Co je open finance a proč je strategicky důležité
Open finance je rozšířením principů open bankingu na širší finanční ekosystém: spoření, investice, pojištění, penze, úvěry, hypoteční produkty, leasing, platební služby, ale také přidružené datové domény (např. energetika či telekomunikace) relevantní pro riziko a tvorbu cen. Na základě informovaného souhlasu klienta umožňuje standardizované, bezpečné a auditovatelné sdílení údajů a iniciaci transakcí přes API. Základním předpokladem je, že údaje patří klientovi a mohou být přenosné mezi důvěryhodnými subjekty, což podporuje konkurenci, personalizaci a inovaci finančních služeb.
Od open bankingu k open finance: posun v rozsahu a hodnotě
- Rozsah údajů: z bankovních účtů a plateb se záběr rozšiřuje na portfolia investic, pojistné smlouvy, penzijní účty, úvěrové účty, limity, kolaterál a pojistné události.
- Transakční schopnosti: kromě A2A plateb přibývá iniciace investičních příkazů, žádostí o pojistné krytí, úvěrových simulací a straight-through procesů.
- Dátová granularita: standardizují se nejen zůstatky a obraty, ale i positions, cashflows, poplatky, podmínky krytí, rizikové profily a metadata o produktech.
- Ekonomika ekosystému: vznikají nová premium API, datové mezivrstvy (data intermediaries) a modely banking-as-a-service/finance-as-a-service.
Regulační a politická východiska
Open finance stojí na pilířích ochrany spotřebitele, přenositelnosti údajů a bezpečného sdílení. V evropském kontextu se diskutují rámce navazující na open banking: finanční přístup k datům, posílená pravidla souhlasů a bezpečnostní standardy API. Paralelně se vyvíjejí sektorově specifické iniciativy (např. open insurance) a horizontální pravidla pro datovou ekonomiku. V praxi to znamená harmonizaci:
- definic datových domén (účty, investice, pojistky, penze, úvěry),
- identit a odpovědností zúčastněných stran (poskytovatelé údajů, příjemci, zprostředkovatelé),
- standardů bezpečnosti a souladu (silná autentifikace, kryptografie, auditní stopy),
- práv spotřebitele (informovaný, granularitní a odvolatelný souhlas; přenositelnost; data minimization).
Referenční architektura open finance
- API vrstva: produktové a datové API s jasnými scopes (čtení, iniciace, simulace), verzování, rate limiting a idempotence.
- Consent & Identity: OAuth 2.0/OIDC s finančním profilem (FAPI), dynamic client registration, fine-grained souhlasy a správa životního cyklu (grant management).
- SCA Orchestrator: multifaktorová autentifikace, dynamic linking, decoupled potvrzení v mobilní aplikaci, risk-based úlevy.
- Data Fabric: normalizace, deduplikace a semantické mapování napříč doménami (účetnictví, pojistné produkty, cenné papíry).
- Eventing & Webhooks: notifikace o změnách (např.
position.updated,claim.status_changed,payment.settled) místo periodického pollingu. - Risk & Compliance Engine: AML, fraud, behavioral analytics, monitorování anomálií a explainability pro rozhodování.
- Observabilita: metriky řízený provoz (latence, chybovost, saturace), traceability napříč voláními a auditní logy s retenční politikou.
Doménová taxonomie dat
| Doména | Klíčové entity | Minimální pole | Operace |
|---|---|---|---|
| Bankovnictví | účty, transakce, příjemce | IBAN, měna, zůstatky (book/available), kategorie | čtení, A2A platby, inkaso, plánované platby |
| Investice | portfolio, pozice, příkazy | ISIN/ticker, množství, náklady, P/L, poplatky | čtení, zadání příkazu, výplaty, korporátní akce |
| Pojištění | smlouva, krytí, škodní událost | produkt, pojistné, limity/franšízy, stav claimu | čtení, kalkulace, změna krytí, podání claimu |
| Penze | penzijní účet, příspěvky, fondy | stav účtu, alokace, poplatky, výnosy | čtení, změna alokace, příspěvky |
| Úvěry | úvěr, splátkový kalendář, kolaterál | úrok, RPSN, zůstatek, splatnost, podmínky | čtení, předčasné splátky, simulace |
Bezpečnost a soulad (Security & Compliance)
- Kryptografické základy: MTLS/DPoP, podepisování žádostí/odpovědí (JWS/JWE), key rotation, HSM/KMS a certificate pinning.
- Autorizace: PAR/JAR/JARM, nonce/state ochrana, proof-of-possession tokeny, least privilege scopes, krátká TTL a vázání na souhlas.
- Ochrana soukromí: privacy-by-design, data minimization, pseudonymizace, consent receipts a práva dotčených osob.
- Provozní kontroly: rate limiting, WAF, RASP, threat intel, red-team testování a business continuity.
Licenční a smluvní rámce API
Pro nadresortní a prémiová API je důležité jasně definovat licenční podmínky, ceníky a SLA. Developer portal má poskytovat dokumentaci, mocky a sandbox s testovacími daty. Smlouvy by měly obsahovat limity odpovědnosti, audity bezpečnosti, incident handling a pravidla pro řetězení souhlasů v hodnotovém řetězci (sub-processors).
Use-cases a produktové vzory
- Multifinanční agregátor: jediné zobrazení účtů, investic, pojistek a penzijních účtů s poradenskou vrstvou (hybrid advice).
- Account-to-Investment (A2I): automatizované přesuny peněz do portfolia podle pravidel (např. round-ups, goal-based spoření).
- Otevřené pojištění: kalkulace a underwriting na základě reality-check dat (jízdní chování, smart meter), okamžité krytí a claimy.
- SME cash-ops: přehled účtů, faktur, zásob a půjček s predikcí cash-flow a automatickými převody.
- Digitální hypotéka: agregace příjmů/úvěrů, verifikace účtu, hodnocení rizika, podpis a čerpání – vše v jednom toku.
UX a souhlasové toky
- Pre-consent obrazovka: účel, rozsah polí, doba trvání, možnost granularitní volby a odvolání.
- Identita a autentifikace: app-to-app propojení, passkeys/biometrie, srozumitelný podpis transakcí s dynamic linking.
- Post-consent správa: přehled aktivních souhlasů, log přístupů, pause/odvolání, notifikace o přístupu a expiraci.
KPI pro open finance program
| KPI | Definice | Důležitost | Cílový trend |
|---|---|---|---|
| Consent Conversion Rate | dokončené souhlasy / iniciované toky | frikce v UX a SCA | > 85 % |
| API Success Rate | 2xx / všechna volání (podle domén) | dostupnost a kvalita | > 99,5 % |
| P95 Latency | latence klíčových endpointů | plynulost integrací | < 400 ms (čtení), < 800 ms (iniciace) |
| Data Freshness | čas od poslední synchronizace | relevantnost poradenství a scoringu | < 24 h (AIS), < 5 min (eventing) |
| Fraud/Dispute Rate | podvody/spory / transakce | bezpečnost a důvěra | klesající, < 0,05 % |
| Churn of Consents | odvolané souhlasy / aktivní souhlasy | akceptace a přidaná hodnota | < 10 % měsíčně |
Datová kvalita a semantika
- Identifikátory: ISIN/ticker pro cenné papíry, jedinečný identifikátor pojistky/smlouvy, IBAN/BBAN, identifikace obchodníka (MCC, název, IČO).
- Čas a měna: ISO 8601 s časovým pásmem, ISO 4217; konzistentní zaokrouhlování a value date vs. booking date.
- Klasifikace produktů: mapování na standardy (např. SFDR kategorie u fondů, typy krytí v P&C pojištění).
Provozní model a governance
- API produktové vlastnictví: P&L, roadmapa, SLA, verzování, deprecation politika, backwards compatibility.
- Incident management: klasifikace závažnosti, status page, notifikace partnerů, post-mortem kultura.
- Third-party risk: due diligence, bezpečnostní audity, pen-tests, right-to-audit klauzule.
Rizika a mitigace
| Riziko | Popis | Mitigace |
|---|---|---|
| Fragmentace standardů | různé profily API napříč sektory a zeměmi | adaptivní konektory, multiprofilová SDK, data fabric |
| UX frikce při SCA | odchody v přesměrováních a slabých mobilních tocích | app-to-app, deep links, passkeys, decoupled SCA |
| Metadatový nesoulad | neporovnatelné pole a slovníky | semantické mapování, validátory, smluvní conformance testy |
| Licenční a IP spory | nejasné použití dat pro sekundární účely | granularitní souhlasy, purpose binding, auditní stopy |
| Bezpečnostní incidenty | kompromitace klíčů, token replay, zneužití API | MTLS/DPoP, token binding, rate limits, anomálie a revokace |
Udržitelnost a odpovědné používání dat
Open finance by mělo podporovat finanční zdraví a inkluzi: transparentní poplatky, vysvětlitelné doporučení, ochranu zranitelných skupin a mechanismy pro omezení data overreach. Při modelování rizika a tvorbě cen je nezbytná fairness analýza a pravidelné audity zaujatosti. Energetická stopa infrastruktury (cloudu a analytiky) má být měřena a optimalizována.
Implementační roadmapa (0–12 měsíců)
- 0–90 dní: výběr API gateway a identitní platformy, návrh doménových modelů, bezpečnostní politika (kryptografie, klíče), developer portal & sandbox.
- 90–180 dní: MVP pro 2–3 domény (např. účty + investice), eventové notifikace, consent management UI, observabilita a KPI dashboard.
- 180–270 dní: rozšíření na pojištění/penze, premium API (simulace, kalkulačky), SLA a status stránka, program partnerských integrací.
- 270–365 dní: optimalizace UX (app-to-app, passkeys), rozšířené risk/AML modely, monetizace, rámec data ethics a pravidelné audity.
Syntetické případové studie
Superaplikace pro retail: agregace účtů, investic a pojistek; pravidelné spoření do ETF (A2I), pay-by-bank a okamžité mikro-pojištění. Vý
