Kas yra atviroji bankininkystė ir ką ji reiškia finansų įstaigoms?
Atviroji bankininkystė leidžia finansų įstaigoms saugiai dalytis klientų duomenimis su įgaliotomis trečiosiomis šalimis per programavimo sąsajas (API). Ji skatina inovacijas, suteikia galimybę bankams ir „fintech“ įmonėms kartu kurti naujus produktus bei paslaugas, gerina klientų patirtį ir atveria naujus pajamų šaltinius.
Bankams atviroji bankininkystė suteikia galimybę peržengti tradicinius veiklos modelius – siūlyti personalizuotus finansinius sprendimus, modernizuoti mokėjimų sistemas ir kurti naujus verslo modelius, pavyzdžiui, įterptąjį finansavimą (angl. embedded finance). Tačiau šios galimybės atsiveria tik tada, kai diegimas vyksta sklandžiai ir išvengiama dažniausių klaidų.
1 klaida: atviroji bankininkystė laikoma tik atitikties reikalavimu, o ne strategija
Atviroji bankininkystė yra augimo galimybė, o ne vien reguliavimo reikalavimas. Daugelis Europos bankų griežtai laikosi PSD2 nuostatų, tačiau neišnaudoja jų verslo plėtrai. JAV bankai istoriškai buvo atsargūs dėl neaiškios investicijų grąžos ir vieningo reguliavimo stokos. Tačiau situacija keičiasi – naujos Vartotojų finansinės apsaugos biuro (CFPB) taisyklės atveria aiškesnį kelią platesniam atvirosios bankininkystės diegimui.
Kodėl tai svarbu?
Bankai, vertinantys atvirąją bankininkystę tik kaip administracinę prievolę, praranda inovacijų, investicijų ir augimo galimybes bei nepateisina augančių klientų lūkesčių.
„McKinsey“ apklausos duomenimis, beveik pusė respondentų tikisi daugiau nei 10 % sumažinti sąnaudas pasitelkdami API iniciatyvas, o trečdalis prognozuoja didesnį nei 10 % pajamų augimą. Apgalvota strategija leidžia atitikties kaštus paversti išmatuojama verslo verte.
Praleidžiamos galimybės
- Nauji pajamų šaltiniai iš API pagrindu kuriamų finansinių produktų.
- Didesnis klientų lojalumas dėl personalizuotų bankininkystės paslaugų.
- Partnerystės su „fintech“ įmonėmis, skatinančios inovacijas ir konkurencinį pranašumą.
Kaip to išvengti?
- Kurti API, kurios teiktų pridėtinę vertę, o ne tik atitiktų minimalius reguliavimo reikalavimus.
- Bendradarbiauti su „fintech“ įmonėmis kuriant įterptojo finansavimo (embedded finance) sprendimus.
- Naudoti atvirosios bankininkystės duomenis klientų patirčiai personalizuoti ir lojalumui didinti.
2 klaida: prasta API kokybė ir silpna kūrėjų patirtis
API yra atvirosios bankininkystės pagrindas. Tačiau prastai suprojektuotos API apsunkina trečiųjų šalių paslaugų teikėjų darbą, riboja „fintech“ integracijas ir lėtina atvirosios bankininkystės plėtrą.
Europos bankai dažnai kuria API siekdami tik minimalaus reguliacinio atitikimo, nesuteikdami papildomo funkcionalumo. JAV bankams, savo ruožtu, trūksta nuoseklumo dėl vieningų standartų nebuvimo.
Pažangaus API funkcionalumo pavyzdžiai
- realiojo laiko mokėjimų inicijavimas ir patvirtinimas;
- personalizuotos finansinės įžvalgos pagal kliento išlaidų įpročius;
- išmanūs autentifikavimo procesai su biometriniu prisijungimu;
- kintamieji pasikartojantys mokėjimai (VRP, angl. Variable Recurring Payments), leidžiantys vartotojams lanksčiau valdyti reguliarius mokėjimus.
Kodėl tai svarbu?
Jeigu API nėra patogios kūrėjams, „fintech“ įmonės gali atsisakyti integruotis arba ieškoti alternatyvų. Tai silpnina banko reputaciją ir mažina būsimas partnerystės galimybes.
Kaip to išvengti?
- Parengti aiškią ir išsamią API dokumentaciją bei suteikti patikimas testavimo aplinkas (sandbox).
- Užtikrinti prieigą prie realiojo laiko duomenų, kad integracija būtų efektyvi.
- Laikytis tarptautinių API standartų, tokių kaip Open Banking UK, FDX (JAV) ir Berlin Group (ES).
3 klaida: nepakankamas kibernetinis saugumas ir sutikimų valdymas
Atviroji bankininkystė išplečia galimų kibernetinių atakų paviršių. Daugelis bankų vis dar nepakankamai įvertina saugumo ir klientų sutikimų valdymo iššūkius.
Dažniausiai pasitaikančios problemos:
- nenuoseklus PSD2 reikalaujamo stipriojo kliento autentifikavimo (SCA) taikymas Europoje;
- fragmentuota kibernetinio saugumo praktika JAV, didinanti saugumo pažeidimų riziką;
- pernelyg sudėtingi sutikimų suteikimo procesai, mažinantys klientų pasitikėjimą ir atvirosios bankininkystės naudojimą.
Kodėl tai svarbu?
API prieigos išplėtimas be griežtų saugumo priemonių didina pažeidžiamumų riziką. Europos Sąjungoje NIS2 direktyvos reikalavimų nesilaikymas gali lemti reikšmingas finansines ir reputacines pasekmes. Nepakankamas saugumas mažina klientų pasitikėjimą ir skatina juos rinktis patikimesnius paslaugų teikėjus.
Kaip to išvengti?
- Taikyti patikimus autentifikavimo standartus, tokius kaip OAuth 2.0 ir OpenID Connect.
- Prieš suteikiant API prieigą atlikti išsamų trečiųjų šalių rizikos vertinimą.
- Naudoti pažangius duomenų šifravimo mechanizmus.
- Užtikrinti klientams aiškius ir paprastus sutikimų valdymo įrankius.
- Reguliariai atlikti trečiųjų šalių saugumo auditą.
- Periodiškai keisti įsiskverbimo testavimo (penetration testing) tiekėjus, kad būtų aptinkamas kuo platesnis pažeidžiamumų spektras.
- Derinti saugumo praktiką su NIS2 (ES) arba NIST (JAV) rekomendacijomis.
Praktiniai pavyzdžiai
Bankininkystės programėlės, naudojančios OAuth 2.0 ir OpenID Connect, leidžia klientams saugiai prisijungti prie asmeninių finansų valdymo įrankių neatskleidžiant savo prisijungimo duomenų.
Europos bankai, įgyvendinantys NIS2 prieigos kontrolės reikalavimus, dažniausiai taiko daugiapakopį autentifikavimą (MFA). Tuo tarpu JAV bankai jautriems duomenims apsaugoti plačiai naudoja pažangųjį šifravimo standartą (AES).
4 klaida: pasenusios pagrindinės sistemos nėra modernizuojamos
Pasenusios pagrindinės (angl. core banking) sistemos riboja bankų galimybes kurti pažangias atvirosios bankininkystės paslaugas. Europos bankams dažnai trūksta lėšų modernizacijai, o JAV bankams sudėtinga integruoti šiuolaikines API su senąja infrastruktūra.
Kodėl tai svarbu?
Pasenusi infrastruktūra mažina lankstumą, lėtina inovacijas ir didina veiklos sąnaudas. Dėl to bankams tampa sunkiau konkuruoti sparčiai besikeičiančioje skaitmeninėje rinkoje.
Kaip to išvengti?
- Diegti mikropaslaugų (microservices) architektūrą ir API šliuzus (API gateways), leidžiančius sujungti senąsias ir naująsias sistemas.
- Pereiti prie debesijos sprendimų, kurie užtikrina didesnį lankstumą ir lengvesnį mastelio didinimą.
- Bendradarbiauti su patyrusiais technologijų partneriais, galinčiais paspartinti modernizavimo procesą.
Investavę į šiuolaikinę infrastruktūrą bankai gali greičiau diegti naujas paslaugas, efektyviau integruoti partnerių sprendimus ir išlikti konkurencingi skaitmeninėje rinkoje.
5 klaida: nepakankamas dėmesys realiojo laiko mokėjimams ir duomenų mainams
Momentiniai mokėjimai ir realiojo laiko duomenų atnaujinimas tampa finansų sektoriaus standartu, tačiau daugelis bankų vis dar remiasi paketiniu duomenų apdorojimu (angl. batch processing).
Europoje PSD2 įgyvendinimas dažnai neužtikrina visų realiojo laiko galimybių, o SEPA Instant diegimas skirtingose valstybėse vyksta nevienodu tempu. JAV realiojo laiko mokėjimų infrastruktūra taip pat išlieka fragmentuota. Nors FedNow buvo pristatyta kaip momentinių mokėjimų sistema, jos diegimas vyksta lėčiau nei tikėtasi dėl didelių įgyvendinimo sąnaudų, nuolatinių eksploatavimo išlaidų ir sukčiavimo rizikos. Dalis bankų vis dar remiasi Zelle, tačiau ši sistema veikia senesnės infrastruktūros pagrindu ir neužtikrina visaverčių realiojo laiko mokėjimų.
Kodėl tai svarbu?
Lėtai vykdomi mokėjimai ir pasenę duomenys blogina klientų patirtį, apsunkina operatyvų finansinių sprendimų priėmimą ir mažina pasitikėjimą banko paslaugomis.
Kaip to išvengti?
- Diegti momentinių mokėjimų sprendimus, tokius kaip SEPA Instant Europoje ir FedNow JAV.
- Pereiti prie įvykiais grindžiamos architektūros (angl. event-driven architecture), kuri leidžia realiuoju laiku atnaujinti duomenis.
- Standartizuoti duomenų mainus pagal ISO 20022 standartą.
6 klaida: nepakankamas dėmesys klientų patirčiai
Sudėtinga ir nepatogi naudotojo patirtis yra viena didžiausių kliūčių sėkmingam atvirosios bankininkystės diegimui.
Europos bankai dažnai pernelyg apsunkina klientų sutikimų suteikimo procesus, siekdami atitikti griežtus reguliavimo reikalavimus. Tuo tarpu JAV bankai ne visada aiškiai paaiškina, kaip naudojami klientų duomenys, todėl mažėja vartotojų pasitikėjimas.
„Mastercard“ ataskaitoje pabrėžiama, kad pasitikėjimas yra vienas svarbiausių sėkmingos atvirosios bankininkystės veiksnių. Skaidri duomenų naudojimo politika ir paprasti sutikimų valdymo procesai įvardijami kaip pagrindinės platesnio atvirosios bankininkystės taikymo prielaidos.
Kodėl tai svarbu?
Prasta naudotojo patirtis mažina klientų pasitikėjimą, lėtina atvirosios bankininkystės plėtrą ir ilgainiui silpnina klientų lojalumą.
Kaip to išvengti?
- Supaprastinti klientų keliones ir sutikimų suteikimo procesus.
- Aiškiai paaiškinti, kaip renkami, naudojami ir saugomi klientų duomenys.
- Suteikti klientams patogius įrankius savo duomenų teisėms ir sutikimams valdyti.
DUK apie dažniausias atvirosios bankininkystės klaidas
Kokia yra dažniausia atvirosios bankininkystės klaida?
Dažniausia klaida – atvirosios bankininkystės vertinimas tik kaip reguliavimo reikalavimo, o ne kaip strateginės verslo galimybės. Bankai, orientuojantys dėmesį vien į minimalią atitiktį, praranda galimybes didinti pajamas, plėtoti partnerystes su „fintech“ įmonėmis ir stiprinti klientų lojalumą.
Kuo skiriasi atvirosios bankininkystės iššūkiai ES ir JAV?
Europos bankai veikia pagal aiškiai apibrėžtą reguliavimo sistemą (PSD2, PSD3, NIS2), todėl dažnai apsiriboja minimaliu reikalavimų įgyvendinimu. JAV bankai susiduria su kitokiais iššūkiais – nevienodais API standartais, skirtingu reguliavimu atskirose valstijose ir nevienodu realiojo laiko mokėjimų diegimu.
Kaip bankai gali pagerinti API kokybę?
Rekomenduojama laikytis pripažintų API standartų (FDX, Berlin Group, Open Banking UK), parengti išsamią dokumentaciją, suteikti testavimo (sandbox) aplinkas ir kurti pažangesnį funkcionalumą, kuris viršytų minimalius reguliavimo reikalavimus.
Kokias saugumo praktikas bankai turėtų taikyti?
Europos bankai turėtų vadovautis NIS2 direktyvos reikalavimais, o JAV bankai – NIST gairėmis. Abiem atvejais rekomenduojama naudoti OAuth 2.0, OpenID Connect, daugiapakopį autentifikavimą (MFA), stiprų duomenų šifravimą ir reguliariai atlikti trečiųjų šalių saugumo vertinimus.
Kaip pasenusi infrastruktūra trukdo atvirajai bankininkystei?
Pasenusios pagrindinės bankų sistemos neužtikrina šiuolaikinėms API reikalingo lankstumo ir našumo. Jos didina integracijos sąnaudas, lėtina naujų funkcijų diegimą ir apsunkina realiojo laiko mokėjimų palaikymą. Mikropaslaugų architektūra, API šliuzai ir debesijos sprendimai yra vieni efektyviausių modernizavimo būdų.
Išvados: nuo atitikties prie konkurencinio pranašumo
Bankai, sistemingai sprendžiantys šias šešias problemas, gali visapusiškai išnaudoti atvirosios bankininkystės potencialą. Investicijos į strategiją, saugumą, modernią infrastruktūrą, realiojo laiko sprendimus ir kokybišką klientų patirtį leidžia finansų įstaigoms ne tik prisitaikyti prie rinkos pokyčių, bet ir tapti jų lyderėmis.
„Baltic Amadeus“ padeda bankams ir kitoms finansų įstaigoms diegti saugius, keičiamo masto ir ateities poreikiams pritaikytus atvirosios bankininkystės sprendimus. Susisiekite su mumis ir sužinokite, kaip jūsų organizacija gali paversti reguliacinę atitiktį konkurenciniu pranašumu.




