Національний банк України незабаром може перевернути ринок банківських технологій. На початку березня регулятор виніс на обговорення проєкт нових правил для роботи банків із технологічними партнерами – від хмарних провайдерів до процесингових платформ. Йдеться про проєкт постанови, яким до Положення №64 від 11.06.2018 вводяться комплексні вимоги до управління ризиком третіх сторін (Third‑Party Service Provider, TPSP).
Спеціально для Mind партнер юридичної компанії Ader Haber Ігор Крижановський проаналізував 45 сторінок проєкту та порівняв його з підходами регуляторів ЄС, Великої Британії, США, Австралії та стандартами Базельського комітету. Експерт виявив у документі п’ять системних проблем, які ставлять під сумнів правову стійкість усього проєкту. Про них – детально у колонці.
Банківський сектор дедалі більше залежить від зовнішніх постачальників: хмарних провайдерів, розробників програмного забезпечення, процесингових центрів, IT-підрядників. Збій або зникнення одного такого постачальника може поставити під загрозу обслуговування мільйонів клієнтів.
Проєкт постанови вводить нову підсистему роботи з третіми сторонами як складову операційного ризику.
Ключові новації:
1. Інверсія ієрархії
Україна – єдина юрисдикція, де регулювання діяльності TPSP-постачальників запроваджується підзаконним актом. У ЄС для цього знадобився Регламент Європарламенту (DORA), у Великій Британії – парламентський акт (FSMA 2023), у США регулятори обмежилися рекомендаціями. Базельський комітет прямо зазначає: регулятори не повинні без законодавчих повноважень безпосередньо регулювати TPSP.
| Юрисдикція | Інструмент | Рівень акта |
|---|---|---|
| ЄС | DORA (Reg. 2022/2554) | Регламент ЄП та Ради |
| Велика Британія | FSMA 2023 | Парламентський акт |
| США | Interagency Guidance (2023) | Рекомендації |
| Польща | Dz. U. 2025 poz. 1069 | Закон про внесення змін |
| Німеччина | Gesetz über die Digitalisierung des Finanzmarktes | Закон про цифровізацію фінансового ринку |
| Італія | DECRETO LEGISLATIVO n. 23 | Законодавчий указ |
| Австралія | CPS 230 (APRA) | Prudential Standard |
| BCBS | d605 (2025) | Принципи (soft law) |
| Україна (проєкт) | Постанова НБУ | Підзаконний акт |
Що це означає для бізнесу:
Українські банки та їхні постачальники будують моделі на основі документа, який за рівнем нижчий, ніж у більшості порівняних юрисдикцій, а за обсягом повноважень – ширший. Це підвищує ризик судових спорів і робить регуляторне середовище менш передбачуваним для інвесторів.
2. Ultra vires
Стаття 67 Закону «Про банки і банківську діяльність» містить закритий перелік об'єктів банківського нагляду: банки, їх підрозділи, афілійовані особи, банківські групи. TPSP‑постачальники, які надають банкам послуги за договорами, до цього переліку не входять.
Формально проєкт адресований банкам, фактично він створює регуляторний режим для нерегульованих суб'єктів: банк стає «провідником» волі НБУ, перевіряє КБВ, оцінює фінансову спроможність постачальника, розриває договори за приписом регулятора.
Що це означає для бізнесу:
TPSP опиняються під фактичним наглядом регулятора, хоча в законі про них прямо згадується, а їхні контракти з банками можуть бути розірвані не через власне порушення, а через зміну підзаконних правил. Це посилює регуляторний ризик для всього ланцюга постачальників.
3. Тридцять нових понять без законодавчої основи
Проєкт вводить 30 нових термінів – від «критичного TPSP‑постачальника» та «ланцюга постачання до 3‑го рівня» до «толерантності до збоїв» і «ризику концентрації послуг». Жодного з них немає в законі «Про банки і банківську діяльність», законі «Про Національний банк України» чи інших профільних актах, хоча за масштабом регулювання (7 нових глав, 60 пунктів та обов'язковий додаток) документ фактично дорівнює окремому закону.
Водночас закон «Про правотворчу діяльність» прямо забороняє підзаконним актам створювати нові первинні норми права поза межами встановленого законом регулювання.
Що це означає для бізнесу:
Банки та їхні TPSP змушені підлаштовуватися під складну систему понять, які не мають законодавчої опори й можуть по‑різному тлумачитися регулятором і судами. Це підвищує регуляторну невизначеність та ускладнює комплаєнс‑планування.
4. Непропорційність: $133–320 млн та 30–72 місяці
За нашими оцінками, для великого цифрового банку, побудованого на партнерстві з одним технологічним постачальником:
Кейс: умовний Банк Х
Уявімо умовний Банк Х, який за п'ять років виріс з нуля до кількох мільйонів клієнтів. У нього немає власного дата‑центру: core‑банкінг, картковий процесинг, частина antifraud і back‑office працюють через одного великого технологічного партнера у хмарі. Нові правила кажуть Банку Х: якщо твій TPSP не проходить за критеріями, ти маєш підготувати план виходу та протягом обмеженого строку розірвати договір.
Для Банку Х це означає:
Цей кейс показує, що проблема не лише юридична. Вона напряму впливає на те, чи може український digital-банк планувати бізнес‑модель на 5–7 років уперед, не закладаючи в неї вимушену міграцію core‑систем.
Додатково проєкт постанови вимагає:
Що це означає для бізнесу:
При цьому існують щонайменше шість менш інвазивних альтернатив: escrow вихідного коду, посилений нагляд НБУ за TPSP, вимога лише до наявності exit‑стратегії, розвиток BCP, поступова диверсифікація постачальників у реалістичні строки (3–5 років), а також запровадження вимог fit & proper для КБВ.
5. Права TPSP без захисту
Механізм примусового розірвання договорів зачіпає майнові права не лише банку, а й TPSP‑постачальника.
ЄСПЛ послідовно визнає, що контрактні права з економічною цінністю є «майном» у розумінні конвенції (справи «Tre Traktorer AB v. Sweden» та «Van Marle v. Netherlands»). У проєкті ж TPSP може втратити контракт без власного правопорушення, чітко прописаних процесуальних прав, без компенсації та попереднього судового контролю.
Що це означає для бізнесу:
Будь‑який технологічний постачальник, який працює з банками, отримує новий клас ризику: контракт можна втратити не через збій сервісу, а через зміну регуляторних вимог до банку. Це впливає на оцінку вартості таких компаній, їхню здатність залучати фінансування й будувати довгострокові проєкти з банками.
Ми не ставимо під сумнів необхідність TPSP-регулювання. Цифрова трансформація банківського сектору справді створює нові ризики, які потребують адекватної реакції регулятора; питання лише в тому, якою має бути правова архітектура цієї реакції.
Досвід провідних юрисдикцій однозначний: комплексне регулювання ризиків третіх сторін спирається на первинне законодавство. DORA ухвалена як Регламент Європарламенту, FSMA 2023 – як парламентський акт, а навіть рекомендації Базельського комітету прямо наголошують на необхідності достатніх «legal powers».
Пропонуємо:
Регулювання – це не лише про мету. Це про правову стійкість, пропорційність і практичну здійсненність. Постанова, яку можна оскаржити в суді за ultra vires, не зміцнює банківську систему – вона додає ще один ризик замість того, щоб страхувати її.