Открытый банкинг в Украине: на какие изменения обратить внимание финтех-компаниям

Александр Камша, адвокат, арбитражный управляющий, руководитель Днепровского офиса

Источник: «Лига:Закон»

25 июля 2025 года Постановлением Правления Национального банка Украины было принято Постановление № 80 «Об утверждении Положения об открытом банкинге в Украине» (Постановление НБУ № 80), которое вступило в силу 1 августа 2025 года и в соответствии с которым предоставители платежных услуг по обслуживанию счетов (банки) должны привести свою деятельность в соответствие с требованиями Постановления в течение пяти месяцев со дня вступления в силу постановления – до 1 января 2026 года.

Внедрение открытого банкинга является завершающей частью имплементации норм Директивы ЕС о платежных услугах 2015/2366 (PSD2), что, в свою очередь, предусматривает обмен данными между поставщиками платежных услуг (ППП) через специализированные интерфейсы только при активном согласии пользователя на передачу такой информации для получения сведений по счёту/счетам пользователя инициирование платежной операции (например, информации о балансе, истории операций) и с целью инициирования платежной операции.

Разрешение пользователя – это активное согласие, подтвержденное усиленной аутентификацией, которую банк должен принять и зафиксировать перед тем, как передавать любые сведения о счете стороннему ППП. Пользователь может отозвать это согласие в любой момент через интерфейс банка или интерфейс стороннего сервиса.

Кто инициирует получение согласия?

Инициатором получения согласия от клиента может быть как банк, в котором у клиента открыт счет, так и сторонний поставщик услуг. Вероятно, что в большинстве случаев инициатором будет выступать сторонний ППП (AISP или PISP) ​​– это будет означать, что пользователь в приложении стороннего сервиса или на сайте стороннего сервиса будет использовать опцию, например, «подключить счет», «подтвердить доступ» или «оплатить через…», после чего сторонний ППП будет посылать запрос в банк (через API) с просьбой получить согласие пользователя/инициировать аутентификацию.

Также возможен и другой сценарий, при котором пользователь напрямую заходит в приложение банка и через него дает разрешение на передачу определенной информации стороннему сервису (например, когда пользователь заказал интеграцию прямо в интерфейсе или мобильном приложении банка).

На кого возлагается ответственность за получение и верификацию согласия?

Ответственность за получение и подтверждение (верификацию) согласия возложена на банковское учреждение, в котором у пользователя открыт счет. Банк несет ответственность перед пользователем за: ущерб, причиненный пользователю при несоблюдении банком требований Постановления НБУ № 80; невыполнение или ненадлежащее выполнение платежных операций, инициированных пользователем через ППП по инициированию платежной операции, если не докажет, что платежные операции выполнены банком должным образом; раскрытие стороннему ППП информации, содержащей банковскую тайну, коммерческую тайну, тайну предоставителя платежных услуг без разрешения пользователя и/или в объеме, на который не было получено разрешение пользователя.

Банк должен провести усиленную аутентификацию пользователя и отобразить нужную информацию (как о стороннем ППП, так и об объеме/сроке доступа) перед тем, как принять согласие от пользователя.

Сторонний сервис отвечает за то, чтобы запрос на доступ был правильно сформирован и чтобы он проверил наличие действующего разрешения перед получением данных/инициацией платежа. После получения разрешения сторонний ППП должен обновлять статус разрешения запросами в банк (является ли разрешение актуальным, не было ли разрешение отозвано пользователем).

Пошаговый путь получения разрешения на предоставление сведений о счете

• пользователь инициирует подключение в стороннем сервисе (или в интерфейсе банка). Например, в приложении пользователь выбирает «подключить счет», далее выбирает банк, далее сервис формирует запрос доступа (какие счета, каков объем данных, на какой срок предоставляется разрешение);
• сторонний сервис посылает запрос в банк через специализированный API (специализированный интерфейс);
• запрос содержит технические параметры и реквизиты (какой именно сторонний сервис, какой счет, объем информации, срок действия и т.п.). Банк обязан обеспечить базовую способность принимать такие запросы (базовые API – обязательны);
• банк производит аутентификацию пользователя (это обязательно должна быть усиленная аутентификация) и далее отображает информацию для подтверждения;
• перед тем, как принять согласие банк в своем канале (мобильное приложение, веб-банкинг и т.д., то есть «средство дистанционной коммуникации») должен отобразить пользователю: (1) название и идентификатор стороннего сервиса (кому предоставляется разрешение (доступ к информации)); (2) номер счета, к которому предоставляется доступ; (3) объем информации, к которой предоставляется доступ (например, баланс, выписки за 30 дней и т.п.); (4) срок действия согласия, который не должен превышать 180 календарных дней; (5) условия и порядок отзыва согласия (или ссылка на документ с этими условиями);
• пользователь подтверждает (соглашается). Само согласие должно быть подтверждено усиленной аутентификацией (Strong Customer Authentication (SCA)) – то есть банк должен проверить, что владелец счета действительно дает разрешение;
• после отображения информации пользователь предоставляет свое разрешение путем, определенным интерфейсом, например, нажимая в приложении (веб-интерфейсе) «соглашаюсь/согласен/ознакомлен и подтверждаю разрешение» в интерфейсе банка. После этого банк проводит SCA (PIN + подтверждение в приложении, OTP/Push и т.п.) – это будет создавать активное разрешение пользователя;
• банк фиксирует разрешение в информационной системе и предоставляет стороннему сервису подтверждение/доступ к информации, согласие на распространение которой предоставил пользователь;
• банк должен зафиксировать дату и время предоставления разрешения (и отзыв, если отзыв будет, позже) в своей информационной системе. После успешной аутентификации банк возвращает код/токен или другой механизм, позволяющий стороннему ППП получать разрешенные данные через API;
• сторонний сервис во время осуществления своей деятельности проверяет у банка, что пользовательское разрешение активно и запрашивает данные в пределах разрешенного объема, если разрешение не было отозвано и не истек срок действия разрешения;
• каждый раз сторонний сервис при отображении информации пользователю должен обновлять статус разрешения через запрос в банк, чтобы показать актуальный статус (например, чтобы отобразить список активных разрешений).

Подобный алгоритм должен надлежащим образом защитить пользователей и банковские учреждения во взаимоотношениях по вопросам предоставления информации о счете/счетах клиентов банка.

Порядок получения согласия на осуществление платежа (Payment Initiation Service Provider – PISP)

Разрешение на выполнение разовой платежной операции (разовый платеж) должно предоставляться пользователем каждый раз, то есть при инициировании каждой платежной операции. Таким образом, для разового платежа не подходит долгосрочное разрешение, поэтому требуется отдельная подтвержденная инструкция/разрешение на конкретный платеж. Банк при получении разрешения на выполнение платежной операции обязан отобразить плательщику в средстве дистанционной коммуникации информацию о ППП по инициированию платежной операции, через которую плательщик инициирует платежную операцию.

Порядок отзыва разрешения

Пользователь может отозвать свое разрешение на передачу информации стороннему сервису в любое время с использованием:

• средства дистанционной коммуникации стороннего сервиса (того сервиса, которому было дано разрешение) или
• средства дистанционной коммуникации банка.

Для отзыва разрешения SCA не обязательна (п. 58 Постановления НБУ № 80), то есть пользователь отзывает ранее предоставленное разрешение простым запросом без необходимости проходить усиленную аутентификацию со стороны банка. После отзыва банк должен немедленно прекратить предоставление доступа стороннему сервису.

Как отзыв разрешения может выглядеть на практике: сторонний сервис посылает банку запрос об отзыве (если пользователь отозвал разрешение через интерфейс стороннего сервиса) или банк при получении отзыва от пользователя обновляет статус в своей системе и прекращает доступ стороннего сервиса к информации пользователя. Все стороны обязаны обновлять статус разрешений в своих интерфейсах и фиксировать время действия разрешений. Если разрешение было отозвано – дальнейший обмен информацией должен быть прекращен сразу.

Банки и сторонние сервисы в собственных средствах дистанционной коммуникации обязаны отображать пользователю информацию о неактивных разрешениях пользователя на предоставление сведений по счетам с возможностью получения пользователем детализированной информации о каждом таком разрешении. Период, за который отображается список неактивных разрешений пользователя на предоставление сведений по счетам, определяется ППП.

Дополнительные обязанности/запреты для банка при работе с разрешением

Кроме вышеуказанных требований, существуют также дополнительные требования, предусматривающие, что:

• банк должен отказать в принятии разрешения, если счет был закрыт. То есть подключение к закрытому счету (получение информации о закрытом счете) – запрещено (п. 51 Постановления НБУ № 80);
• банк и сторонний сервис обязаны отображать пользователю перечни активных и неактивных разрешений (с детализацией: когда предоставлено/отозвано, какой счет, объем данных). Банк и сторонний сервис должны хранить записи о предоставлении/отзыве разрешений: дата, время, идентификаторы сторон;
• банк и сторонний сервис должны обеспечивать хранение документов и информации о выполненных платежных операциях, инициированных плательщиком через ППП по инициированию платежной операции, и по всем разрешениям пользователя на предоставление сведений по счетам не менее пяти лет со дня прекращения деловых отношений с пользователем.

Практические требования к реализации интерфейса разрешения (что именно должно отображаться/выполняться в UI банка)

При принятии разрешения банк в своем мобильном/веб-интерфейсе должен четко показать и предложить пользователю:

• название и идентификацию стороннего сервиса;
• какой конкретно счет подключается (номер или его частично маскированный вид, например, последние цифры номера счета);
• объем доступа – какие данные могут передаваться стороннему сервису (баланс, выписки за определенный период и т.п.);
• срок действия разрешения (дата начала/завершения), который не может превышать 180 календарных дней;
• как отозвать разрешение (клавиша в приложении, ссылка в веб-интерфейсе, инструкция по необходимым действиям);
• запрос на SCA (например, подтверждение в приложении банка, OTP, подпись) – SCA должно быть выполнено перед окончательным подтверждением.

Кто проверяет и как подтверждается, что разрешение действительно активно?

Сторонний сервис должен проверять у банка (через API) наличие и статус разрешения перед каждым получением данных или инициацией платежа. Подобные проверки должны снизить риск работы с неактуальными разрешениями.

Короткий чек-лист для банка (что сделать технически/процедурно, чтобы соблюсти порядок получения разрешения согласно Постановлению НБУ № 80):

• привести веб-сайт банка в соответствие с требованиями Постановления НБУ № 80, в частности, положений Раздела IV Положения, утвержденного постановлением;
• обеспечить API для приема запросов на получение разрешения и предоставления статуса (активное/неактивное (отозванное));
• разработать/дополнить внутренние нормативно-правовые акты банка с учетом требований Постановления НБУ № 80;
• обеспечить получение разрешения пользователя – физического лица посредством платежного приложения банка, а в случае невозможности использования такого платежного приложения – другого средства дистанционной коммуникации;
• реализовать в своем канале (application/web) интерфейс для отображения пользователю всех обязательных пунктов относительно разрешений пользователя (AISP/PISP, счет, объем, срок, способ отзыва);
• обеспечить усиленную проверку подлинности (SCA) на этапе подтверждения разрешения;
• предусмотреть в договоре с пользователем условия предоставления доступа к счету такого пользователя стороннему ППП. Указать в договоре с пользователем ответственность сторон при предоставлении банком доступа к счету пользователя стороннему сервису;
• фиксировать и сохранять время/дату предоставления и отзыва разрешения, сохранять идентификаторы запросов;
• немедленно прекращать доступ по отозванному разрешению, регулярно отвечать на запросы о статусе разрешения от сторонних сервисов.

Следовательно, банковским учреждениям следует уделить внимание новому Положению относительно открытого банкинга и привести свою деятельность в соответствие с ним до 1 января 2026 года.