Sari direct la conținut

Fintech: Implicații juridice pentru instituțiile financiare pornind de la studii de caz

Deloitte si Reff&Asociatii
Andrei Burz-Pinzaru, Foto: Deloitte si Reff&Asociatii
Andrei Burz-Pinzaru, Foto: Deloitte si Reff&Asociatii

Riscurile juridice și de conformitate pentru industria serviciilor financiare, provenite din aplicarea noilor tehnologii FinTech, au fost recent evidențiate într-un raport al Autorității Bancare Europene (EBA). Demersul EBA vine în contextul evoluției rapide a FinTech, cu multiple implicații în sectorul financiar care pot modifica fundamental profilurile de risc ale instituțiilor, și își propune să crească nivelul de conștientizare al acestora în cadrul comunității de supraveghere și al industriei.

În continuare, prezentăm o sinteză a principalelor riscuri juridice identificate de EBA cu privire la șapte studii de caz în care noile tehnologii sunt deja utilizate (sau ar putea fi) în procesele, procedurile și serviciile financiare existente.

Dintre cele șapte tipuri de activități analizate de raport, autentificarea biometrică și portofelul mobil au fost indicate drept cele mai utilizate aplicații de către cele 37 de bănci care au răspuns chestionarului EBA. În același timp, băncile au confirmat că explorează noile tehnologii, aflându-se în diverse stadii de dezvoltare sau implementare a acestora.

Se poate concluziona că evaluarea riscurilor juridice depinde de contextul fiecărei instituții financiare, însă cunoașterea aspectelor evidențiate de către Autoritatea Bancară Europeană este utilă pentru a identifica ariile din zona riscurilor juridice care necesită atenție sporită din partea instituțiilor financiare.

Autentificarea biometrică utilizând recunoașterea amprentei digitale

  • Pot apărea riscuri de natură juridică dacă dispozitivele de citire a amprentelor digitale copiază și stochează datele amprentelor digitale, în cazul în care acestea ar fi ulterior compromise și furate de hackeri. Hackerii pot descifra dispozitivele de citire biometrice și implementa datele furate ale amprentelor digitale direct în sistemele de autentificare prin amprentă digitală pentru a le permite accesul în numele clienților.
  • Riscurile de securitate de natură juridică și cele privind Tehnologia Informației și Comunicațiilor (TIC) ar putea fi, de asemenea, afectate în cazul în care amprentele digitale sunt în mod fals acceptate. Cu toate acestea, se consideră că riscul unei acceptări false este relativ scăzut în comparație cu alte metode de identificare biometrică, de exemplu recunoașterea vocală.
  • Riscuri juridice, de conduită și de reputație ar putea apărea dintr-o încălcare a prevederilor GDPR și a cadrelor naționale de reglementare aferente în ceea ce privește protecția, utilizarea și prelucrarea datelor cu caracter personal sensibile, dat fiind că datele biometrice intră în domeniul de aplicare al GDPR.

Utilizarea de consilieri robotizați pentru consultanță privind investițiile

  • O potențială lipsă de claritate în ceea ce privește modul în care răspunderea juridică va fi atribuită între furnizorii de servicii de consiliere robotizată, clienți și furnizori terți ar putea conduce la riscuri juridice pentru instituții.
  • În cazul în care serviciile de consiliere robotizată au fost furnizate transfrontalier, respectarea cerințelor legale și de reglementare ale mai multor jurisdicții ar putea fi un alt sector competitiv pentru instituții cu implicații asupra riscurilor juridice și de conformitate.

Utilizarea volumelor mari de date și a învățării automate pentru stabilirea scorului de creditare

Analiza datelor printr-un proces automatizat și fără intervenția unui raționament uman ar putea conduce indirect la discriminare, luând în considerare caracteristicile sensibile (rasă, sex, etnie, etc). Pot apărea probleme potențiale de protecție a consumatorilor și de confidențialitate a datelor.

Utilizarea DLT (tehnologie de tip blockchain) și a contractelor inteligente în tranzacții de finanțare

  • Potențiale riscuri juridice și de conformitate ar putea apărea datorită mai multor factori, cum ar fi: incertitudinile legate de legea aplicabilă, forța juridică incertă a contractelor inteligente și lipsa unei jurisdicții aplicabile clare, dat fiind că nodurile DLT ar putea fi localizate în jurisdicții diferite, ale căror legislații ar putea chiar să fie în conflict una cu cealaltă. De exemplu, măsura în care un contract semnat digital poate avea forța juridică obligatorie (respectiv criteriile aplicabile din perspectiva probării formării contractului) pot să difere de la o țară la alta. Este esențial să se stabilească jurisdicția aplicabilă în caz de conflict și mecanismele în caz de litigiu, pentru cazul în care acesta ar surveni.
  • Probleme potențiale de conformitate cu reglementările relevante ar putea apărea, de exemplu, cu privire la: protecția datelor cu caracter personal, legea concurenței, în special cu trimitere la aderarea într-un consorțiu, sau privind AML/CFT. În ceea ce privește reglementarea AML/CFT, deoarece această tehnologie ar putea permite o analiză fizică mai redusă a documentației, DLT ar putea conduce la abuzuri în scopuri de spălare a banilor și finanțarea terorismului. Nerespectarea acestor reglementări ar putea genera sancțiuni dure, cu un impact financiar semnificativ și cu posibile consecințe negative de ordin reputațional.

Utilizarea DLT pentru a optimiza procesul de verificare prealabilă a clienților (CDD)

  • Probleme potențiale vizează conformitatea, lipsa unei guvernanțe adecvate, dependența de terți, incertitudinea juridică, răspunderea neclară și riscurile TIC (unele dintre aceste riscuri sunt deja descrise mai sus, la punctul anterior).
  • Incertitudinile juridice și de reglementare potențiale legate de identitatea digitală ar putea avea un impact asupra riscurilor prudențiale aferente deoarece, în unele jurisdicții, identitatea digitală poate avea un statut juridic diferit decât în altele (ca în cazul semnăturilor digitale). În plus, statutul juridic al contractelor inteligente este, de asemenea, incert și neclar. În general, din cauza naturii distribuite a acestei tehnologii, ar putea fi dificil să se atribuie răspunderea atunci când se materializează un risc. Pe lângă prevederile legii concurenței, care ar trebui respectate atunci când se formează consorții sau alte forme de cooperare, ar putea apărea probleme juridice potențiale în contextul GDPR dacă datele cu caracter personal sunt colectate în cadrul procesului de identificare digitală.

Portofelul mobil cu utilizarea NFC (comunicare prin zone de proximitate)

Preocupările de natură juridică ar putea să apară pe o piață fragmentată de plăți și într-un mediu de operare complex în care instituția gestionează mai mulți furnizori din diferite părți ale serviciului de plată. O instituție ar putea recurge la externalizare pentru a oferi un serviciu de portofel mobil, caz în care ar putea fi nevoită să folosească un număr de entități terțe deoarece nu dispune de expertiză internă sau se află sub presiune concurențială. Gestionarea eventualelor aspecte juridice și de reglementare a externalizării ar putea avea un impact asupra riscurilor juridice și a externalizării TIC, luând în considerare, de asemenea, aspectele legate de protecția datelor în ceea ce privește externalizarea sau procesarea plăților mobile.

Externalizarea sistemului bancar principal/de plăți către servicii publice de cloud

Un domeniu care ar putea afecta riscul juridic și de conformitate, precum și profilul de risc operațional mai larg, este contractul final care urmează să fie discutat și agreat între o instituție și un CSP (furnizor de servicii cloud), care ar trebui să respecte cerințele de reglementare relevante (de exemplu, recomandările EBA privind externalizarea către furnizori de servicii cloud). Un proces adecvat și corespunzător de gestionare a contractelor va fi important pentru a aborda aspectele sensibile, cum ar fi dreptul de auditare, atât pentru instituție, cât și pentru autoritatea de supraveghere.

Un articol semnat de Andrei Burz-Pînzaru, Managing partner, Reff&Asociații – Deloitte Legal

ARHIVĂ COMENTARII