بخش ۱۰۳۳ برای بانکداری اپن (Open Banking) در ایالات متحده چگونه عمل می‌کند؟

برای اولین بار در سال ۲۰۱۶ درباره PSD2 صحبت شد و جلسات متعدد بانکداری اپن را در Platform Summits و وبینارهای خود برگزار گردید. با این حال، همه چیز مربوط به اروپا نیست و بانکداری اپن اخیراً به موضوع داغی در ایالات متحده تبدیل شده است. تحلیلگران بازار درباره بخش ۱۰۳۳، یک مقرره اصلاح‌شده از قانون فرانک-دود، صحبت می‌کنند و اینکه چگونه ممکن است وضعیت اکوسیستم Open Banking در ایالات متحده را تحت تأثیر قرار دهد. آخرین نظرات ما درباره ایالات متحده مربوط به سال ۲۰۱۹ بود، بنابراین وقت آن است که وضعیت Open Banking در آمریکا را دوباره بررسی کنیم.

وضعیت فعلی Open Banking در ایالات متحده

اولین نکته‌ای که باید روشن شود این است که حتی بدون تغییرات قانونی، Open Banking در بازار خدمات مالی آمریکا یک «موضوع بزرگ» است. طبق گفته Visa، ۸۷٪ از مشتریانی که حساب دارند از راهکارهای Open Banking برای اتصال حساب خود به راهکارهای شخص ثالث استفاده می‌کنند، که امکان استفاده‌هایی مانند مدیریت مالی شخصی، ورود به حساب و شروع پرداخت را فراهم می‌کند. شخص ثالث از هر روشی که لازم باشد برای اتصال به حساب‌ها استفاده می‌کند، از جمله screen scraping، API‌های ارائه‌دهندگان خدمات مالی، جمع‌آورنده‌های حساب مانند Plaid، یا API‌های استاندارد از سازمان‌هایی مانند Financial Data Exchange (FDX).

برای اکثر بازارهای جهانی Open Banking، استانداردسازی یکی از ویژگی‌های کلیدی بازار است، همراه با راهنمایی یا مقررات شفاف در مورد مشارکت. API‌های استاندارد و امنیت API سادگی و سهولت استفاده را برای مصرف‌کنندگان API فراهم می‌کنند و API‌های قالب‌بندی شده برای ارائه‌دهندگان با هدف تسهیل تعامل‌پذیری و کارایی در پیاده‌سازی ارائه می‌شوند. FDX تقریباً مطمئناً رایج‌ترین API استاندارد در آمریکا است، با ۷۶ میلیون حساب که با استفاده از API‌های FDX متصل شده‌اند. FDX توضیحات API برای اطلاعات حساب و پروفایل امنیتی بر اساس FAPI 1.0 Advanced ارائه می‌دهد.

استانداردسازی شاید بزرگ‌ترین محور در بخش ۱۰۳۳ باشد. بازار Open Banking آمریکا بدون شک سالم است. با این حال، به اندازه‌ای استاندارد نشده است که یک مشتری یا شخص ثالث بتواند انتظار API‌های Open Banking از هر بانکی را داشته باشد. مشارکت بسته به اندازه بانک متفاوت است، با اکثر بانک‌های بزرگ که API دارند، اما تنها ۲۱٪ از بانک‌های جامعه API ارائه می‌دهند. مشارکت و استانداردسازی همان چیزی است که نسخه بخش ۱۰۳۳، معروف به «قانون نهایی»، در صدد فراهم کردن آن است.

Open Banking تحت بخش ۱۰۳۳

بخش ۱۰۳۳ بخشی از قانون Dodd-Frank است، یک مقرره از دفتر حفاظت مالی مصرف‌کننده (CFPB) که از سال ۲۰۱۰ وجود دارد. بخش ۱۰۳۳ هدفش تقویت حقوق مصرف‌کنندگان برای دسترسی به داده‌های حسابشان از پلتفرم‌هایی است که انتخاب می‌کنند استفاده کنند. از برخی جهات بخش ۱۰۳۳ شبیه نسخه‌ای خاص‌تر از PSD2 است، زیرا چارچوب Open Banking را تعیین می‌کند، اما با مقررات مشخص‌تر درباره شرکت‌کنندگان و کسانی که باید API ارائه دهند.

تغییر مهم در بخش ۱۰۳۳ در ۲۲ اکتبر ۲۰۲۴، نهایی‌سازی قوانین است، که شامل:

• صلاحیت سازمان‌های خدمات مالی (ارائه‌دهندگان داده) برای ارائه داده‌های مصرف‌کننده به اشخاص ثالث (جمع‌آورنده‌های داده) با ضرب‌الاجل‌های مشارکت ارائه‌دهنده داده درج شده در قانون و واجد شرایط بودن بر اساس اندازه کسب‌وکار.

• در سطح کلان، نحوه ارائه داده‌ها، از جمله نیاز به «رابط‌های توسعه‌دهنده» (یا برای این مخاطب، APIها).

• تأکید بر این که APIها باید بدون هزینه برای مصرف‌کننده ارائه شوند.

• الزامات برای شرکت‌کنندگان بازار در حفاظت از داده‌ها، از جمله نحوه گواهی APIهای شرکت‌کننده.

نکته مهم درباره گواهی است. ارائه‌دهندگان داده ملزم به استفاده از استاندارد «گواهی‌شده» برای ارائه APIهای خود هستند، که به معنی یک نهاد استاندارد است که توسط بازار پذیرفته شده است. حکم اصلی از تعریف اینکه کدام نهاد استاندارد قابل قبول است خودداری کرد و به بازار اجازه داد تا استانداردسازی را هدایت کند. الزام گواهی همچنین به سمت ممنوع کردن screen scraping پیش می‌رود، زیرا این روش جمع‌آوری داده‌ها نه توسط نهاد استاندارد گواهی شده و نه یک رابط توسعه‌دهنده اختصاصی تأیید می‌شود.

نقش استانداردها تحت بخش ۱۰۳۳

بنابراین، بخش ۱۰۳۳ خبر بزرگی برای نهادهای استاندارد است، زیرا این حکم استانداردهای API، چه عملکردی و چه امنیتی، را برای اولین بار در حوزه مقررات آمریکا وارد می‌کند. ارائه‌دهندگان داده می‌توانند به استانداردهای API از FDX متکی باشند، که طراحی خود را برای پیش‌بینی الزامات نهایی بخش ۱۰۳۳ شکل داده‌اند، و استانداردهای امنیت API از OpenID Foundation در قالب پروفایل امنیتی FAPI، برای پیاده‌سازی APIهای خود و ارائه آن‌ها به بازار. مورد استفاده از FDX به طور قابل توجهی در گواهی CFPB به عنوان ارائه‌دهنده استانداردهای API تقویت می‌شود و آن‌ها را به اولین نهاد استانداردی تبدیل می‌کند که گواهی شده است.

ارائه‌دهندگان داده می‌توانند البته استانداردهای Berlin Group یا UK Open Banking را نیز اعمال کنند اگر CFPB آن‌ها را گواهی کند، اما FDX به طور خاص برای الزامات عمومی بازار آمریکا طراحی شده و بنابراین احتمالاً بیشترین تناسب را با اطلاعاتی که ارائه‌دهندگان داده موظف به ارائه آن هستند، دارد. اعضای FDX نماینده برخی از بزرگ‌ترین سازمان‌های خدمات مالی در آمریکا هستند و این تأثیر قابل توجهی بر شکل استانداردهای API و رفع نیازهای بازار دارد.

با این حال، اکوسیستم‌های Open Banking صرفاً بر اساس استانداردهای API ساخته نشده‌اند. جنبه‌های دیگر بازار نیاز به رسیدگی دارند، از جمله:

• فهرست شرکت‌کنندگان: اکثر بازارهای پیشرفته Open Banking نوعی فهرست پیاده‌سازی می‌کنند که به سازمان‌ها امکان می‌دهد لیست شوند، همراه با متادیتایی که به یک جمع‌آورنده داده اجازه می‌دهد با ارائه‌دهنده داده به مؤثرترین شکل ممکن متصل شود.

• تکیه‌گاه‌های اعتماد شناخته‌شده: اکثر اکوسیستم‌های Open Banking یک زیرساخت کلید عمومی با یک مرجع صدور گواهی اجرا می‌کنند که از اکوسیستم پشتیبانی می‌کند. در حال حاضر به نظر نمی‌رسد که هیچ مقررات خاصی برای چنین تکیه‌گاه اعتمادی در بازار Open Banking آمریکا تحت بخش ۱۰۳۳ وجود داشته باشد.

• گواهی مطابقت با استانداردها توسط ارائه‌دهندگان داده: ارائه‌دهندگان داده ملزم به استفاده از استانداردهای گواهی‌شده هستند، اما به نظر می‌رسد ارائه گواهی برای پیاده‌سازی ارائه‌دهندگان داده محدود باشد. در حالی که این ویژگی در بازارهای Open Banking همیشه وجود ندارد، اما نشانه‌ای از بلوغ بازار است.

توسعه آینده چنین ویژگی‌هایی هنوز مشخص نیست، به ویژه از دیدگاه نقش CFPB و اینکه نهادهای استاندارد چگونه ممکن است برخی از ویژگی‌های ذکر شده در بالا را در دیدگاه بازار گسترده ارائه دهند. همانطور که در بسیاری از بازارهای آمریکا، توسعه یک فهرست شرکت‌کنندگان یا تکیه‌گاه اعتماد ممکن است بازارمحور باشد، که اگر این ویژگی‌ها نیازهای واقعی بازار را منعکس کنند، مزایای مثبتی خواهد داشت.

آینده Open Banking در ایالات متحده

بخش ۱۰۳۳ پایه‌ای برای چارچوب مشارکت استاندارد شده برای بازار آمریکا فراهم می‌کند، همراه با APIهای مبتنی بر استاندارد که استفاده‌هایOpen Banking را در سراسر بازار آمریکا تسهیل می‌کند. بازار در حال حاضر پرانرژی است، اما بخش ۱۰۳۳ دسترسی بازار را افزایش می‌دهد و به شرکت‌کنندگانی که هنوز ارائه‌دهنده داده نشده‌اند یا الزامات داده در APIهای موجود خود را برآورده نکرده‌اند، می‌پردازد. اگرچه بخش ۱۰۳۳ یک راه حل کامل برای اجازه دادن به اشخاص ثالث برای مصرف مداوم APIها از طریق یک استاندارد امنیتی مشترک و مکانیزم ثبت‌نام نیست، اما انگیزه‌ای برای حرکت به سمت مدل‌های API مشترک‌تر فراهم می‌کند.

با این حال، دو مشکل وجود دارد که قبل از اینکه بخش ۱۰۳۳ بتواند بازار Open Banking آمریکا را شکل دهد باید حل شوند.

نخست، بخش ۱۰۳۳ تحت یک چالش حقوقی توسط The Bank Policy Institute و Kentucky Bankers Association قرار دارد. این دادخواست بیان می‌کند که CFPB قدرت خود را با الزام به اشتراک‌گذاری داده‌های حساب مشتری با اشخاص ثالث فراتر می‌برد، با نظارت محدود بر خود اشخاص ثالث. اشتراک‌گذاری داده به این روش برای Open Banking اساسی است و اگر چالش قانونی موفق شود، تلاش‌ها برای ایجاد یک الزام برای بانک‌ها برای ارائه APIها را اساساً مختل می‌کند. مدافعان رشد ارگانیک و APIهای بازارمحور خواهند گفت که این مهم نیست، زیرا فرصت‌های تجاری ایجاد APIها را هدایت می‌کند. با این حال، اگر PSD2 و مقررات دیگر Open Banking هیچ چیز دیگری ارائه ندهند، این نشان می‌دهد که بازار به نوعی محرک قانونی برای موفقیت نیاز دارد.

دوم، و شاید از نظر تأثیر کمتر روشن، این است که دولت جدید ایالات متحده چگونه مقررات مرتبط با APIها و Open Banking را خواهد دید. برنامه‌ای برای افزایش کارایی دولت با کاهش مقررات، که می‌تواند بر اجرای بخش ۱۰۳۳ تأثیر بگذارد، غیر قابل تصور نیست.

هرچه پیش بیاید، واضح است که بخش ۱۰۳۳، با وجود چالش‌های فعلی، استانداردسازی را در بازار Open Banking آمریکا افزایش خواهد داد. اینکه آیا این امر زندگی شرکت‌کنندگان اکوسیستم را آسان‌تر می‌کند یا خیر، هنوز مشخص نیست.