Нацбанк вынес на общественное обсуждение новые Правила создания и функционирования финансовых платформ (маркетплейсов), которые полностью перезапускают подход к регулированию цифровых витрин финансовых услуг. Документ заменяет действовавшее с 2022 года положение и вводит более жесткие, детализированные и формализованные требования к операторам маркетплейсов.

Ключевое изменение, которое предполагает законопроект — переход от уведомительного режима к полноценной регистрации. Теперь оператор финансовой платформы обязан подать заявку и пройти процедуру включения в специальный реестр Национального банка. Срок рассмотрения — 30 календарных дней, по итогам регулятор либо регистрирует оператора, либо выносит мотивированный отказ. Ранее такие сроки и основания отказа нормативно не были закреплены, что создавало регулятивную неопределенность.

Принципиально расширен круг потенциальных операторов.

Помимо банков, микрофинансовых и платежных организаций оператором может быть любое юридическое лицо, работающее в сфере финтех, при условии наличия готового технологического решения и соблюдения требований по безопасности.

При этом, если оператор — поднадзорная Национальному банку организация, маркетплейс обязан быть вынесен в отдельный сайт или самостоятельное мобильное приложение, а не быть частью банковского онлайн-сервиса.

Отдельно закреплено базовое правило рынка: оператор маркетплейса не имеет права проводить денежные операции. Все расчеты, переводы и финансовые сделки осуществляются исключительно на стороне банков и платежных организаций, а платформа выполняет роль цифровой витрины и точки входа. Это снижает операционные и системные риски и четко разграничивает ответственность участников.

Существенный акцент сделан на открытых API. Новые правила требуют не просто наличия интерфейсов интеграции, а их стандартизации, документирования и публикации. Вводится разделение API на информационные, сервисные и продуктовые, а передача персональных и банковских данных допускается только при наличии отдельного согласия клиента. Фактически Национальный банк формирует основу для зрелой модели открытого банкинга.

Усилены требования к кибербезопасности и защите данных. Операторы обязаны:

• обеспечивать резервное копирование и бесперебойную работу платформы;
• уведомлять Национальный банк о киберинцидентах не позднее 24 часов;
• проводить ежегодную оценку рисков и стресс-тестирование;
• хранить историю всех пользовательских операций не менее 5 лет.

Впервые подробно прописан механизм исключения из реестра. Платформа может быть закрыта по решению регулятора, если:

• она не функционирует 12 месяцев;
• к ней подключено менее 5 поставщиков финансовых услуг;
• выявлены нарушения законодательства или требований по безопасности.