# Open banking в Казахстане: безопасность API и защита финансовых данных > Open banking открывает финансовые данные третьим сервисам. Разбираем, какие риски несёт эта технология для клиентов казахстанских банков и как обезопасить свои данные. - **Дата публикации:** 2025-08-14 - **Автор:** Алия Нурланова - **Язык:** Русский - **Теги:** антифрод, кибербезопасность, банки, Казахстан, AML --- _Open banking_ — это концепция, при которой банки через API предоставляют доступ к данным клиентов третьим сервисам с согласия самого клиента. Это удобно: можно управлять несколькими счетами через одно приложение, получать персонализированные финансовые советы, оформлять кредиты быстрее. Но вместе с удобством приходят новые риски. ## Что такое open banking и как он развивается в Казахстане Казахстан активно движется к открытому банкингу: Национальный банк разработало концепцию открытого API для финансового рынка. Несколько банков уже предоставляют API для лицензированных финтех-компаний. Международный опыт показывает: open banking создаёт как возможности, так и новые векторы атак. > В странах с развитым open banking (Великобритания, ЕС) зафиксирован рост так называемых «атак через авторизованный доступ» — когда клиент сам разрешает вредоносному приложению доступ к своим банковским данным, не осознавая последствий. ## Основные угрозы open banking ### Злоупотребление согласием (Consent abuse) Клиент даёт согласие на «просмотр баланса» приложению, а оно запрашивает более широкие права — на инициирование платежей. Или вредоносное приложение маскируется под легальный сервис. Всегда читайте, на что именно вы даёте согласие. ### Компрометация токенов доступа В open banking используются OAuth-токены вместо паролей. Если злоумышленник перехватит токен, он получит доступ к вашим данным без знания пароля. Токены имеют срок действия, но если приложение хранит их небезопасно — риск реален. ### Атаки на API банка Уязвимости в банковских API: недостаточная авторизация, SQL-инъекции, отсутствие rate limiting. Квалифицированная атака на API может дать доступ к данным множества клиентов сразу. Это ответственность банка — клиент может только выбирать надёжные банки. ### Фишинговые OAuth-приложения Мошенники создают приложения, которые запрашивают OAuth-авторизацию через легальный банк. Клиент видит официальную страницу банка и даёт согласие — не понимая, что разрешает доступ мошенникам. ## Как клиент может защитить себя 1. Подключайте только официально лицензированные приложения — список доступен на finreg.kz 2. Проверяйте запрашиваемые права: приложению для просмотра статистики расходов не нужен доступ к платежам 3. Регулярно проверяйте и отзывайте ненужные разрешения в мобильном приложении банка 4. Не нажимайте на кнопку «Разрешить» в OAuth-окне, если вы не инициировали это действие 5. Используйте отдельный email для финансовых сервисов ## Признаки легального open banking провайдера Признак Легальный провайдер Мошенник Лицензия Есть в реестре Национальный банк Отсутствует или не проверяется Авторизация Через официальное приложение банка Через собственный сайт, просит пароль Права доступа Минимально необходимые, чётко описаны Расплывчатые или избыточные Отзыв доступа Легко отзывается в приложении банка Трудно или невозможно отозвать ## Что делать при подозрительной активности Если вы заметили несанкционированные операции или подозрительный доступ: немедленно отзовите все разрешения в настройках банковского приложения; смените пароль и PIN; сообщите в банк и запустите процедуру чарджбэка при несанкционированных платежах; обратитесь в Национальный банк. Подробнее об антифрод-защите читайте в материале [как работают антифрод-системы в банках](/blog/antifraud-sistemy-bankov-kazakhstan), а о чарджбэке — в статье [чарджбэк и возврат платежа](/blog/chargeback-vozvrat-platezha-kazakhstan).