Zmniejszać ryzyko

Aktualności

W ramach „Horyzontów Bankowości 2017” – konferencji, na którą przybyło kilkuset przedstawicieli sektora bankowego, władz państwowych instytucji regulacyjno-nadzorczych, firm okołobankowych oraz naukowców – równolegle odbywały się trzy konferencje: Forum Strategii Bankowych, Płatności Mobilne oraz Forum General Data Protection Regulation.

Oto relacje z ich ostatnich sesji.

Forum Strategii Bankowych

Sesję trzecią tegorocznego Forum Strategii Bankowych zatytułowano: „Banki wobec wyzwań systemowych i regulacyjnych”. W jej trakcie skupiono się m.in. na tym, czym grożą systemowi bankowemu w Polsce powtarzające się szoki regulacyjne i jaki mogą mieć wpływ na strategie i modele biznesowe. Zastanawiano się też, czy banki i inne instytucje finansowe oraz ich klienci znalazły się w świecie chaosu regulacyjnego i jak rosnąca skala ryzyka regulacyjnego może prowadzić do wzrostu kosztów regulacyjnych banków i zwiększać ryzyko operacyjne.

Coraz większym wyzwaniem – nie tylko dla banków, ale także dla mikro- i makrostrożnościowego nadzoru systemowego – staje się skala arbitrażu regulacyjnego. Takie regulacje jak PSD2 z jednej strony zwiększają konkurencyjność na części rynku finansowego, ale z drugiej ryzyko klienta. Czy zatem asymetria informacji i pozycji technologicznej przy rozwijającym się arbitrażu jeszcze bardziej osłabia pozycję klientów i naraża klientów na coraz większe ryzyko?

FSB.panel.ostatni.640x

Od lewej: Wiesław Żółtkowski, Zdzisław Sokal, dr hab. Krzysztof Kalicki, prof. zw. dr hab. Stanisław Kasiewicz, Stefan Kawalec i Adam Skowroński. Fot. W. Łączyński

Jak wiadomo digitalizacja wymaga zmian w modelu funkcjonowania instytucji nadzorczych względem banków, a więc zarówno NBP, jak i KNF oraz BFG, Ministerstwa Finansów etc. Tradycyjne podejście regulacyjne wymagające rosnących strumieni raportowanych danych nie poprawia jakości nadzoru ani nie zwiększa bezpieczeństwa systemu bankowego. Najwyższy zatem czas na spożytkowanie digitalizacji m.in. poprzez wykorzystywanie hurtowni i repozytoriów danych. W zagadnienia te wprowadził dr hab. Krzysztof Kalicki, prezes zarządu Deutsche Banku Polska S.A.

Panel dyskusyjny moderował Wiesław Żółtkowski, wiceprzewodniczący zarządu Spółdzielni Systemu Ochrony Zrzeszenia BPS, uczestniczyli w nim: Zdzisław Sokal, prezes Bankowego Funduszu Gwarancyjnego; dr hab. Krzysztof Kalicki, prof. zw. dr hab. Stanisław Kasiewicz, ALTERUM Ośrodek Badań i Analiz Systemu Finansowego; Stefan Kawalec, prezes zarządu Capital Strategy Sp. z o.o. oraz Adam Skowroński, prezes zarządu Spółdzielczego Systemu Ochrony SGB.

Płatności Mobilne

„Perspektywa rozwoju rynku płatności w Polsce – implikacje nowych regulacji” – taki był temat trzeciej sesji konferencji Płatności Mobilne. Mówiono o doświadczeniach związanych ze wdrażaniem usług płatniczych. A także o digitalizacji gospodarki i tym, jakie możliwości oferuje na przykład PSD2 oraz EBA RTS, SCA i CSC. Zastanawiano się, jaką nową jakość wniesie Polish API i rozwój e-usług w administracji publicznej. W części teoretycznej o jednym przelewie do ZUS i doskonaleniu UX korzystających z usług administracji publicznej mówił dr Jakub Górka z Wydziału Zarządzania Uniwersytetu Warszawskiego, ekspert Komisji Europejskiej w PSMEG. Była to jedna z pierwszych informacji o tym wdrożeniu. Projekt e-składki wpisuje się w kontekst innych aplikacji typu e-usługi i digitalizacji gospodarki. Dla banków to również potrzeba aktualizacji interfejsów bankowości mobilnej i internetowej. Projekt stanowi część strumienia tzw. e-daniny. Zmiany wejdą od 1 stycznia 2018 r. Przy okazji wdrożenia trzeba usunąć dużo błędów związanych z nieprzypisanymi wpłatami do ZUS. Jakub Górka określił dzisiejszy ZUS jako „FinTech ZUS”.

O sektorze bankowym w perspektywie PSD2 – nowych zasadach, nowych graczach i nowych relacjach mówił Krzysztof Pycia, ekspert Obszaru Usług Kartowych i Internetowych w Krajowej Izbie Rozliczeniowej S.A. Stwierdził, że dziś jesteśmy w połowie drogi w przygotowaniu do wprowadzenia PSD2. Trwa przy tym lobbing ze strony fintechów dotyczący konkretnych rozwiązań. Regulacja ma być wdrożona 13 stycznia 2018 r., ale już można przyjąć, że będzie opóźnienie, choć mniejsze niż przy okazji wdrażania PSD1.

Dyskusja była swoistym rodzajem podsumowania konferencji. Panel moderował Mateusz Górnisiewicz, doradca zarządu Związku Banków Polskich, a uczestniczyli w nim: Sławomir Cieśliński z Izby Gospodarki Elektronicznej; dr Michał Grabowski, Kancelaria Prawna; dr Jakub Górka, dr Michał Szymański, wiceprezes zarządu Krajowej Izby Rozliczeniowej S.A. oraz Adam Tochmański, dyrektor Departamentu Systemu Płatniczego Narodowego Banku Polskiego. Wszyscy zgodzili się, że e-commerce w Polsce, jak i w innych krajach, to najszybciej rozwijająca się gałąź nowej gospodarki. Dziś pod względem rozmiarów można ją porównać do całej branży farmaceutycznej w naszym kraju.

Paneliści podnieśli też kwestię zapewnienia bezpieczeństwa płatności i silnego uwierzytelnienia. Tak jak w poprzednich wystąpieniach, mówiono o dużej dynamice wzrostu bankowości mobilnej – nawet o 50% rok do roku. Niewątpliwie należy zwrócić uwagę na wysokie koszty inwestycyjne, jakie ponoszą banki, wprowadzając np. PSD2. Jeśli musimy się do tych regulacji dostosować, a w tym przypadku musimy, to warto zrobić to w sposób uporządkowany, choćby wprowadzając Polish API. Przy okazji można od razu wprowadzić usługi premium, takie jak np. rejestr zgód klientów.

Konferencję podsumował i zakończył Włodzimierz Kiciński, wiceprezes Związku Banków Polskich.

General Data Protection Regulation

Jak powinien przebiegać proces przygotowania instytucji na przyjęcie RODO? Kwestia ta była tematem kolejnej sesji forum General Data Protection Regulation. Etapy wdrażania rozwiązań zgodnych z nowym unijnym prawem przedstawił Konrad Hoszowski, Technical Account Manager w spółce Ab Initio Software. Moderatorem panelu był Jerzy Cichowicz.

RODO to nie projekt, który się wdroży raz i zostanie na półce – przypomniał na wstępie Konrad Hoszowski. Ocenie zgodności z wymogami w zakresie ochrony prywatności będzie podlegać każdy bez wyjątku proces na każdym etapie jego realizacji, jeżeli tylko w jego ramach gromadzone są lub przetwarzane dane osobowe. Dlatego już na wstępie należy uświadomić sobie, jaki zakres informacji znajdujących się w zasobach firmy uważamy za dane osobowe i w jakich działaniach te informacje są wykorzystywane. Niezmiernie odpowiedzialnym zadaniem jest również przełożenie procesów biznesowych na techniczne, dzięki czemu możliwe jest określenie, w jakich obszarach i na jakich etapach systemy IT przedsiębiorstwa mają styczność z danymi osobowymi. Po tej wstępnej fazie nadchodzi etap określony przez prelegenta mianem korekcji; jego celem jest wyeliminowanie danych zbytecznych i przechowywanych wbrew nowym regulacjom, redukcja danych dublujących się (co notabene wpłynie pozytywnie również na efektywność funkcjonowania firmy) czy wreszcie modyfikacja systemów pod kątem zgodności z nowymi politykami i strategiami. Dopiero po przejściu tych etapów można mówić o implementacji nowych rozwiązań regulacyjnych sensu stricto – czyli zdefiniowaniu polityki bezpieczeństwa, przyjęciu planów kontrolnych i naprawczych oraz wprowadzenia narzędzi do monitorowania zgodności procesów z wymogami RODO.

Do uczestników konferencji zwrócił się również z przesłaniem dr Wojciech Wiewiórowski, zastępca europejskiego inspektora ochrony danych. Jego zarejestrowana wypowiedź została odtworzona jako wstęp do debaty eksperckiej, podsumowującej cały dzień obrad. Przedstawiciel nadzoru przypomniał zgromadzonym, iż reforma ochrony danych osobowych na szczeblu unijnym nie zakończyła się wraz z przyjęciem RODO oraz dyrektywy określającej zasady przetwarzania danych na potrzeby postępowania karnego. Obecnie trwają prace nad nowym rozporządzeniem Parlamentu Europejskiego i Rady w sprawie prywatności w sferze łączności elektronicznej, które zastąpi obecne, mocno już zdezaktualizowane regulacje w tym obszarze. Według dr. Wiewiórowskiego ten akt prawny ma być ogłoszony w maju 2018 r., dzięki czemu cały pakiet zmian prawnych dotyczących danych osobowych zacznie obowiązywać mniej więcej w tym samym czasie. Niezmiernie istotnym zadaniem jest również wdrażanie nowych rozwiązań w poszczególnych krajach UE, jak również podjęcie decyzji odnośnie stosowania GDPR w krajach Europejskiego Obszaru Gospodarczego nienależących do Wspólnoty, czy wreszcie niektórych krajów spoza EOG (jak Szwajcaria czy USA). Poważnym wyzwaniem będzie również wdrażanie kodeksów postępowań i sektorowych dobrych praktyk, które stanowić będą sui generis dopełnienie całego systemu.

Uczestnikami finałowej debaty, moderowanej przez dyrektora Zespołu Prawno-Legislacyjnego ZBP dr Tadeusza Białka, byli: Maciej Byczkowski, prezes zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji; Krzysztof Kowalski, doradca ochrony danych; Piotr Mechliński, Country Leader for Government & Banking, IBM Analytics; Marta Nieścierowicz, audytor oraz dr Stefan Szyszko, członek Rady Nadzorczej ComCERT S.A. W toku dyskusji uczestnicy odnieśli się m.in. do wyzwania, jakim jest opanowanie żywiołu danych niestrukturyzowanych.

Można sobie wyobrazić, że tych danych nie ma i że można funkcjonować. Powinniśmy zastanowić się nad tym, żeby nie śmiecić, to uprości i potani naszą działalność – zauważył Stefan Szyszko. Zgodził się z tą opinią Piotr Mechliński, według którego uporządkowanie danych może odchudzić ich zasoby nawet o 50% – i to bez straty dla instytucji. Z kolei Maciej Byczkowski przypomniał podstawową różnicę pomiędzy rozwiązaniami unijnymi a stosowanymi powszechnie w biznesie standardami ISO w zakresie ochrony danych. – RODO bierze za punkt wyjścia prawa osób, których dane dotyczą, a przy ISO 27000 sfokusowani jesteśmy na organizację. Trzeba to zmienić poprzez przeprowadzenie oceny skutków dla osób, których dane dotyczą z wykorzystaniem analogicznych metodyk, jakie przewiduje ISO 27000 – zaznaczył szef Stowarzyszenia Administratorów Bezpieczeństwa Informacji. Krzysztof Kowalski przypomniał zebranym o dość powszechnie pomijanym zagrożeniu związanym z nieprawidłowym przetwarzaniem danych osobowych, jakim jest możliwość wystąpienia przez klienta z pozwem o odszkodowanie z tytułu naruszenia danych. Jeszcze większym zagrożeniem jest możliwość wydania przez GIODO lub UODO zakazu przetwarzania danych, co dla wielu firm równoznaczne jest z końcem działalności. Dlatego właśnie niezmiernie ważnym zadaniem jest właściwie przeprowadzona i co najważniejsze uprzednia analiza ryzyka.

(bsza, ila, kmor)