Финансовые институты и финтехкомпании Европы готовятся к началу применения нового регулирования в соответствии с положениями Второй платежной директивы (PSD2), которая должна вступить в силу в январе 2018 года. Одна из основных целей PSD2 – стимулировать конкуренцию в индустрии платежей. Частично этой цели предполагается достичь путем предотавления третьим лицам доступа к данным о клиентах банков при наличии разрешений от таких клиентов.

Один из основных спорных моментов, связанных с PSD2  ̶  анализ интерфейсных данных

Один из основных спорных моментов, связанных с PSD2  ̶  анализ интерфейсных данных. По мнению европейских банков, если в рамках новой платежной директивы будет разрешено продолжать такую практику, возникнут риски с точки зрения конфиденциальности информации и кибербезопасности. При этом финтехкомпании настаивают на том, что анализ интерфейсных данных – это эффективный метод работы, который позволяет сторонним поставщикам финансовых услуг соревноваться с банками.

Что такое анализ интерфейсных данных?

Анализом интерфейсных (терминальных или экранных) данных (screen-scraping) называют технологию машинного считывания информации, выводимой на экран одним приложением, и перевода такой информации для отображения ее на экране в другом приложении. На протяжении последних нескольких лет такая практика получила широкое распространение.

Пример использования анализа интерфейсных данных в сфере финансовых услуг: приложение сторонней компании, получив разрешение от клиента банка, использует такой анализ (или «прямой доступ», как его предпочитают называть финтехкомпании) для получения информации о банковском счете клиента и проведения транзакции.

Обязать банки делиться данными со сторонними поставщиками услуг – это одна из ключевых задач PSD2, однако в процессе разработки документа возникло много споров относительно того, является ли анализ интерфейсных данных оптимальным способом решения этой задачи. Интерфейсы прикладного программирования (API) обеспечивают обмен данными. Однако есть мнение, что полагаться исключительно на API – значит предоставить банкам слишком большие полномочия.

Запрет на анализ интерфейсных данных может негативно отразиться на многих финтехкомпаниях, поскольку он попросту разрушит их бизнес-модели.

Что говорят банки?

Европейская банковская федерация (ЕБФ) – коалиция из 32 национальных банковских ассоциаций различных европейских стран – обратилась в Еврокомиссию с просьбой последовать рекомендации Европейской службы банковского надзора и запретить анализ интерфейсных данных, поскольку он создает риски с точки зрения конфиденциальности данных, кибербезопасности и внедрения инноваций.

По мнению ЕБФ, анализ интерфейсных данных дает возможность третьим лицам получать доступ к банковским счетам путем имитации действий клиента банка

По мнению ЕБФ, анализ интерфейсных данных дает возможность третьим лицам получать доступ к банковским счетам путем имитации действий клиента банка. Это создает угрозу для безопасности клиента, в частности потому что третье лицо потенциально может получить доступ ко всей конфиденциальной финансовой информации клиента, а не только к той ее части, которая требуется для совершения конкретной транзакции.

При этом неясно, кто будет нести ответственность, если что-то пойдет не так. Зачастую при анализе интерфейсных данных клиенту банка требуется передать свои стандартные данные для идентификации в банковской системе. При таком раскладе велик риск попадания информации в руки мошенников.

По сути, позиция ЕБФ сводится к тому, что анализ интерфейсных данных – это устаревшая технология, и ее нужно заменить на технологию API, которая представляет собой более безопасный способ обеспечения прямого доступа к данным клиентов банков.

Что говорят финтехкомпании?

Ряд организаций, которые являются представителями финтех-индустрии в Европе, образовали свою коалицию, чтобы противостоять угрозе запрета на анализ интерфейсных данных.

Альянс под названием «Будущее европейского финтеха» опубликовал заявление, где описана позиция финтехкомпаний по поводу опасений, высказанных банковскими ассоциациями. В заявлении альянса анализ интерфейсных данных назван устоявшей и хорошо функционирующей технологией,  которую финтехкомпании Европы использовали на протяжении 15 лет, и с помощью которой они провели сотни миллионов платежей и операций объединения счетов по запросу клиентов. По словам финтехкомпаний, за все это время не было случаев утечки данных или нарушений, связанных с регистрационными и идентификационными данными.

Более того, участники альянса подчеркивают отсутствие прямого запрета на анализ интерфейсных данных.  В обращении говорится: «Европейская служба банковского надзора подтвердила, что прямой доступ соответствует требованиям PSD2, т.е. директива разрешает банкам использовать свои сайты для предоставления услуг Интернет-банкинга для обеспечения прямого доступа к банковскому счету (с использованием технологии анализа интерфейсных данных)... Соответственно, вопрос стоит не в том, является ли прямой доступ законным, а в том, могут ли его запретить банки, которым такой способ доступа не нравится».

Альянс финтехкомпаний прокомментировал и некоторые другие аргументы банков. В частности, авторы обращения подчеркнули, что они не предлагают разрешить третьим лицам имитировать действия клиентов банков. Напротив, к поставщикам финансовых услуг уже давно применяется требование идентифицировать себя при совершении операций.

Что из всего этого следует?

С другой стороны, предоставлять данные клиентов только через API означает сосредоточить контроль над такими данными в руках банков

С одной стороны, анализ интерфейсных данных повышает риски фишинговых атак и снижает безопасность потребителя банковских услуг. С другой стороны, предоставлять данные клиентов только через API означает сосредоточить контроль над такими данными в руках банков. По мнению финтехкомпаний, при этом нарушается свобода конкуренции и тормозится инновационное развитие.

Гарет Лодж (Gareth Lodge), старший аналитик банковской группы Celent, напротив, считает, что полный переход от анализа интерфейсных данных к API может способствовать внедрению инновационных решений и технологическому развитию. По его мнению, запрет на анализ интерфейсных данных заставит банки осуществить те преобразования, которые они должны были провести десятки лет назад. В ближайшем будущем это может затормозить развитие инноваций, но в долгосрочной перспективе должны выиграть все, включая финтехкомпании.

Независимо от того, какую позицию займет в итоге Европейская служба банковского надзора, решение по этому вопросу окажет существенное влияние на развитие индустрии финансовых услуг.