финтех-компаний, которые могли бы сделать банкинг более удобным, понятным и полезным для клиентов.

Поэтому с 2018 года банки Великобритании в обязательном порядке должны открыть API (application programming interface - интерфейс прикладного программирования, IT-системы) для доступа к ним третьим сторонам. Эти сторонние разработчики сделают за кредитные организации всю ту работу, которую необходимо было выполнить еще вчера.

Дело в том, что банки остаются в основной своей массе консервативными и не спешат сами разрабатывать различные мобильные сервисы, приложения и допуслуги. А потребители в таких вещах заинтересованы, им не улыбается по каждому поводу обращаться в офисы или самим сравнивать все актуальные банковские предложения. Сторонние разработчики, получив доступ к API всех банков, смогут создавать продукты и приложения, где клиент не будет ограничен одним предложением - у него появится выбор.

Таким образом, потребитель сэкономит немало денег, ведь при совершении любой финансовой операции он будет выбирать самое выгодное для себя решение. Открыв личный кабинет, клиент увидит много нового и полезного — например, информацию о тарифах, акциях, инвестфондах и прочих предложениях от разных банков.

Выгоды и удобство открытого банкинга

Европейская платежная директива

Европейская платежная директива (PSD2) принята еще в 2015 году. Она не только обязала банки открыть API, но и приказала им совершать транзакции быстрее - не более суток на перевод. С 13 января будущего года PSD2 будет прописана в законодательстве каждого государства-члена Евросоюза.

Ожидается, что после этого банковские карты уйдут в прошлое. Все онлайн-платежи и переводы можно будет совершать прямо со счета, минуя карты с вводом номера и своих данных. И это весьма своевременно, учитывая множащиеся в геометрической прогрессии случаи воровства денег пользователей при оплате картами по интернету.

PSD2 рекомендует применять новую процедуру идентификации с использованием трех этапов проверки: логин+пароль, смс на телефон и биометрические данные. Возможно даже, что неудобная и отжившая свой век пара логин+пароль будет удалена из аутентификации вовсе, как самый ненадежный и уязвимый фактор.

В живых сделках вместо пластиковых карт будут выступать приложения на смартфонах.