Større sjanse for suksess med sandkasse for de store

Dette er et oppdatert utdrag fra vårt nyhetsbrev, FinShift, som sendes ut hver onsdag.

Hva er saken? 

Etter noen år med egne sandkasser inviterte Finanstilsynet og Datatilsynet i november til en felles sandkasse for prosjekter som utforsker muligheter for datadeling.

Målet med sandkassen er å bidra til å finne løsninger som kan effektivisere det forebyggende arbeidet med å stoppe økonomisk kriminalitet.

I forrige uke gikk fristen ut nå skal tilsynene velge ut ett eller flere av følgende fem prosjekter:

► DNB, Sparebank1, Nordea, Eika og Norsk Regnesentral – Prosjekt som vil se på datadeling som kan forhindre svindel.

► BN Bank og NMBU – Prosjekt som vil redusere rapportering til Økokrim, og heller gi veiledning, ved oppdagelse av mindre alvorlig økonomisk kriminalitet.

► BankID BankAxept. Prosjekt som vil se på datadeling som kan forhindre svindel.

► Finans Norge Forsikringsdrift – Prosjekt om datadeling for å redusere forsikringssvindel.

► Eika Gruppen og KPMG – Prosjekt om transaksjonsovervåking for å oppdage hvitvasking

Hvorfor er dette interessant? 

Idéen med regulatoriske sandkasser var først og fremst tenkt som et verktøy for å gi startups og fintech-selskaper fortgang i sin innovasjon og utvikling ved å teste ut nye teknologi mot eksisterende regulering. Selv om det var åpent for alle finanselle aktører å søke.

Da Finanstilsynets regulatoriske sandkasse, som FinShift er best kjent med, ble lansert vinteren 2020, hadde den tre hovedformål: bidra til økt teknologisk innovasjon og flere aktører, øke innovative virksomheters forståelse av de regulatoriske kravene som stilles og øke Finanstilsynets forståelse av nye løsninger i finansmarkedet.

Det kan diskuteres i hvilken grad det har lyktes. På fem år har fem selskaper vært gjennom Finanstilsynets regulatoriske sandkasse.

Den aller første invitasjonen ble en suksess. 12 søknader kom inn og to ble valgt ut: Quesnay, som i dag er blitt kjøpt opp av Stacc og Sparebank 1 SR-Bank.

Året etter ble blokkjedeselskapet Abendum valgt ut blant fem søkere. I 2022 var søkertallet nede i to og R8Me ble valgt ut.

Etter det la tilsynet om ordningen fra puljer til løpende opptak uten at det økte interessen. Da den foreløpig siste deltakeren, Qbig, ble tatt opp i sandkassen høsten 2023 var det etter å ha blitt oppfordret til å søke av Finanstilsynet.

Til sammenligning kan Datatilsynet vise til 13 sluttførte prosjekter og rapporter på sine nettsider. Da skal man huske at Datatilsynets sandkasse begynte i 2021. Nå skal det sies at disse prosjektene i høy grad har handlet om ut utforske ulike KI-prosjekter og om de er i henhold til gjeldende personvernregler, noe som ikke nødvendigvis er like komplisert som å sette ting opp mot finansielle reguleringer.

Når Finans- og Datatilsynet nå går sammen om en felles sandkasse, ser det ut til at fintech- og startup-aspektet er blitt gitt opp. I invitasjonen står det eksplisitt: «… inviteres banker som arbeider med løsninger for datadeling til å delta i etatenes regulatoriske sandkasser».

Interessant nok var det sannsynligvis en fintech som sådde frøet til det denne nye banktunge sandkassen.

Da Finterai ble tatt opp i Datatilsynets sandkasse i 2022, bisto Finanstilsynet i prosjektet. Ved opptakstidspunktet eksisterte Finterai i prinsippet bare på papiret. For å finne ut om selskapet hadde livets rett, måtte det få svar på et viktig spørsmål: Var det mulig å bygge en maskinlæringsinfrastruktur som kunne gi banker bedre modeller for å avdekke hvitvasking og terrorfinansiering uten å bryte mot GDPR?

Prinsippet kalles føderert læring og går i korthet ut på at aktører skal kunne bruke data fra konkurrenter til å trene sine egne maskinlæringsmodeller uten at sensitiv data blir delt.

Det endelige svaret var ja, men veien videre ble vanskelig for Finterai.

– Vi kunne ikke bygge dette bare med norske banker, fordi bankene ikke hadde høy nok tillit til hverandres arbeid, og fordi det er for liten vilje til å ta risiko på potensielt banebrytende teknologier, sa gründer Alexander Skage til BankShift i fjor vår.

Hva er konsekvensen? 

Nå skal altså bankene selv skal få gjøre et forsøk på finne måter å dele data på, samtidig som det ikke går på bekostning av personvernet.

Det er etter det FinShift forstår ikke helt enkelt. Noen mener til og med at GDPR er et av de største hindrene for å kunne bedrive effektivt anti-hvitvaskingsarbeid.

Et annet aspekt med søknadene, med tanke på gründer Skages erfaringer, kan nok være å finne ut om bankene virkelig stoler nok på hverandre til å begynne å dele data.

Responsen, i hvert fall med Finanstilsynets sandkasseøyne, kan tyde på man har truffet en nerve – – noe som bransjen ser et behov av og synes er verdt å bruke tiden på å skrive en søknad.

Fem søknader med rimelig tunge aktører som avsendere, er ikke ille det.

Relaterte saker

→ (+) Ønsker veiledning heller enn rapportering ved mindre økonomisk kriminalitet: – Banker bruker mye tid og energi på å granske økonomien til personer som har gjort småfeil
→ DNB, Nordea, Eika, og Sparebank 1 foreslår felles prosjekt i kampen mot svindlerne
→ (+) Antihvitvask-gründer retter blikket mot Baltikum: – Norske banker hadde ikke høy nok tillit til hverandres arbeid
→ (+) Finanstilsynets «regulatoriske sandkasse» er ikke som andre sandkasser (FinansWatch)

Likte du denne saken. Abonner på nyhetsbrevet FinShift, så får du den rett i epostkassa hver onsdag.