Artikkeli

Finanssisektoria järkytti kesällä yllättävä viranomaisvaatimus

Blogi: Ilkka Huikko

Finanssivalvonnan (Fiva) varautumisvaatimukset aiheuttaisivat valvonnan piirissä oleville toimijoille toteutuessaan useiden miljardien kustannukset. Kyseessä ei ole infrastruktuurinkaan osalta mikään pikku juttu, sillä monen yrityksen teknologiaekosysteemit ovat nykymaailmassaglobaalisti hajautettuja. Mistä on siis kyse Finanssivalvonnan vaateessa ja miten sinänsä aiheellisen ongelman voisi ratkaista toisin?

18.8.2020

Kun olin nuori 1980-luvulla, Albanian touhu huvitti minua. Tarinoiden mukaan Albania oli tuolloin jo vuosikymmeniä ollut itseensä käpertynyt ja äärimmäisiin uhkakuviin varautunut. Aukioilla sanottiin olleen heinäseipäitä, jotta laskuvarjojääkärit eivät pysty hyökkäämään. Ja jos laskuvarjomiehet olisivat ehtineet maahan asti, maa olivat varautunut asiaan betonibunkkereilla, joihin olisi helppo perustaa pieniä konekivääripesäkkeitä. Vaikka tarina olisi ollut vahvasti liioiteltukin, tuolloisessa Albaniassa olisi joka tapauksessa käytetty tuolloin paljon niukkoja resursseja näihin sinällään kummallisiin järjestelyihi

 

Varautuminen on nyt päivän sana kaikkialla, myös Suomessa. Fiva lähetti 7.7.2020 valvottavilleen tiedotteen, jossa se edellyttää valvottaviltaan valmiussuunnitelmia tilisiirtopohjaisen maksuliikkeen, korttimaksamisen ja arvopaperikaupankäynnin toimivuuden varmistamiseksi tilanteessa, jossa internet-yhteydet Suomen ja ulkomaailman välillä ovat poikki kuukausien ajan. Suunnitelmien tulee olla riittävän yksityiskohtaisia ja ne tulee toimittaa Fivalle vuoden 2020 loppuun mennessä. 

 

Palveluiden käyttäjän tai kuluttajan näkökulmasta tällainen varautuminen voi ensisilmäyksellä vaikuttaa hyvältä ja perustellulta ajatukselta. Asiaan liittyy kuitenkin useita pulmia: 

  • Jos/kun pankit (ja muut valvottavat) jotenkin itselleen valmiudet pystyisivät rakentamaan, yhteiskunnan toiminta halvaantuisi tarkasteltavassa skenaariossa monilla muilla sektoreilla, koska niissä ei vastaavia valmiuksia kaikilta osin luultavasti olisi. Vähittäiskauppa ja sen ERP-järjestelmät. Elintarviketeollisuus. Terveydenhuolto. You name it – they only partially have it. 
  • Fiva näyttää valvovana viranomaisena toimiessaan ottavan itselleen lainsäätäjälle kuuluvia tehtäviä. Samansisältöinen lakialoite oli olemassa vuonna 2018, mutta asia ei ole edennyt hallituksen esitykseksi asti siitä huolimatta, että hallituspohjakin on välissä vaihtunut. Fiva mainitsee lakialoitteen kirjeessään, mutta perustelee vaatimustaan aiemman, voimassa olevan lainsäädännön yleisemmin muotoilluilla ja aiemmin eri tavalla ja eri painotuksilla tulkituilla toiminnan jatkuvuusvaatimuksilla. 
  • Monikansallisen pankin silmin katsottuna voi olla kummallista, että ilman voimassa olevaa eksaktia kansallista lainsäädäntöä voitaisiin edellyttää, että pankki rakentaisi valmiudet jakautua operatiivisesti kahteen osaan em. skenaarion toteutuessa. Tällöin olisi varsin epäselvää, miten erilaisten pankkitasoisten taloushallinto/riskienhallinta/AML- ym. -prosessien toimivuus tulisi järjestää.  Toinen monikansallisen pankin ratkaisuvaihtoehto olisi siirtää koko tekninsen infrastruktuuri Suomeen, ja siten altistaa itsensä häiriöille muissa maissa jos/kun tarkastelussa oleva skenaario toteutuisi. Tätä ratkaisua monikansallinen pankki tuskin tekisi missään tilanteessa. 
  • Puhtaasti kotimaistenkin toimijoiden oma teknologiainfrastruktuuri sisältää tyypillisesti runsaasti riippuvuuksia rajojemme ulkopuolelle. Pilvipalvelut, perinteiseen ulkoistettuun ICT-infrastruktuuriin liittyvät hallinta-, operointi- ja ylläpitopalvelut tai vaikkapa etäkeskuksista kyberturvallisuuspalvelut ovat tästä hyviä esimerkkejä. Teknologian valtavirta on kymmeniä vuosia kulkenut paikallisesta kohti globaalia, ja kehityksen vauhti kiihtyy vuosi vuodelta. Tätä suuntaa on vaikea kääntää, eikä sitä nähdäkseni tulisikaan kääntää.  
  • Jos edellä kuvatusta huolimatta jokin yksittäinen pankki tai muu valvottava haluaisikin laittaa asiansa Fivan edellyttämällä tavalla kuntoon, se ei käytännössä voisi tehdä sitä yksin. Suomesta puuttuu kansallinen maksuliikeclearinginfrastruktuuri; olemme riippuvaisia kansainvälisistä korttiyhtiöistä korttimaksujen osalta, arvopaperikaupankäynti ja -selvitys on kansainvälistä ja niin edelleen. On huomattava, että lakkautimme kansallisen maksuliikeclearingin ja kansallisen pankkikorttistandardimme liittyessämme Sepa-alueeseen, mikä tuntuu olleen nyt annetun varautumisskenaarion valossa iso virhe. Nykyiset normaalitilanteen rakenteet ja prosessit ovat joka tapauksessa rajamme ylittäviä. Jos kansalliseen ratkaisuun halutaan mennä, olisi luontevaa, että esim. Suomen Pankki ottaisi johtavan roolin ja määrittelisi millaiseen kansalliseen infrastruktuuriin varautumissuunnitelmien tulisi perustua.    
  • Varautumisjärjestelyt maksavat. Ja paljon maksavatkin. 2018 lakivalmistelun yhteydessä Deloitten tekemä karkea kustannusarvio kertakustannuksista oli satoja miljoonia euroja, joiden lisäksi vuotuiset ylläpitokulut olisivat kymmeniä miljoonia euroja lisää. Tuolloin selvityksen taustalla olleet oletukset eivät kaikilta osin enää päde, enkä ihmettelisi, jos jo kertakustannusten osalta puhutaan yli miljardin kustannuserästä. Tämä tapahtuisi siis tilanteessa, jossa pankkien vakavaraisuusvaatimuksia on jo väljennetty koronakriisin vuoksi ja jossa pankkien omaa pääomaa tulisi mieluummin suojella kuin rasittaa. 

 

Jos valtio kaikesta huolimatta näkee tarpeelliseksi edellyttää esitetyn skenaarion mukaista varautumista, sen tulisi mielestäni vastata myös kustannuksista. Nykyistä uutisvirtaa seuratessa miljardi tai kaksi ei valtion tasolla tuntuisi missään. Toteuttamisen taakka jäisi edelleen pankeille ja muille valvottaville, mutta toki kustannustaakasta vapautuminen helpottaisi hiukan tuskaa. 
 

Mutta vaikka maksaja löytyisikin, huomaan kysyväni itseltäni, olemmeko pystyttämässä heinäseipäitä ja rakentelemassa konekivääripesäkkeitä kirjoituksen alussa kuvattuun tapaan? Toki rinnastukseni varmasti ontuu. Aika, paikka, olosuhteet ja uhkakuvat ovat nyt ihan erilaiset. 
 

Yksi kysymys on silti täysin sama: onko pankeille ja muille valvottaville esitetyn varautumisvelvollisuuden toimeenpano meille järkevintä mahdollista rajallisten resurssiemme käyttöä pankkiasiakkaan ja veronmaksajan rooleissamme?
 

Mikä olisi vaihtoehto? Tietysti normaalitilanteen rakenteiden vahvistaminen. Merikaapeliyhteys Saksaan maksaa n. 70 MEUR. Itämeren, Suomenlahden ja Pohjanlahden alle, sekä ehkä myös maata pitkin näitä uusia internetyhteyksiä saataisiin siten kourallinen samalla rahalla kuin mitä varovaistenkin arvioiden mukaan kuluisi varajärjestelyihin. Tämä olisi luonteva etenemispolku pankkien ja muiden valvottavien kannalta katsottuna – ja hyödyttäisi yhteiskuntaa laajemminkin toimintavarmuuden edellytysten kohentuessa myös yhteiskunnan muilla alueilla. Samalla eri toimijat voisivat edelleen vahvistaa omaa kyberturvallisuuskyvykkyyttään, mikä on niille varmasti mieluisampi tehtävä kuin spesiaalitilanteeseen tarkoitettujen varajärjestelyjen rakentaminen.

Ilkka Huikko
Financial Service Lead, Partner
Finanssitoimiala
+358 (0)40 7403 529

Oliko tieto hyödyllistä?