Finanstilsynet og Frank Robert Berg presenterte torsdag forrige uke risiko- og sårbarhetsanalysen i forbindelse med finansbransjens bruk av IT. (Bilde: Terje Pedersen, ANB/All Over Press)

– Bankene bryter meldeplikt

Etterlever ikke lov om betalingssystemer, ifølge Finanstilsynet.

(Saken ble utvidet kl 08.55 med uttalelser fra seksjonssjef Frank Robert Berg i Finanstilsynet.)

Torsdag publiserte Finanstilsynet sin årlige risiko- og sårbarhetsanalyse av IT i finanssektoren: Risiko- og sårbarhetsanalyse (ROS) 2012.

    Les også:

ROS-rapporten gjør rede for en kraftig økning i kriminelle angrep mot betalingstjenestene, og større tap enn i 2011. Angrepene gjelder først og fremst betalingstjenestene ut til kunder – privat og bedrift – ikke overføringer banker i mellom.

Betalingstjenester er underlagt en egen lov, Lov om betalingssystemer. Her stilles det krav om at det uten unødig opphold skal gis melding til Finanstilsynet om etablering og drift av betalingstjenester. Hovedhensikten med meldeplikten er å sikre at nødvendige risikovurderinger er gjort, og at eventuelle avtaler mellom aktuelle parter er etablert før en ny betalingstjeneste tas i bruk.

Det går fram av ROS-rapporten at Finanstilsynet mener bankene ikke overhoder denne meldeplikten.

Det heter i rapporten:

I 2012 kom det fem meldinger til Finanstilsynet, to dreide seg om SWIFT, én om installasjon av BankID, én om BankID på mobil og én om kortløsning med RFID-teknologi.

Det er grunn til å anta at det er en underrapportering om endringer av systemer for betalingstjenester, og tilsynet vil vurdere nærmere tiltak for å sikre at meldeplikten blir overholdt.

Finanstilsynet mottar generelt få meldinger, og det er grunn til å tro at foretakene ikke i tilstrekkelig grad etterlever lovens krav.

Tilsynet roper ikke bare «skjerpings». Det heter videre i ROS-rapporten:

For å sikre at loven etterleves, vil Finanstilsynet vurdere om det er grunnlag for å benytte forskriftshjemmelen i betalingssystemloven, og om rundskriv 17/2004 skal erstattes av en forskrift.

Seksjonssjef Frank Robert Berg i Finanstilsynet forklarer at melderutinene som brukes i dag stammer fra rundskriv 17/2004. Når banker eller betalingsforetak innfører nye betalingstjenester, eller gjør endringer i løsningen, skal foretaket sende melding til Finanstilsynet og besvare 19 ulike kontrollspørsmål.

Kontrollspørsmålene besvares med ja eller nei. Noen gjelder forholdet mellom institusjonene som deltar i tjenesten, andre gjelder forholdet til leverandører og brukere, for eksempel: «Har det blitt utført risikovurdering av løsninger som benyttes til å autentisere kunde og til å iverksette betalinger?» Ni av spørsmålene går på selve systemet, for eksempel «Er plan for katastrofeberedskap oppdatert med ny konfigurasjon samtidig med omlegging til drift?» og «Er det gjennomført risiko- og sårbarhetsanalyse av ny løsning eller av endringen?»

– Når vi gjør tilsyn hos bankene oppdager vi ofte at foretaket har innført nye tjenester eller gjort endringer uten å ha sendt melding. Da kan vi, som tilsynsmyndighet, ikke vite om nødvendige tiltak for å sikre kvaliteten på de nye eller endrede tjenestene er ivaretatt. Vår oppgave er å se til at bankene etterlever regelverket, og at risikoen ved å bruke tjenestene er på et forsvarlig nivå.

Berg sier han tror det er en underrapportering, og at de mottatte fem meldingene som er nevnt i ROS-rapporten er for få.

– Å lage en forskrift betyr å skjerpe kravet til innrapportering. Et rundskriv er en sterk oppfordring, mens en forskrift er et pålegg. Vi vil også se på kontrollspørsmålene vi stiller om disse er like relevante. Kanskje vi kan gjøre noe der for å heve kvaliteten på innrapporteringen?

Berg sier at det dreier seg om forebyggende tiltak.

– Det er ingen øyeblikkskrise, men et behov for tiltak for å sikre kvaliteten og unngå alvorlige hendelser.

Til toppen