Może już czas na centra wymiany informacji pomiędzy podmiotami sektora finansowego?

Może już czas na centra wymiany informacji pomiędzy podmiotami sektora finansowego?
Dr Michał Nowakowski, prezes Zarządu PONIP. Źródło: PONIP
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Ryzyko. RODO. Niebezpieczeństwo. Zgoda. To pojęcia, które często kojarzą się z (nie)możliwością przetwarzania i powierzania danych osobowych. Danych, które mogą być źródłem wielu korzyści zarówno z perspektywy podmiotu danych, jak i użytkownika czy ich posiadacza. Wiele instytucji ma świadomość zagrożeń, które wiążą się z niewłaściwym wykorzystaniem danych, np. niezgodnym z celem i stosowną podstawą prawną. Budowanie podstaw do przetwarzania danych osobowych w wielu organizacjach ‒ przynajmniej tych świadomych ‒ wiąże się z przechodzeniem żmudnych i drobiazgowych procesów oraz stałej kontroli ze strony inspektorów ochrony danych, którzy czuwają nad spełnieniem szeregu wymogów wynikających nie tylko z klasycznych przepisów o ochronie danych, ale także tych sektorowych, które chronią przykładowo tajemnicę bankową czy zawodową. I bardzo słusznie, bo ochrona danych i prywatności to obszary wymagające szczególnej uwagi, podkreśla dr Michał Nowakowski, prezes PONIP.

Problem pojawia się jednak wtedy, gdy zaczynamy rozmawiać o możliwości wymiany danych, zarówno na potrzeby komercyjne, jak i bardziej „altruistyczne”, jak np. ochrona środków finansów czy nawet całego systemu finansowego.

Dane będące w posiadaniu różnych podmiotów składających się na sektor finansowy to prawdziwa kopalnia wiedzy. Zarówno historycznej, którą można wykorzystywać na potrzeby predykcji (przewidywania) określonych zdarzeń czy potrzeb, jak i bieżącej, np. o występujących incydentach związanych z naruszeniem bezpieczeństwa czy praniem pieniędzy i finansowaniem terroryzmu.

Dane te, przekazywane z zachowaniem odpowiednich standardów bezpieczeństwa, jeżeli będą mogły być w bardziej swobodny sposób przekazywane przez podmioty ‒ między sobą lub za pośrednictwem „kogoś” lub „czegoś” ‒ mogą przyczynić się do poprawy naszego bezpieczeństwa oraz jakości produktów i usług.

Oczywiście i dzisiaj funkcjonują już rozwiązania, które mają ułatwić taką wymianę informacji, np. w obszarze cyberbezpieczeństwa (ustawa o krajowym systemie cyberbezpieczeństwa jest tutaj dobrym przykładem), ale są albo one zbyt wąskie przedmiotowo lub ograniczone podmiotowo, albo też sprawiają znaczne trudności operacyjne, przez co nie zawsze spełniają swoją rolę. Pewną przeszkodę stanowią chociażby ograniczenia prawne, które powodują, że wymiana informacji (szczególnie wrażliwych) jest po prostu niemożliwa lub wymaga nadmiarowego wysiłku, nie zawsze proporcjonalnego do oczekiwanych rezultatów.

Tymczasem jest to coś czego niewątpliwie potrzeba i co będzie kształtowało przyszłość sektora finansowego w najbliższych latach. Zarówno w sferze komercyjnej (PSD3 i otwarte finanse), jak i niekomercyjnej (wymiana informacji o incydentach, fraudach czy praniu pieniędzy i finansowaniu terroryzmu).

Oznaczać to będzie dla wielu instytucji nie tylko konieczność poniesienia dodatkowych kosztów związanych z reorganizacją czy wdrożeniami technicznymi, ale także zmianą mentalności i większą otwartością na współpracę.

Czytaj także: Od danych nie da się uciec, czyli o czymś więcej niż o otwartych finansach

Rozproszone regulacje wymiany informacji

Dzisiaj przepisy dotyczące wymiany informacji ‒ na różne potrzeby i w różnym zakresie ‒ rozsiane są po co najmniej kilku ustawach (a nie zapominajmy o aktach wykonawczych), wśród których można wymienić ustawę o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, ustawę prawo bankowe, w pewnym zakresie ustawę o usługach płatniczych czy ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.

Są też akty, które dotyczą wymiany wyłącznie pomiędzy organami publicznymi, np. w obszarze należności publicznoprawnych czy informacji nadzorczych. Liczba aktów prawnych, jak i obowiązków, które RÓŻNE podmioty muszą spełnić, aby zasilić konkretny system lub pozyskać informacje, może być niekiedy przytłaczająca. Łącząc to z odpowiedzialnością i ewentualnymi sankcjami administracyjnymi oraz kosztami operacyjnymi otrzymujemy wybuchową mieszankę, która może zniechęcać do dzielenia się cennymi danymi.

Coraz trudniej o wymianę danych?

W efekcie mamy sieć różnych podmiotów, które mają cenne informacje, które jednak są bezwartościowe, bo albo nie ma możliwości ich udostępnienia, albo podmioty ‒ w obawie przed „czymś” ‒ nie chcą ich udostępniać. Tymczasem w świecie opartych o dane analityka (często w trybie rzeczywistym) staje się absolutną koniecznością, a przykład nowych obowiązków, które planuje wdrożyć Komisja Europejska w związku z płatnościami natychmiastowymi (warto zwrócić uwagę na art. 5d), to tylko wierzchołek góry lodowej.

Bez dobrych narzędzi analitycznych, które będą połączone z dobrymi i efektywnymi źródłami danych wiele szans i możliwości może zostać niewykorzystanych, tak w aspekcie produktów, jak i bezpieczeństwa. Przykładem niech będą tzw. fraudy (oszustwa, także w kontekście transakcji płatniczych), które stanowią coraz większy problem z perspektywy podmiotów sektora finansowego.

Wymiana informacji na temat zidentyfikowanych praktyk lub konkretnych naruszeń wydaje się tutaj koniecznością, co wymaga jednak czegoś więcej niż tylko dobrej woli (choć ta jest niewątpliwie bardzo ważna), w tym także lepszych przepisów, które uwzględniać będą zróżnicowane scenariusze. Pewnym punktem wyjścia jest tutaj art. 106d ustawy Prawo bankowe, który umożliwia wymianę informacji dotyczących niektórych przestępstw.

Wymaga to jednak także tworzenia swoistych repozytoriów danych analitycznych, które mogą posłużyć do przewidywania zdarzeń mogących mieć negatywny wpływ na rynek finansowy i jego uczestników, choć mam jednocześnie świadomość, że zarówno konstrukcja prawna, jak i techniczna, to ogromny wysiłek. Ceną niezrealizowania takiego scenariusza jest jednak większe ryzyko dla instytucji oraz ich klientów.

Niestety, kanały cyfrowe pomimo wielu swoich zalety, mają też wady, do których należy m.in. łatwość manipulacji czy wykorzystania słabości zabezpieczeń. Pewne działania są już podejmowane, choć do pełni szczęścia jeszcze daleko.

Czytaj także: Nowy prezes PONIP o sektorze usług płatniczych w Polsce, współpracy z bankami oraz o regulacjach dotyczących otwartych finansów

Unijne rozporządzenie w sprawie europejskiego zarządzania danymi

W aspekcie komercyjnym też możemy wiele osiągnąć, jeżeli mądrze podejdziemy do tego co mamy w obszarze przetwarzania danych i ich źródeł. Pozostawię dzisiaj bez komentarza projekt rozporządzenia w sprawie sztucznej inteligencji, ale nawiążę do innego aktu unijnego, który już został uchwalony, czyli rozporządzenia w sprawie europejskiego zarządzania danymi, które ma uporządkować obowiązki dla pośredników danych i w efekcie przyczynić się do poprawy jakości danych, np. w związku z koniecznością stosowania odpowiednich środków organizacyjnych i technicznych.

Warto tutaj zwrócić uwagę, że choć instytucje często posiadają DUŻO (surowych) danych, to jednak nie są to dane, które nadają się od ręki do wykorzystania na potrzeby konkretnych rozwiązań. Wymagają one często nie tylko czyszczenia, ale i wzbogacania (o metadane) czy weryfikacji pod kątem formalnych aspektów przetwarzania danych.

Często są to procesy manualne, które wymagają nie tylko zasobów ludzkich, ale i odpowiednich rozwiązań z zakresu obsługi danych, które nazywam często AI & Data Governance. Instytucje, nawet te największe, nierzadko nie dysponują ani rozwiązaniami, ani cierpliwością do przeprowadzania takich żmudnych procesów.

Warto utworzyć centra wymiany informacji?

Rozwiązaniem mogłyby być tutaj swoiste centra wymiany informacji, które uprzednio byłyby przekazywane przez te instytucje i opracowywane na zróżnicowane potrzeby. Wszystko w zgodzie z przepisami o ochronie danych, najlepszą wiedzą i sztuką w zakresie zarządzania danymi oraz poszanowaniem swoistej etyki biznesowej i technologicznej.

Takie rozwiązanie wymagałoby jednak nie tylko poniesienia kosztów opracowania rozwiązania, ale także zgody co do tego, że dzielimy się danymi z innymi. Nawet jeżeli są naszymi konkurentami. Czasem lepiej podzielić się czymś, co może przynieść komuś korzyść, niż trzymać to wyłącznie dla siebie i nie wykorzystywać potencjału. Wszystko na zasadach komercyjnych, bo jednak biznes to biznes.

To wymaga jednak zmiany mentalności i większej otwartości oraz akceptacji pewnego ryzyka. Zadanie niełatwe, choć na rynku pojawiają się już jaskółki, które wieszczą przynajmniej częściową zmianę. I nie mówię tutaj wcale o otwartej bankowości, która nadal czeka na (większą) rewolucję. Przydałaby się tutaj szersza dyskusja i podjęcie wspólnych działań, a także edukacja, która będzie miała też znaczenie w kontekście uwrażliwiania podmiotów danych (nie tylko osób fizycznych) na możliwości, ale i ryzyka związane z udostępnianiem danych.

Ważne jest tutaj jeszcze jedno. Zasada wzajemności, o której coraz więcej organizacji branżowych wspomina, a która pojawiła się także w kontekście ustawy antylichwiarskiej. Jak ją rozumieć? Jeżeli biorę, to powinienem też dać. Skoro więc pozyskuję z systemu jakieś dane, które albo zwiększają moje (lub moich klientów) bezpieczeństwo, to powinienem też przekazać informacje, które mogą stanowić taką wartość dla innych. To ważna zasada, która wymaga jednak zrozumienia, że działamy dla wspólnego dobra. Nie znaczy to, że zawsze musi to być stosunek 1:1. Chodzi o to, aby być po prostu sprawiedliwym w ocenie.

Wszystko to wydaje się nieco utopijne i częściowo pewnie tak jest. Nie mam złudzeń, że nie każdy podmiot będzie chciał się dzielić danymi, zarówno na potrzeby altruistyczne, jak i biznesowe. I nie zmieni tego ‒ do końca ‒ ani lepsze (lub surowsze) prawo, ani zachęty finansowe. Po prostu tak jest skonstruowany świat.

Niemniej jednak, przejrzystość i współpraca w obszarze wymiany danych, wydają się konieczne, aby osiągnąć ogólną korzyść dla wszystkich uczestników rynku, jak i regulatorów oraz organów nadzorczych. Dyskusja nad przyszłością, ale i konkretnymi działaniami nadal trwa, ale powinna mieć charakter jeszcze bardziej systemowy. Wierzę, że jesteśmy w stanie wygenerować wartość dla wszystkich.

Dr Michał Nowakowski,

prezes Zarządu Polskiej Organizacji Niebankowych Instytucji Płatności (PONIP).

Poglądy i opinie wyrażone w niniejszym artykule stanowią wyłącznie osobiste poglądy autora i nie mogą być utożsamiane z poglądami lub opiniami instytucji, z którą autor jest lub był związany.

Źródło: aleBank.pl