Кібербезпека критичної інфраструктури

26.09.2025

У попередній статті «Старт відкритого банкінгу в Україні: Постанова НБУ № 80» було розглянуто регуляторні аспекти відкритого банкінгу та затвердження Положення НБУ № 80. Згідно з ним, відкритий банкінг передбачає безпечний і структурований обмін даними між надавачами платіжних послуг (НПП) через спеціалізовані API, за згодою користувача, з метою отримання інформації про рахунок (балансу, історії операцій) та ініціювання платежів.
Запровадження відкритого банкінгу – це не просто технічна зміна, а глобальна тенденція, що трансформує фінансову індустрію. Щоб зрозуміти, як ефективно реалізувати цю екосистему, варто звернути увагу на світовий досвід. Далі ми розглянемо, як різні країни світу підійшли до цього і які технічні рішення вони обрали.

Світовий досвід банків: яка ситуація в інших країнах?

Велика Британія. 2 лютого 2017 року стала першою країною, де відкритий банкінг набув обов’язкового характеру відповідно до постанови установи Competition and Markets Authority (CMA). Ключовою вимогою до 9 найбільших ASPSP (так звані CMA9) було відкриття доступу до своїх систем через уніфіковані API.Для впровадження відкритого банкінгу було створено організацію Open Banking Implementation Entity (OBIE), яка розробила технічні стандарти/специфікації read/write APIs та стандартизований профіль безпеки відкритого банкінгу для безпечного обміну інформацією, що базується на FAPI (Financial-grade API) від OpenID Foundation (OIDF).
З технічного боку, «британська модель» реалізована наступним чином:
● використання протоколів авторизації OAuth 2.0 та протоколу автентифікації ідентичності OpenID Connect (OIDC);● взаємна автентифікація на основі mTLS з використанням кваліфікованих сертифікатів eIDAS (electronic IDentification, Authentication and trust Services): - QWAC (Qualified Website Authentication Certificate); - QSeal (Qualified Electronic Seal);● використання механізмів PKCE (Proof Key for Code Exchange) та PAR (Pushed Authorization Requests) для захисту від атак перехоплення та конфіденційності запитів;● використання індикаторів ризику для посилення антишахрайського захисту на основі наступних даних: - IP-адреса та інша інформація пристрою; - геолокація; - Payment Context Code – код, який вказує на контекст платежу; - Payment Purpose Code – код ідентифікації мети платежу.
ASPSP Barclays реалізував у своєму порталі Account & Transactions API, через який сторонні надавачі платіжних послуг (AISP та PISP) можуть отримати дані про рахунки клієнтів за згодою користувача. Авторизація відбувається у власному середовищі Barclays, яке після підтвердження видає OAuth-токен. ASPSP HSBC пішов далі, реалізувавши risk-based моніторинг, де кожен API-запит містить додаткові параметри середовища для оцінки ризиків.
Таким чином, британський досвід показав: чітке регулювання та єдиний стандарт – швидкий і безпечний запуск відкритого банкінгу.

Німеччина та ЄС. В попередній статті ми розглянули, що впровадження відкритого банкінгу в Україні є частиною адаптації національного законодавства до європейських норм, зокрема до вимог Директиви ЄС про платіжні послуги 2015/2366 (PSD2). Основними додатковими документами, що регламентують ці процеси в Європі, є Регуляторні технічні стандарти (RTS), розроблені European Bank Authority (EBA). Ці регламенти зобов’язали банки надавати доступ до рахунків через API та впроваджувати посилену автентифікацію клієнтів (SCA).
Більшість європейських банків об’єднались в ініціативу Berlin Group (3600 ASPSP), яка розробила технічний стандарт/фреймворк NextGenPSD2, що передбачає наступне:
● REST/JSON API;● уніфіковані схеми потоку фінансових даних, що побудовані відповідно до ISO/IEC 20022 – Financial Services – Universal financial message scheme;● авторизацію за допомогою OAuth 2.0 із PKCE (Proof Key for Code Exchange);● взаємне TLS-шифрування на основі eIDAS сертифікатів (QWAC для TLS, QSeal для підпису повідомлень);● ведення окремих Consent API для управління дозволами користувачів.
ASPSP Deutsche Bank створив платформу DB API, де AISP/PISP отримують доступ до сервісів (платежі, рахунки, транзакції) через OAuth2 та JWT-токенів (JSON Web Token). ASPSP Commerzbank розробив API з підтримкою Berlin Group і надає SDK (Software Development Kit, devkit), щоб стороннім компаніям було простіше інтегруватися.
У підсумку «європейська модель» близька до «британської», проте базується на ширшій нормативній основі PSD2.

Сінгапур: підхід під координацією MAS. На відміну від Європи чи Великої Британії, у Сінгапурі відкритий банкінг не є обов’язковим. У 2016 році Monetary Authority of Singapore (MAS) у співпраці з Association of Banks in Singapore (ABS) розробили документ «Finance-as-a-Service: API Playbook», який стандартизував API.
ASPSP DBS Bank став лідером у впровадженні: він відкрив для розробників понад 150 API у різних категоріях (рахунки, платежі, картки, кредити). Це один із найбільших банківських порталів у світі. ASPSP OCBC Bank також розвинув власну платформу, зробивши акцент на sandbox-середовищі, яке дозволяє стартапам інтегрувати та тестувати свої рішення без ризику.
У Сінгапурі роль регулятора здебільшого координаційна: він формує спільні правила, але не змушує банки. Це створює більш гнучке середовище, де API стають інструментом цифрової стратегії кожного банку.

Бразилія: програма «Open Finance». Країна пішла шляхом поетапного запуску. У 2020 році Центральний Банк Бразилії оголосив програму «Open Finance», яка складається з наступних кроків:
1. Доступ до загальної інформації (продукти, тарифи).2. Доступ до рахунків і транзакцій.3. Ініціювання платежів.4. Розширення функціоналу для кредитування, інвестицій та страхування.
З технічного боку Бразилією було впроваджено суворі вимоги. Тут застосовується FAPI Advanced Security Profile, що передбачає наступне:
● усі запити підписуються за допомогою JWS (JSON Web Signature);● авторизація здійснюється за допомогою PAR (Pushed Authorization Requests);● використовується mTLS та JWE (JSON Web Encryption) для шифрування повідомлень;● реалізовано поділ рівнів автентифікації: - LoA2 – для доступу до даних; - LoA3 – для ініціації платежів з багатофакторною автентифікацією.
Великі ASPSP, такі як Banco do Brasil, Bradesco та Itaú Unibanco, активно просувають Open Finance API, створюючи публічні портали з документацією для розробників. Багато з цих банків отримали офіційні FAPI-сертифікати OpenID Foundation, що підтверджує дотримання найвищих міжнародних вимог безпеки та робить бразильську модель однією з найбільш технологічно просунутих у світі.

Проміжний висновок

На основі викладеної інформації можна виділити ключові характеристики кожної країни щодо впровадження відкритого банкінгу. Наступна таблиця узагальнює ці дані, дозволяючи порівняти підходи різних регіонів до розвитку фінансових технологій.

Таблиця 1. Порівняння досвіду впровадження відкритого банкінгу у світі

Критерій порівняння	Велика Британія	Німеччина та ЄС	Сингапур	Бразилія
Регулятор	Open Banking Implementation Entity (OBIE)	Berlin Group (NextGenPSD2)	Monetary Authority of Singapore (MAS)	Центральний Банк Бразилії
Основний стандарт	Специфікації OBIE (на базі FAPI)	NextGenPSD2	Finance-as-a-Service: API Playbook	Специфікації FAPI Advanced Security Profile
Схема впровадження	Одночасний запуск	Одночасний запуск за вимогами PSD2	Гнучкий, добровільний	Поетапний запуск (4 етапи)
Протоколи безпеки	OAuth 2.0, OpenID Connect, mTLS (QWAC/QSeal), PKCE, PAR	OAuth 2.0, PKCE, mTLS (QWAC/QSeal)	OAuth 2.0, TLS	JWS, PAR, mTLS, JWE, поділ LoA2/LoA3
Основні інструменти	Read/write APIs, стандарти безпеки на основі FAPI	REST/JSON API, стандарт ISO 20022, окремий Consent API	Понад 150 API, акцент на Sandbox-середовищах	Окремі API для: рахунків та транзакцій, доступу до даних про кредити, обміну персональними даними, ідентифікації
Ключові ASPSP	CMA9 (Barclays, HSBC тощо)	Deutsche Bank, Commerzbank	DBS Bank, OCBC Bank	Banco do Brasil, Bradesco, Itaú Unibanco
Головна особливість	Регуляторна настанова та єдиний стандарт, що прискорив впровадження	Широка уніфікація на рівні ЄС, що дала змогу створити великий ринок	Гнучкість, яка стимулює інновації та конкуренцію. Координація роллю регулятора	Високий рівень безпеки (FAPI Advanced), поетапність впровадження

У другій частині матеріалу “Відкритий банкінг: технічні рішення” ми розглянемо основні механізми Open Banking, а також поговоримо про рішення, які вже доступні клієнтам компанії IT Specialist.

IT Specialist — безпечна інтеграція в майбутнє!

Автор статті: Дмитро Чуб (Директор напряму автоматизації, інтеграції та аудиту бізнес- процесів)

Безпечна інтеграція в майбутнє

Безпечна інтеграція в майбутнє

Відкритий банкінг: світовий досвід

Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву