Operasjonell risiko PSD2, og skaper ny personvernforordning nye risikoområder

Transkript

1 Operasjonell risiko PSD2, og skaper ny personvernforordning nye risikoområder Finans Norges Betalingsformidlingskonferanse nov Olav Johannessen Seksjonsleder tilsyn IT og betalingstjenester Finanstilsynet

2 Risikoområder Endringer i markedet Hovedendringer som følge av PSD 2 Operasjonell og sikkerhetsmessig risiko Ansvar PSD 2 AMLD 4 PSD 2 - GDPR 2

3 Endringer i markedet Evne til å Opprettholde langsiktig lønnsomhet gjennom justering av forretningsmodell og strategier Revidere interaksjonen med kundene og forbedre kundeopplevelsen Justere eksisterende eller tilby nye produkter/tjenester Implementere ny teknologi for operasjonell effektivisering Kombinasjoner FinTech Intens konkurranse Ulike konkurranseforhold 3

4 Risikoområder Endringer i markedet Hovedendringer som følge av PSD 2 Operasjonell og sikkerhetsmessig risiko Ansvar PSD 2 AMLD 4 PSD 2 - GDPR 4

5 Betalingsfullmektig (PIS / PISP) Avtale om betalingsfullmakt 5

6 Opplysningsfullmektig (AIS / AISP) Avtale om opplysningsfullmakt 6

7 Objektivt ansvar Artikkel 73 nr. 3 regulerer kontotilbyderens ansvar for tilbakeføring til kunden ved uautoriserte betalingstransaksjoner som er initiert av en betalingsfullmektig, samt forholdet mellom betalingsfullmektigen og den kontoførende betalingstjenesteyteren i slike situasjoner. Det er kontotilbyderen som har ansvaret overfor kunden for tilbakeføring av beløpet for den uautoriserte betalingstransaksjonen. Kontotilbyderen kan imidlertid kreve regress fra betalingsfullmektigen. Betalingsinitieringstjenestetilbyder bærer innenfor sitt ansvarsområde bevisbyrden 7

8 Nye aktører endret risiko? Konsesjons- / Tillatelseskrav, strenge krav som skal oppfylles Tilsyn Omfattende krav til den operasjonelle virksomheten Forbedret grensekryssende samarbeid Et kontaktpunkt hos tilsynsmyndighetene (også sentralt kontaktpunkt for agenter) Initiering av tilsyn og tilsynsdeltakelse Varsling mistanke om overtredelse Statistisk og aktivitetsrapportering Betalingsforetak Betalingsfullmektig Opplysningsfullmektig Forretningsplan og tjenestene som skal tilbys V V V Hvordan midler skal sikres V Hvordan virksomheten skal styres og dens kontroll ordninger V V V Hvordan sikkerhetshendelser skal overvåkes og håndteres V V V Håndteringen av sensitive betalingsdata V V V Beredskapsplaner V V V Operative, mislighets og transaksjons statistikker V V Sikkerhetspolicy for tjenestene og IT-virksomheten V V V Hvitvaskingsrutiner V V Kapitalkrav / Forsikrings-/garantiordninger V V V 8

9 Risikoområder Endringer i markedet Hovedendringer som følge av PSD 2 Operasjonell og sikkerhetsmessig risiko Ansvar PSD 2 AMLD 4 PSD 2 - GDPR 9

10 Operasjonell og sikkerhetsmessig risiko I følge artikkel 95, skal tilbydere av betalingstjenester etablere et rammeverk som beskriver tiltak for styring og kontroll med operasjonell og sikkerhetsmessig risiko. Tilbydere skal etablere/fastsette og vedlikeholde effektive prosedyrer for håndtering av hendelser, herunder prosedyrer for å oppdage og klassifisere alvorlige operasjonelle hendelser og sikkerhets-hendelser. Tilbyder skal minst årlig gi kompetent myndighet en oppdatert samlet vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til betalingstjenester. Denne skal inkludere en vurdering av om tiltakene er tilstrekkelige. 10

11 Operasjonell og sikkerhetsmessig risiko Proporsjonalitet Governance Rammeverk (systemer og kontrollmekanismer ) for operasjonell og sikkerhetsmessig risiko Risikostyring og -kontroll Utkontraktering Risikovurderinger Identifisering, klassifisering og riskovurdering av funkjsoner, prosesser og aktiva Beskyttelse Data og system integritet og konfidensialitet Fysisk sikring Tilgangskontroller Oppdaging / Gjenkjenning (deteksjon) Løpende overvåkning og oppdaging Overvåkning og rapportering av operasjonelle eller sikkerhetsmessige hendelser 11

12 Operasjonell og sikkerhetsmessig risiko 2 Forretningsmessig kontinuitet Scenariobasert forretningsmessig kontinuitetsplanlegging Testing av forretningsmessig kontinuitetsplan Kommunikasjon ved kriser Testing av sikkerhetstiltak Situasjonsforståelse/-bevissthet og kontinuerlig læring Trussellandskapet og situasjonsforståelse Opplæring- og sikkerhetsfortståelseprogrammer Opplæring og informasjon ovenfor betalingstjenesbrukerne Betalingstjenestebrukernes bevissthet om sikkerhetsrisiko og risikoreduserende tiltak 12

13 Risikoområder Endringer i markedet Hovedendringer som følge av PSD 2 Operasjonell og sikkerhetsmessig risiko Ansvar PSD 2 AMLD 4 PSD 2 - GDPR 13

14 Ansvar uautoriserte betalingstransaksjoner Betalingsforetak, e-pengeforetak og opplysningsfullmektiger med tillatelse til å drive virksomhet i Norge skal være tilsluttet en utenrettslig tvisteløsningsordning som nevnt i finansforetaksloven Redusert egenandel fra 150 til 50 Euro (440 NOK) og den er betinget av at kunden kunne oppdage misbruket. De nye bestemmelsene innebærer imidlertid at kunden er ansvarlig for egenandel i flere tilfeller enn tidligere Egenandel på kroner ved grovt uaktsomt videreføres Kunden bærer hele tapet ved forsettlig eller svikaktige forhold Betalingstjenestetilbyder har bevisbyrden, dvs om kunden har opptrådt svikaktig eller grovt uaktsomt Betalingstjenesteyteren ansvarlig for tap ved «brudd» på kravene til sterk kundeidentifikasjon Kontotilbyderen har ansvaret overfor kunden for tilbakeføring av beløpet for uautoriserte betalingstransaksjon. Kontotilbyderen kan imidlertid kreve regress fra betalingsfullmektigen. Betalingsinitieringstjenestetilbyder bærer innenfor sitt ansvarsområde bevisbyrden 14

15 Risikoområder Endringer i markedet Hovedendringer som følge av PSD 2 Operasjonell og sikkerhetsmessig risiko Ansvar PSD 2 AMLD 4 PSD 2 - GDPR 15

16 PSD 2 AMLD 4 Er PSD 2 mer skånsom mot nye aktører enn AMLD 4 PSD 2 maksimum AMLD 4 minimum - harmonisering Forskjellig implementering av hvitvaskingsdirektivet i nasjonal rett kan skape forskjeller i utøvelse av kundeidentifiserings-prosesser da direktivet ikke stiller detaljerte krav til dette Noen aktører (FinTechs) kan bli omfattet, andre ikke kan påvirke konkurranseforhold, føre til regulatorisk arbitrasje og skape AML/FT sårbarheter innen finanssektoren Krav til utførlig beskrivelse av hvitvaskingsrutiner og -kontroller ved søknad om konsesjon, også for nye betalingsaktører AML/FT-tematikk - ikke del av RTS for sterk autentisering og sikker kommunikasjon Retningslinjer operasjonell og sikkerhetsmessig risiko Redundans ift annen lovgivning - regulatoriske konflikter 16

17 PSD 2 - Hvitvasking Økes risikoen for hvitvasking? Pengene vil fortsatt oppbevares hos konto holder Kjenn din kunde Transaksjonsovervåking Scenario-/mønsterovervåking Medfølgende informasjon i betalingen Nye aktører, lengre verdikjeder Strenge krav til hvitvaskingsrutiner Kjenn din kunde mer krevende Aktører som holder penger Krav til sterk autentisering Krav til svindelovervåkning Krav til risikovurderinger 17

18 Risikoområder Endringer i markedet Hovedendringer som følge av PSD 2 Operasjonell og sikkerhetsmessig risiko Ansvar PSD 2 AMLD 4 PSD 2 - GDPR 18

19 Skaper bestemmelser konflikter mellom PSD2 og GDPR? 19

20 PSD 2 - GDPR PSD 2 har forholdt seg til det gamle personverndirektivet PSD 2 sier videre at... behandling av personoplysninger som følge av dette direktiv skal foretas i overensstemmelse med det gamle personverndirektivet GDPR sier at henvisninger til det gamle personverndirektivet må forståes som henvisninger til den nye forordningen Ingen gjensidige direkte referanser mellom PSD 2 og GDPR Ingen nærmere avklaring om samvirket mellom de to regelverkene Synes å være stor grad av sammenfall, begge har til felles Bekymringen for kundedata Kunden som bestemmer - samtykke Både PSD 2 og GDPR stiller krav til Samtykke Sikkerhetstiltak Hendelsesrapportering 20

21 Behandling av personopplysninger, Finanstilsynets høringsnotat Personopplysningsloven gjennomfører personverndirektivet i norsk rett, og gjelder etter 3 for behandling av personopplysninger som skjer med elektroniske hjelpemidler. Etter 8 kan behandling av personopplysninger skje med flere grunnlag, blant annet med uttrykkelig samtykke fra den det gjelder. Det fremgår av forarbeidene til 8 at bestemmelsen gjennomfører personverndirektivet. Etter artikkel 94.1 skal betalingstjenestetilbyderes behandling av personopplysninger være i tråd med personverndirektivet og forordning 45/2001. Etter artikkel 94.2 skal betalingstjenestetilbydere behandle personopplysninger med brukerens uttrykkelige samtykke. Etter ordlyden innsnevrer PSD 2 artikkel 94.2 betalingstjenestetilbyderes adgang til å behandle personopplysninger. Finanstilsynet tolker regelen dithen at den viser til at betalingstjenestetilbydere skal behandle opplysningene i tråd med personverndirektivet, og foreslår ingen endringer i norsk rett. 21

22 PSD 2 GDPR, mulige konflikter Samtykke Betalingssystemer og betalingstjenestetilbydere kan behandle personopplysninger når det er nødvendig av hensyn til forebyggelse, etterforskning og oppdagelse av betalingssvindel Betalingstjenestetilbydere må kun aksessere, behandle og oppbevare personopplysninger, som er nødvendige for ytelse av betalingstjenesten, og med uttrykkelige samtykke fra betalingstjenestebrukeren I GDPR brukes uttrykkelig samtykke knyttet til sensitive data PSD 2 synes derfor noe strengere enn GDPR og kan tolkes til å være i konflikt med GDPR Imidlertid synes samtykke å ha noe forskjellig mening i PSD2 og GDPR Lex specialis? (spesial regler går foran generelle regler) Sikkerhetsregler De særskilte sikkerhetstiltakene som følger av PSD 2 RTS om SCA & CSC vil først tre i kraft 18 måneder etter de fastsettes, mens GDPR som vil tre kraft tidligere stiller krav til implementering av sikkerhetstiltak i tråd med risikoen Det stilles allerede strenge krav til sikkerhet, selv om RTSen ikke er trådt i kraft. Det forutsettes at betalingstjenestetilbydere, siden utkastet er kjent, tilnærmer seg RTSen bestemmelser ved implementering. Videre oppstiller retningslinjer for operasjonell og sikkerhet risiko en rekke krav 22

23 PSD 2 GDPR, mulige konflikter Rapportering av hendelser PSD 2 og GDPR bruker forskjellige terminologi når det gjelder hendelser PSD2: Sedurity incidents (Sikkerhets hendelser) - (men også operasjonelle) GDPR: Data breach (Brudd på personopplysningssikkerheten) PSD 2 henviser til alvorlige hendelser, mens det av GDPR ikke gis noen kvalifisering (dvs alle) PSD 2 og GDPR angir forskjellig tidsramme for rapporteringen PSD 2: uten ugrunnet opphold og senest innen 4 timer (for første rapportering) GDPR: Senest innen 72 timer (trinnvis rapportering alt inne 72 timer?) Det kan også nevnes at sanksjonsregimer som følger av PSD 2 og GDPR er forskjellige I Norge er det er allerede i dag forskjeller i rapporteringsplikten, IKT-forskriften versus personvernlovgivingen 23

24 PSD 2 GDPR Samtidig overholdelse av begge regelverk vil være krevende, men nødvendig "Consent by design" 24

25 25 FINANSTILSYNET Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo