REGULATORISK SANDKASSE
DNB vil skape en ny bransjestandard for deling av data
Gjennom den regulatoriske sandkassen i regi av Finans- og Datatilsynet ønsker DNB at man kommer frem til en godkjent liste over hvilken data som kan deles når og med hvem. Og håper arbeidet vil gjøre Norge mindre attraktivt for økonomisk kriminalitet.
Publisert
Finanstilsynet og Datatilsynet valgte å ta inn alle søknadene til sandkasseprosjektet om datadeling rundt økonomisk kriminalitet. Til BankShift fortalte de to etatene at størrelsen på sandkassen viser at man mener alvor og at dette er noe som prioriteres.
Det er tydelig at det også gjøres fra bransjen sin side. Da søknadsprosessen ble satt i gang fikk bransjen dårlig tid på seg. Men DNB satte seg raskt ned for å se på flere muligheter.
– Vi så på flere mulige prosjekter og snakket med flere mulige samarbeidspartnere. Helt siden diskusjonen rundt sandkassen startet har vi i DNB sett på relevante prosjekter. Man kan si at det hele startet allerede for over fem år siden, og at man har undersøkt mulighetene siden den gang, sier Marius Styczen, som har tatt rollen som prosjektleder hos DNB, til BankShift.
Sett på muligheter i flere år
Han er senior strategisk partnerskapsmanager i DNB og forteller at de for flere år siden, mens han jobbet i London. Allerede da begynte diskusjonene om å delta i en sandkasse , da en statssekretær var på besøk for å se hvordan man arbeidet i UK. Da Finans- og Datatilsynet inviterte bransjen til å komme med disse prosjektene på hvitvaskingskonferansen i november, var det bare å kaste seg rundt.
DNB leverte til slutt en søknad om å utforske mulighetene for informasjonsdeling knyttet til bekjempelse av økonomisk kriminalitet, og spesielt rundt bedragerier. Søknaden ble levert i samarbeid med Sparebank 1, Nordea, Eika og Norsk Regnesentral.
– Jeg mener tilsynene har vært på en modningsreise, og nå ser verdien av å utfordre dagens regelverk på en konstruktiv måte. Vi ønsket et prosjekt som kunne tas videre og bli en bransjestandard etter sandkassen, og valgte derfor å alliere oss med andre, store aktører, på dette temaet. Jeg tror vi dekker mye av Banknorge her, sier Styczen.
– Hvorfor var det viktig for DNB å være med i et slikt sandkasse-prosjekt?
– Vi ser at vi har en viktig rolle i møte med dette samfunnsproblemet, og vi deler for eksempel trusselrapporten vår hvert år. Vi har også tidligere sendt brev til departementet om potensielle lovendringer som vi mener vil hjelpe oss i arbeidet mot økonomisk kriminalitet. Den gjengen som jobber med økonomisk kriminalitet i DNB, motiveres av å stoppe de kriminelle, og det er det vi ønsker å gjøre, sier Styczen.
Han viser til at kunder i DNB ble forsøkt svindlet for 2,5 milliarder kroner i fjor, men at DNB stoppet 84 prosent av det. Med tydeligere regelverk for datadeling, håper Styczen at man kan stoppe mer.
Ønsker seg konkrete retningslinjer
Gjennom finansforetaksloven har bankene i dag lov til å dele data seg i mellom for å forhindre betalingsbedrageri. Likevel er det fortsatt uklart hvilken informasjon som kan deles på tvers. DNB ønsker at sandkassen kan være med på å konkretisere hva slags data man skal kunne dele.
– Ja, loven åpner for deling mellom banker, men vi ønsker å konkretisere hvilke type data og informasjon vi kan dele, og i hvilket omfang. Vi ønsker også å utforske muligheten for å dele med andre aktører enn banker, som for eksempel BankID, eller teleoperatører, sier han.
– Det vi ønsker med prosjektet er at vi på slutten sitter igjen med en godkjent liste over hvilke data vi kan dele om en kunde, hvilken data som blir tilgjengelig å dele i spesifikke situasjoner og hvem vi kan dele det med. Det er informasjon vi gjerne ønsker større synlighet på, som vi ikke kan dele med dere her, ettersom vi ønsker at svindlerne ikke vet nøyaktig hva vi deler og ikke, sier Styczen.
Analyse av bransjedata
Bakgrunnen til forslagene DNB vil komme med i sandkassen bygger på egne data som banken har hentet inn i egne svindeltilfeller. Styczen påpeker også at man har svartelister som deles gjennom NFCert-samarbeidet, men at bransjen både trenger og ønsker større oversikt.
– At Norsk regnesentral er med, som er eksperter på maskinlæring, er jo interessant. I første omgang er tanken å dele data for å bruke i egne modeller, men kunne man tatt det et skritt videre, kanskje klart å gjøre analyse på disse dataene. Og da er det selvsagt en tredjepart som skal gjøre det, sier Styczen.
– Er regelverket, slik som det er i dag, for utydelig?
– Banker er omfattet av flere ulike regelverk og man har vel kanskje tolket det litt konservativt. Historisk står taushetsplikten sterkt i bankene, så vi må utfordre oss og se de positive verdiene av å dele, samtidig som vi balanserer dette med personvernet. Og det er vel kanskje det punktet vi har kommet til nå, sier Styczen.
Han peker òg på at store bøter når man trår feil også har bidratt til at terskelen for å utforske rammene i regelverket har vært svært høy. Derfor ser han sandkassen som noe positivt, ettersom det for Styczen virker som tilsynene har åpnet opp for å utfordre regelverket og se hvordan det skal tolkes.
«Vil kunne bruke ressursene bedre»
– Går man inn i sandkassen med en tanke om å se hvordan man kan jobbe innenfor det nåværende regelverket, eller ser man på mulighetene for å endre regelverket?
– Jeg tenker det er begge deler. Utgangspunktet er å utforske det som allerede er der, og få den listen over hva vi faktisk kan gjøre, i hvilke situasjoner. Den kan vi da ta videre og gjøre til en bransjenorm. Men at vi også bruker prosessen til å synliggjøre områder hvor det kunne vært fornuftig med lovendringer. Så primært arbeid rettet mot dagens regelverk, men også mulige endringer. Dette er et område hvor vi hele tiden må bli bedre, sier Styczen.
– Hvordan ser en perfekt verden ut for dere i DNB, om man får til endringer gjennom sandkassen på arbeidet med økonomisk kriminalitet? Hva er potensialet hva gjelder ressursbruk, for eksempel?
– Det er et kjempepotensial. Når det gjelder kostnader og ressursbruk tror jeg det vil være det samme, hverken reduksjon eller økning, men vi vil kunne bruke de samme ressursene på en bedre måte. Vi kunne stoppet enda mer. Det vil øke kvaliteten i arbeidet, slik at Norge blir et mindre attraktivt sted å drive økonomisk kriminalitet, sier Styczen.
– Er eksisterende regelverk godt nok i dag?
– Nå høres jeg sikkert litt politiker ut. Ja, vi har et godt utgangspunkt for det vi ønsker å adressere, men tenker du mer fremover, så er svaret nei, for det legger begrensninger på samarbeid og datadeling. Vi ønsker jo hele tiden å utvikle både oss selv og regelverket, så det må gjøres justeringer, sier Styczen.
– Og det føler jeg vi ser nå, der både tilsyn, banker og andre aktører, anerkjenner behovet for å utfordre litt mer sammen, sier Styczen.
Les mer om sandkassen:
