DNB får kritikk i ny tilsynsrapport

Finanstilsynet gjennomførte stedlig tilsyn i DNB  i september 2023, og rapporten ble nylig publisert. Tilsynet hadde som mål å sikre at bankens løsninger er i samsvar med PSD2-direktivet (se faktaboks).

Rapporten, som dekker ulike aspekter av bankens virksomhet, gir kritikk av DNBs håndtering av flere risikoområder.

Manglende klarhet

Hovedkritikken retter seg mot bankens planlegging, styring og kontroll av IKT-virksomheten. Finanstilsynet fant manglende klarhet i organisasjonsstrukturen og ansvarsfordelingen mellom teknologi-personell i IT-team og linjen. 

I rapporten kommenterte Finanstilsynet at det syntes å være «ulike forståelser» av innholdet i rollene «Accountable» og «Responsible» og generell uklarhet om ansvarsområder.  Selv om banken har tatt grep for å tydeliggjøre roller og ansvar, mener Finanstilsynet at dette området fortsatt må forbedres og påpeker at manglende etterlevelse utgjør en risiko.

PSD2

Rapporten påpeker også at at DNBs dedikerte grensesnitt for PSD2, ikke fullt ut tilfredsstiller regulatoriske krav. Finanstilsynet ønsker at banken prioriterer arbeidet med å oppdatere det såkalte dedikerte grensesnittet for PSD2..

Bankens nåværende system tillater betalere å endre betalingsoppdrag i nettbanken, noe som er i strid med finansavtaleloven § 4-7.
Finanstilsynet påpeker at dette kan undergrave integriteten i tredjepartstjenester.
DNB har anerkjent problemet og prioriterer arbeidet med å endre systemene, med en frist for ferdigstillelse innen september i år.

Utfordringer med oversikt

Det ble også avdekket utfordringer i bankens evne til å få en samlet oversikt over hendelser, avvik og mangler. Finanstilsynet krever at feil i PSD2-grensesnittet rettes med samme prioritet som feil i bankens egne kanaler. DNB har på sin side sagt i et svarbrev at de retter problemer med høy prioritet, men at «enkelte problemer er komplekse å rette».

Rapporten kan leses i sin helhet på Finanstilsynets nettsider.