BankTech 2022: banki i sektor finansowy w obliczu tsunami prawno-regulacyjnego

BankTech 2022: banki i sektor finansowy w obliczu tsunami prawno-regulacyjnego
Michał Nowakowski. Źródło: NGL Advisory, NGL Legal
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
14 czerwca odbywa się w Warszawie BankTech ‒ wydarzenie organizowane przez Związek Banków Polskich, Centrum Prawa Bankowego i Informacji oraz Miesięcznik Finansowy BANK, w którym mam przyjemność uczestniczyć. Rozmawiamy o wyzwaniach polskiego systemu bankowego w aspekcie tsunami prawno-regulacyjnego Unii Europejskiej w obszarze nowych technologii, pisze Michał Nowakowski.

Temat niełatwy, rozbudzający z jednej strony nadzieje, a z drugiej obawy o koszty, które nowe regulacje wygenerują ‒ dla i tak już obciążonego sektora bankowego. Akty i nowe regulacje będą niewątpliwie dużym wyzwaniem, bo często dotykają wielu obszarów, które są już w (ten lub inny) sposób pokryte innymi dokumentami, a Unia Europejska nie zawsze dostrzega wszystkie zależności. Praca do wykonania będzie więc ogromna, tym bardziej, że wiele z terminów na wdrożenie będzie wypadało w tym samym czasie.

BankTech to dobra okazja, aby spojrzeć przynajmniej na część z wyzwań prawno-regulacyjnych, które będą na ustach sektora finansowego w najbliższych miesiącach i latach. Tym bardziej, że odpowiednia wczesna identyfikacja potencjalnych luk, ale i szans jakie mogą generować te akty prawne i regulacje, może stanowić o przyszłości i efektywności stosowanych modeli biznesowych.

Dzisiaj w dużym skrócie postaram się przedstawić taką subiektywną listę, choć należy pamiętać, że nie jest ona kompletna, a Unia Europejska lubi zaskakiwać.

Operacyjna odporność cyfrowa sektora finansowego ‒ DORA

Zacznijmy od projektu Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), które ma szansę w niedługim czasie „wejść na salony” i wprowadzić bardziej stanowcze wymogi w zakresie szeroko rozumianej odporności, w tym cyberbezpieczeństwa.

DORA określa m.in. wymogi w zakresie raportowania incydentów, zakres umów outsourcingowych czy ramy nadzoru nad podmiotami świadczącymi usługi ICT

Nie sposób nie zauważyć, że wiele z elementów wskazanych w DORA pochodzi z wytycznych Europejskiego Urzędu Nadzoru Bankowego w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT, choć jest też trochę odrębności, jak i elementów wykraczających poza ten dokument (np. w obszarze outsourcingu).

DORA określa m.in. wymogi w zakresie raportowania incydentów, zakres umów outsourcingowych czy ramy nadzoru nad podmiotami świadczącymi usługi ICT. Sporo miejsca poświęcono też outsourcingowi chmurowemu oraz zarządzaniu ryzykiem.

Warto zwrócić uwagę, że akt ten będzie miał zastosowanie także do dostawców rozwiązań technologicznych i szeroko rozumianego sektora finansowego.

Dyrektywa NIS2

Samo Rozporządzenie DORA warto czytać razem z propozycjami zmian w zakresie cyberbezpieczeństwa, czyli projektem dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2).

DORA i NIS2 będą ze sobą współzależne, w szczególności w kontekście wymiany informacji o zagrożeniach

Banki (operatorzy usług kluczowych), a przynajmniej część z nich, podlegają już specyficznym wymogom określonym w ustawie o krajowym systemie cyberbezpieczeństwa, ale nowe przepisy mają być jeszcze bardziej restrykcyjne i efektywne w zakresie zwalczania zagrożeń w tym obszarze, w szczególności w kontekście zarządzania ryzykami.

Nie ma więc wątpliwości, że DORA i NIS2 będą ze sobą współzależne, w szczególności w kontekście wymiany informacji o zagrożeniach.

Sztuczna inteligencja w sektorze finansowym

Duże zmiany mogą czekać banki także w obszarze wykorzystania szeroko rozumianej analityki danych, czyli sztucznej inteligencji, bowiem Unia Europejska zabrała się za ten obszar tworząc wiele aktów prawnych, które mogą w bezpośredni i pośredni sposób wpływać na to jak będą funkcjonowały banki oraz czy będą one konkurencyjne względem pozostałych uczestników systemu finansowego.

Wśród najbardziej wyczekiwanych aktów znajdziemy m.in. projekt rozporządzenia w sprawie sztucznej inteligencji, ale także uchwalone niedawno rozporządzenie w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi).

Część z wymogów, np. zarządzania ryzykiem czy zarządzania danymi, będzie mogła być realizowana w ramach istniejących rozwiązań nałożonych m.in. CRR/CRD

Pierwszy akt ustanowi nowe – bardziej restrykcyjne – ramy wykorzystywania tzw. systemów sztucznej inteligencji wysokiego ryzyka (np. systemów oceny zdolności kredytowej), zaś drugi ma stworzyć ramy dla bardziej efektywnego i bezpiecznego wykorzystywania danych, określając m.in. specyficzne wymogi organizacyjne i techniczne dla pośredników w tym zakresie.

Projekt rozporządzenia w sprawie AI – przynajmniej jego pierwotna wersja – zakłada, że część z wymogów, np. zarządzania ryzykiem czy zarządzania danymi, będzie mogła być realizowana w ramach istniejących rozwiązań nałożonych m.in. CRR/CRD, ale w dalszym ciągu będzie to spore wyzwanie dla banków, bo jak możemy zauważyć np. w normie ISO/IEC 38507:2022 – wiele ryzyk związanych z systemami AI „nie łapie się” pod klasyczne ryzyka dla obszaru ICT.

Na marginesie można wskazać, że Europejski Urząd Nadzoru Bankowego już pracuje nad (przynajmniej częściowymi) wytycznymi sektorowymi dla AI.

Dyrektywa w sprawie kredytów konsumenckich

Zmiany mają się pojawić w kontekście kredytów konsumenckich, na co wskazuje projekt dyrektywy w sprawie kredytów konsumenckich. Po stronie banków rozszerzone zostaną m.in. obowiązki informacyjne, zasady reklamowania czy aspekty „techniczne” kredytów i pożyczek.

Pewne zmiany mogą dotyczyć też zakresu danych, z których banki (nie)będą mogły korzystać – warto tutaj zwrócić uwagę na opinię Europejskiego Inspektora Ochrony Danych, który ma w tym zakresie bardzo konserwatywne podejście.

Transfery, kryptowaluty, AML

Sporo zmian czeka też w obszarze AML i to nie tylko ze względu na projektowane rozporządzenie w sprawie przeciwdziałania praniu pieniędzy i finansowania terroryzmu, ale może bardziej projektu rozporządzenia w sprawie informacji towarzyszących transferom środków pieniężnych i niektórych kryptoaktywów (zmieniające rozporządzenie 2015/847), które wprowadzić ma bardziej konkretne obowiązki w zakresie monitorowania aktywności w obszarze szeroko rozumianych kryptoaktywów – ostatnio także KNF zwróciła na to uwagę.

Technologia, która stoi za kryptoaktywami będzie wymagała od banków wielu zmian o charakterze operacyjnym oraz infrastrukturalnym

Banki nie mogą więc ignorować tego zjawiska, nawet jeżeli nie są zbytnio zainteresowane zmianami, które mają się pojawić na tym rynku w kontekście projektu rozporządzenia w sprawie rynku kryptoaktywów.

Sama technologia, która stoi za kryptoaktywami będzie wymagała od banków wielu zmian o charakterze operacyjnym oraz infrastrukturalnym, a pamiętajmy, że pojawić się też mają waluty cyfrowe banków centralnych (CBDC), które też nie pozostaną „obojętne” dla systemów bankowych.

eIDAS2

Na horyzoncie mamy także zmiany do Rozporządzenia 910/2014 (eIDAS2), które będą miały spore znaczenie dla sektora bankowego – korporacyjnego oraz spraw wewnętrznych.

eIDAS2 ma wprowadzić bowiem m.in. Europejskie Portfele Tożsamości Cyfrowej, które wydawane będą zarówno dla osób fizycznych, jak i prawnych oraz będą usprawniały proces cyfrowego nawiązywania relacji prawnych.

Projekt rozporządzenia zakłada też ułatwienia w zakresie przechowywania dokumentacji, także w sieciach rozproszonych i z użyciem technologii łańcucha bloków.

Rewizja PSD2

Warto też pamiętać, że jakiś czas temu Komisja Europejska rozpoczęła konsultacje w zakresie otwartych finansów i rewizji PSD2, czyli ram dla otwartej bankowości i choć jeszcze nie wiemy co nas czeka, to można oczekiwać, że zmiany będą znaczące, jeżeli nie rewolucyjne.

To oczywiście jedynie wycinek wymogów prawnych, a przecież organy regulacyjne i nadzorcze pracują także nad wytycznymi w różnych obszarach związanych z wykorzystaniem nowych technologii – np. zdalnego onboardingu klientów. Na horyzoncie pojawia się też zmiany w zakresie ochrony danych i prywatności.

Jak przygotować się do wprowadzenia zmian?

To wszystko powoduje to, że już dzisiaj trzeba myśleć o mapowaniu procesów, które mogą podlegać nowym wymogom i przygotować się na proporcjonalne i oparte na podejściu o ryzyko wdrażanie oczekiwań prawnych i regulacyjnych.

Ważne jest, aby pamiętać, że wdrożenie aktu prawnego o skali takiej jak DORA to duży projekt, który powinien mieć swojego „właściciela” i wymaga współpracy wielu jednostek biznesowych, technicznych oraz prawnych i compliance.

Niewłaściwe zastosowanie przepisów to nie tylko ryzyko prawne i regulacyjne, ale przede wszystkim narażenie na szwank klientów, reputacji, a w skrajnych przypadkach – całego systemu finansowego. Już dzisiaj zależności są tak duże, że nie możemy patrzeć wyłącznie na naszą instytucję. Holistyczne podejście jest niezbędne.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Head of NewTech w NGL Advisory oraz Counsel w NGL Legal, założyciel www.finregtech.pl, wykładowca studiów podyplomowych SGH: FinTech ‒ nowe zjawiska i technologie na rynku finansowym. Adres e-mail: michal.nowakowski@ngladvisory.com
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: aleBank.pl