В последнее время публикуется много материалов о финтехе и прорывных технологиях, захвативших платежную отрасль. Небанковские организации, объединившись с инноваторами в платежных технологиях драматически меняют платежное поведение потребителей. Но гораздо более важная революция при этом происходит за кулисами – а именно в регулировании.

Трансформирующееся регулирование

Платежи являются центральным звеном для любой индустрии, и потому регулирование исторически эволюционировало как ответ на риски, формируемые новыми вызовами. Однако сейчас произошло изменение в регуляторном подходе к платежам: традиционное риск-ориентированное регулирование трансформируется в инициативы по широкой поддержке инноваций и конкуренции.

Отдельного упоминания здесь заслуживают редизайн системы расчетов в реальном времени (RGTS) Банка Англии, его готовность к работе с технологией блокчейн и пересмотр политики по доступу к расчетным счетам. Параллельно с этим в Великобритании создается Регулятор платежных систем (PRS), задачей которого является работа с конкуренцией, инновациями и потребностями пользователей на платежном рынке, что окажет далеко идущее влияние на британский платежный ландшафт. Впервые решения принимаются в пользу потребителей. Закреплением этого должен стать форум «Платежная стратегия», где планируется обсуждение и поиск решений для 50 главных «уязвимостей» - проблем и вопросов платежной индустрии, накопившихся за долгое время.

Что касается Евросоюза, то предстоящее его участникам претворение в жизнь Директивы PSD2 к январю 2018 года должно открыть доступ к платежным счетам и данным для сторонних провайдеров, а это даст инноваторам шанс на революционное преобразование взаимоотношений потребителей с банками и управления денежными средствами.

Что будет с рисками?

PSD2 в числе прочего нацелено на минимизацию текущих и потенциальных рисков, связанных с доступом третьих сторон к платежным данным, и декларирует необходимость усиления защиты клиентских данных, а также ужесточение регулирования новых провайдеров.

Противодействие мошенничеству также остается в фокусе регулирования платежной индустрии. Крупнейшее банковское ограбление в истории, совершенное в том числе не без использования интерфейсов сторонних провайдеров, напоминает о важности защиты данных и необходимости достижения доверия пользователей и бизнеса платежным системам. Меры по борьбе с отмыванием денег и другими видами преступлений являются неотъемлемой частью платежного ландшафта. Также и необходимость в усилении контроля для противодействия кибер-преступености будет только нарастать. Недавнее исследование PwC показало, что в крупнейших расчетных банках до 60% сотрудников заняты в противодействии финансовым преступлениям, что намекает на громадные расходы, которые должны нести организации на соответствие регуляторным требованиям и обеспечение безопасности. Инноваторы надеются разрешить эти проблемы.

Что все это означает для индустрии?

Что означает это изменение баланса между традиционным и «проактивным» регулированием для платежной отрасли? Существующие рыночные игроки с мощными системами управления, риск-менеджмента и безопасности, гибким ИТ, а также, что может быть наиболее важным, сильным брендом получат дополнительное преимущество в новых условиях. Отсутствие этих качеств – путь к потенциальному проигрышу в конкурентной борьбе.

Для тех, кто только выходит на рынок, важным становится не только обладание интересной идеей или продуктом, но и достаточные силы и умение, чтобы справится с возможными рисками и соответствовать регуляторным требованиям. В противном случае их идеям грозит забвение.

Отвечать на вызовы и использовать возможности новых технологий – трудоемкая задача и на локальном, и, тем более, на глобальном рынке, с которой приходится сталкиваться индустрии мобильных платежей. Учитывая невероятную скорость, с которой инновации атакуют рынок, не удивительно, что профессионалы отрасли фокусируются прежде всего на технологических аспектах и их возможном воздействии на будущее рынка. Однако здесь скрыта огромная опасность, утверждает Эндрю Черчилл (Andrew Churchill), консультант в области безопасности для предприятий и госорганов, секретарь MIDAS Alliance и один из авторов готовящегося стандарта Британского института стандартизации (BSI) в области идентификации и аутентификации.

Революция в регулировании

Регуляторный ландшафт, в котором необходимо функционировать новыми технологиям, тихо и незаметно трансформировавшийся последние годы, претерпел существенные изменения. Пару лет назад мы знали о защите данных, правилах «знай своего клиента», строгой аутентификации. Это были вполне однозначные требования, которые нужно было неукоснительно соблюдать. Нынешний пересмотр регулирования и введение новых понятий в области безопасности застали отрасль в некотором роде врасплох. Обилие (порой противоречащих друг другу) требований ставит в тупик.

Это справедливо как для Европы, так и, если взглянуть, чем заняты четыре рабочие группы «Safer and Faster Payments task forces» Федерального резерва США, для мира в целом. Каждая из групп решает свои задачи - управление идентификацией, предотвращение мошенничества, защита данных, координация законодательных актов и регуляторных требований. Участники групп признают, что порой их приоритеты противоречат друг другу.

И именно четвертая задача – координация законодательства и регулирования – является главным источником беспокойства для индустрии. И именно четвертая задача – координация законодательства и регулирования – является главным источником беспокойства для индустрии. Имеет ли первостепенное значение защита данных идентификации клиентов, как того требуют Общие требования по защите данных (EU GDPR), либо более важно обеспечить доступ к этим данным провайдеров, являющихся третьей стороной, как настаивает PSD2? Как требования антиотмывочного законодательства должны сочетаться с соблюдением права на анонимность в интернете? И так далее.

Соблюдение правильного баланса

Верный баланс регулирования является критическим моментом для продвижения инноваций внутри и между странами и в потребительских сегментах. Для этого нужно понимание не только того, что участники действуют в установленных нормативных рамках, но и того, как они взаимодействуют друг с другом.

Следующим потенциальным источником сложности является тот факт, что законодательные акты в Европе выходят как в форме «предписаний» (directives), так и в форме «регламентов» (regulations), разнице между которыми не все придают значение. Регламенты нацелены на гармонизацию требований для всех 28 стран-членов ЕС. Предписания же обозначают те меры, которые должны найти индивидуальное отражение в национальных законодательствах стран, что в потенции может привести к 28 разным интерпретациям одного и того же предписания.

Очевидно, эта угроза имеет актуальность для трансграничных транзакций, в которых задействованы страны с разной интерпретацией требований. Или где установлен иной баланс приоритетов между предписаниями и регламентами.

Рассогласованность в интерпретации стандартов может приводить к судебной неразберихе, как было в случае с соглашением о «зоне безопасности» (Safe Harbour agreement). В октябре 2015 года Европейский суд признал соглашение, позволяющее передавать данные между ЕС и США, неправомочным. Это поставило под сомнение правовой статус данных о гражданах Евросоюза, хранимых компаниями из США или на серверах на территории США. Срочные шаги Еврокомиссии по исправлению этой ситуации с помощью EU-US Privacy Shield, предназначенного для усиленной защиты передаваемых через океан данных, вероятно могут привести к ожидаемому результату. Но даже в этом случае сохраняются опасения, что суд запретит и это решение.

Разработка стандартов

Когда стандарты уже приняты, они могут давать четкое понимание требований, к соблюдению которых принуждает индустрию регулятор. Во время же разработки стандарты могут стать ценным способом организации диалога по достижению подобного понимания – как с точки зрения прояснение ожиданий со стороны регуляторов в отношении индустрии, так и с точки зрения углубления понимания позиции индустрии в отношении регулирования.

В отношении стандартов в области идентификации и аутентификации, разрабатываемых в настоящий момент Британским институтом стандартизации и Ассоциацией MIDAS Alliance, для того, чтобы обеспечить понимание, насколько эти стандарты соотносятся с вопросами защиты данных в платежной и мобильной индустрии, ведется разработка общественно доступных спецификаций, к работе над которыми привлекаются все заинтересованные стороны.

Работа по открытию доступа к платежным системам приносит позитивные результаты – к такому выводу пришел специальный британский регулятор платежных систем (PSR) в опубликованном на днях отчете о конкуренции на рынке предоставления непрямого доступа к платежным системам. «Обзор рынка непрямого доступа» является частью более широкой работы, проводимой регулятором для того, чтобы усилить конкуренцию в банковском и платежном сегментах и, как следствие, обеспечить конечных потребителей более совершенными услугами.

Согласно отчету, при том, что все еще сохраняются некоторые опасения и неразрешенные вопросы относительно предоставления непрямого доступа, PSR ожидает, что его мероприятия окажут должное воздействие и совместно с прогнозируемыми рыночными изменениями приведут к их разрешению. В виду этого PSR решил теперь сосредоточить усилия на мониторинге и поддержке рыночных изменений в рамках проводимой программы. О ее результатах регулятор планирует отчитаться в начале следующего года в «Отчете о доступе и управлении».

Ханна Никсон, управляющий директор PSR, указывает: «Опубликованный отчет является частью нашей стратегии по расширению доступа к платежным системам. Чем более свободным будет доступ, тем больше новых банковских и прочих игроков получит возможность выйти на рынок и конкурировать на нем. В свою очередь это откроет новые возможности для конечных пользователей услуг. Равный свободный доступ на рынок является залогом живой, конкурентной экономики. Так что не удивительно, что, как показывает отчет, рынок успешно развивается, и в целом мы получаем позитивный отклик в отношении предпринимаемых нами мер. Тем не менее, мы должны следить, что мы действуем с нужной скоростью, и что обнаруженные нами проблемы разрешаются последующим развитием рынка».

PSR уже видит прогресс в расширении непрямого доступа: несколько банков объявили о планах стать провайдерами непрямого доступа в течение ближайших девяти месяцев. Кроме того, Банк Англии анонсировал, что в ближайшем будущем начнет предоставлять доступ к расчетным счетам небанковским провайдерам платежных услуг. А платежная система Faster недавно отчиталась, что уже пять компаний получили аккредитацию на технический доступ к системе по новой модели в качестве агрегаторов.

Предварительное разъяснение о полномочиях PSR по истребованию открытия доступа

Вместе с отчетом PSR опубликовал предложения, каким образом он планирует использовать полномочия в части требования предоставления непрямого доступа к платежным системам (или изменения текущих условий доступа) от операторов платежных систем или провайдеров непрямого доступа. PSR вправе применять указанные полномочия в случае получения запроса от организаций, у которых возникли споры относительно доступа.

PSR просит участников рынка дать отзыв о предложениях, чтобы окончательный их вариант был понятен и не вызывал разночтений у всех сторон в части разъяснения роли и полномочий PSR, условий урегулирования споров по доступу к платежным системам, комиссий и штрафов за использование сервисов платежных систем.