Otwarta bankowość

Otwarta bankowość to termin związany z usługami finansowymi w ramach technologii finansowej . Odnosi się do:

Wykorzystanie otwartych interfejsów API , które umożliwiają niezależnym programistom tworzenie aplikacji i usług wokół instytucji finansowej.
Większe opcje przejrzystości finansowej dla posiadaczy rachunków, od otwartych danych po dane prywatne.
Wykorzystanie technologii open source do osiągnięcia powyższego.

Otwarta bankowość, jako koncepcja, może być uważana za podgatunek koncepcji otwartej innowacji , terminu promowanego przez Henry'ego Chesbrougha . Wiąże się to ze zmianami w podejściu do kwestii własności danych, czego przykładem są regulacje takie jak RODO oraz koncepcje takie jak ruch otwartych danych . Banki zamieniają się w platformy usług finansowych, technicznie realizowane poprzez Banking as a Service .

Historia

W październiku 2015 r. Parlament Europejski przyjął zmienioną dyrektywę w sprawie usług płatniczych , znaną jako PSD2 . Nowe zasady miały na celu promowanie rozwoju i wykorzystania innowacyjnych płatności internetowych i mobilnych poprzez otwartą bankowość.

Poparcie dla koncepcji nie było jednomyślne. Mick McAteer z brytyjskiego Centrum Integracji Finansowej uważał, że skorzystają na tym tylko osoby obeznane z technologią. Powiedział, że otwarta bankowość to „głupi pomysł”, który doprowadzi do większego wykluczenia finansowego osób o niskich dochodach. Powiedział, że naiwnością organów regulacyjnych jest oczekiwanie, że konsumenci będą posiadać swoje dane i będą mogli uzyskać lepsze oferty od banków, i zwrócił uwagę na niebezpieczeństwo wykorzystywania konsumentów przez firmy oferujące nowe rodzaje drogich pożyczek do wypłaty lub niewłaściwe wykorzystanie danych i dane osobowe, które ludzie ujawnili w miejscach takich jak media społecznościowe .

Unia Europejska

Warstwa regulacyjna

Istnienie otwartej bankowości jest uwarunkowane prawem. W Unii Europejskiej to regulacje wydają się być głównym katalizatorem jej rozwoju. Aktem prawnym regulującym funkcjonowanie otwartej bankowości jest znowelizowana Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, czyli PSD2 .

Dyrektywa PSD2 to ustawa o zmianie ustawy o usługach płatniczych i aktów z nią związanych (w tym rozporządzenia delegowanego uzupełniającego dyrektywę Parlamentu Europejskiego i Rady 2015/2366 w zakresie regulacyjnych standardów technicznych dotyczących silnego uwierzytelnienia klienta oraz wspólnych i bezpiecznych otwartych standardów komunikacji ). Wprowadziła szereg nowych usług, definicji i obowiązków dla uczestników rynku. Najważniejsze z nich to:

Usługa inicjowania płatności (PIS) — usługa polegająca na zainicjowaniu zlecenia płatniczego na żądanie użytkownika usług płatniczych w związku z rachunkiem płatniczym prowadzonym u innego dostawcy usług płatniczych, zdefiniowana w art. 67 PSD2;
Usługa dostępu do informacji o koncie (AIS) – usługa online polegająca na przekazywaniu skonsolidowanych informacji o co najmniej jednym rachunku płatniczym posiadanym przez danego użytkownika usług płatniczych u innego dostawcy usług płatniczych lub u więcej niż jednego dostawcy usług płatniczych, zdefiniowana w art. 66 PSD2;
Potwierdzenie dostępności środków (COF) — usługa polegająca na potwierdzeniu dostępności na rachunku płatniczym płatnika kwoty niezbędnej do wykonania transakcji płatniczej, o której mowa w art. 65 PSD2;
Silne uwierzytelnianie klienta (SCA) — uwierzytelnianie oparte na wykorzystaniu co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie tylko użytkownik), posiadanie (coś, co posiada tylko użytkownik) oraz cechy klienta (coś, co użytkownik ), niezależne w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, których uwierzytelnienie jest zaprojektowane w sposób chroniący poufność danych uwierzytelniających;
Nowa kategoria usługodawców, czyli podmioty świadczące w/w usługi, osoby trzecie (TPP — Third Party Provider):
- Dostawca usługi inicjowania płatności (PISP),
- Dostawca usługi dostępu do informacji o rachunku (AISP),
- Dostawca Usług Wydawcy Instrumentu Płatniczego (PIISP).
Obowiązek udostępnienia Dostawcom Usług Rachunkowych (ASPSP) dedykowanego interfejsu programistycznego (API), umożliwiającego podmiotom trzecim (TPP) świadczenie usług inicjowania płatności (PIS), dostępu do informacji o rachunku (AIS) oraz potwierdzania dostępności środków ( CAF).

Wyżej wymienione podmioty zewnętrzne podlegają nadzorowi instytucji nadzoru finansowego we wszystkich krajach Unii Europejskiej.

Po ponad dwóch latach od wejścia w życie przepisów PSD2, które miało miejsce 13 września 2019 r., Komisja Europejska ogłosiła rozpoczęcie procedury przeglądu dyrektywy.

W wezwaniu do konsultacji opublikowanym 18 października 2021 r. skierowanym do EBA (Europejskiego Urzędu Nadzoru Bankowego) Komisja Europejska określiła obszary, które zostaną przeanalizowane podczas przeglądu dyrektywy:

Zakres dyrektywy i definicje użyte w tekście
Licencjonowanie instytucji płatniczych i nadzór nad dostawcami usług płatniczych w ramach PSD2
Przejrzystość warunków i wymogów informacyjnych
Prawa i obowiązki wynikające z dyrektywy
Silne uwierzytelnianie klienta (SCA)
Dostęp do danych konta płatniczego i korzystanie z nich w związku z inicjowaniem płatności i usługami dostępu do informacji o rachunku
Dostęp do systemów płatności oraz dostęp do rachunków prowadzonych w instytucji kredytowej
Tematy międzysektorowe
Egzekwowanie PSD2

Zmiany w dyrektywie (przyjęcie przez Komisję) planowane są na IV kwartał 2022 r.

Warstwa biznesowa

Otwarta bankowość wpisuje się w światowy trend gospodarki opartej na wykorzystaniu API (ang. API economy) do tworzenia nowych usług i produktów wykorzystujących dane lub określone funkcjonalności innych dostawców. Wykorzystanie tego trendu można zaobserwować w innych obszarach gospodarki cyfrowej, do których należą działania dużych firm technologicznych. Rozwój otwartej bankowości wiąże się również ze zmianami oczekiwań klientów wobec dostawców, w tym przypadku usług bankowych i płatniczych — klienci przenoszą swoje doświadczenia z innych obszarów, takich jak portale społecznościowe czy e-commerce, oczekując, że bank zapewni również im równie atrakcyjny produkt. Klienci chcą decydować, z czego będą korzystać i w jakim kanale. Oczekują produktów dostosowanych do ich potrzeb. Aby sprostać podobnym oczekiwaniom, banki muszą koniecznie nawiązać współpracę z innymi podmiotami. W ten sposób otwiera się droga do budowania nowych usług i produktów w oparciu o wykorzystanie danych finansowych. Nowe regulacje i standaryzacja interfejsów w połączeniu z oczekiwaniami klientów powodują pojawienie się na rynku nowych, atrakcyjnych produktów finansowo-płatniczych. Przykładowymi korzyściami dla konsumentów wynikającymi z otwartej bankowości mogą być:

wsparcie w zarządzaniu finansami,
dostęp do produktów wcześniej niedostępnych — np. dzięki nowym metodom oceny zdolności kredytowej, lepszemu dopasowaniu itp.,
nowe rodzaje produktów bankowych i płatniczych,
łączenie usług bankowych i pozabankowych (np. ubezpieczenia),
promowanie handlu elektronicznego.

Trzeba jednak pamiętać, że otwarta bankowość to także szereg zagrożeń. Zagrożenie atakami cyberprzestępców jest oczywiste, gdyż rośnie liczba podmiotów, które będą posiadały dane pozwalające na oszustwa i kradzieże. Ale zagrożenia pojawiają się także w innych aspektach, przede wszystkim prywatności — wiele nowych modeli biznesowych opiera się na koncepcji „ freemium” ", w której część funkcjonalności może być "odpłatna" za udostępnienie swoich danych. Istnieje ryzyko stosowania agresywnych praktyk rynkowych (w tym np. windykacji) lub oferowania droższych produktów na podstawie analizy danych finansowych Wiele wątpliwości pojawia się również w kontekście wykorzystania zautomatyzowanych rozwiązań opartych na sztucznej inteligencji lub uczeniu maszynowym — kto jest odpowiedzialny za decyzje podejmowane przez maszynę, czy rzeczywiście można zautomatyzować wszystkie decyzje finansowe itp. Wreszcie rozwój nowych, często złożone usługi i produkty mogą prowadzić do pogłębiającego się wykluczenia cyfrowego i finansowego tej części społeczeństwa, która z różnych powodów nie może korzystać z dostępu do najnowszych technologii.

Schemat dostępu API SEPA

W Europie rozwija się kilka koncepcji, które zakładają rozwiązania wdrażane przez instytucje płatnicze w oparciu o przepisy PSD2. Inicjatywa SEPA API Access Scheme została zapoczątkowana przez ERPB (Euro Retail Payment Board), strategiczny organ doradczy Europejskiego Banku Centralnego . Inicjatywa została opisana w dwóch raportach, pierwszy został opublikowany 31 maja 2019 r., a drugi 4 czerwca 2021 r. Informacja o przekazaniu inicjatywy do dalszych prac i wdrożenia schematu SEPA API Access przez Europejska Rada ds. Płatności .

Proponowany schemat określi zasady współpracy pomiędzy podmiotami w nim uczestniczącymi określi standardowe metody realizacji wybranych usług w oparciu o wykorzystanie API (otwartych interfejsów programistycznych) oraz systemu rozliczeń i płatności za te usługi. Punktem wyjścia do prac nad schematem były usługi PSD2 świadczone przez europejskie instytucje kredytowe, które pozostaną bezpłatne dla osób trzecich. Inne usługi, określane jako usługi dodane, usługi premium lub usługi rozszerzone, mogą być monetyzowane przez instytucje kredytowe na zasadach przyjętych w systemie. Zasady te oraz ogólne założenia systemu zostałyby omówione z odpowiednimi dyrekcjami generalnymi Komisji Europejskiej.

Struktura API openFinance Grupy Berlin

26 października 2020 roku Grupa Berlińska powołała nową grupę zadaniową o nazwie The Berlin Group openFinance API Framework, która zastąpiła dotychczasową grupę zadaniową odpowiedzialną za stworzenie standardu NextGenPSD2. Prace nowej grupy zadaniowej koncentrują się na standaryzacji usług dodanych (tzw. premium services), które instytucje kredytowe mogą udostępniać uprawnionym podmiotom trzecim na podstawie umów dwustronnych lub potencjalnych nowych schematów płatności (patrz SEPA API Access Scheme).

Warstwa technologiczna

Najważniejszym elementem warstwy technologicznej otwartej bankowości jest interfejs programowania aplikacji ( API ), w kontekście otwartej bankowości — otwartej, czyli zakładającej publiczny dostęp deweloperów do systemów i rozwiązań należących do firm (tutaj: instytucji finansowych, przede wszystkim banki). W Unii Europejskiej niektóre instytucje finansowe (w tym banki) zostały zobowiązane na mocy obowiązującego prawa ( Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, PSD2 ) udostępniania interfejsu programowania aplikacji (API) w ściśle określonym zakresie, inne instytucje samodzielnie zdecydowały o udostępnieniu API. W związku z tym, że zaangażowanych instytucji finansowych, działających tylko na rynku europejskim, jest kilka tysięcy, zaczęto tworzyć inicjatywy normalizacyjne. Inicjatywy takie mają na celu przygotowanie standardowej specyfikacji interfejsu programowania aplikacji, udostępnianej przez zobowiązane instytucje finansowe, tak aby korzystanie z nich przez uprawnione osoby trzecie było łatwiejsze i bezpieczniejsze. Do najważniejszych inicjatyw normalizacyjnych w Unii Europejskiej należą:

NextGenPSD2 — Ogólnoeuropejska inicjatywa normalizacyjna prowadzona przez The Berlin Group .
standard STET — opracowany przez francuską izbę rozliczeniową (STET); w swoim kształcie standard był jak najbardziej zbliżony do standardu NextGenPSD2 The Berlin Group w ramach projektu konwergencji.
Slovak Banking API — projekt standaryzacji w całości prowadzony przez Stowarzyszenie Banków Słowackich we współpracy z Narodowym Bankiem Słowacji , udostępniany w formie dokumentacji.
PolishAPI — standard PolishAPI definiuje interfejs na potrzeby usług świadczonych przez podmioty trzecie w oparciu o dostęp do rachunków płatniczych, czyli usług wprowadzonych znowelizowaną dyrektywą o usługach płatniczych w ramach rynku wewnętrznego (PSD2). Uczestnikami inicjatywy standaryzacyjnej PolishAPI są Związek Banków Polskich wraz ze zrzeszonymi bankami komercyjnymi i spółdzielczymi oraz zewnętrzni dostawcy.

Zjednoczone Królestwo

Interwencja konkurencji

W sierpniu 2016 r. brytyjski Urząd ds. Konkurencji i Rynków (CMA) wydał orzeczenie, które zobowiązało dziewięć największych brytyjskich banków – HSBC , Barclays , RBS , Santander , Bank of Ireland , Allied Irish Bank , Danske Bank , Lloyds i Nationwide – do umożliwić licencjonowanym startupom bezpośredni dostęp do ich danych aż do poziomu transakcji-rachunku .

Kierunek wszedł w życie 13 stycznia 2018 roku, a przy użyciu standardów i systemów stworzonych przez Open Banking Limited, organizację non-profit stworzoną specjalnie do tego zadania. Jednak egzekwowanie spoczywa na Urzędzie ds. Konkurencji i Rynków . Za ochronę konsumentów odpowiada Financial Conduct Authority (FCA) (w przypadku informacji o koncie i usług inicjowania płatności zgodnie z dyrektywą PSD2) lub Information Commissioner's Office (w przypadku danych).

Kierunek CMA dotyczy tylko dziewięciu największych banków i działa równolegle z szerszymi zasadami PSD2 , które mają zastosowanie do wszystkich dostawców rachunków płatniczych.

Przyjęcie

Od stycznia 2020 r. 202 dostawców regulowanych przez FCA jest zarejestrowanych w Open Banking. Wiele z nich zapewnia aplikacje finansowe, które pomagają zarządzać finansami, a także firmy udzielające kredytów konsumenckich, które korzystają z otwartej bankowości w celu uzyskania dostępu do informacji o koncie w celu kontroli i weryfikacji przystępności cenowej.

Przyszłe zarządzanie

W marcu 2021 r. CMA przeprowadziła konsultacje w sprawie uzgodnień dotyczących przyszłego nadzoru nad otwartą bankowością. Konsultacje te odnosiły się do propozycji UK Finance (stowarzyszenia branżowego sektora bankowego i finansowego), które wraz z zainteresowanymi stronami opracowało plan nowej organizacji („przyszły podmiot”), która zastąpi OBIE w jego obecnej formie, która zaspokoiłby potrzeby znacznie większej liczby instytucji finansowych, umożliwiając otwarcie rynku otwartych danych i płatności.

Stany Zjednoczone

Organizacja Financial Data Exchange (FDX) powstała w 2018 roku jako konsorcjum non-profit, które pod koniec 2018 roku zaczęło pozyskiwać członków ze społeczności fintech i bankowości. W skład grupy wchodzą największe instytucje finansowe oraz agregatory i fintechy. Założyciele starali się stworzyć wspólny standard techniczny, aby umożliwić bezpieczne udostępnianie danych finansowych za zgodą konsumentów, skutecznie brzmiąc jako pierwszy sygnał, że Stany Zjednoczone zamierzają dążyć do czegoś takiego jak otwarta bankowość. FDX ma na celu ustanowienie wspólnego, współdzielonego standardu dla otwartej bankowości poprzez podejście rynkowe, którego ideą jest zaangażowanie różnych graczy rynkowych i zastosowanie podejścia konsorcjalnego podobnego do Bluetooth .

Grupa przestrzega pięciu podstawowych zasad:

1) Kontrola: konsument powinien mieć kontrolę nad tym, jak, gdzie i jak długo wykorzystywane są jego dane finansowe. 2) Dostęp: konsument powinien mieć stały dostęp do swoich danych finansowych na wszystkich rodzajach rachunków. 3) Przejrzystość: strony trzecie powinny w przejrzysty sposób informować o tym, w jaki sposób wykorzystują dane finansowe konsumenta. 4) Identyfikowalność: konsumenci powinni mieć możliwość śledzenia tras, którymi pokonują dane w sieci udostępniania danych. 5) Bezpieczeństwo: dane finansowe konsumenta powinny być zawsze chronione za pomocą bezpiecznych połączeń i zaufanych stron.

Otwarta bankowość w Stanach Zjednoczonych stała się gorącym tematem wraz z rozporządzeniem wykonawczym Bidena, wskazującym na chęć administracji do wykorzystania solidnych przepisów 1033. Ustawa Dodda-Franka stanowiła, że konsumenci mają prawo do własnych danych finansowych i powinni mieć do nich dostęp na przykład za pośrednictwem aplikacji finansowych, niezależnie od tego, czy aplikacja znajduje się w domu posiadacza danych, czy nie.

Niektórzy dostawcy Open Banking, tacy jak Plaid, ugodzili się na 58 mln w pozwie zbiorowym dotyczącym prywatności związanym z prywatnością w 2021 r. Z kolei inny lider w US Open Banking, Finicity, utrzymuje wyższe niż konieczne standardy zgodności, dokonując samodzielnej subskrypcji jako agencja raportująca dla konsumentów oraz utrzymywanie wysokich standardów wyrażania zgody i praktyk związanych z prywatnością.

Ameryka Łacińska

Specyficzny kontekst Ameryki Łacińskiej związany z otwartą bankowością zmusza do rozważenia znaczenia gospodarki nieformalnej, rozpowszechnienia oszustw związanych z płatnościami online oraz koncentracji sektora bankowego, a także wczesnego wdrażania technologii, takich jak obowiązkowe i scentralizowane fakturowanie elektroniczne . Znaczenie elektronicznego fakturowania w Ameryce Łacińskiej zapewnia również alternatywne źródło informacji dla otwartej bankowości, które nie istnieje jeszcze w innych krajach na świecie.

Obowiązkowe i scentralizowane fakturowanie elektroniczne zostało wcześnie wdrożone w krajach takich jak Meksyk , Chile , Kolumbia iw mniejszym stopniu w Brazylii , oferując możliwość pobierania otwartych danych księgowych w podobny sposób jak otwarta bankowość.

W tym kontekście przypadki użycia to: Lepsza wiedza o użytkownikach i potencjalnych klientach, Automatyzacja procesów KYC (Know Your Customer), tworzenie nowych produktów i usług szczególnie dla osób nieubankowionych oraz Redukcja oszustw.

Kluczowe kraje Ameryki Łacińskiej pod względem wielkości są również krajami przodującymi we wdrażaniu otwartej bankowości:

Ranga	Kraj	PKB (miliony USD )	PKB na mieszkaniec ( USD )
1	Brazylia	1 363 767	6450
2	Meksyk	1 040 372	8069
3	Argentyna	382760	8433
4	Kolumbia	264 933	5207
5	Chile	245 414	12612

Meksyk

Meksyk jest liderem w zakresie regulacji i innowacji Fintech w Ameryce Łacińskiej. Niezależnie od tego, czy chodzi o scentralizowaną, obowiązkową otwartą bankowość, czy o przyjęcie spójnego prawa Fintech, Meksyk był pierwszym krajem, który wdrożył przepisy, które służą jako inspiracja dla innych krajów.

Najbardziej odpowiednim aktem prawnym dotyczącym otwartej bankowości była ustawa Fintech z 2018 r. W dniu 9 marca 2018 r. ustawa została opublikowana w Federalnym Dzienniku Urzędowym ( Diario Oficial de la Federación o „ DOF ”, przez jego hiszpański akronim). Artykuł 76 stanowi, że należy ustanowić znormalizowane interfejsy programowania aplikacji komputerowych (API), które umożliwiają łączność i dostęp do innych interfejsów opracowanych lub zarządzanych przez te same podmioty, o których mowa w wyżej wymienionym artykule, oraz strony trzecie specjalizujące się w technologiach technologicznych. informacji, w celu udostępniania następujących danych i informacji: otwartych danych finansowych, danych zagregowanych oraz danych transakcyjnych. W rezultacie technicznie zobowiązano ponad 2300 instytucji do udostępniania informacji.

W tym względzie art. 76 stanowi, że informacje, które mogą być udostępniane przez instytucje finansowe, podmioty przekazujące pieniądze, SIC, izby rozliczeniowe, instytucje technologii finansowej, to:

Otwórz dane; będące produktami i usługami oferowanymi ogółowi społeczeństwa;
Dane zagregowane; które dotyczą wszelkiego rodzaju informacji statystycznych związanych z operacjami prowadzonymi przez wymienione instytucje lub za ich pośrednictwem; I
Dane transakcyjne; związane z korzystaniem z produktu lub usługi, w tym rachunków depozytowych, kredytów i środków do dysponowania zaciągniętymi w imieniu klientów instytucji finansowych.

Ponadto 10 marca 2020 r. Meksykański Bank Centralny ( Banco de México ) („ Banxico ”) opublikował w DOF okólnik 2/2020 jako przepisy wtórne prawa, w szczególności dotyczące otwartej bankowości. W takim przypadku różne podmioty rynku finansowego były zobowiązane do wymiany informacji za pośrednictwem interfejsów programowania aplikacji komputerowych. Przepisy wtórne z marca 2020 r. wydane w DOF mają zastosowanie wyłącznie do firm informacji kredytowej ( Sociedades de Información Crediticia ) („ SIC ”, według hiszpańskiego akronimu) i izb rozliczeniowych.

W czerwcu 2020 r. zasady wymiany otwartych danych, obowiązujące wszystkie instytucje finansowe (banki, fintechy i firmy autoryzowane przez Comisión Nacional Bancaria y de Valores (CNBV, meksykański odpowiednik SEC). W nim instytucje finansowe, takie jak np. ustawą objęto m.in. banki, popularne towarzystwa finansowe oraz spółdzielcze kasy oszczędnościowo-kredytowe

Zgodnie z powyższym okólnik 2/2020 stanowi, że zarówno SIC, jak i izby rozliczeniowe muszą uzyskać zezwolenie Banxico na korzystanie z API przez inne instytucje. Z kolei SIC i izby rozliczeniowe muszą zawierać umowy z innymi podmiotami upoważnionymi przez Banxico do wymiany informacji. Dodatkowo określa się zasady naliczania opłat pomiędzy instytucjami wymieniającymi się informacjami. Wreszcie okólnik 2/2020 stwierdza, że w przypadku nieprzestrzegania postanowień okólnika 2/2020 SIC i izby rozliczeniowe mogą zostać ukarane grzywnami nałożonymi przez Banxico.

Oczekuje się, że regulacje dotyczące danych zagregowanych i danych transakcyjnych zostaną prawnie zdefiniowane w 2021 r. Eksperci branżowi zgadzają się, że ich uchwalenie wygeneruje wartość, powodując wysoki popyt lub żądania danych. Taka jest wielkość rynku, że firma konsultingowa Gartner twierdzi, że możliwości otwartej bankowości w Meksyku przekraczają miliard dolarów. W tym kontekście ankieta Finerio Connect wskazuje, że 68% meksykańskiej kadry kierowniczej twierdzi, że otwarta bankowość będzie znaczącą zmianą w meksykańskiej branży finansowej, a 83% respondentów zgadza się, że „otwarta bankowość umożliwia poprawę usług oferowanych klientom”. Ponadto 68% uważa, że „otwarta bankowość zapewni firmom finansowym możliwości rozwoju”, a 65% twierdzi, że „będzie generować pozytywną konkurencję między firmami”.

Postępy regulacyjne pozwalają teraz Meksykowi być pierwszym ekosystemem Fintech pod względem liczby startupów, zgodnie z radarem Finnovista Fintech, z 441 firmami, a następnie w Brazylii (370), Kolumbii (200) i Chile (67).

Brazylia

Najnowszym ruchem Centralnego Banku Brazylii było wdrożenie przez Bank Brazylii swojego modelu otwartej bankowości, który upoważnia banki i instytucje finansowe (w tym fintech) do udostępniania informacji o tradycyjnych usługach i produktach finansowych.

Wdrożenie w Brazylii jest obowiązkowe w przypadku instytucji o dużych rozmiarach, znaczącej działalności międzynarodowej i profilach wysokiego ryzyka oraz opcjonalne w przypadku wszystkich innych instytucji.

Wdrożenie pierwszej fazy nastąpiło prawie dwa lata po opublikowaniu pierwszych ram otwartej bankowości w kwietniu 2019 r., w których ujawniono podstawowe wymagania dotyczące wdrożenia prawa.

Od 2021 r. Bank Centralny Brazylii będzie nadal publikował szczegółowe informacje na temat następujących etapów wdrażania:

Faza 2 — Informacje o kliencie (lipiec 2021 r.): Na tym etapie konsumenci będą mieli możliwość udostępnienia swoich danych (rejestracja, transakcje na rachunku, informacje o kartach i transakcjach kredytowych) wybranym przez siebie instytucjom w wybranym przez siebie momencie. Oczekuje się, że pozwoli to na rozwój bardziej spersonalizowanych produktów i usług.
Faza 3 – Informacje o transakcjach i inicjowanie płatności (sierpień 2021 r.): Na tym etapie konsumenci będą mieli dostęp do usług, takich jak innowacyjne opcje płatności i oferty kredytowe, za pośrednictwem kanałów wspólnych instytucji finansowych, co umożliwi konsumentom przeglądanie szerokiego asortymentu produktów i usług
Faza 4 — Dodatkowe informacje (grudzień 2021 r.): kolejne fazy obejmą dodatkowe produkty, takie jak między innymi ubezpieczenia, plany emerytalne, inwestycje.

Chile

Pod koniec 2020 roku chilijski rząd ogłosił, że pracuje nad propozycją uregulowania działalności firm z branży technologii finansowych i wprowadzenia standardu otwartej bankowości na rynek. W rezultacie we wrześniu ubiegłego roku rząd wydał ustawę o przenośności finansowej, zestaw przepisów mających na celu ułatwienie przełączania się między bankami i dostawcami usług finansowych.

Od początku 2021 r. banki zaczęły inwestować, aby otworzyć swoje starsze systemy na inne branże, które wspierają połączenia partnerskie. Zmiana ta została częściowo podyktowana przepisami otwierającymi, takimi jak te w Meksyku.

Kolumbia

Kolumbia również ogłasza zainteresowanie rozwojem standardu otwartej bankowości, ale stawia na model dobrowolny; to znaczy pozwolenie instytucjom finansowym na otwieranie się we własnym tempie.

Oczekuje się, że Jednostka ds. Regulacji Finansowych (URF) będzie sprzyjać publiczno-prywatnej dyskusji, która przygotuje grunt pod najlepsze praktyki otwartej bankowości, dając interesariuszom ekosystemu swobodę definiowania ram regulacyjnych. Regulator zwrócił się do interesariuszy o uzgodnienie dwóch wstępnych etapów:

Etap 1 — I semestr 2021: Przeprowadzenie eksploracji w celu zdefiniowania modelu do wdrożenia, a także omówienie planu jego wdrożenia.
Etap 2 — Drugi semestr 2021 r.: Wydanie rozporządzenia i promowanie „możliwego wykorzystania” testowania w piaskownicy.

Adopcja w innych częściach świata

Szereg innych krajów uruchomiło inicjatywy otwartej bankowości oparte na modelach europejskich i brytyjskich. Były to albo współpraca z przemysłem, albo zmiany legislacyjne. Projekt otwartej bankowości został uruchomiony w Australii 1 lipca 2019 r. w ramach projektu Consumer Data Rights prowadzonego przez Ministerstwo Skarbu i Australijską Komisję ds. Konkurencji i Konsumentów . Ustawa CDR została przyjęta przez australijski parlament w sierpniu 2019 r.

W dniu 1 czerwca 2017 r. grupa bankierów i ekspertów ds. technologii finansowych z Nigerii zebrała się w ramach inicjatywy Open Banking Nigeria , aby doprowadzić do przyjęcia wspólnych standardów API w tym kraju.

Zagrożenia bezpieczeństwa

Otwarta bankowość zmusiła banki do otwarcia swoich interfejsów programowania aplikacji (API) dla zewnętrznych firm FinTech, co wiąże się z ryzykiem bezpieczeństwa. Klienci korzystający z aplikacji otwartej bankowości będą teraz w zupełnie nowej relacji zaufania. Hakerzy mogą atakować aplikacje innych firm, a pracownikom można przyznać nadmierne uprawnienia dostępu. Złośliwi aktorzy zyskają nowe możliwości oszukiwania klientów bankowych, a także firm zewnętrznych za pomocą typu phishing .

Zabezpieczenia API różnią się od tradycyjnych zabezpieczeń aplikacji internetowych na wiele sposobów, w wyniku czego OWASP opublikował nową listę Top Ten ukierunkowaną na API Security począwszy od 2019 roku, aby rozszerzyć oryginalną OWASP Top Ten, której publikację rozpoczęto w 2003 roku. ataków na bezpieczeństwo sieci i ataków na interfejsy API polega na tym, że ataki na interfejsy API są oparte na logice, a nie na regułach. W rezultacie wiele firm i rządów może mieć fałszywe poczucie bezpieczeństwa oparte na produktach zabezpieczających, które nie zostały zaprojektowane do zwalczania ataków opartych na logice.

Aby temu zaradzić, opracowano innowacje, takie jak profil bezpieczeństwa FAPI (financial-grade API). Obejmuje to dodatkowe środki nałożone na OAuth2 i openid-connect, nakazujące korzystanie z wzajemnego TLS, aby zapewnić, że tylko akredytowani uczestnicy mogą tworzyć i korzystać z interfejsów API.

Zobacz też