IT@BANK 2020 | Nowe technologie w banku – dobry wybór i umowa z dostawcą
Jakie znaczenie ma otoczenie prawne przy cyfryzacji procesów w gospodarce?
– Cała gospodarka przechodzi obecnie dużą zmianę transformacyjną. Trwa proces cyfryzacji i technologizacji, dlatego dotychczas funkcjonujące rozwiązania wymagają dostosowania, by były bardziej kompatybilne z rzeczywistością rynkową. Z punktu widzenia regulacji dotyczących banków, moim zdaniem trzy obszary mają podstawowe znaczenie. Pierwszy z nich to obszar związany z przetwarzaniem danych. Mówi się, że dane stały się paliwem XXI wieku, a jeśli tak, to ten obszar, podobnie jak kiedyś branża paliwowa, wymaga istotnej interwencji regulacyjnej. Kolejny obszar to bezpieczeństwo obiegu informacji. Im więcej technologii, tym większe jest oczekiwanie dotyczące szybkości przepływu danych i łatwości komunikowania się z klientem, ale powoduje to też zagrożenia związane z obszarem cyberbezpieczeństwa. Trzeci obszar to regulacje antymonopolowe, które wymagają dostosowania do obecnej rzeczywistości rynkowej. Tu osobiście spodziewam się ciekawej batalii regulacyjnej pomiędzy stanowiskiem podmiotów regulujących a postawą tych organizacji, których te regulacje będą dotyczyć. Rok 2021 będzie przebiegał pod znakiem nowej fali regulacji technologicznych, które w istotny sposób zmienią krajobraz, w jakim dotychczas funkcjonujemy.
Jak wygląda obecna sytuacja prawna, jeśli chodzi o implementację nowych technologii, takich jak np.: cloud computing, sztuczna inteligencja, blockchain itp?
– Przeszliśmy do etapu, w którym opracowuje się pierwsze akty prawne i wytyczne regulacyjne. Szczególnie widać to w bankowości i finansach, bo są to sektory, które z reguły przodują w zakresie zmian technologicznych. Najbardziej dojrzałą pod tym względem technologią jest już cloud computing. Warto przypomnieć, że KNF 23 stycznia 2020 r. wydał tzw. komunikat chmurowy, w którym wskazano, jak do chmury może wejść instytucja finansowa. Jeśli chodzi o sztuczną inteligencję, to bardzo zaawansowane prace są obecnie prowadzone w UE, ale jeszcze nie ma konkretnych aktów prawnych dotyczących tych technologii. Ważnym krokiem ze strony KNF był wydany na początku listopada tego roku dokument dotyczący robo doradztwa i związane z tym wytyczne. Najmniej uregulowanym z wymienionych obszarów jest technologia blockchain i to, czym może być ona dla branży finansowej. Obecnie jest już dobry czas, by myśleć o jej wykorzystaniu w rozwiązaniach korporacyjnych, a nie tylko w obszarze kryptowalut.
Na jakie elementy przy wdrażaniu nowych technologii banki powinny zwracać szczególną uwagę?
– Moim zdaniem, technologie, które kupujemy i chcemy wykorzystać, powinny – z punktu widzenia instytucji finansowej i jej klientów – gwarantować lub w istotnym zakresie zwiększać bezpieczeństwo informatyczne. Chodzi tu o odpowiednie regulacje kontraktowe z dostawcami takich rozwiązań, odpowiednią certyfikację bezpieczeństwa tych rozwiązań itp. Ważne jest, żeby technologia, którą zamierzamy kupić, była łatwa do modyfikowania. Obecnie nie kupuje się gotowych rozwiązań w „pudełkach”, wszystko podlega bardzo dynamicznym zmianom i dostosowaniu do potrzeb użytkownika. Trzeba zwrócić uwagę, czy sposób wdrożenia technologii będzie wykorzystywał tradycyjne metodyki wdrożeniowe, czy też implementacja będzie przeprowadzona w bardziej dynamiczny sposób, odwołujący się do zwinnych metodyk zarządzania projektami informatycznymi (agile). Ważna jest również skalowalność rozwiązań. Dlatego mają tu zastosowanie technologie wykorzystujące chmurę obliczeniową. Kupując rozwiązanie w danej technologii, powinniśmy zwiększać szanse na jego łatwą skalowalność. Chodzi o oferowanie jej w przyszłości coraz szerszej liczbie użytkowników i przy większej liczbie wbudowanych funkcjonalności. Podsumowując, ważnymi elementami przy wdrażaniu nowych technologii są: bezpieczeństwo, modyfikowalność oraz elastyczność dostarczanych rozwiązań.
Jak podchodzić do zawierania umów z dostawcami technologii, by zabezpieczyć swoje interesy i nie uzależnić się nadmiernie od dostawcy?
– Po pierwsze powinniśmy zweryfikować, w jakim zakresie system, który zamierzamy wdrożyć, jest systemem standardowym, a w jakim będzie przygotowany na nasze potrzeby. Jeśli jest on „szyty na miarę”, to zapewne będzie go trudno integrować z innymi systemami, które już funkcjonują lub będą funkcjonowały w organizacji. Jeszcze przed umową warto zwrócić uwagę czy to, co chcemy mieć w organizacji, ma mieć charakter bardziej wystandaryzowany czy też dedykowany tylko dla nas. Jeśli dedykowany, to trzeba zwrócić uwagę, żeby nadmiernie nie związać się z dostawcą. Jeśli kupimy gotowy system, to czy będziemy go budować razem z dostawcą? Jeśli tak, to budujemy wspólne zespoły i umowa musi dokładnie to regulować. Określać, kto i za co jest odpowiedzialny. Kompetencje, które w trakcie wdrożenia organizacja zdobywa, pozwalają w znacznej mierze uniezależniać się od dostawców.
Oczywiście należy zadbać o to, żeby były uregulowane wszystkie kwestie wiążące się z własnością intelektualną związaną z danym projektem. Umowa powinna też bardzo dokładnie regulować sposoby i zasady, na jakich można przerwać współpracę z dostawcą i jakie będą wynikające z tego konsekwencje. Chodzi tu o rozliczenia, okresy wypowiedzeń, sprawy dotyczące własności i praw autorskich oraz prawa do kodu źródłowego. Niestety sprawy związane z rezygnacją z usług dostawcy umowy często tego nie regulują lub robią to w sposób niewłaściwy. W takiej sytuacji koszt związany z rozwiązaniem umowy z dostawcą może być bardzo wysoki i dla firmy nieopłacalny, pomimo tego, że na rynku są lepsze pod względem biznesowym oferty. Moim zdaniem, obecnie należy też zawsze rozważyć, czy dla organizacji nie będzie lepszym rozwiązaniem wykorzystanie technologii chmurowej, zwłaszcza w formie multi cloud. Dzięki temu można zdywersyfikować dostawców usług chmurowych i wydaje się to najbardziej racjonalnym podejściem.
Nasza kancelaria wspiera firmy już na etapie rozważania zakupu jakiegoś rozwiązania. Jeśli wiemy, jakie produkty stanowią odpowiedź na potrzeby biznesowe klienta, wtedy można wybrać te właściwe dostępne na rynku. Doradzamy, jakie rozwiązanie wybrać, czy ma być ono typu on-premises (lokalne środowisko informatyczne), czy chmurowe. Asystujemy przy przygotowywaniu zapytań rynkowych i przy prowadzeniu postępowań zakupowych. Opracowujemy i negocjujemy umowy.
Jakie aktywności biznesowe w sektorze finansowym można dziś bezpiecznie przekazać firmom zewnętrznym w ramach outsourcingu i jak zbudować związaną z tym odpowiednią architekturę prawną?
– Moim zdaniem, outsourcing czynności związanych z tzw. core bankingiem, czyli typowymi funkcjami i usługami przynależącymi tylko do banków, raczej nie będzie szybko możliwy. Dyrektywa PSD2 i open banking spowodowały, że kilka nowych usług można obecnie przekazać do realizacji partnerom zewnętrznym i jest to coś, co się podoba bankom i użytkownikom. Dlatego w dłuższej perspektywie coraz więcej usług banki będą mogły przekazywać na zewnątrz. Jak sądzę, będą się one kierowały w stronę budowy modelu platformowego i tworzenia tzw. market place. Bank będzie stawał się instytucją, która nie tylko zajmuje się finansami. Wykorzystując dane, które ma o klientach, będzie mógł oferować im kolejne usługi, które mówiąc wprost, będą im ułatwiały życie. Mam tu na myśli choćby takie, jak możliwość zakupu biletu komunikacji miejskiej, zakup samochodu lub nawet nabycie nieruchomości. Nowoczesny bank stanie się agregatorem aktywności, które do tej pory nie były związane z czynnościami bankowymi.
Jak kancelaria Kochański & Partners buduje swoje kompetencje w zakresie nowych technologii?
– Jeśli chodzi o doradztwo dla sektora finansowego, to funkcjonujemy na tym rynku już od wielu lat. Jesteśmy między innymi współautorami „Polish Cloud”, czyli krajowego standardu wejścia do usługi chmurowej opracowanego przez Związek Banków Polskich. Doradzaliśmy przy migracjach bankowych i ubezpieczeniowych. Naszego zespołu nie tworzą tylko prawnicy, ale też specjaliści związani z bezpieczeństwem technologicznym i informatycznym. Są w nim analitycy IT, specjaliści od bezpieczeństwa informatycznego i osoby zarządzające projektami IT. Dlatego możemy dostarczać komplementarne rozwiązania doradcze. W świecie technologii jesteśmy od zawsze i mówimy tym językiem co nasi klienci i ich dostawcy. Dzięki temu łatwiej nam jest zrozumieć potrzeby i na nie odpowiadać.
Od 1 listopada 2020 r. Łukasz Węgrzyn kieruje praktyką Technologii w Kancelarii Kochański & Partners. Ma doświadczenie w doradzaniu organizacjom w procesach transformacji cyfrowej, w szczególności w budowie architektury prawnej pozwalającej na efektywną współpracę z dostawcami usług IT. Jest ekspertem w obszarze prawnych aspektów usług chmurowych oraz outsourcingu usług IT. Rekomendowany w: międzynarodowym rankingu Chambers jako jeden z najlepszych polskich prawników z obszaru technologii finansowych (Chambers FinTech 2020); międzynarodowym rankingu The Legal 500 (edycja: 2018, 2019, 2020) w sektorze Technologia-Media-Telekomunikacja w Polsce oraz w międzynarodowym rankingu Chambers Europe (edycja: 2019, 2020) w sektorze Technologia-Media-Telekomunikacja. Jest członkiem Instytutu Prawa Nowych Technologii i Danych Osobowych przy Uniwersytecie Łazarskiego oraz Stowarzyszenia Prawa Nowych Technologii. Uzyskał certyfikat ITIL Foundation, PSMI (Professional Scrum Master), AgilePM Foundation i Professional Agile Leadership I.