Никита Веремеев
21.02.2026 | 6 мин чтения
Обновлено: 21.02.2026
Я возглавляю COREDO с 2016 года и каждый день вижу, как Open Banking меняет правила игры для банков, финтехов и клиентов. Открытые банковские API из идеи превратились в инфраструктуру, на которой строятся платежные сервисы, агрегаторы счетов, BaaS-платформы и embedded finance. К 2026 году сектор войдет в новую фазу, с переходом от PSD2 к PSD3, пересмотром лицензирования платёжных сервисов, усилением AML/CFT и едиными стандартами безопасности API. В этой статье я поделюсь практикой COREDO: как подготовить архитектуру, лицензии и процессы, чтобы не только соответствовать изменениям, но и построить устойчивую бизнес-модель.
Команда COREDO реализовала десятки проектов регистрации юридических лиц в ЕС, Великобритании, Сингапуре и Дубае, получала лицензии для PISP и AIS, помогала запускать e-money и платежные учреждения, настраивала AML, SCA и GDPR. Наш опыт в COREDO показал: успех формируется на стыке лицензирования, технологий и операционного контроля. Ниже: практическая дорожная карта, которой пользуюсь сам при оценке проектов.
Как подготовиться к Open Banking 2026
Регулирование Open Banking ускоряется. В ЕС проект PSD3 и сопутствующий платёжный регламент (PSR) нацелены на единые правила для доступа к счету (XS2A), ужесточение требований по авторизации клиентов (SCA) и более четкую модель ответственности Third-Party Provider. Одновременно разворачивается переход к единой лицензии Open Finance — от платежных счетов к инвестиционным продуктам, страховкам и пенсиям, что открывает новые потоки данных и услуг.
Лицензирование Open Banking становится более детальным. Регуляторы уточняют критерии для лицензии для PISP и AIS 2026, вводят дополнительные требования к capital adequacy для e-money провайдеров и нормативы капитализации для PSP 2026. Команды готовятся к обязательности стандартов FAPI и OAuth в 2026, единым требованиям к API governance и кросс-юрисдикционному аудиту.
Изменения затрагивают бизнес-модель Open Banking после ужесточения лицензий. Доходность теперь строится на точной калькуляции unit economics, грамотной ценовой политике для API, SLA и масштабируемой архитектуре. Решение, разработанное в COREDO для одного из европейских финтехов, подняло рентабельность благодаря пересборке прайсинга (subscription + per-call), оптимизации rate limiting и введению revenue share для партнеров.
PSD2 к PSD3: изменения Open Banking
Переход PSD2 к PSD3 2026 снимает прежние серые зоны. Регуляторы закрепляют статус TPP, вводят более четкие процедуры надзора и аудита для TPP в 2026 и делают обязательными механизмы consent management с явными consent receipts. Банки получат ясные обязательства по доступу к счетам, а отказ в подключении по техническим причинам потребует документированных обоснований и KPI по доступности API.
Что изменится в правилах PSD3 для Open Banking на практике? Усиление SCA и API безопасности, унификация требований к API версии, к журналированию и forensic readiness, а также новые регламенты по управлению данными клиента в Open Banking. Регулятор усилит контроль за allocation of liability между банком и TPP, чтобы клиенты не оставались заложниками сложных договоров.
Параллельно формируется переход от PSD2 к единой лицензии Open Finance. Я ожидаю поэтапный запуск: сначала платежные и информационные сервисы, затем расширение на инвестиции и страхование. Это означает новый уровень Due Diligence для провайдеров, пересмотр DPIA и повторную оценку рисков раскрытия данных.
Лицензирование PISP, AIS, e-money
В COREDO часто стартуем с карты лицензирования: модель услуг, юрисдикция, целевые рынки, источники дохода и риски. банковская лицензия vs лицензия электронных денег принципиально различаются по капитальным требованиям, надзору и функционалу. Для многих моделей embedded finance e-money и/или регистрация платёжного учреждения в ЕС 2026 дают оптимальный баланс между скоростью выхода и охватом.
Как получить лицензию PISP в ЕС после 2025? Я рекомендую начинать за 6–9 месяцев: юридическое лицо в подходящей юрисдикции ЕС, бизнес-план с unit economics, политика SCA, описание API безопасности, договорная база с банками и процессингом, AML/CTF framework, а также operational resilience и BCM. Практика COREDO подтверждает: сильный technology risk assessment и DPIA сокращают вопросы регулятора и ускоряют рассмотрение.
Регуляторы вводят tiered licensing model и modular licensing. Лицензии с ограниченной деятельностью (limited activity / lite license) позволяют проверить unit economics на одном рынке, а затем расширяться. Sandbox лицензирование для Open Banking, рабочий инструмент в Сингапуре (MAS APIX), отдельных странах ЕС и на Ближнем Востоке. Важно учитывать регуляторные песочницы и критерии выхода: четкие KPI по рискам, отчетность и план масштабирования.
Passporting и запрет на passporting после Brexit изменили стратегии выхода на рынки. В ЕС паспортирование для платежных лицензий сохраняет ценность, а в Великобритании требуется отдельная лицензия FCA. Equivalence regimes и взаимное признание лицензий между ЕС и СНГ применяются ограниченно, поэтому международное лицензирование Open Banking почти всегда требует локальной стратегии и структурирования кросс-бордер-потоков данных.
Требования к открытым банковским API
Требования к API Open Banking 2026 консолидируются вокруг FAPI (Financial-grade API), OAuth 2.0 и OpenID Connect, а также mTLS для взаимной аутентификации. Обязательность стандартов FAPI и OAuth в 2026 означает пересборку security-профилей и переоценку клиентовских SDK. Команда COREDO внедряла подобные профили для провайдера AIS: мы внедрили token binding, rotatable keys и строгий scope management, что подняло показатель авторизации без трения и снизило инциденты.
Интероперабельность станет условием лицензирования. Berlin Group и NextGenPSD2 задают профиль API в ЕС, а ISO 20022 влияет на платежные интеграции и семантику сообщений. Я рекомендую выстроить API governance и versioning c явными правилами deprecation, а также ввести API SLA, rate limiting и throttling, чтобы обеспечить предсказуемость для партнеров.
Безопасность, не только шифрование. Tokenization платёжных данных, шифрование at rest и in transit, централизованный секрет-менеджмент, обязательное логирование, audit trails и forensic readiness — все это регуляторы проверяют в рамках prudential supervision. API security testing и pentest требования закрепляются в лицензионных условиях; COREDO помогает клиентам готовиться к тестам, внедрять баг-баунти и формализовать Secure SDLC. Для зрелых игроков ожидаемости уровня SOC 2 и ISO 27001 повышают шансы на партнерства с банками.
Конфиденциальность данных и GDPR
Соответствие GDPR в Open Banking, фундамент. Регуляторы требуют Data Protection Impact Assessment (DPIA), механики data minimization и privacy by design, понятные процедуры data portability и межбанковские данные. Consent management и consent receipts должны быть читаемыми, а consent revocation: быстрым, с четкими юридическими последствиями для остановки обработки и удаления.
требования регуляторов к управлению данными клиента в Open Banking ужесточаются. Я рекомендую назначить data steward, зафиксировать политику хранения и удаления, внедрить DLP и классификацию данных. Cross-border data flows и локализация требуют картирования данных и правовых оснований для трансграничной передачи, особенно при работе в Азии и на Ближнем Востоке.
Роль цифровой идентификации eIDAS в лицензировании Open Banking растет, а eIDAS 2 и цифровая идентификация клиентов ускоряют онбординг и снижают фрод. W3C Verifiable Credentials и цифровые кошельки дают способ подтверждать атрибуты без лишнего обмена данными. Решение, разработанное в COREDO для одного клиента в ЕС, интегрировало eID и VC в KYC-процесс, что сократило CAC и ускорило активацию счетов.
AML/CFT и риск-менеджмент для TPP 2026
AML/CFT требования для TPP включают риск-ориентированную методологию, сегментацию клиентов, рейтинги риска и сценарии мониторинга. KYC/KYB автоматизация и утилиты с проверкой beneficial ownership формируют основу для борьбы с обналичиванием и санкционными рисками. В COREDO мы выстраивали многоуровневые сценарии для PISP, включая поведенческие паттерны, velocity-правила и геориск.
Operational resilience и BCM, еще один фокус. Регуляторы ожидают планы отказоустойчивости, тестирование восстановления, incident response и обязательные уведомления регулятору. Third-party risk management и vendor oversight закрепляются в политике; vendor due diligence checklist помогает отбирать провайдеров KYC, облачные платформы и процессинг с учетом требований надзора.
Процедуры надзора и аудита для TPP в 2026 охватывают регулярную отчетность, независимый аудит AML и IT-контролей, а также контроль изменений в API. Усиление AML рисков при открытом банкинге в 2026 требует опоры на консорциумные сигналы фрода, обмен индикаторами компрометации и стандартизированные форматы для SAR/STR-отчетов. Практика COREDO подтверждает: ранняя интеграция с регуляторными порталами снижает нагрузку на комплаенс-команду.
Контракты и страхование ответственности
TPP модель ответственности должна быть отражена в договорах с банками и мерчантами. Allocation of liability между банком и TPP должен учитывать SCA, процессинг, SLA API и handling ошибок. Indemnity clauses и страхование ответственности (professional liability, cyber) закрывают хвостовые риски и требования партнеров к лимитам покрытия.
Контрактные шаблоны для API партнёрств включают разделы по API SLA, rate limits, maintenance windows, versioning, аудитам и безопасностным требованиям. Юридические последствия утечки данных через Open Banking API становятся строже: помимо GDPR-штрафов партнеры закладывают договорные штрафы и механизмы регрессных требований. В COREDO мы помогаем выстроить баланс: выполнимые обязательства и проверяемые метрики.
Монетизация и масштабирование
Market entry strategy для финтеха с Open Banking объединяет лицензирование, прайсинг и партнерства с банками. Go-to-market для BaaS и embedded finance требует ясной роли: поставщик лицензии, технологический оркестратор или оба сразу. B2B2C и B2C монетизация API различается по CAC, LTV и payback period; в первом случае ставка на корпоративные контракты и интеграции, во втором, на продукт и маркетинг.
Pricing models для API (per-call, subscription, revenue share) влияют на unit economics платёжных продуктов. Я рекомендую считать ROI метрики: CAC, LTV, маржинальность на транзакцию, фиксированные издержки на соответствие и затраты на SLA. Методики расчёта ROI проектов Open Banking при лицензионных издержках должны учитывать годовые аудиты, pentest, страхование, сборы регулятора, а также бюджет на SOC 2/ISO 27001.
Scalability требует cloud-native и multi-region deployment, микро-сервисной архитектуры, API gateway и event-driven подхода. Как масштабировать BaaS при новых требованиях к лицензиям? Делить стеки по юрисдикциям, стандартизировать безопасность, централизовать мониторинг и логи, а также моделировать стресс-нагрузки. Команда COREDO внедряла подобную архитектуру в двух регионах ЕС и Азии с унифицированными контролями и локализацией потоков данных.
Международные рынки и песочницы
MAS APIX и азиатские sandboxes позволяют тестировать продукты с банками и TPP, отрабатывать SCA и KYC в контролируемой среде. Open Banking Nigeria движется к собственным стандартам и локальным регуляциям, где важны локализация данных и обмен с центральным банком. Account Aggregator (модель Индии) демонстрирует, как consent-архитектура и унифицированный обмен создают масштабируемую экосистему.
Регуляторные песочницы и критерии выхода (supervisory sandbox exit criteria) требуют четких KPI, управленческой отчетности и плана соответствия полной лицензии. Какие рынки Азии адаптируют новые лицензии Open Banking быстрее? Сингапур и Гонконг двигаются динамично; ОАЭ ускоряют требования к BaaS и цифровой идентификации; некоторые рынки Юго-Восточной Азии идут поэтапно, начиная с пилотов в платежах.
Международное лицензирование Open Banking неизбежно связано с cross-border data flows. В COREDO мы проектируем матрицы локализации, подписываем стандартные договорные положения и структурируем юридические лица в ЕС, Великобритании, Сингапуре и Дубае для законного обмена и обработки данных.
Кейсы COREDO
Кейс 1: лицензия для PISP и AIS в ЕС. Клиент: финтех с фокусом на мультибанкинг и платежи в реальном времени. Команда COREDO провела регистрацию платёжного учреждения, собрала пакет по SCA и API безопасности, внедрила FAPI, OAuth 2.0 и mTLS, настроила Berlin Group профиль и ISO 20022-платежи. В договорах с банками мы закрепили allocation of liability, согласовали API SLA и версионирование. Итог, лицензия и подключение к 30+ банкам за 9 месяцев.
Кейс 2: e-money + BaaS в Великобритании и ЕС после Brexit. Клиенту требовались две лицензии и разграничение потоков данных. Решение, разработанное в COREDO, разделило юридические лица, стандартизировало SOC 2/ISO 27001, внедрило DPIA и privacy by design, а также организовало vendor oversight для KYC-провайдеров. Результат — быстрый вывод embedded finance-продуктов B2B2C с прозрачной моделью revenue share.
Кейс 3: Сингапур и цифровая идентификация. Для локального AIS/TPP мы интегрировали eKYC, eID и W3C Verifiable Credentials, подключили MAS APIX sandbox и выполнили sandbox лицензирование для Open Banking. После достижения KPI клиент перешел к полной лицензии, сохранив все политики по BCM, incident response и регуляторной отчетности.
Кейс 4: M&A и due diligence чек-лист для Open Banking активов. Инвестор рассматривал покупку провайдера с лицензией AIS. Практика COREDO включила проверку лицензии, capital requirements, API security posture, логи и audit trails, GDPR/DPIA, AML/CFT сценарии, страховое покрытие, контракты с банками и allocation of liability. Покупатель получил карту рисков и план интеграции на 180 дней.
Стоимость сроки и план соответствия 2026
Вопрос: сколько стоит соответствие новым правилам лицензирования? Оценка стоимости соответствия новым лицензиям Open Banking складывается из стартовых сборов регулятора, юридической подготовки, технологий (FAPI, OAuth, mTLS, токенизация, журналирование), аудитов (IT/AML), pentest, страхования, SOC 2/ISO 27001 и штатных расходов на комплаенс. По нашим наблюдениям, для PISP/AIS в ЕС бюджет первого года часто соизмерим с 12–18 месяцами burn-rate на комплаенс и безопасность.
Вопрос: какие сроки у регуляторов на внедрение PSD3/аналогов? В 2026 ожидается переходный период, когда старые лицензии сохраняют силу, но требуют апгрейда по SCA, API и данным. Сроки переходного периода на новые лицензии Open Banking составляют несколько кварталов; совмещенные проекты по лицензии и технике проходят быстрее.
Compliance roadmap 2026 и project plan должны включать: лицензирование (PISP/AIS/e-money/платежное учреждение), технический базис API, GDPR/DPIA и eIDAS, AML/CFT и сценарии, BCM и операционную устойчивость, страхование, regulatory reporting и формат отчётности, а также готовность к prudential supervision. Команда COREDO рекомендует квартальные контрольные точки, чтобы регулятор видел предсказуемость прогресса.
Частые вопросы клиентов
Вопрос: как распределяется ответственность при мошенничестве через TPP? Ответственность распределяется по договорам и правилам регулятора: если TPP корректно применил SCA и соблюдал SLA, банк покрывает часть потерь; если TPP нарушил SCA или обработал транзакцию вне согласия, ответственность смещается к TPP. Я настаиваю на четких indemnity clauses и процедуре расследования.
Вопрос: стоит ли менять юрисдикцию регистрации из‑за новых правил? Часто нет необходимости мигрировать, если рынок ключевой. Гораздо продуктивнее, донастроить лицензии, усилить API безопасность, пересобрать DPIA и локализовать данные при кросс-бордер потоках. В отдельных случаях релокация ради passporting в ЕС или доступа к песочнице в Азии дает ускорение.
Вопрос: можно ли использовать сторонние KYC сервисы для соответствия новым лицензиям? Да, при условиях vendor due diligence, технических и юридических SLA, проверок соответствия AML/CFT и защите данных. В COREDO мы формируем vendor due diligence checklist, включающий контроль санкций, стресс-тесты SLA и планы аварийного переключения.
Вопрос: что изменится в PSD3 для Open Banking? Усилится SCA, унифицируются требования к API, яснее станет ответственность, а consent management станет ядром. Регулятор расширит надзор за TPP, и банки получат четкие обязательства по доступу к счетам, что упростит подключение.
Вопрос: как повлияют новые правила лицензирования на банки и финтех? Банки обновят API и безопасность, усилят контроль поставщиков и стандартизируют контракты. Финтехи инвестируют в безопасность, AML и архитектуру, но выиграют за счет большей предсказуемости и уровня доверия рынка.
Чек-лист безопасности XS2A и API 2026
XS2A (доступ к счету) в 2026 означает: FAPI profile, OAuth 2.0, OpenID Connect, mTLS; SCA и API безопасность; Berlin Group/NextGenPSD2 и ISO 20022; API governance и versioning; API SLA, rate limiting и throttling; tokenization, шифрование at rest/in transit; логирование, audit trails и forensic readiness; API security testing, pentest; SOC 2 и ISO 27001. В COREDO мы превращаем этот список в рабочий проектный план с ответственными и сроками.
BaaS и embedded finance: риски и рост
Banking-as-a-Service даёт быстрый доступ к рынку, но несет операционные риски. BaaS лицензирование и комплаенс требуют прозрачного распределения ответственности, контроля поставщиков, регулярных аудиторовских процедур и стресс-тестирования процессов. Как масштабировать BaaS при новых требованиях к лицензиям? Делить ответственность на уровне контрактов, вшивать безопасность в архитектуру и поддерживать единые стандарты логирования и отчетности.
Data monetization и конфиденциальность живут вместе, если использовать privacy by design, консенты и минимизацию данных. Pricing модели для API — от per-call до subscription и revenue share, должны учитывать throttling, кэширующие слои и ISO 20022-конвертацию, иначе юнит-экономика будет «съедена» затратами на производительность.
Договоры банка и TPP: изменения правил
Договоры банка и TPP в 2026 лучше строить на модульных шаблонах: лицензии и соответствие; API и безопасность; SLA и версия; ответственность и indemnity; данные и GDPR; аудит и надзор. Allocation of liability закрепляйте математикой: проценты покрытия, лимиты, порядок расследований. Добавляйте страхование ответственности (cyber, professional liability), а также условия об обязательных уведомлениях и сроках восстановления.
COREDO внедряет контрактные пакеты с приложениями по API SLA и безопасностным профилям, чтобы снизить циклы согласования. Такой подход ускоряет интеграции и повышает предсказуемость для всех сторон.
Итоги для руководителей и директоров
Open Banking 2026, это про зрелость: лицензирование, безопасность API, GDPR, AML/CFT и устойчивость операций. Бизнес-модель выигрывает, когда лицензии и технологии работают вместе: тогда ROI становится предсказуемым, а рост, управляемым. Команда COREDO помогает пройти путь от регистрации платёжного учреждения до международного масштабирования, связывая требования регуляторов с реальными метриками бизнеса.
Если вы планируете лицензию для финтеха в ЕС 2026, готовитесь к лицензии для PISP и AIS 2026 или комбинируете BaaS и e-money, начните с карты требований: PSD3/PSR, GDPR и DPIA, FAPI/OAuth/mTLS, AML/CFT, BCM, отчетность, страхование и контракты. Дальше, структурируйте юрисдикции, заложите бюджет на соответствие, выберите стандарты API и подготовьте команду к надзору.
Я верю в Open Banking, который создает прозрачность, конкуренцию и новые сервисы. И я знаю по опыту COREDO: когда стратегия лицензирования, архитектура и комплаенс идут в одном потоке, рынок отвечает доверием, а продукт: ростом.