Operasjonell risiko PSD2, og skaper ny personvernforordning nye risikoområder Finans Norges Betalingsformidlingskonferanse nov. 2017 Olav Johannessen Seksjonsleder tilsyn IT og betalingstjenester Finanstilsynet
Operasjonell risiko PSD2,
og skaper ny personvernforordning
nye risikoområder
Finans Norges Betalingsformidlingskonferanse nov. 2017
Olav Johannessen
Seksjonsleder tilsyn IT og betalingstjenester
Finanstilsynet
Risikoområder
Betalingsformidlingskonferansen 16-17. nov 20172
Operasjonell og sikkerhetsmessig risiko
PSD 2 – AMLD 4
PSD 2 - GDPR
Hovedendringer som følge av PSD 2
Endringer i markedet
Ansvar
Endringer i markedet
• Evne til å
– Opprettholde langsiktig lønnsomhet gjennom justering av
forretningsmodell og strategier
– Revidere interaksjonen med kundene og forbedre
kundeopplevelsen
– Justere eksisterende eller tilby nye produkter/tjenester
– Implementere ny teknologi for operasjonell effektivisering
– Kombinasjoner
• FinTech
– Intens konkurranse
– Ulike konkurranseforhold
Betalingsformidlingskonferansen 16-17. nov 20173
Risikoområder
Betalingsformidlingskonferansen 16-17. nov 20174
Operasjonell og sikkerhetsmessig risiko
PSD 2 – AMLD 4
PSD 2 - GDPR
Hovedendringer som følge av PSD 2
Endringer i markedet
Ansvar
Betalingsformidlingskonferansen 16-17. nov 20175
Betalingsfullmektig (PIS / PISP)Avtale om betalingsfullmakt
Opplysningsfullmektig (AIS / AISP)
Avtale om opplysningsfullmakt
Betalingsformidlingskonferansen 16-17. nov 20176
Objektivt ansvar
• Artikkel 73 nr. 3 regulerer kontotilbyderens ansvar for tilbakeføring til kunden
ved uautoriserte betalingstransaksjoner som er initiert av en
betalingsfullmektig, samt forholdet mellom betalingsfullmektigen og den
kontoførende betalingstjenesteyteren i slike situasjoner.
• Det er kontotilbyderen som har ansvaret overfor kunden for tilbakeføring av
beløpet for den uautoriserte betalingstransaksjonen. Kontotilbyderen kan
imidlertid kreve regress fra betalingsfullmektigen.
• Betalingsinitieringstjenestetilbyder bærer innenfor sitt ansvarsområde
bevisbyrden
Betalingsformidlingskonferansen 16-17. nov 20177
Nye aktører – endret risiko?
• Konsesjons- / Tillatelseskrav, strenge krav som skal oppfylles
• Tilsyn
• Forbedret grensekryssende samarbeid
– Et kontaktpunkt hos tilsynsmyndighetene (også sentralt kontaktpunkt for agenter)
– Initiering av tilsyn og tilsynsdeltakelse
– Varsling mistanke om overtredelse
– Statistisk og aktivitetsrapportering
Betalingsformidlingskonferansen 16-17. nov 20178
Omfattende krav til den operasjonelle virksomheten
Betalings-
foretak
Betalings-
fullmektig
Opplysnings-
fullmektig
Forretningsplan og tjenestene som skal tilbys V V V
Hvordan midler skal sikres V
Hvordan virksomheten skal styres og dens kontroll ordninger V V V
Hvordan sikkerhetshendelser skal overvåkes og håndteres V V V
Håndteringen av sensitive betalingsdata V V V
Beredskapsplaner V V V
Operative, mislighets og transaksjons statistikker V V
Sikkerhetspolicy for tjenestene og IT-virksomheten V V V
Hvitvaskingsrutiner V V
Kapitalkrav / Forsikrings-/garantiordninger V V V
Risikoområder
Betalingsformidlingskonferansen 16-17. nov 20179
Operasjonell og sikkerhetsmessig risiko
PSD 2 – AMLD 4
PSD 2 - GDPR
Hovedendringer som følge av PSD 2
Endringer i markedet
Ansvar
Operasjonell og sikkerhetsmessig
risiko
I følge artikkel 95, skal tilbydere av betalingstjenester etablere et
rammeverk som beskriver tiltak for styring og kontroll med
operasjonell og sikkerhetsmessig risiko. Tilbydere skal
etablere/fastsette og vedlikeholde effektive prosedyrer for håndtering
av hendelser, herunder prosedyrer for å oppdage og klassifisere
alvorlige operasjonelle hendelser og sikkerhets-hendelser. Tilbyder
skal minst årlig gi kompetent myndighet en oppdatert samlet
vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til
betalingstjenester. Denne skal inkludere en vurdering av om tiltakene
er tilstrekkelige.
Betalingsformidlingskonferansen 16-17. nov 201710
Operasjonell og sikkerhetsmessig
risiko
• Proporsjonalitet
• Governance
– Rammeverk (systemer og kontrollmekanismer ) for operasjonell og sikkerhetsmessig risiko
– Risikostyring og -kontroll
– Utkontraktering
• Risikovurderinger
– Identifisering, klassifisering og riskovurdering av funkjsoner, prosesser og aktiva
• Beskyttelse
– Data og system integritet og konfidensialitet
– Fysisk sikring
– Tilgangskontroller
• Oppdaging / Gjenkjenning (deteksjon)
– Løpende overvåkning og oppdaging
– Overvåkning og rapportering av operasjonelle eller sikkerhetsmessige hendelser
Betalingsformidlingskonferansen 16-17. nov 201711
Operasjonell og sikkerhetsmessig
risiko 2
• Forretningsmessig kontinuitet
– Scenariobasert forretningsmessig kontinuitetsplanlegging
– Testing av forretningsmessig kontinuitetsplan
– Kommunikasjon ved kriser
• Testing av sikkerhetstiltak
• Situasjonsforståelse/-bevissthet og kontinuerlig læring
– Trussellandskapet og situasjonsforståelse
– Opplæring- og sikkerhetsfortståelseprogrammer
• Opplæring og informasjon ovenfor betalingstjenesbrukerne
– Betalingstjenestebrukernes bevissthet om sikkerhetsrisiko og risikoreduserende tiltak
Betalingsformidlingskonferansen 16-17. nov 201712
Risikoområder
Betalingsformidlingskonferansen 16-17. nov 201713
Operasjonell og sikkerhetsmessig risiko
PSD 2 – AMLD 4
PSD 2 - GDPR
Hovedendringer som følge av PSD 2
Endringer i markedet
Ansvar
Ansvar uautoriserte betalings-
transaksjoner
• Betalingsforetak, e-pengeforetak og opplysningsfullmektiger med tillatelse til å drive
virksomhet i Norge skal være tilsluttet en utenrettslig tvisteløsningsordning som nevnt i
finansforetaksloven § 16-3.
• Redusert egenandel fra 150 til 50 Euro (440 NOK) og den er betinget av at kunden kunne
oppdage misbruket.
• De nye bestemmelsene innebærer imidlertid at kunden er ansvarlig for egenandel i flere
tilfeller enn tidligere
• Egenandel på 12.000 kroner ved grovt uaktsomt videreføres
• Kunden bærer hele tapet ved forsettlig eller svikaktige forhold
• Betalingstjenestetilbyder har bevisbyrden, dvs om kunden har opptrådt svikaktig eller
grovt uaktsomt
• Betalingstjenesteyteren ansvarlig for tap ved «brudd» på kravene til sterk
kundeidentifikasjon
• Kontotilbyderen har ansvaret overfor kunden for tilbakeføring av beløpet for uautoriserte
betalingstransaksjon. Kontotilbyderen kan imidlertid kreve regress fra
betalingsfullmektigen. Betalingsinitieringstjenestetilbyder bærer innenfor sitt
ansvarsområde bevisbyrden
Betalingsformidlingskonferansen 16-17. nov 201714
Risikoområder
Betalingsformidlingskonferansen 16-17. nov 201715
Operasjonell og sikkerhetsmessig risiko
PSD 2 – AMLD 4
PSD 2 - GDPR
Hovedendringer som følge av PSD 2
Endringer i markedet
Ansvar
PSD 2 – AMLD 4
• Er PSD 2 mer skånsom mot nye aktører enn AMLD 4
– PSD 2 maksimum AMLD 4 minimum - harmonisering
– Forskjellig implementering av hvitvaskingsdirektivet i nasjonal rett kan skape
forskjeller i utøvelse av kundeidentifiserings-prosesser da direktivet ikke stiller
detaljerte krav til dette
– Noen aktører (FinTechs) kan bli omfattet, andre ikke – kan påvirke
konkurranseforhold, føre til regulatorisk arbitrasje og skape AML/FT sårbarheter
innen finanssektoren
• Krav til utførlig beskrivelse av hvitvaskingsrutiner og -kontroller ved
søknad om konsesjon, også for nye betalingsaktører
• AML/FT-tematikk - ikke del av
– RTS for sterk autentisering og sikker kommunikasjon
– Retningslinjer operasjonell og sikkerhetsmessig risiko
Redundans ift annen lovgivning - regulatoriske konflikter
Betalingsformidlingskonferansen 16-17. nov 201716
PSD 2 - Hvitvasking
• Økes risikoen for hvitvasking?
• Pengene vil fortsatt oppbevares hos konto holder
– Kjenn din kunde
– Transaksjonsovervåking
– Scenario-/mønsterovervåking
– Medfølgende informasjon i betalingen
• Nye aktører, lengre verdikjeder
– Strenge krav til hvitvaskingsrutiner
– Kjenn din kunde mer krevende
– Aktører som holder penger
• Krav til sterk autentisering
• Krav til svindelovervåkning
• Krav til risikovurderinger
Betalingsformidlingskonferansen 16-17. nov 201717
Risikoområder
Betalingsformidlingskonferansen 16-17. nov 201718
Operasjonell og sikkerhetsmessig risiko
PSD 2 – AMLD 4
PSD 2 - GDPR
Hovedendringer som følge av PSD 2
Endringer i markedet
Ansvar
Skaper bestemmelser konflikter
mellom PSD2 og GDPR?
Betalingsformidlingskonferansen 16-17. nov 201719
PSD 2 - GDPR
• PSD 2 har forholdt seg til det gamle personverndirektivet
• PSD 2 sier videre at ” ..... behandling av personoplysninger som følge av
dette direktiv skal foretas i overensstemmelse med” det gamle
personverndirektivet
• GDPR sier at henvisninger til det gamle personverndirektivet må forståes
som henvisninger til den nye forordningen
• Ingen gjensidige direkte referanser mellom PSD 2 og GDPR
• Ingen nærmere avklaring om samvirket mellom de to regelverkene
• Synes å være stor grad av sammenfall, begge har til felles
– Bekymringen for kundedata
– Kunden som bestemmer - samtykke
• Både PSD 2 og GDPR stiller krav til
– Samtykke
– Sikkerhetstiltak
– Hendelsesrapportering
Betalingsformidlingskonferansen 16-17. nov 201720
Behandling av personopplysninger,
Finanstilsynets høringsnotat
• Personopplysningsloven gjennomfører personverndirektivet i norsk rett, og
gjelder etter § 3 for behandling av personopplysninger som skjer med elektroniske
hjelpemidler. Etter § 8 kan behandling av personopplysninger skje med flere
grunnlag, blant annet med uttrykkelig samtykke fra den det gjelder. Det fremgår av
forarbeidene til § 8 at bestemmelsen gjennomfører personverndirektivet.
• Etter artikkel 94.1 skal betalingstjenestetilbyderes behandling av
personopplysninger være i tråd med personverndirektivet og forordning 45/2001.
Etter artikkel 94.2 skal betalingstjenestetilbydere behandle personopplysninger
med brukerens uttrykkelige samtykke.
• Etter ordlyden innsnevrer PSD 2 artikkel 94.2 betalingstjenestetilbyderes
adgang til å behandle personopplysninger. Finanstilsynet tolker regelen dithen at
den viser til at betalingstjenestetilbydere skal behandle opplysningene i tråd med
personverndirektivet, og foreslår ingen endringer i norsk rett.
Betalingsformidlingskonferansen 16-17. nov 201721
PSD 2 – GDPR, mulige konflikter
Samtykke
• Betalingssystemer og betalingstjenestetilbydere kan behandle personopplysninger når det er
nødvendig av hensyn til forebyggelse, etterforskning og oppdagelse av betalingssvindel
• Betalingstjenestetilbydere må kun aksessere, behandle og oppbevare personopplysninger, som
er nødvendige for ytelse av betalingstjenesten, og med uttrykkelige samtykke fra
betalingstjenestebrukeren
• I GDPR brukes uttrykkelig samtykke knyttet til sensitive data
• PSD 2 synes derfor noe strengere enn GDPR og kan tolkes til å være i konflikt med GDPR
• Imidlertid synes samtykke å ha noe forskjellig mening i PSD2 og GDPR
• Lex specialis? (spesial regler går foran generelle regler)
Sikkerhetsregler
• De særskilte sikkerhetstiltakene som følger av PSD 2 RTS om SCA & CSC vil først tre i kraft 18
måneder etter de fastsettes, mens GDPR som vil tre kraft tidligere stiller krav til implementering
av sikkerhetstiltak i tråd med risikoen
• Det stilles allerede strenge krav til sikkerhet, selv om RTSen ikke er trådt i kraft.
• Det forutsettes at betalingstjenestetilbydere, siden utkastet er kjent, tilnærmer seg RTSen
bestemmelser ved implementering. Videre oppstiller retningslinjer for operasjonell og sikkerhet
risiko en rekke krav
Betalingsformidlingskonferansen 16-17. nov 201722
PSD 2 – GDPR, mulige konflikter
Rapportering av hendelser
• PSD 2 og GDPR bruker forskjellige terminologi når det gjelder hendelser
– PSD2: Sedurity incidents (Sikkerhets hendelser) - (men også operasjonelle)
– GDPR: Data breach (Brudd på personopplysningssikkerheten)
• PSD 2 henviser til alvorlige hendelser, mens det av GDPR ikke gis noen kvalifisering (dvs alle)
• PSD 2 og GDPR angir forskjellig tidsramme for rapporteringen
– PSD 2: uten ugrunnet opphold og senest innen 4 timer (for første rapportering)
– GDPR: Senest innen 72 timer (trinnvis rapportering – alt inne 72 timer ?)
• Det kan også nevnes at sanksjonsregimer som følger av PSD 2 og GDPR er forskjellige
• I Norge er det er allerede i dag forskjeller i rapporteringsplikten, IKT-forskriften versus
personvernlovgivingen
Betalingsformidlingskonferansen 16-17. nov 201723
PSD 2 – GDPR
• Samtidig overholdelse av begge regelverk vil
være krevende, men nødvendig
Betalingsformidlingskonferansen 16-17. nov 201724
"Consent by design"
FINANSTILSYNET
Revierstredet 3
Postboks 1187 Sentrum
0107 Oslo
www.finanstilsynet.no
Betalingsformidlingskonferansen 16-17. nov 201725