Jak bankovní a fintech regulace reagují na kyberzločin

14. 6. 2021

Sdílet

 Autor: Depositphotos
Regulační orgány na celém světě reagují na zvýšený výskyt kybernetické kriminality. V minulém období komunikovaly finanční instituce se svými zákazníky téměř výhradně prostřednictvím digitálních kanálů, zejména elektronickým bankovnictvím a finančními mobilními aplikacemi. Kvůli omezení pohybu a osobních schůzek musely navíc tímto způsobem pracovat i se staršími klienty s menší digitální praxí.

Velkého nárůstu v používání mobilních finančních aplikací si všimli jak hackeři, tak regulační orgány. Hackeři zvýšili počet útoků vedoucích ke krádeži osobních údajů nebo údajů držitelů karet, zatímco regulační orgány se čím dál více zajímaly o dodržování bezpečnosti finančních dat.

Zavedení nových požadavků na dodržování předpisů nebo aktualizace existujících představují pro vydavatele bankovních a fintech aplikací další starosti ohledně řízení rizik. Mezi nejdůležitější předpisy týkající se bezpečnosti finančních dat, dnes patří následující:

  • Předpisy kanadského centra pro analýzu finančních transakcí a zpráv FINTRAC (Financial Transactions and Reports Analysis Centre of Canada): Kanadské právní předpisy v oblasti boje proti praní špinavých peněz budou od června 2021 významně upravené. Rozšířená sada pravidel změní způsob informování o politicky exponovaných osobách, kryptoměny budou podléhat ohlašovacím povinnostem. Jednou z nejvýznamnějších změn je, že zahraniční subjekty poskytující peněžní služby, které dříve nebyly povinné podávat o své činnosti zprávy podle právních předpisů FINTRAC, tak nyní budou muset učinit.
  • Směrnice o platebních službách 2 (PSD2): Poslední soubor regulačních požadavků evropské směrnice PSD2 vstoupil v platnost 31. prosince 2020. Změny PSD2 se zaměřují na snižování počtu finančních podvodů prostřednictvím povinného silného ověřování zákazníků SCA (Strong Customer Authentication). Další změnou je poskytnutí prostoru pro větší inovace a zapojení zákazníků stanovením pokynů pro takzvané „superpeněženky“. SCA znamená, že zákazníci bankovních a finančních digitálních služeb musejí k získání přístupu použít dvě formy identifikace. Mohou přitom využít něco, co zákazník vlastní (například telefon), něco, co zná (například heslo), nebo to, čím je (biometrické informace, jako jsou otisk prstu, duhovka aj.).
  • Kalifornský zákon na ochranu osobních údajů spotřebitelů CCPA (California Consumer Privacy Act): Nové změny zavedené v CCPA od 1. ledna 2021 vyžadují ještě silnější dodržování předpisů týkajících se bezpečnosti dat. Rovněž se rozšířil okruh společností, na které se vztahují. Základní ustanovení zákona již spotřebitelům udělují práva na přístup k informacím, které o nich mají, právo na požadavek vymazání a odhlášení z dalšího shromažďování těchto dat. Od začátku roku 2021 se však povinnosti týkající se dodržování předpisů rozšíří také na všechna data ovlivněná zákonem HIPAA, zákonem o důvěrnosti lékařských informací nebo federální politikou ochrany lidských subjektů. Pro vývojáře financí a mobilního bankovnictví podnikající v Kalifornii je to další vrstva pravidel zajišťujících soulad s bezpečnostními předpisy týkajícími se finančních dat, kterou musejí splnit.
  • Zákon Gramm-Leach-Bliley (GLB): Zákon Gramm-Leach-Bliley, známý také jako zákon o modernizaci finančních služeb, má přímý dopad na finanční instituce a na to, jak sdílejí finanční údaje, poskytují rady a hlásí incidenty. V roce 2021 by mohlo dojít k významným změnám tohoto zákona ohledně dodržování předpisů o zabezpečení finančních údajů určitých společností. Tyto změny mohou zahrnovat rozšíření definice bezpečnostních událostí o jakýkoli neoprávněný přístup, rozšíření povinností ohledně auditů nebo povinnost monitorovat digitální finanční služby v reálném čase s cílem zlepšit detekci podvodů.
  • Pátá a šestá směrnice EU proti praní špinavých peněz AMLD5 a AMLD6 (Anti-Money Laundering Directives): Nejnovější ustanovení směrnice AMLD5 z ledna 2021 se zaměřují na praní špinavých peněz a na to, co v Evropské unii představuje trestnou činnost. Rozšiřuje seznam společností, které budou muset hlásit informace o vlastnictví, a posiluje standardy ověřování zákazníků. Přestože je program AMLD5 relativně nový, jeho další verze AMLD6 se začne zavádět už v červnu 2021. V nové směrnici dojde k celoevropské harmonizaci toho, co představuje trestný čin včetně daňových, environmentálních a počítačových zločinů. 
  • Pokyny pro řízení technologických rizik Singapurského měnového úřadu MAS (Monetary Authority of Singapore): Po řadě kybernetických útoků na kriticky důležité prvky dodavatelských řetězců a na finanční instituce v roce 2020 vydal v lednu tohoto roku Singapurský měnový úřad revidované pokyny pro řízení technologických rizik. Tyto instrukce vyžadují silnější dohled nad poskytovateli služeb třetích stran, zdokonalené strategie zmírňování rizik a účinné penetrační testy. Úřad bude rovněž vyžadovat, aby finanční instituce podnikající v Singapuru zřídily posty ředitele pro informace a ředitele pro bezpečnost informací s odpovídajícími zkušenostmi a odbornými znalostmi, kteří budou zodpovídat za řízení technologií a kybernetických rizik.
  • Standard zabezpečení dat v odvětví platebních karet PCI/DSS (Payment Card Industry Data Security Standard): Uvedené předpisy a vládní návrhy je třeba integrovat se systémy PCI a PCI/DSS, které umožňují zpracování plateb. Existující standard CPoC (Contactless Payments on COTS) byl představen v roce 2019 a vymezil bezpečnostní požadavky na řešení softwarového prodejního místa SoftPOS (Software Point-of-Sale), které umožňuje přijímat platby prostřednictvím běžných mobilních zařízení nebo tabletů bez specializovaného hardwaru. Tyto transakce však byly omezené, protože na mobilních zařízeních nemohly přijímat zadání kódu PIN a navíc měly tvrdé peněžní limity. Očekává se, že PCI vydá nový standard CPoC, který umožní zadání PIN na standardním mobilním zařízení, což výrazně rozšíří okruh transakcí, jež lze tímto způsobem uskutečnit.