Betalingstjenesteområdet og teknologirisiko Seminar om operasjonell risiko 05.09.2017 Jan Digranes, Finans Norge
1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 Finansnæringen - en høyproduktiv næring 1400 1200 1000 800 600 400 Bruttoprodukt pr. timeverk1990-2016 Faste 2005-priser Samfunnsøkonomiske kostnader for betalingsformidling i prosent av BNP: 13 EU-land: 0,96 % Sverige: 0,68 % Danmark: 1,00 % Norge: 0,49 % Kilde: ECB, Norges Bank 200 0 Finansierings- og forsikringsvirksomhet Fastlands-Norge ekskl. finansiell sektor 2
Stor påvirkning på operasjonell risiko Tillit PSD 2 Digitalisering Teknologi og aktører Realtid Cybersikkerhet 3
Digitalisering Stor interesse i finansnæringen Bankene stiller opp Kontrollinformasjon Konkursbehandling Involvering av NAV er positivt for forsikring Digitalt førstevalg må på plass Alle fokuserer på god forvaltning og stabil drift 4
Videre digitalisering krever stabilitet «Nettbanker er å regne som samfunnskritisk infrastruktur. Det som nå skjer er ikke holdbart, da det kan skade forbrukerne» Heidi Austlid, IKT-Norge «Vi ser alvorlig på situasjonen, både når det gjelder den siste hendelsen og når det gjelder hendelsesbildet over tid» Emil R. Steffensen, Finanstilsynet 5
Realtid i betalingsinfrastrukturen BRO Betalinger med raskere oppgjør Straksbetalinger Konto-til konto i betalingsappene 6
PSD 2 både gammelt og nytt, muligheter og trusler Regulerer aktører i markedet (finansforetaksloven) Regulerer bruken av betalingstjenester (finansavtaleloven) To nye roller PISP Payment intitiation service provider betalingsfullmektig AISP Account information service provider opplysningsfullmektig Stort fokus på sikkerheten i systemene hva blir konsekvensen av nye aktører? 7
Utfordringer med PSD 2 En stor endring På mange områder der bankene har hatt ansvaret og har hatt full kontroll, må de overlate ansvar og kontroll til tredjepartsaktører. Tidslinjen PSD2 direktiv RTS EU-lovgivning Norsk lovgivning Teknisk implementering Teknisk implementering bevegelig mål omkamper Er screen scraping tillatt eller ikke? Uavklarte forhold Hva er tillatt? Hvor går grensene for bankenes ansvar, og hvordan skal de håndtere samtykke? 8
Forberedelser må til Katalogtjenester (informasjon om ulike typer tilbydere deres tilknytningspunkter og tjenestespekter) Felles PSD2 grensesnittspesifikasjon og formatbeskrivelse PSD2 «hub» (felles tilknytningspunkt for å nå alle banker) 9
Rask tilrettelegging Tredjepartsaktørene er i markedet i dag Flere aktører er allerede i det norske og europeiske markedet og tilbyr PISP og AISP tjenester. Tilgangen til konto for disse aktørene er imidlertid ikke fullt ut regulert før RTS er på plass i 2019. PSD2 gjelder i EU allerede 13. januar 2018 Norge er et attraktivt marked, og vi må regne med at europeiske aktører fremover retter sin oppmerksomhet mot Norge. På et tidspunkt i 2018 vil også det norske lovverket være tilpasset PSD2. Siste frist for tilpasning for de norske bankene er ved effektuering av RTS en gang våren 2019. Løsninger som dekker kravene i PSD2 og RTS bør komme raskt på plass.
Konkurransen skjerpes PSD2 vil gi nye konkurranseflater Og det er EU-kommisjonens hensikt! Hvem holder kundeflaten Størrelsen på egen kundemasse mister betydning «Alle» får tilgang likevel PSD2 gjelder både BM og PM Banker etablerer seg som PISP/AISP trenger ikke avtale med noen annen 11
Finanstilsynet følger godt med Eksponering faktiske hendelser Gode data har stor nytteverdi Styring og kontroll av operasjonell risiko håndtering av hendelser Styring og kontroll med operasjonell risiko krever kultur og prioritering Organisering av risikostyring og compliance-funksjonen Dedikert compliance-funksjon 12
ROS-analysen 2016 Solide og stabile betalingssystemer i 2016 Nye betalingsløsninger gir økt sårbarhet og økte konsekvenser ved mangler i drift, testing, styring og overvåkning Høy endringstakt krever grundige risikovurderinger 13
Over 80 norske fintech- og insuretech selskaper 14
Regelbasert digital assistent smarte maskiner
Finansnæringen målrettet arbeid med datasikkerhet Personvern Beskytte verdier Big data 16
Utkontraktering og bruk av skytjenester? 17
18
58% 55% 57% Har vært utsatt for cyberangrep det siste året Har blitt utsatt for utpressing (ransomware) det siste året Mer bekymret for cybertrusselen nå enn for et år siden. 19 Kilde: PWC Cybercrime Survey 2016
Profesjonelle arbeidsmetoder 20
21