fintech konsekwencje prawne

Artykuł

Fintech: konsekwencje prawne dla instytucji finansowych

Biuletyn prawny: Finanse i bankowość | Wrzesień 2018 r.

Europejski Urząd Nadzoru Finansowego (EBA) w ostatnim z raportów, zwrócił uwagę na zwiększone ryzyko compliance oraz ryzyko prawne wiążące się z działalnością instytucji z sektora FinTech. EBA zidentyfikował główne ryzyka prawne mogące powstać w związku z zastosowaniem nowych technologii w działalności instytucji finansowych.

Znalazły się wśród nich:

1. Uwierzytelnianie biometryczne przy użyciu odcisku palca.

EBA wiąże powstanie ryzyka prawnego z przechowywaniem danych biometrycznych na urządzeniach rozpoznających odcisk palca, w przypadku gdy bezpieczeństwo tych urządzeń zostanie naruszone w wyniku ataku hakerskiego. Hakerzy mogą złamać zabezpieczenia urządzeń, a następnie użyć skradzionych danych bezpośrednio w czytnikach daktyloskopijnych w celu uzyskania dostępu do usługi w imieniu konsumenta. Nieprawidłowa akceptacja danych może powodować ryzyko prawne oraz ryzyko związane z bezpieczeństwem systemów informatycznych. Niemniej jednak, takie ryzyko jest relatywnie niskie w porównaniu z innymi metodami identyfikacji biometrycznej, np. poprzez rozpoznawanie głosu.

2. Wykorzystanie tzw. robo-doradców (ang. robo-advisors) w celu świadczenia doradztwa inwestycyjnego.

Ewentualny brak jasności w zakresie tego, kto ponosi odpowiedzialność za potencjalną szkodę – dostawca platformy, konsument czy tzw. third-party providers (podmiotów trzecich) - może powodować niekorzystne konsekwencje ze względu na powstałe ryzyko prawne. Ponadto, jeśli usługi robo-doradców będą świadczone transgranicznie, wymóg zgodności z wewnętrznymi regulacjami, a także prawem poszczególnych państw członkowskich może stanowić wyzwanie dla instytucji finansowych, ze względu na jego wpływ na zwiększenie ryzyka compliance oraz ryzyka prawnego.

3. Ocena wiarygodności finansowej w oparciu o Big Data oraz uczenie maszynowe.

Analiza poszczególnych kategorii danych osobowych w toku ich zautomatyzowanego przetwarzania - bez udziału czynnika ludzkiego – może w niebezpośredni sposób prowadzić do dyskryminacji, ze względu na wykorzystanie danych wrażliwych (takich jak rasa, płeć, pochodzenie etniczne itp.). W tym zakresie szczególną uwagę należy zwrócić na kwestię ochrony konsumenta oraz ochronę danych osobowych.

4. Wykorzystanie DLT (systemu rejestrów rozporoszonych, ang. distributed ledger technology, np. blockchain) oraz inteligentnych kontraktów w trade finance.

Potencjalne ryzyko prawne oraz ryzyko braku zgodności może wynikać z wielu czynników, m.in. z rozbieżności w interpretacjach w zakresie prawa właściwego oraz nieoczywistego statusu prawnego inteligentnych kontraktów (ang. smart contracts), a także braku jednolitego systemu prawnego mającego zastosowanie do DLT zlokalizowanych w obszarach różnych jurysdykcji, nierzadko pozostających ze sobą w konflikcie. Tytułem przykładu, wirtualnie podpisany kontrakt może nie być skuteczny we wszystkich jurysdykcjach. Konieczne jest zatem określenie właściwej jurysdykcji w przypadku konfliktu norm, a także mechanizmu rozstrzygania sporów.

Potencjalny problem zgodności z określonymi regulacjami może powstać na przykład: w kwestii ochrony danych osobowych, jeżeli zostały ujawnione dane wrażliwe; na gruncie prawa konkurencji, zwłaszcza w przypadku dołączenia podmiotu do konsorcjum; w obszarze AML/CFT. Według EBA, wykorzystanie DLT, który umożliwia bardziej zautomatyzowaną analizę dokumentów, może stwarzać ryzyko do nadużyć w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Niezgodność z powyższymi regulacjami natomiast wiąże się z wysokimi karami oraz negatywnym wpływem na reputację instytucji finansowych.

5. Wykorzystanie DLT w celu przeprowadzenia due dilligence klienta.

Potencjalne ryzyka związane są z kwestiami zgodności z przepisami, brakiem odpowiedniego zarządzania, zależnościami od podmiotów trzecich, niepewnością prawa, niejasnymi regułami odpowiedzialności oraz ryzykiem IT – niektóre z tych ryzyk zostały opisane powyżej – w punkcie 4. Wpływ na powstanie ryzyka ostrożnościowego związanego z tożsamością cyfrową (ang. digital identity) może mieć niepewność prawna i regulacyjna z uwagi na fakt, że w różnych jurysdykcjach regulacja tożsamości cyfrowej może mieć inny status (jak to ma miejsce w przypadku podpisów cyfrowych). Ponadto, status prawny inteligentnych kontraktów jest również niekiedy niejasny. Ogólnie rzecz ujmując, ze względu na rozproszoną naturę omawianej technologii, przypisanie odpowiedzialności w przypadku materializacji ryzyka może być trudne.

6. Portfele mobilne z wykorzystaniem NFC (ang. Near Field Communication, komunikacji bliskiego zasięgu)

Problemy prawne mogą wynikać z fragmentaryzacji rynku płatniczego oraz złożoności środowiska operacyjnego, w którym instytucja finansowa korzysta z wielu rozwiązań technologicznych. Instytucja może skorzystać z outsourcingu w celu oferowania usługi mobilnego portfela. Wówczas może być ona zmuszona do współpracy z wieloma podmiotami trzecimi - z uwagi na brak specjalistycznej wiedzy lub presję ze strony konkurencji. Zarządzanie złożonymi aspektami prawnymi oraz regulacyjnymi outsourcingu wpływa jednak na ryzyko prawne i informatyczne – ryzyko outsourcingowe, związane również z ochroną danych osobowych i przetwarzaniem płatności mobilnych.

7. Outsourcing usługi podstawowej/system płatniczy w publicznej chmurze

Konieczność spełnienia określonych wymogów regulacyjnych przy zawieraniu ostatecznej umowy pomiędzy instytucjami a dostawcami usługi chmury obliczeniowej (np. dostosowania się do Rekomendacji EBA w sprawie dostawców usługi cloud computingu) może wpływać na powstanie ryzyka prawnego, ryzyka compliance, a także poszerzenie profilu ryzyka operacyjnego. Odpowiedni system zarządzania kontraktami będzie miał istotne znaczenie w celu sprostania ewentualnym wyzwaniom w zakresie przeprowadzenia audytu, zarówno dla instytucji, jak i organów nadzoru.
 

Komentarz eksperta: Fintech: Konsekwencje prawne dla instytucji finansowych

Z dokumentu przygotowanego przez EBA wynika, że wiele spośród zidentyfikowanych ryzyk związanych jest z przetwarzaniem danych użytkowników w sposób zautomatyzowany i na dużą skalę, włączając w to dane, które mogą być uważane za wrażliwe. Wykorzystanie innowacyjnych rozwiązań, takich jak Big Data, machine learning, czy uwierzytelnianie biometryczne może przynosić istotne korzyści dla instytucji finansowych oraz klientów. Jednak zarazem wiąże się ono z nowymi ryzykami np. w postaci narażenia na ataki hakerskie, czy utratę kontroli nad danymi przez jednostki. Zmaterializowanie się tych ryzyk może prowadzić nie tylko do odpowiedzialności finansowej, ale rodzi również ryzyko reputacyjne dla poszczególnych instytucji i całego sektora. Dlatego też EBA wskazuje na konieczność zwrócenia szczególnej uwagi na kwestie przetwarzania danych klientów, a także mechanizmy dotyczące odpowiedzialności równych dostawców i procedury rozwiązywania sporów.

Katarzyna Sawicka, Managing Associate, Deloitte Legal

Czy ta strona była pomocna?