Монио imageМонио
← БлогПланирование9 мин

Интеграция с банком в приложениях учёта расходов: удобство ценой безопасности

Как популярные приложения для учёта расходов получают доступ к вашим банковским данным, почему это небезопасно и что делать вместо этого.

TL;DR: Приложения учёта расходов с «интеграцией банка» в России используют screen scraping: они входят в ваш банк под вашим логином и паролем. Официального открытого API для физлиц в России нет. Это создаёт риски: ваши данные хранятся на чужих серверах, интеграции регулярно ломаются, а в случае утечки злоумышленник получает полный доступ к счёту.

Каждый хочет видеть свои расходы в одном месте, без ручного ввода и таблиц. Приложения с автоматической интеграцией банков обещают именно это: подключился один раз, и все транзакции сами появляются в ленте. По данным InfoWatch, количество утечек данных из финансовых организаций России в 2025 году выросло в 1,5 раза по сравнению с предыдущим годом. Удобство «автоматической интеграции» стоит того, чтобы разобраться: как именно приложение получает ваши данные и что с ними происходит дальше.

Как на самом деле работает «интеграция с банком»?

В России нет официального открытого API для физических лиц. В Европе действует директива PSD2, которая обязывает банки предоставлять сторонним приложениям защищённый и ограниченный доступ к данным клиента, только с его согласия и только на чтение. По данным РБК, Россия идёт путём добровольного Open Banking: пять крупнейших банков запустили пилоты в 2024 году, а ЦБ РФ обновил стандарты открытых API в декабре 2025. Но обязательного аналога PSD2 пока нет.

Это означает: когда приложение заявляет «интеграция с вашим банком», оно не использует официальный канал. Потому что официального канала для физлиц попросту не существует.

Что App 1 и App 2 делают с вашим паролем?

App 1 (приложение для учёта расходов) и App 2 (популярный российский финансовый трекер) используют так называемый screen scraping: они входят в ваш банк от вашего имени и читают страницу со списком транзакций. Чтобы делать это регулярно, они хранят ваши учётные данные у себя на сервере.

Схема работает так:

  1. Вы вводите логин и пароль от интернет-банка или мобильного приложения банка
  2. Приложение заходит в банк от вашего имени, так, будто это вы открыли личный кабинет
  3. Оно «читает» страницу транзакций и сохраняет данные к себе
  4. Ваши учётные данные остаются на серверах компании, иначе приложение не сможет повторять этот процесс автоматически

Технически приложение маскируется под вас. Для банка это выглядит как обычный вход клиента. Разница в том, что войти мог не только клиент.

Почему передавать пароль от банка опасно?

Передача пароля от банка третьему приложению создаёт четыре отдельных риска. Во-первых, ваши учётные данные хранятся не только у вас. Во-вторых, большинство банков прямо запрещают это в пользовательском соглашении. В-третьих, при взломе приложения злоумышленник получает не список расходов, а полный доступ к счёту. В-четвёртых, в отличие от Open Banking, screen scraping не имеет никаких ограничений по правам доступа.

Ваши данные хранятся у третьей стороны

Логин и пароль от банка хранятся не только у вас, но и на серверах компании, создавшей приложение. По данным аналитиков InfoWatch, в 2025 году в России было зафиксировано 44 инцидента с утечками данных из финансовых компаний. В 2024 году из финансовых организаций утекло 145 миллионов телефонных номеров клиентов. Финансовые приложения меньше банков, их защита слабее.

Нарушение договора с банком

Большинство банков в пользовательском соглашении прямо запрещают передачу учётных данных третьим лицам. Если счёт будет скомпрометирован через такое приложение, банк вправе отказать в компенсации: условия договора нарушили вы первыми.

Одна утечка — полный доступ к счёту

При взломе серверов приложения злоумышленник получает не просто список ваших расходов. Он получает логин и пароль, то есть полный доступ к интернет-банку: переводы, оплата, смена реквизитов.

Нет разграничения прав

Официальный Open Banking позволяет выдать приложению ограниченный доступ: только чтение транзакций, только за определённый период, с возможностью отозвать в любой момент. Screen scraping не знает никаких ограничений. Это полный доступ, как у владельца счёта.

Интеграции постоянно ломаются

Есть и сугубо практическая проблема: screen scraping принципиально нестабилен.

Банки регулярно обновляют интерфейсы: меняют структуру страниц, добавляют двухфакторную аутентификацию, переходят на новые мобильные приложения. Каждое такое обновление ломает интеграцию. Приложение перестаёт «читать» данные, потому что страница стала выглядеть иначе.

Это происходит без предупреждения. Пользователи узнают о поломке через несколько дней, когда замечают, что транзакции перестали появляться. Данные за период простоя теряются и требуют ручного ввода.

Поддержка интеграций — это непрекращающаяся гонка с обновлениями банков. Каждый новый релиз банковского приложения — новый спринт по починке. Это дорого, ненадёжно и не заканчивается.

Учёт транзакций: зеркало заднего вида

Но даже если допустить, что интеграция работает идеально и безопасно, остаётся фундаментальный вопрос: что именно вы получаете?

Список транзакций — это история. Вы видите, куда ушли деньги вчера, на прошлой неделе, в прошлом месяце. Это полезно для отчётности, но не отвечает на главный вопрос: что будет с деньгами через месяц?

Учёт расходов — это зеркало заднего вида. Дорогу, которую уже проехали, видно прекрасно. Но сейчас нужно смотреть вперёд, туда, где предстоит свернуть.

Знать, что вы потратили 12 000 рублей на кафе в феврале, интересно. Но это не поможет понять, хватит ли денег на ипотечный платёж 25-го, если 20-го придёт большой счёт за коммуналку.

Другой подход: планирование будущего

Монио построена на другой логике. Не «откуда пришли деньги и куда ушли», а «что будет с балансом на каждый день вперёд». Подробнее о принципах работы сервиса — на странице о Калите.

  • Монио не подключается к банку совсем: никаких логинов, паролей и доступа к счёту
  • Вы вводите только цифры: зарплату, кредиты, регулярные расходы, разовые траты
  • Система строит прогноз баланса на каждый день: видно, когда и насколько счёт уходит в минус
  • Кассовые разрывы видны до того, как они случились: есть время перераспределить или отложить трату
  • Анализ транзакций уже есть в личном кабинете банка. Монио не дублирует это, а дополняет тем, чего в банке нет

Сравнение подходов

Параметр App 1 и App 2 Монио
Доступ к банку Требует логин и пароль Не требует
Хранение учётных данных На серверах компании Нет
Стабильность данных Интеграция ломается Всегда работает
Фокус История расходов Прогноз баланса
Дублирует банк Да Нет

Итог

Интеграция с банком удобна на первый взгляд и проблематична на второй. За простотой «подключился и забыл» скрываются риски безопасности, нестабильность и фундаментальное ограничение: вы видите прошлое, а не будущее.

Если нужен список транзакций, он уже есть в приложении вашего банка, бесплатно и без передачи паролей третьим лицам.

Если нужно понять, что будет с деньгами через неделю и через месяц, это другая задача. Именно её решает Монио. Больше материалов о личных финансах — в блоге Калиты. Чтобы попасть в число первых пользователей Монио Про, оставьте заявку на вейтлист.

Часто задаваемые вопросы

Как приложения учёта расходов получают данные из банка, если нет официального API?

Они используют screen scraping: входят в интернет-банк под вашим логином и паролем и «читают» страницу транзакций. Официального открытого API для физических лиц в России нет. ЦБ РФ развивает добровольные стандарты Open Banking, но они пока охватывают только пилотные проекты крупных банков.

Опасно ли давать приложению логин и пароль от банка?

Да. Ваши учётные данные хранятся на серверах компании. При утечке злоумышленник получает не список расходов, а полный доступ к вашему банковскому счёту. Кроме того, большинство банков запрещают передачу учётных данных третьим лицам в пользовательском соглашении и вправе отказать в компенсации при краже средств.

Почему интеграции с банком регулярно перестают работать?

Screen scraping зависит от структуры банковских страниц. При каждом обновлении интерфейса банка интеграция ломается. Пользователи узнают об этом через несколько дней, когда транзакции перестают подтягиваться. Данные за период простоя приходится вводить вручную.

Чем отличается Монио от приложений типа App 1 и App 2?

Монио не подключается к банку совсем и не хранит никакие учётные данные. Вместо истории расходов она строит прогноз баланса на будущее: вы видите, когда счёт уйдёт в минус, до того как это произошло. Анализ уже совершённых транзакций есть в приложении вашего банка.

Когда в России появится безопасный открытый банковский API?

ЦБ РФ развивает добровольные стандарты Open API: в 2024 году пять крупнейших банков запустили пилотные проекты. Переход на новые версии стандартов запланирован на октябрь 2026 года. До появления обязательного аналога европейской PSD2 безопасной «интеграции с банком» для сторонних приложений в России нет.

Похожие статьи

Советы·7 мин

Когда выгоднее брать отпуск: разбор по ТК РФ

Планирование·8 мин

Как планировать семейный бюджет: пошаговое руководство

Ипотека·9 мин

На какой срок брать ипотеку: инфляция и обесценивание долга