operasjonell risiko psd2, og skaper ny … risiko psd2, og skaper ny personvernforordning nye...

Operasjonell risiko PSD2,

og skaper ny personvernforordning

nye risikoområder

Finans Norges Betalingsformidlingskonferanse nov. 2017

Olav Johannessen

Seksjonsleder tilsyn IT og betalingstjenester

Finanstilsynet

Risikoområder

Betalingsformidlingskonferansen 16-17. nov 20172

Operasjonell og sikkerhetsmessig risiko

PSD 2 – AMLD 4

PSD 2 - GDPR

Hovedendringer som følge av PSD 2

Endringer i markedet

Ansvar


• Evne til å

– Opprettholde langsiktig lønnsomhet gjennom justering av

forretningsmodell og strategier

– Revidere interaksjonen med kundene og forbedre

kundeopplevelsen

– Justere eksisterende eller tilby nye produkter/tjenester

– Implementere ny teknologi for operasjonell effektivisering

– Kombinasjoner

• FinTech

– Intens konkurranse

– Ulike konkurranseforhold


Risikoområder



PSD 2 – AMLD 4

PSD 2 - GDPR



Ansvar


Betalingsfullmektig (PIS / PISP)Avtale om betalingsfullmakt

Opplysningsfullmektig (AIS / AISP)

Avtale om opplysningsfullmakt


Objektivt ansvar

• Artikkel 73 nr. 3 regulerer kontotilbyderens ansvar for tilbakeføring til kunden

ved uautoriserte betalingstransaksjoner som er initiert av en

betalingsfullmektig, samt forholdet mellom betalingsfullmektigen og den

kontoførende betalingstjenesteyteren i slike situasjoner.

• Det er kontotilbyderen som har ansvaret overfor kunden for tilbakeføring av

beløpet for den uautoriserte betalingstransaksjonen. Kontotilbyderen kan

imidlertid kreve regress fra betalingsfullmektigen.

• Betalingsinitieringstjenestetilbyder bærer innenfor sitt ansvarsområde

bevisbyrden


Nye aktører – endret risiko?

• Konsesjons- / Tillatelseskrav, strenge krav som skal oppfylles

• Tilsyn

• Forbedret grensekryssende samarbeid

– Et kontaktpunkt hos tilsynsmyndighetene (også sentralt kontaktpunkt for agenter)

– Initiering av tilsyn og tilsynsdeltakelse

– Varsling mistanke om overtredelse

– Statistisk og aktivitetsrapportering


Omfattende krav til den operasjonelle virksomheten

Betalings-

foretak

Betalings-

fullmektig

Opplysnings-

fullmektig

Forretningsplan og tjenestene som skal tilbys V V V

Hvordan midler skal sikres V

Hvordan virksomheten skal styres og dens kontroll ordninger V V V

Hvordan sikkerhetshendelser skal overvåkes og håndteres V V V

Håndteringen av sensitive betalingsdata V V V

Beredskapsplaner V V V

Operative, mislighets og transaksjons statistikker V V

Sikkerhetspolicy for tjenestene og IT-virksomheten V V V

Hvitvaskingsrutiner V V

Kapitalkrav / Forsikrings-/garantiordninger V V V

Risikoområder



PSD 2 – AMLD 4

PSD 2 - GDPR



Ansvar

Operasjonell og sikkerhetsmessig

risiko

I følge artikkel 95, skal tilbydere av betalingstjenester etablere et

rammeverk som beskriver tiltak for styring og kontroll med

operasjonell og sikkerhetsmessig risiko. Tilbydere skal

etablere/fastsette og vedlikeholde effektive prosedyrer for håndtering

av hendelser, herunder prosedyrer for å oppdage og klassifisere

alvorlige operasjonelle hendelser og sikkerhets-hendelser. Tilbyder

skal minst årlig gi kompetent myndighet en oppdatert samlet

vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til

betalingstjenester. Denne skal inkludere en vurdering av om tiltakene

er tilstrekkelige.



risiko

• Proporsjonalitet

• Governance

– Rammeverk (systemer og kontrollmekanismer ) for operasjonell og sikkerhetsmessig risiko

– Risikostyring og -kontroll

– Utkontraktering

• Risikovurderinger

– Identifisering, klassifisering og riskovurdering av funkjsoner, prosesser og aktiva

• Beskyttelse

– Data og system integritet og konfidensialitet

– Fysisk sikring

– Tilgangskontroller

• Oppdaging / Gjenkjenning (deteksjon)

– Løpende overvåkning og oppdaging

– Overvåkning og rapportering av operasjonelle eller sikkerhetsmessige hendelser



risiko 2

• Forretningsmessig kontinuitet

– Scenariobasert forretningsmessig kontinuitetsplanlegging

– Testing av forretningsmessig kontinuitetsplan

– Kommunikasjon ved kriser

• Testing av sikkerhetstiltak

• Situasjonsforståelse/-bevissthet og kontinuerlig læring

– Trussellandskapet og situasjonsforståelse

– Opplæring- og sikkerhetsfortståelseprogrammer

• Opplæring og informasjon ovenfor betalingstjenesbrukerne

– Betalingstjenestebrukernes bevissthet om sikkerhetsrisiko og risikoreduserende tiltak


Risikoområder



PSD 2 – AMLD 4

PSD 2 - GDPR



Ansvar

Ansvar uautoriserte betalings-

transaksjoner

• Betalingsforetak, e-pengeforetak og opplysningsfullmektiger med tillatelse til å drive

virksomhet i Norge skal være tilsluttet en utenrettslig tvisteløsningsordning som nevnt i

finansforetaksloven § 16-3.

• Redusert egenandel fra 150 til 50 Euro (440 NOK) og den er betinget av at kunden kunne

oppdage misbruket.

• De nye bestemmelsene innebærer imidlertid at kunden er ansvarlig for egenandel i flere

tilfeller enn tidligere

• Egenandel på 12.000 kroner ved grovt uaktsomt videreføres

• Kunden bærer hele tapet ved forsettlig eller svikaktige forhold

• Betalingstjenestetilbyder har bevisbyrden, dvs om kunden har opptrådt svikaktig eller

grovt uaktsomt

• Betalingstjenesteyteren ansvarlig for tap ved «brudd» på kravene til sterk

kundeidentifikasjon

• Kontotilbyderen har ansvaret overfor kunden for tilbakeføring av beløpet for uautoriserte

betalingstransaksjon. Kontotilbyderen kan imidlertid kreve regress fra

betalingsfullmektigen. Betalingsinitieringstjenestetilbyder bærer innenfor sitt

ansvarsområde bevisbyrden


Risikoområder



PSD 2 – AMLD 4

PSD 2 - GDPR



Ansvar

PSD 2 – AMLD 4

• Er PSD 2 mer skånsom mot nye aktører enn AMLD 4

– PSD 2 maksimum AMLD 4 minimum - harmonisering

– Forskjellig implementering av hvitvaskingsdirektivet i nasjonal rett kan skape

forskjeller i utøvelse av kundeidentifiserings-prosesser da direktivet ikke stiller

detaljerte krav til dette

– Noen aktører (FinTechs) kan bli omfattet, andre ikke – kan påvirke

konkurranseforhold, føre til regulatorisk arbitrasje og skape AML/FT sårbarheter

innen finanssektoren

• Krav til utførlig beskrivelse av hvitvaskingsrutiner og -kontroller ved

søknad om konsesjon, også for nye betalingsaktører

• AML/FT-tematikk - ikke del av

– RTS for sterk autentisering og sikker kommunikasjon

– Retningslinjer operasjonell og sikkerhetsmessig risiko

Redundans ift annen lovgivning - regulatoriske konflikter


PSD 2 - Hvitvasking

• Økes risikoen for hvitvasking?

• Pengene vil fortsatt oppbevares hos konto holder

– Kjenn din kunde

– Transaksjonsovervåking

– Scenario-/mønsterovervåking

– Medfølgende informasjon i betalingen

• Nye aktører, lengre verdikjeder

– Strenge krav til hvitvaskingsrutiner

– Kjenn din kunde mer krevende

– Aktører som holder penger

• Krav til sterk autentisering

• Krav til svindelovervåkning

• Krav til risikovurderinger


Risikoområder



PSD 2 – AMLD 4

PSD 2 - GDPR



Ansvar

Skaper bestemmelser konflikter

mellom PSD2 og GDPR?


PSD 2 - GDPR

• PSD 2 har forholdt seg til det gamle personverndirektivet

• PSD 2 sier videre at ” ..... behandling av personoplysninger som følge av

dette direktiv skal foretas i overensstemmelse med” det gamle

personverndirektivet

• GDPR sier at henvisninger til det gamle personverndirektivet må forståes

som henvisninger til den nye forordningen

• Ingen gjensidige direkte referanser mellom PSD 2 og GDPR

• Ingen nærmere avklaring om samvirket mellom de to regelverkene

• Synes å være stor grad av sammenfall, begge har til felles

– Bekymringen for kundedata

– Kunden som bestemmer - samtykke

• Både PSD 2 og GDPR stiller krav til

– Samtykke

– Sikkerhetstiltak

– Hendelsesrapportering


Behandling av personopplysninger,

Finanstilsynets høringsnotat

• Personopplysningsloven gjennomfører personverndirektivet i norsk rett, og

gjelder etter § 3 for behandling av personopplysninger som skjer med elektroniske

hjelpemidler. Etter § 8 kan behandling av personopplysninger skje med flere

grunnlag, blant annet med uttrykkelig samtykke fra den det gjelder. Det fremgår av

forarbeidene til § 8 at bestemmelsen gjennomfører personverndirektivet.

• Etter artikkel 94.1 skal betalingstjenestetilbyderes behandling av

personopplysninger være i tråd med personverndirektivet og forordning 45/2001.

Etter artikkel 94.2 skal betalingstjenestetilbydere behandle personopplysninger

med brukerens uttrykkelige samtykke.

• Etter ordlyden innsnevrer PSD 2 artikkel 94.2 betalingstjenestetilbyderes

adgang til å behandle personopplysninger. Finanstilsynet tolker regelen dithen at

den viser til at betalingstjenestetilbydere skal behandle opplysningene i tråd med

personverndirektivet, og foreslår ingen endringer i norsk rett.


PSD 2 – GDPR, mulige konflikter

Samtykke

• Betalingssystemer og betalingstjenestetilbydere kan behandle personopplysninger når det er

nødvendig av hensyn til forebyggelse, etterforskning og oppdagelse av betalingssvindel

• Betalingstjenestetilbydere må kun aksessere, behandle og oppbevare personopplysninger, som

er nødvendige for ytelse av betalingstjenesten, og med uttrykkelige samtykke fra

betalingstjenestebrukeren

• I GDPR brukes uttrykkelig samtykke knyttet til sensitive data

• PSD 2 synes derfor noe strengere enn GDPR og kan tolkes til å være i konflikt med GDPR

• Imidlertid synes samtykke å ha noe forskjellig mening i PSD2 og GDPR

• Lex specialis? (spesial regler går foran generelle regler)

Sikkerhetsregler

• De særskilte sikkerhetstiltakene som følger av PSD 2 RTS om SCA & CSC vil først tre i kraft 18

måneder etter de fastsettes, mens GDPR som vil tre kraft tidligere stiller krav til implementering

av sikkerhetstiltak i tråd med risikoen

• Det stilles allerede strenge krav til sikkerhet, selv om RTSen ikke er trådt i kraft.

• Det forutsettes at betalingstjenestetilbydere, siden utkastet er kjent, tilnærmer seg RTSen

bestemmelser ved implementering. Videre oppstiller retningslinjer for operasjonell og sikkerhet

risiko en rekke krav


PSD 2 – GDPR, mulige konflikter

Rapportering av hendelser

• PSD 2 og GDPR bruker forskjellige terminologi når det gjelder hendelser

– PSD2: Sedurity incidents (Sikkerhets hendelser) - (men også operasjonelle)

– GDPR: Data breach (Brudd på personopplysningssikkerheten)

• PSD 2 henviser til alvorlige hendelser, mens det av GDPR ikke gis noen kvalifisering (dvs alle)

• PSD 2 og GDPR angir forskjellig tidsramme for rapporteringen

– PSD 2: uten ugrunnet opphold og senest innen 4 timer (for første rapportering)

– GDPR: Senest innen 72 timer (trinnvis rapportering – alt inne 72 timer ?)

• Det kan også nevnes at sanksjonsregimer som følger av PSD 2 og GDPR er forskjellige

• I Norge er det er allerede i dag forskjeller i rapporteringsplikten, IKT-forskriften versus

personvernlovgivingen


PSD 2 – GDPR

• Samtidig overholdelse av begge regelverk vil

være krevende, men nødvendig


"Consent by design"

FINANSTILSYNET

Revierstredet 3

Postboks 1187 Sentrum

0107 Oslo

www.finanstilsynet.no


operasjonell risiko psd2, og skaper ny … risiko psd2, og skaper ny personvernforordning nye...

Documents