تا همین یک دهه پیش، دنیای بانکداری شبیه به یک قلعه مستحکم و نفوذناپذیر بود. داده‌های مالی شما، تاریخچه تراکنش‌ها و قدرت مدیریت حساب‌هایتان، همگی در انحصار بانکی بود که در آن حساب داشتید. بانک‌ها کلیدداران این قلعه بودند و هرگونه نوآوری یا خدماتی خارج از دیوارهای این قلعه، بسیار سخت بود. اما این شرایط تغییر کرده و یک دستورالعمل اروپایی به نام PSD2 پرچمدار این تغییر است. PSD2 و مقررات بانکداری باز فقط مجموعه‌ای از قوانین خشک و فنی نیستند، بلکه یک تغییر پارادایم بنیادین هستند که کنترل داده را به صاحبان اصلی داده‌ها، یعنی خود شما، بازمی‌گردانند.

اما PSD2 دقیقا چیست و چگونه دروازه‌های نوآوری را باز کرده است؟ این مقررات چگونه به استارتاپ‌های فین‌تک و شرکت‌های فناوری اجازه می‌دهد تا با کسب اجازه از شما، خدماتی را ارائه دهند که تا دیروز در انحصار بانک‌های بزرگ بود؟ در این پست، با PSD2 آشنا شده و مقررات بانکداری باز را بررسی می‌کنیم. از تاریخچه و اهداف آن گرفته تا الزامات فنی پیچیده‌ای مانند احراز هویت قوی مشتری (SCA) و نقش حیاتی APIها، تمام جنبه‌های این انقلاب مالی را کالبدشکافی کرده و نشان می‌دهیم که چرا آینده امور مالی، آینده‌ای باز، متصل و مشتری‌محور خواهد بود.

از PSD۱ تا انقلابی به نام PSD۲

برای درک اهمیت PSD2، باید کمی به عقب برگردیم. در سال ۲۰۰۷، اتحادیه اروپا اولین دستورالعمل خدمات پرداخت (Payment Services Directive یا PSD۱) را معرفی کرد. هدف اصلی PSD۱، ایجاد یک بازار واحد و یکپارچه برای پرداخت‌ها در سراسر اروپا و افزایش رقابت با شکستن انحصار بانک‌ها در این حوزه بود. این دستورالعمل راه را برای ورود ارائه‌دهندگان خدمات پرداخت غیربانکی (Payment Institutions) هموار کرد. این گام بزرگ اما کافی نبود. PSD1 هنوز به یکی از ارزشمندترین دارایی‌های بانک‌ها، یعنی داده‌های حساب مشتریان، دست نزده بود.

با پیشرفت سریع فناوری و ظهور فین‌تک‌ها، نیاز به یک چارچوب قانونی مدرن‌تر به شدت احساس می‌شد. در نتیجه، نسخه دوم این دستورالعمل، یعنی PSD۲، در سال ۲۰۱۵ تصویب و اجرای کامل آن از سپتامبر ۲۰۱۹ الزامی شد. PSD۲ دو هدف اصلی را دنبال می‌کرد:

افزایش رقابت و نوآوری: با الزام بانک‌ها به فراهم کردن دسترسی به حساب‌های مشتریان برای شرکت‌های ثالث مجاز (Third-Party Providers یا TPPs)، از طریق APIهای امن

افزایش امنیت پرداخت‌ها: با معرفی الزامات سخت‌گیرانه‌ای مانند احراز هویت قوی مشتری (Strong Customer Authentication یا SCA)

در واقع، PSD به بانک‌ها گفت: «شما دیگر مالک انحصاری داده‌های مشتریان خود نیستید. شما تنها نگهدارنده و محافظ این داده‌ها هستید و اگر مشتری اجازه دهد، باید این داده‌ها را به صورت امن در اختیار سرویس‌دهندگان دیگری که او انتخاب می‌کند، قرار دهید.» این دستور ساده، سنگ بنای جنبشی جهانی به نام بانکداری باز (Open Banking) را گذاشت.

کالبدشکافی PSD2: معرفی بازیگران و مفاهیم کلیدی

برای فهم عمیق‌تر PSD2 و مقررات بانکداری باز، باید با چند مفهوم و بازیگر کلیدی که توسط این دستورالعمل تعریف شده‌اند، آشنا شویم:

ارائه‌دهندگان خدمات پرداخت ثالث (TPPs – Third-Party Providers)

شرکت‌هایی که بانک نیستند اما مجوز فعالیت از نهادهای نظارتی مالی را برای ارائه خدمات مرتبط با پرداخت و حساب دریافت کرده‌اند. PSD2 دو نوع اصلی از این بازیگران را معرفی کرد:

• ارائه‌دهندگان خدمات شروع پرداخت (PISPs – Payment Initiation Service Providers): این شرکت‌ها می‌توانند با اجازه شما، یک پرداخت را به طور مستقیم از حساب بانکی‌تان آغاز کنند. برای مثال، وقتی در یک فروشگاه آنلاین خرید می‌کنید، به جای وارد کردن اطلاعات کارت، می‌توانید به یک PISP اجازه دهید تا مبلغ را از حساب شما به حساب فروشنده منتقل کند. این فرایند اغلب سریع‌تر، ارزان‌تر و امن‌تر از پرداخت‌های کارتی است.
• ارائه‌دهندگان خدمات اطلاعات حساب (AISPs – Account Information Service Providers): این شرکت‌ها می‌توانند با اجازه شما، اطلاعات تمام حساب‌های بانکی‌تان (حتی از بانک‌های مختلف) را در یک مکان واحد جمع‌آوری و نمایش دهند. اپلیکیشن‌های مدیریت مالی شخصی (PFM) بهترین نمونه از یک AISP هستند که به شما یک دید ۳۶۰ درجه و کامل از وضعیت مالی‌تان می‌دهند.

API (رابط برنامه‌نویسی کاربردی)

این مفهوم، قلب فنی بانکداری باز است. APIها در واقع مجموعه‌ای از قوانین و پروتکل‌های نرم‌افزاری هستند که به دو برنامه کامپیوتری اجازه می‌دهند با یکدیگر به صورت امن و استاندارد صحبت کنند. در چارچوب PSD2، بانک‌ها موظف شدند APIهای امنی را توسعه دهند تا ارائه‌دهندگان خدمات پرداخت ثالث بتوانند از طریق آن‌ها به حساب‌های مشتریان (پس از کسب اجازه) متصل شوند. این جایگزین روش‌های قدیمی و ناامنی مانند Screen Scraping شد.

احراز هویت قوی مشتری

این یکی از مهم‌ترین الزامات امنیتی PSD2 است. SCA حکم می‌کند که برای اکثر پرداخت‌های آنلاین و دسترسی به اطلاعات حساس حساب، هویت مشتری باید حداقل با دو مورد از سه عامل زیر تایید شود:

• دانش: چیزی که فقط شما می‌دانید (مانند رمز عبور یا پین‌کد)
• مالکیت: چیزی که فقط شما در اختیار دارید (مانند تلفن همراه‌تان برای دریافت رمز یکبار مصرف یا یک توکن سخت‌افزاری)
• ذاتی: چیزی که شما هستید (مانند اثر انگشت، تشخیص چهره یا اسکن عنبیه چشم)

این الزام، امنیت پرداخت‌های دیجیتال را به سطح بسیار بالاتری ارتقاء و ریسک کلاهبرداری را به شدت کاهش داد.

تاثیر دومینویی PSD2: از بانک‌ها تا مصرف‌کنندگان نهایی

اجرای PSD2 و مقررات بانکداری باز یک اثر دومینویی در کل زیست‌بوم مالی ایجاد کرد که پیامدهای آن برای همه بازیگران، از بانک‌های بزرگ گرفته تا مصرف‌کننده نهایی، قابل لمس است.

برای بانک‌ها

در نگاه اول، PSD2 یک تهدید برای مدل کسب‌وکار سنتی بانک‌ها بود. آن‌ها مجبور شدند انحصار خود بر داده‌ها و پرداخت‌ها را کنار بگذارند و زیرساخت‌های گران‌قیمت API را توسعه دهند.

اما بانک‌های هوشمند به سرعت این تهدید را به یک فرصت تبدیل کردند. آن‌ها با ارائه APIهای پیشرفته، خود را به یک پلتفرم تبدیل کردند که فین‌تک‌ها می‌توانند بر روی آن نوآوری کنند. برخی بانک‌ها حتی پا را فراتر گذاشته و خودشان به عنوان یک AISP عمل کرده و به مشتریان‌شان اجازه دادند حساب‌های خود از سایر بانک‌ها را در اپلیکیشن بانک خودشان مشاهده کنند. این کار به افزایش تعامل و وفاداری مشتریان منجر شد.

برای فین‌تک‌ها و استارتاپ‌ها

PSD2 بزرگترین هدیه به زیست‌بوم فین‌تک بود. ناگهان، یک زمین بازی هموار ایجاد شد که در آن یک استارتاپ کوچک می‌توانست با دسترسی به همان داده‌هایی که در اختیار یک بانک بزرگ بود، رقابت کند. این امر منجر به انفجاری از نوآوری در حوزه‌هایی مانند مدیریت مالی شخصی، وام‌دهی آنلاین، خدمات پرداخت و اعتبارسنجی شد.

برای مصرف‌کنندگان نهایی

بزرگترین برنده این انقلاب، مشتریان بودند. آن‌ها کنترل کاملی بر داده‌های مالی خود به دست آوردند و توانستند انتخاب کنند که کدام شرکت‌ها به داده‌هایشان دسترسی داشته باشند.

همچنین رقابت بین بانک‌ها و کسب‌و‌کارها افزایش یافته و منجر به ارائه خدمات بهتر، شخصی‌سازی‌شده‌تر و با هزینه کمتر شد. از اپلیکیشن‌هایی که به شما در پس‌انداز کمک می‌کنند تا فرایندهای وام‌دهی که در چند دقیقه انجام می‌شوند، همگی از نتایج مستقیم بانکداری باز هستند. از سوی دیگر با وجود به اشتراک‌گذاری داده‌ها، الزامات سخت‌گیرانه‌ای مانند SCA در عمل امنیت تراکنش‌های آنلاین را بسیار بیشتر از گذشته کرده است.

بانکداری باز، یک جنبش جهانی

اگرچه PSD2 و مقررات بانکداری باز در اروپا متولد شدند، اما تاثیر آن به سرعت از مرزهای این قاره فراتر رفت و به یک مدل الهام‌بخش برای کشورهای سراسر جهان تبدیل شد. کشورهایی مانند بریتانیا (با استاندارد Open Banking)، استرالیا، کانادا، برزیل، سنگاپور و بسیاری دیگر، هر کدام با رویکرد خاص خود (برخی مبتنی بر قانون و برخی مبتنی بر بازار) در حال پیاده‌سازی چارچوب‌های مشابهی هستند.

این جهانی شدن نشان می‌دهد که بانکداری باز یک پدیده گذرا نیست، بلکه یک تکامل طبیعی در صنعت خدمات مالی است که توسط فناوری و تغییر انتظارات مشتریان هدایت می‌شود.