Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Старт відкритого банкінгу в Україні: Постанова НБУ № 80

Майстер-клас: секрети випікання найсмачніших млинців!

12.09.2025

Уявіть ситуацію: у вас кілька банківських рахунків, де зарплата знаходиться на одному, особистий рахунок – в іншому, кредитка – в третьому банку. Також ви регулярно робите онлайн-оплати та для цього маєте віртуальний рахунок. І щоб все перевірити, доводиться відкривати чотири різні додатки. Звучить знайомо? Тепер уявіть, що все це зведено в один зручний для вас інтерфейс, де ви бачите повну картину і можете одним кліком робити перекази та здійснювати оплати. Це не фантазія, а відкритий банкінг. А як працюватиме Open Banking (Україна), розбираємось далі.

Що таке відкритий банкінг?

Відкритий банкінг (Open Banking) – це концепція, яка передбачає вільний обмін фінансовою інформацією між банками, фінтех-компаніями та іншими фінансовими провайдерами. Технічно це забезпечується інтеграціями через API та ґрунтується на принципах безпечного обміну даними, що дозволяє третім сторонам отримувати доступ до фінансової інформації та ініціювати платежі. Головне те, що безпека і доступ лише за згодою користувача!
Що це означає для користувачів та бізнесу? Відкритий банкінг дозволить клієнтам самостійно контролювати власні фінанси та безпечно ділитися банківськими даними з іншими сервісами. Основними можливостями є:
● мультибанківський доступ та централізований контроль;● легкий переказ коштів між різними рахунками;● зручна оплата послуг;● автоматизація фінансової звітності.
Розуміючи, що таке відкритий банкінг, ви зможете легше адаптуватися до нових вимог.

Законодавча основа

Ключовим документом, що закладає правову та технічну основу для українського відкритого банкінгу відповідно до Закону «Про платіжні послуги», є Постанова НБУ № 80 «Про затвердження Положення про відкритий банкінг в Україні» від 25.07.2025, яка набула чинності з 01.08.2025. Оскільки Україна перебуває на етапі євроінтеграції, дане розпорядження є значним кроком до імплементації європейських стандартів та норм, а саме тих, що визначені Директивою ЄС про платіжні послуги 2015/2366 (PSD2), яка регулює безпечний та структурований обмін даними, встановлює вимоги до API, ідентифікації клієнта (SCA), шифрування даних та моніторингу операцій, забезпечуючи високий рівень захисту відкритого банкінгу.
Постанова описує принципи та вимоги функціонування системи відкритого банкінгу в Україні, встановлюючи чіткі ролі та вимоги до нижче наведених учасників:
1. Надавачі платіжних послуг з обслуговування рахунків (НПП з обслуговування рахунків, англ. ASPSP): це передусім банки, а також інші фінансові установи, які мають право відкривати та обслуговувати платіжні рахунки користувачів. Їх основним обов'язком є надання доступу до цих рахунків через спеціалізовані API.
2. Технологічні оператори платіжних послуг, що отримали право на надання послуг у межах відкритого банкінгу. Тобто, це фінтех-компанії.3. Сторонні надавачі платіжних послуг (сторонні НПП):           ● Надавачі платіжних послуг з ініціювання платіжної операції (НПП з ініціювання платіжної операції, англ. PISP): компанії, які, за згодою користувача, ініціюють переказ коштів з його рахунку. Важливо, що вони не мають доступу до коштів, а лише надають запит НПП з обслуговування рахунків на їх переказ.
Надавачі послуг з надання відомостей з рахунків (НПП з надання відомостей з рахунків, англ. AISP): компанії, які отримують доступ до інформації про залишки на рахунках та історію операцій користувача платіжних послуг.
Варто зауважити, що упродовж п’яти місяців (з 01.01.2026) НПП з обслуговування рахунків (банки) повинні привести свою діяльність у відповідність до вимог даного Положення!
Особлива увага в Постанові НБУ № 80 приділяється безпеці. Це стосується не лише захисту API від кібератак, а й заходів, зокрема: 
● забезпечення надійних механізмів автентифікації користувачів;● шифрування даних;● постійного моніторингу запитів та платіжних операцій на випадки підозрілої активності. 
Такий комплексний підхід мінімізує ризики інформаційної безпеки, зміцнюючи довіру споживачів до нових цифрових послуг та забезпечуючи стабільність всієї фінансової системи країни.

Що вимагає Постанова?

З моменту набрання чинності Постанови учасники відкритого банкінгу зобов’язані дотримуватись зазначених вимог. При цьому для кожного учасника встановлено різні вимоги, враховуючи їх роль.
Основними вимогами до НПП з обслуговування рахунків (ASPSP) є:
● надання безперервного доступу до рахунків користувачів (за згодою) через API;● блокування доступу до рахунків користувачів за їх ініціативою;● забезпечення безпечного обміну та захисту інформації;● зазначення в договорах умови доступу до рахунків користувачів та відповідальності сторін;● перевірка наданої згоди користувачем щодо обробки інформації стороннім НПП;● впровадження процесів щодо контролю за платіжними операціями, ініційованими користувачем через НПП з ініціювання платіжної операції;● здійснення моніторингу операцій на випадки виявлення аномальної активності та шахрайських дій.
Водночас банки мають право блокувати підозрілі запити, розробляти власні комерційні API та вимагати підтвердження автентичності від сторонніх провайдерів.Щодо сторонніх НПП (PISP та ASPSP) основними вимогами є:
● отримання кваліфікованого сертифіката відкритого банкінгу в НБУ;● налаштування власних інформаційних систем для структурованого і безпечного обміну даними з НПП з обслуговування рахунку;● гарантування безпечного обміну інформацією з НПП з обслуговування рахунку та з користувачем, а також захист такої інформації під час надання нефінансових платіжних послуг;● ідентифікація перед НПП з обслуговування рахунку з використанням кваліфікованого сертифіката відкритого банкінгу;● надання інформації про свою діяльність на запити НБУ;● зазначення в договорах умови доступу до рахунків користувачів та відповідальності сторін;● зберігати документацію та звітність щонайменше 5 років.
Варто зауважити, що вони не можуть зберігати платіжні дані клієнта чи змінювати платіжні інструкції користувача.

Роль користувача у відкритому банкінгу

Важливим принципом відкритого банкінгу є повний контроль користувача платіжних послуг над власними фінансовими даними. Відповідно в Постанові зазначається наступне:
● клієнт самостійно визначає, кому і на який визначений час надати доступ (строк дії не може перевищувати 180 днів!);● згода на платіж підтверджується щоразу під час операції;● клієнт може відкликати доступ у будь-який момент;● кожна згода фіксується із зазначенням точного часу та дати.
У результаті клієнт отримує право вирішувати, хто і як може користуватися його фінансовими даними.

Послуги «IT Specialist»: гарантія відповідності

Дотримання регуляторних вимог – це обов’язок для будь-якої фінансової установи, а не просто формальність. Запуск відкритого банкінгу ускладнює роботу: з’являються нові ризики, які необхідно постійно ідентифікувати, оцінювати та належним чином обробляти. Для установ, що працюють із платіжними картками, особливого значення набуває відповідність стандарту PCI DSS – він охоплює всі процеси обробки, зберігання та передачі даних карток і створює додатковий, критично важливий рівень захисту поруч із локальними регуляторними вимогами. Паралельно інші міжнародні стандарти, зокрема ISO/IEC 27001, а також специфічні галузеві вимоги (3DS, PIN Security, SWIFT), формують підґрунтя для побудови процесів інформаційної безпеки, що підвищує загальний рівень кіберстійкості та допомагає будувати довіру клієнтів і партнерів.
Щоб гарантувати відповідність і мінімізувати ризики, необхідна системна експертиза. «IT Specialist» пропонує послуги аудитів відповідності, включно з вимогами PCI DSS, 3DS, PIN Security, SWIFT, ISO/IEC 27001, повноцінним тестуванням на проникнення API та додатків (pentest), впровадження SOC, а також практичним консалтингом з розробки політик та внутрішніх нормативних документів, розробкою та впровадженням інтеграційних рішень. Це не тільки знижує ризики та допомагає пройти регуляторні перевірки, але й дозволить швидко та безпечно використовувати можливості відкритого банкінгу. Разом ми розберемося, що таке Open Banking та як нові правила вплинуть на роботу саме вашої компанії.

Висновок

Відкритий банкінг продовжує трансформувати фінансову сферу, відкриваючи клієнтам більше можливостей і доступ до сучасних рішень. Мобільні банківські додатки стають все більш популярними, а API виступають ключовою частиною відкритого банкінгу, гарантуючи безпечне підключення різних сервісів і щораз більшу взаємодію між ними. Завдяки цьому клієнти можуть зручніше здійснювати фінансові операції, ефективніше контролювати свої витрати та бюджетування. Відкритий банкінг – це наступний логічний крок у розвитку фінансової сфери в Україні, що дозволяє користувачам отримувати сучасні сервіси, а компаніям – краще розуміти потреби клієнтів.
Компаніям, що прагнуть відповідати вимогам регулятора, захистити своїх клієнтів та бути лідерами на ринку фінансових послуг, необхідно додатково залучати професійну експертизу та технологічні рішення. Досвід та спеціалізовані послуги «IT Specialist» є ключовими для ефективного й безпечного впровадження відкритого банкінгу в Україні. Ми готові стати вашим надійним партнером на кожному етапі цього шляху. Ми переконані: інформаційна безпека – не витрати, а стратегічна інвестиція в безперервність бізнес-процесів, зміцнення довіри клієнтів і забезпечення стабільності.
Звертайтеся до наших фахівців, щоб дізнатися про відкритий банкінг в Україні більше та підібрати рішення саме для вашого бізнесу.

IT Specialist — безпечна інтеграція в майбутнє!

Автор статті: Дмитро Чуб (Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів)

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124