Cyberbezpieczeństwo | Komentarze ekspertów

Czego potrzeba do stworzenia nowoczesnej bankowości 2.0?

Michał Nowakowski
Czego potrzeba do stworzenia nowoczesnej bankowości 2.0?
Fot. Stock.Adobe.com / ST22Studio
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Modne ostatnio określenia Open Banking, Bank X czy Digital Bank mogą wywołać niemałe zamieszanie i dezorientację. Mówimy i piszemy często o końcu otwartej bankowości (nieudanym eksperymencie?) i przejściu do fazy Open X, która opiera się na współpracy banków i fintechów, w obawie przed ofensywą BigTechów.

#MichałNowakowski: Ważne jest szybsze reagowanie na realne potrzeby rynku, aby podmioty nadzorowane mogły lepiej i szybciej dostosować się do oczekiwanych zmian #OpenBanking #PSD2 #Fintechy #BigTechy #OpenX #UniaEuropejska @FinregtechPL

Prawda jest taka, że nie ma uniwersalnej recepty na unowocześnienie bankowości. Różne jurysdykcje znajdują się na bardzo różnych poziomach ewolucji finansowej − mierzonej też poziomem ubankowienia, financial inclusion i wymagają różnego podejścia.

Sam Open Banking nie jest też jednolitym podejściem, i moim zdaniem nie może być do końca utożsamiany z PSD2. Czy sami do końca wiemy, jak ma wyglądać bank, inny podmiot przyszłości? Spróbuję nakreślić swoją wizję (w aspekcie klienckim, organizacyjnym i regulacyjnym), przy czym nie jest to ani analiza biznesowa, ani techniczna. Jestem w końcu tylko prawnikiem. Od tematu prawniczego toteż zacznę.

To co wydaje mi się kluczowe i od czego należy wyjść, to stopień przygotowania całego ekosystemu na taki bank przyszłości. Przez ekosystem rozumiem zarówno klientów, konkurencję, jak i prawodawców oraz regulatorów. Na wielu poziomach jesteśmy przecież jeszcze mało „future-driven” (zastanawiam się czy to dobre określenie).

Brak legislacyjnego „push’u” i dostosowania

Na poziomie unijnym nie ma zbytnio inicjatyw legislacyjnych, które przybliżałyby nas do wprowadzenia klarowności w obszarze nowych technologii. Mamy liczne raporty, jak np. ten odnośnie odpowiedzialności sztucznej inteligencji czy zestawienie 30 „regulatory gaps” w obszarze finansów. Jakkolwiek to potrzebne opracowania, nie ułatwiają wcale podejmowania decyzji o wejściu w nowe technologie.

AI to akurat bardzo dobry przykład, bo choć mamy wiele ciekawych narzędzi do wykorzystania, to banki niekiedy po prostu boją się z nich skorzystać. Bo − czy wolno? A jeżeli tak, to w jakim stopniu i jak wygląda kwestia odpowiedzialności? No i jak z ochroną danych osobowych? RODO nie jest przecież do końca „kompatybilne” z PSD2? A co na to regulator, który milczy w tej sprawie?

PSD2, a ściślej Rozporządzenie 2018/389 (dotyczące m.in. interfejsów dostępowych – API i open bankingu) to też przykład nie do końca udanego podejścia do tzw. neutralności technologicznej przepisów, które mogło – gdyby nie większa elastyczność nadzorców – wyhamować wykorzystanie metod uwierzytelniania biometrycznego. Podobno toczą się już (jakieś) prace nad nową dyrektywą, ale pytanie czy prawo nadąży za zmianami? No i jest dyskusja o „sensowności” tworzenia takich neutralnych technologicznie rozporządzeń.

Więcej informacji nt. PSD2 >>>

To nie jest oczywiście „zarzut”, choć faktycznie proces legislacyjny w UE wymaga pewnej reformy, pytanie czy możliwej. Proces tworzenia nowego prawa uwzględniającego wszystkie, niekiedy sprzeczne, interesy państwa członkowskich to duże wyzwanie, które powoduje, że na nowe przepisy nierzadko (zazwyczaj) czekamy latami.

A potem przychodzi proces implementacji (dyrektywy) lub dostosowania się do Rozporządzeń. A zazwyczaj jak wchodzą w życie te przepisy, to rynek i technologia są już dalej. O cyklu politycznym nie ma co wspominać, bo to równie trudny temat.

Czytaj także: Microsoft sugeruje podział odpowiedzialności przy outsourcingu. Raport Banku Światowego

Można też odnieść wrażenie, że legislatorom brakuje śmiałości w tworzeniu nowych przepisów, być może niekiedy kontrowersyjnych, ale mogących popchnąć innowacje do przodu.

Jest to oczywiście w dużej mierze podyktowane zasadą tzw. accountability, czyli odpowiedzialności (tutaj przed społeczeństwem), która nie stanowi zachęty do podejmowania bardziej ryzykownych, ale i potencjalnie bardziej zyskownych inicjatyw.

Co mogłoby pomóc? Bardziej elastyczne prawo

Jeżeli więc nie prawo sensu stricte rozumiane jako ustawy i akty wykonawcze − to co? Regulatorzy czy nadzorcy nie tworzą prawą i to raczej się nie zmieni (podobnie jak – prawdopodobnie – Konstytucja RP), ale mogą prowadzić taką politykę nadzorczą, aby podmiotom nadzorowanym było łatwiej. Są oczywiście kontestatorzy, ale nawet oni z niecierpliwością czekają na wytyczne nadzorcy.

Z jednej strony mamy więc twarde prawo, które teoretycznie powinniśmy interpretować literalnie, a z drugiej rekomendacje, stanowiska i komunikaty, które to prawo doprecyzowują i wskazują oczekiwany kierunek dostosowania.

Ktoś może oczywiście powiedzieć, że miękkiego prawa nie trzeba stosować, ale konia z rzędem temu, kto zarekomenduje (istotne) odstępstwo od interpretacji i oczekiwań regulatora. I jest to zasadniczo dobry kierunek.

Na poziomie Unii Europejskiej toczy się dyskusja o przyznaniu EBA bardziej efektywnych narzędzi, czyli czegoś na wzór wiążących interpretacji czy opinii, do których stosowania zobowiązane byłyby podmioty nadzorowane. Zakładam − po „akceptacji” krajowego organu nadzoru. Jak wspomniałem − to „zasadniczo dobre”, ale rodzi też określone ryzyka.

Czytaj także: EBA o Big Data i Machine Learning w sektorze bankowym. Report on Big Data and Advanced Analytics

Takie stanowisko czy opinia może przecież „nie spełniać naszych oczekiwań, bo my myśleliśmy, że a lub b”. Tego nie przeskoczymy, bo tego typu prawo nie jest adresowane indywidualnie, ale jest raczej formą okólnika.

Nie każdy będzie więc zadowolony. Choć np. w Polsce mamy ciekawy art. 11b ustawy o nadzorze nad rynkiem finansowym, na którym w znacznej mierze oparty jest Innovation Hub.

Drugim aspektem jest kwestia poprawności takiej interpretacji. Nie każdy nadzór jest blisko rynku i rozumie jego potrzeby. Może to wynikać np. z braku zasobów, na co wskazuje chociażby Bank Rozliczeń Międzynarodowych, czy brak otwarcia na konsultacje publiczne. Tutaj najbardziej aktywne – paradoksalnie − są kraje rozwijające się. Z tego względu bardzo cieszy podejście krajowego nadzorcy i coraz większe otwieranie się na nowe technologie i współpracę z rynkiem, m.in. poprzez realizację Cyfrowej Agendy Nadzoru.

Czytaj także: UKNF a fintechy w ramach Cyfrowej Agendy Nadzoru. Czy czeka nas rewolucja?

Warto tylko, aby organy nadzoru były bardziej elastyczne. Opinia publiczna powinna również mieć świadomość, że każdy popełnia błędy – w biznesie „promuje” to chociażby koncepcja lean startup czy agile.

Ważne jest też szybsze reagowanie na realne potrzeby rynku, aby podmioty nadzorowane mogły lepiej i szybciej dostosować się do oczekiwanych zmian.

I ważna jest też koordynacja na poziomie sektora publicznego. Nawet jeżeli stanowisko czy opinia dotyczy sektora finansowego, to często dotyka ono wrażliwych aspektów „realizowanych” przez inne instytucje i organy − ochrona danych, AML, cyberbezpieczeństwo.

Bez spójnego podejścia trudno będzie osiągnąć odpowiedni poziom konwergencji.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl