ENGДмитрий Агапитов — директор по развитию платежного сервиса SimplePay
В 2019 году россияне смогут переводить друг другу деньги, зная всего лишь номер телефона. Привязывать банковские карты к номеру при этом не нужно. Модель станет возможна благодаря внедрению принципов так называемой Второй платежной директивы PSD-2 (Payment Services Directive), которая с января 2018 года уже работает в странах Европейского Союза.
Внедрение механизма PSD-2 обязует банки предоставить клиентские базы данных и программные интерфейсы (API) для третьих лиц, собирающихся работать в финансовом секторе. Такой подход позволяет создать открытый банкинг, который убирает посредников при проведении финансовых операций. Ассоциация «Финтех» при Центральном банке РФ прорабатывает законодательство и механизмы перевода денег по номеру телефона. Отмечается, что банки будут раскрывать API и базы данных не бесплатно: новым игрокам рынка придётся платить по ежемесячному тарифу, который установят позднее.
Что такое PSD-2
Директива PSD-2 стала логичным развитием первой версии Payment Services Directive, которая была принята в 2007 году. В то время ещё не было большого количества цифровых игроков финансового рынка. Однако появлялось всё больше онлайн-сервисов, которые не подпадали под действие PSD-1, а значит, не регулировались странами ЕС. Целью PSD-2 стало упрощение внедрения инноваций в финансовый сектор, повышение защищенности и безопасности пользователей, увеличение конкуренции среди финансовых игроков. Финансовые организации по требованиям директивы будут предоставлять часть данных о клиентах через API новым игрокам рынка. По сути, это будет аналог мессенджера, когда онлайн-сервис задаёт вопрос финансовой организации, например, о доступности определенной суммы на счёте клиента, и получает ответ — положительный либо отрицательный. То есть полной передачи данных клиента не будет.
Новые игроки финансового рынка по требованиям PSD-2 обязаны проходить регистрацию и лицензирование в ЕС. Для работы им будет предоставлен доступ к счетам клиентов банков по технологии XS2A. С её помощью можно, скажем, предоставить клиенту отчёт обо всех проведённых финансовых операциях клиента вне зависимости от используемой банковской карты и вывести на одну информационную панель. Пользователи смогут получить полную картину о тратах денег. Все данные по технологии XS2A будут предоставляться только при согласии клиента.
В директиве PSD-2 рассмотрен и вопрос безопасности платежей. Интернет-платежи будут защищены с помощью SCA (Strong Customer Authentication). Концепция SCA заключается в использовании минимум двух элементов аутентификации. Например, элементом аутентификации служат знания пользователя: PIN, пароль, кодовое слово; биологическая идентификация: отпечаток пальца, голос, рисунок сетчатки; физические носители информации: карты, магнитные ключи или токены.
SCA будет применяться при каждом платеже, кроме тех, которые ниже установленных банком или пользователем лимита. Также SCA можно не применять, когда бенефициар платежа ранее был идентифицирован. Защита будет применяться при первом получении данных о счете или агрегированных финансовых данных от третьих лиц, затем запрос элементов аутентификации начнет повторяться раз в 90 дней. Из положительных моментов PSD-2 — обязательное требование возврата дебетовых платежей в течение 8 недель с момента совершения платежа, запрет на дополнительные комиссии при обслуживании карточных платежей. При неавторизованных платежах клиенты будут терять всего 50 евро, если только не будет доказан факт намеренного мошенничества или грубой небрежности клиента. Все эти действия направлены на защиту клиентов от мошеннических действий.
Как открытые API-интерфейсы помогают пользователям
Внедрение PSD-2 несёт для банков и клиентов как преимущества, так и недостатки. Однако европейские чиновники постарались свести негативные последствия к минимуму.
Кто уже внедряет API-интерфейсы
Ещё до ввода директивы PSD-2 ряд финансовых организаций и стартапов стали активно использовать открытые API в практике.
Банки
Citi bank в ноябре 2016 года запустил портал для разработчиков, открыв API для приложений. Предложением банка уже воспользовались 1 800 сервисов: от стартапов до крупных компаний. Например, API банка внедрил крупный сингапурский интернет-магазин Honestbee. Ожидается, что сотрудничество с Citi bank в ближайшее время начнут мессенджеры WeChat и LINE.
Сингапурский OCBC также открыл API-интерфейсы. В январе 2017 года у финансовой организации было 700 партнёров. Например, местная туристическая компания использовала API банка для оперативного получения курса валют, чтобы помочь клиентам правильно рассчитать сумму поездки.
Открыл собственные API украинский ПриватБанк. Он предложил мерчантам совершать и принимать платежи в автоматическом режиме, узнавать курсы валют, получать данные об условиях депозитов и кредитов, выводить локации банкоматов и офисов.
Платёжные системы
Платёжная система Visa создала отдельную платформу Visa Developer, которая дает доступ к информации о клиентах через API. Например, можно получить данные о владельце счета, провести p2p-перевод, предоставить возможность контроля для расходов, получить оповещения о транзакциях. Этой платформой могут пользоваться платежные провайдеры и финансовые организации.
Финтех-сервисы
Примером использования API в сфере финансовых технологий служит американское приложение Mint. В 2009 году разработчики хотели создать инструмент для контроля личных финансов и предложили технологию, основанную на взаимодействии с API банковских организаций. К 2012 году проекту удалось агрегировать информацию от 16 000 финансовых организаций. В 2011—2013 годах несколько крупных финансовых организаций США и Канады прекратили сотрудничество с сервисом, так как он показывал сравнения параметров кредитных карт и банковских счетов. Однако пользователи банков потребовали вернуться к сотрудничеству, и финансовые организации вынуждены были согласиться с клиентами.
Платежный провайдер SimplePay интегрировал свой API с популярными CMS интернет-магазинов — WordPress, 1С Битрикс и Drupal. SimplePay также предлагает собственный API, который подходит для любых сайтов и интеграции с биллингами: ISPManager, BGBilling, MikBILL.
Кенийский сервис M-Shwari через API позволяет клиентам использовать мобильный телефон для доступа к депозитным и кредитным продуктам банка. Вся работа строится на мобильном приложении или USSD-запросах, в зависимости от модели телефона клиента. Сервис позволяет переводить деньги другим пользователям, получать кредиты и пополнять депозитные счета пользователей.
Мобильные операторы
В 2017 году российский телеком-оператор МТС запустил сервис «Кошелек МТС Деньги». Он позволяет проводить платежи между абонентами, имеет мобильный банкинг и проводит оплату услуг и продуктов внутри приложения. Телефонный номер используется как единый идентификатор абонента, что полностью совпадает с требованиями директивы PSD-2. Кроме того, МТС в будущем предложит абонентам других операторов также подключиться к сервису «Кошелек МТС Деньги». Для этого достаточно будет пройти идентификацию через SMS или USSD запрос. Для работы с «Кошелек МТС Деньги» компания подключила «МТС банк», который стал эквайером, расчетным банком и эмитентом счетов пользователей сервиса. Данные передаются в приложение через API, и пользователи знают об остатках на счетах и проведённых операциях. При этом партнёрам проекта предлагают воспользоваться открытым API сервиса «Кошелек МТС Деньги».
На волне скорого внедрения PSD-2 уже появляются стартапы, готовые помочь в работе. Например, проект Token предлагает облачную технологию, которая позволит внедрить банкам PSD-2. По сути, Token — платёжная система, которая объединит банки для удобства клиентов. Создатели проекта утверждают, что у них будет меньше комиссия при оплате, чем у банковских карт. А покупателям не придётся искать точки, где принимают карты их платёжной системы, ведь Token станет работать с большим количеством банков.
