Банк России обновил и опубликовал комплекс стандартов Открытых API
В декабре 2025 года Банк России утвердил и разместил на своем официальном сайте обновленный комплекс стандартов Открытых API (Open API). Эти документы разработаны совместно с участниками финансового рынка и Ассоциацией ФинТех на основе результатов пилотных проектов и реального тестирования сервисов с клиентами.
Стандарты носят рекомендательный характер, но задают единые правила и подходы к реализации технологии Открытых API в России. Они являются важным шагом на пути к концепции открытых финансов, когда клиенты с их согласия смогут передавать данные между разными финансовыми организациями (не только банками). Это позволит создавать удобные сервисы: агрегацию счетов, персонализированные финансовые предложения, упрощенное управление продуктами в разных банках и т.д.
Комплекс включает 10 документов, разделённых на уровни: обзорный, безопасности, технические и прикладные стандарты. Ниже приведён актуальный перечень ключевых стандартов (по состоянию на март 2026 года) с кратким описанием каждого.
1. Стандарт Банка России СТО БР «Открытые программные интерфейсы. Общие положения» (19.12.2025)
Основополагающий документ комплекса. Определяет общие принципы построения среды Открытых API, роли участников (ПУ — поставщик услуг, СПУ — сторонний поставщик услуг), архитектурные принципы (RESTful-подход, технологическая независимость, масштабируемость), требования к версионированию и состав комплекса стандартов. Дата введения — 01.10.2026.
2. Стандарт Банка России СТО БР «Открытые программные интерфейсы. Глоссарий» (19.12.2025)
Словарь терминов и определений, используемых во всём комплексе стандартов Открытых API. Обеспечивает единообразное понимание понятий всеми участниками рынка.
3. Стандарт Банка России СТО БР ФАПИ.СЕК-1.6-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect. Требования» (07.10.2024)
Базовый стандарт безопасности. Устанавливает требования к протоколу OpenID Connect для обеспечения защищённого доступа к данным. Включает обязательное использование mTLS, российские криптоалгоритмы, certificate pinning, защиту от типичных атак. Определяет базовый и расширенный профили безопасности.
4. Стандарт Банка России СТО БР ФАПИ.ПАОК-1.0-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования» (07.10.2024)
Дополняет предыдущий стандарт. Описывает требования безопасности для сценариев CIBA (Client Initiated Backchannel Authentication) — когда аутентификация инициируется не через браузер/редирект, а по отдельному каналу (например, в офлайн-сценариях, через голосовые устройства, в точках выдачи заказов и т.д.).
5. Стандарт Банка России СТО БР «Открытые программные интерфейсы. Профили Открытых программных интерфейсов для расширенного режима безопасности. Технический стандарт» (19.12.2025)
Технический документ, детализирующий расширенный (высокий уровень доверия) профиль безопасности OpenID Connect. Включает жёсткие требования к токенам, методам аутентификации клиента (private_key_jwt), PKCE, TLS, проверке метаданных, отзыву токенов, защите от фишинга, replay-атак и т.д. Обязателен для сценариев с повышенными рисками.
6. Стандарт Банка России СТО БР «Открытые программные интерфейсы. Общие требования к прикладным стандартам. Технический стандарт» (19.12.2025)
Устанавливает общие правила создания прикладных спецификаций API: использование OpenAPI 3.0 (YAML), применение элементов ISO 20022, обязательность/опциональность полей, требования к токенам доступа и scope.
7–10. Прикладные стандарты и спецификации (19.12.2025)
Включают документы, описывающие конкретные бизнес-кейсы и правила взаимодействия:
- Получение публичной информации о кредитной организации и её продуктах;
- Получение информации о счёте клиента третьей стороной (остатки, транзакции, выписки);
- Инициирование переводов денежных средств клиента третьей стороной;
- Спецификации API (OpenAPI-файлы) для реализации указанных кейсов.
Эти документы обновлены с учётом пилотирования и обратной связи рынка.
Обновлённый комплекс стандартов доступен на официальной странице Банка России: https://www.cbr.ru/fintech/api/prikladnye-standarty/.
Внедрение обязательных требований Открытых API ожидается после принятия соответствующего федерального закона — сроки пока не определены. Однако уже сейчас стандарты активно используются в пилотных проектах и добровольных интеграциях.
Развитие Открытых API — один из ключевых элементов цифровой трансформации финансового рынка России, направленный на повышение конкуренции, удобства клиентов и появление новых сервисов.
