Raport Specjalny | Forum Technologii Bankowych – FinTaxLegal | Mądre regulowanie miejsca technologii w finansach
dr. Konrad Stolarski
partner w Kancelarii FinTaxLegal
dr. Zbigniew Długosz
partner w Kancelarii FinTaxLegal
Moi rozmówcy podkreślają, że sprawna, skuteczna i bezpieczna digitalizacja procesów w bankach wymaga, aby już na etapie projektowania poszczególnych rozwiązań uwzględniać istniejące ramy prawne, co określają mianem podejścia „compliance at design”. Wskazują, że współcześnie, wobec mnogości nie tylko regulacji prawa, ale także licznych rekomendacji czy wytycznych właściwych organów, rola prawnika regulacyjnego musi być zdecydowanie proaktywna. Nie może ograniczać się jedynie do opiniowania projektów proponowanych rozwiązań, powinna czynnie uczestniczyć w ich tworzeniu, by znaleźć balans między koniecznością sprostania często rygorystycznym wymogom prawa a założeniami i potrzebami biznesowymi.
Czy obecny ład regulacyjny odpowiada poziomowi technologicznemu cyfrowych kanałów komunikacji i procesów core’owych?
– Banki jako podmioty regulowane podlegają bardzo licznym obowiązkom nakładanym przez prawodawstwo europejskie i krajowe. Ponieważ ono podlega wymagającym czasu ramom procesów regulacyjnych, coraz większą rolę zaczynają pełnić akty delegowane KE i wytyczne EBA oraz rekomendacje regulatorów.
Kluczowe jest przy tym, aby regulacje prawne były tak tworzone, by nie wprowadzać sztucznych barier w rozwoju technologii bankowej i nie ograniczać bankom możliwości korzystania z osiągnięć postępu technologicznego. Jako pozytywny przykład można wskazać szeroko stosowaną, w szczególności w pracach EBA, zasadę neutralności technologicznej. Jej minusem może być mniejsza pewność prawa, jednak przeważają plusy wynikające z elastyczności, jaką zapewnia.
Czy obecne regulacje są adekwatne do założonych celów, czy nadmierne, to kwestia otwarta. Widać jednak, że prawo usilnie stara się nadążyć za dynamicznie zmieniającą się rzeczywistością. Z reguły żywiołowemu rozwojowi technologii towarzyszą nierozpoznane obszary ryzyka, generowane często przez samych użytkowników. Stąd potrzeba zarządzania procesem ich implementacji poprzez reguły i procedury ujęte w ramy prawne. Powoduje to ciągły rozrost otoczenia regulacyjnego i przydałby się okres pewnego uspokojenia. Czasami mamy wrażenie, że jeszcze jedne regulacje na dobre nie zdążą się zadomowić, a już są wypierane przez kolejne. Teraz przykładowo wszyscy szykujemy się na wdrożenie unijnego Digital Finance Package. Ilość wyzwań dla rynku z tym związanych będzie ogromna.
Podejście do regulacji na rynku bankowym ze względu na jego charakter jest, w jakimś zakresie, specyficzne?
– Banki są, z punktu widzenia gospodarki, instytucjami kluczowymi. Dodatkowo oczekuje się od nich, jako od instytucji zaufania, którym ludzie niejednokrotnie powierzają całe swoje oszczędności, zapewnienia szczególnie wysokiego poziomu bezpieczeństwa. Wszystko to powoduje, że działalność bankowa podlega silnej presji prawodawcy i nadzoru. Banki cechuje pewien poziom inercji, charakterystycznej dla dużych i sformalizowanych organizacji, w których zmiana pierwotnie obranego kierunku nie jest czymś, co może być wprowadzone od ręki.
Dlatego w przypadku banków skuteczna i bezpieczna implementacja innowacji – zarówno w obszarach frontendowych, jak i backendowych – wymaga, aby na każdym etapie wdrażania, począwszy od prac koncepcyjnych, uwzględniać istniejące ramy prawne. Odwołując się do upowszechnianych obecnie pojęć, my w FTL podejście takie nazywamy „compliance at design”. Co oznacza: bankowcu, uwzględniaj proszę architekturę regulacyjną już na etapie projektowania produktu. Wtedy finalna jego wersja, na której pracujesz będzie lepsza, szybsza, a w końcowym rozrachunku nawet tańsza, niżby uwzględniać ten element układanki dopiero na końcu procesu. Bez angażowania zasobów prawnoregulacyjnych na początkowym etapie można stać się „niewolnikiem” już przyjętych rozwiązań, choć – tak biznesowo, jak i prawnoregulacyjnie – nie są one optymalne.
Na ile automatyzacja płatności znajduje wsparcie w obszarze bezpieczeństwa, transparentności i zarządzania ryzykiem w ujęciu norm i wewnętrznych regulaminów?
– Rosnąca automatyzacja płatności i tendencja do tworzenia rozwiązań pozwalających płacić coraz szybciej i wygodniej w ostatnim czasie spotkała się, jak wiemy, z nowymi regulacjami dotyczącymi bezpieczeństwa płatności elektronicznych. Dostosowanie się do tych regulacji niejednokrotnie wymagało od środowiska dużego wysiłku. Pomimo początkowych obaw, byliśmy jednak w stanie sprostać nowym wymogom. Kluczem do zapewnienia bezpieczeństwa płatności w coraz większym stopniu jest bowiem nie tyle wymaganie od użytkownika podejmowania wielu działań na etapie autoryzacji, co stosowanie przez dostawców rozbudowanych procesów antyfraudowych w tle dokonywanej płatności.
Oczywiście pewną barierą są tu regulacje z zakresu silnego uwierzytelniania klienta, wymagające dwuczynnikowego autoryzowania, jednakże analiza tej regulacji pokazuje, jak duże znaczenie nadano w niej stosowaniu przez dostawcę, tzw. podejścia opartego na ryzyku, które pozwala w określonych przypadkach zastąpić wymogi dotyczące stosowania przez użytkownika różnych elementów uwierzytelniania. Trzeba jednak podkreślić, że takie podejście prowadzi do rosnącego przerzucania na banki i innych dostawców odpowiedzialności za bezpieczeństwo płatności. W pewnym uproszczeniu można powiedzieć, że prawodawca i regulator wyznaczają odpowiednie standardy, dostawcy usług płatniczych zobligowani są do ponoszenia ciężaru wdrożeń i monitoringu, natomiast od ciężaru odpowiedzialności w coraz większym zakresie uwalniany jest użytkownik, w szczególności jeśli mowa o konsumentach.
Jaki jest faktyczny zakres odpowiedzialności za bezpieczeństwo obrotu w sytuacji powierzenia przez bank procesowania płatności wyspecjalizowanym fintechom?
– Wydaje się, że oczekiwanie społeczne jest takie, aby co do zasady to bank jako instytucja zaufania publicznego odpowiadał za bezpieczeństwo depozytów, dostępność serwisów transakcyjnych oraz wypełnianie rozlicznych obowiązków informacyjnych. Pokazują to chociażby przyjęte w dyrektywie PSD2 zasady odpowiedzialności za nieautoryzowane transakcje rozpoczęte za pośrednictwem dostawcy świadczącego usługę inicjowania transakcji płatniczych, gdzie pomimo występowania pośrednictwa takiego dostawcy, podmiotem bezpośrednio odpowiedzialnym wobec klienta pozostaje bank prowadzący jego rachunek. Podobnie uwagę zwracają nałożone na banki przez nadzorcę bardzo szerokie i nieznajdujące oparcia w przepisach (a wręcz budzące na tle tych przepisów poważne wątpliwości) obowiązki dotyczące weryfikacji współpracujących z bankiem pozabankowych dostawców usług płatniczych.
Tendencja jest taka, że z jednej strony banki są zachęcane (niekiedy wręcz obligowane) do współpracy z podmiotami proponującymi im innowacyjne rozwiązania. Z drugiej jednak strony, od banków oczekuje się zapewnienia bezpieczeństwa takiej współpracy, czyli aby to starsi bracia sprawowali regulacyjno-technologiczną pieczę nad młodymi fintechami. Naszym zdaniem, nie do końca taka powinna być ich rola, co najmniej w zakresie współpracy z innymi instytucjami nadzorowanymi.
Co decyduje o przewadze konkurencyjnej banku jako hubu technologicznego?
– Bank jako integrator technologii, procedur, produktów i serwisu finansowego, oraz administrator danych wrażliwych gwarantuje efektywność, transparentność i bezpieczeństwo realizowanych operacji. Potwierdzają to wyniki badań zaufania, bo czym innym jest fascynacja fintechami i platformami transakcyjnymi, a czym innym gwarancje stanowiące domenę podmiotów regulowanych i nadzorowanych, jakimi są banki. Ale z drugiej strony – pamiętajmy, że bank to też fintech. Funkcjonujemy wiele lat na rynku, możemy zatem powiedzieć, że spojrzenie na innowacje przez polskie banki podąża za tym, co wdrażają niebankowe podmioty. W wielu przypadkach, z uwagi na rozmach i skalę działalności bankowej, nawet to wyprzedza. Główna różnica to wciąż większy zakres wymagań co do bezpieczeństwa, stawianych bankom przez przepisy i regulatorów. Chociaż i to się powoli zaczyna równoważyć. Jeśli porównamy procedury i regulaminy, jakie pisaliśmy dla niebankowych podmiotów 10 lat temu i obecnie, to są to dokumenty zdecydowanie bardziej rozbudowane i przypominają dokumenty bankowe.
Jaka jest rola profilu zaufanego i autentykacji w procesie dostępu do usług e-administracji i e-commercial?
– Profil zaufany na pewno jest krokiem w dobrym kierunku, ale tak długo jak będzie to rozwiązanie dedykowane do usług e-administracji, a takie jest przecież na ten moment jego założenie, będzie to – naszym zdaniem – rozwiązanie o dość podstawowych funkcjonalnościach. Bardzo dobrze, że banki zostały włączone do węzła krajowego jako dostawcy środków uwierzytelniania, bo to zwiększa jego zasięg i równocześnie pozwala na szersze zastosowanie bezpiecznych i sprawdzonych mechanizmów bankowych. Powiedzielibyśmy natomiast, że przestrzeń rozwoju pojawia się w odniesieniu do usług zaufania wypracowanych na bazie rozwiązań z rozporządzenia eIDAS. Widzimy duże pole do ich wdrażania w szczególności w projektach transgranicznych, ale w wielu przypadkach kontrahenci i partnerzy polskich banków z tzw. starej Europy mają problemy z wystawianiem i weryfikacją kwalifikowanych podpisów elektronicznych. Stąd wiele produktów w dalszym ciągu opartych jest np. na SWIFT, co oczywiście sprawdza się, ale po to mamy w UE eIDAS, aby wykorzystywać nowe możliwości, które stwarza on dla rozwoju produktów i usług bankowych. To zresztą staramy się podkreślać – warto spojrzeć na regulacje na rynkach, nie tylko finansowych, jako na bodziec do rozwoju, budowania przewagi konkurencyjnej i stymulowania ekonomii cyfrowej.
