2024. október 15.
FinTechShow

2024. november 26.
BankTechShow

2024.07.24.

A növekvő jogszabályi nyomás kihívásai: compliance a digitális transzformáció korában – interjú dr. Horváth Katalinnal

Kategóriák:

Interjúk | LegalTech | Összes hír | RegTech | Szabályozás

A banki, biztosítói compliance szakemberek számára különösen fontos a pénzügyi szektor digitális transzformációjához kapcsolódó hazai és EU-s jogszabályok nyomon követése mellett a digitális pénzügyi technológiák – különösen a szabályozói megfelelést támogató digitális technológiák – megértése is, ami által egyre inkább multidiszciplináris megközelítést kíván a compliance feladat ellátása.

Ezekről a kihívásokról körinterjú keretében hazai szakembereket kérdeztünk. Cikksorozatunk első részében dr. Horváth Katalin, a CMS Hungary Ügyvédi Iroda technológiai, banktech partnere válaszolt kérdéseinkre.

Melyek azok a jogszabályok, jogszabályi tervezetek, amelyek jelentősen befolyásolják majd a bankok, biztosítók digitális transzformációját 2024-2026 között?

Horváth Katalin: Mind az EU-ban, mind Magyarországon jogszabály cunami van az elmúlt egy-két évben a pénzügyi szektorra vonatkozóan.

Egyes jogszabályokat már elfogadtak, míg mások még tervezet/javaslat szakaszban vannak, de 1-2 éven belül azok is elfogadásra kerülnek. Íme egy válogatás a legfontosabb jogszabályokból:

Magyarország:

DÁP: Magyarországon most leginkább a digitális állampolgárságról (DÁP) szóló törvény foglalja le a pénzügyi szektort, ugyanis az alapján a pénzügyi szervezetek többségének (mint digitális szolgáltatás biztosítására kötelezett szervezet) biztosítania kell a DÁP eAzonosítás és eAláírás megoldásának alkalmazását az ügyfeleiknek és ezekre a 42/2015 Korm. rend. szerinti zártsági auditot is el kell végezniük.
AFR 2.0: 2024. szeptember 1-től már kötelezően alkalmazandó lesz az egységes adatbeviteli megoldáson (EAM), azaz szabványosított QR kódon alapuló, az NFC-s érintéses és a deeplinkes azonnali átutalás, április 1. óta pedig kötelező a fizetési kérelem fogadása is. Ez a pénzforgalmi piaci szereplőitől jogi és informatikai felkészülést is igényelt és tovább szélesíti az elektronikus fizetési lehetőségek körét.

Erópai Unió:

eIDAS 2.0 rendelet: létrehozta 2024. május 20-i hatállyal az Európai Digitális Személyiadat Tárcát (EDIW), amelyet a pénzügyi szervezetek használhatnak majd azonosításra, az abban tárolt egyes igazolásokhoz, igazolványokhoz való hozzáférést kaphatnak (így nem kell az ügyfélnek papíron benyújtania a dokumentumokat), és a hozzá tartozó minősített elektronikus aláírást az ügyfeleik használhatják majd a banki, biztosítási szerződések, jognyilatkozatok elektronikus aláírására. A pénzügyi szervezeteknek majd regisztrálniuk kell, ha használni kívánják az EDIW-et ezekre a célokra.
AI Rendelet: A 2024. július 12-én kihirdetett EU AI Act 2024. augusztus 1. napjától hatályos és innen indulnak a határidők is. A mesterséges intelligencia rendszereket alkalmazó pénzügyi szervezeteknek 6 hónapon belül meg kell vizsgálniuk, hogy tiltott AI-t alkalmaznak-e, további 2 éven belül pedig meg kell felelniük a magas kockázatú AI-al szemben támasztott műszaki, adminisztratív, kiberbiztonsági és egyéb dokumentációs előírásoknak.
DSA rendelet: a digitális szolgáltatásokról szóló rendelet alapján a pénzügyi szervezeteknek meg kell vizsgálniuk, hogy nyújtanak-e olyan digitális szolgáltatást, amely online platformnak, online piactérnek minősülhet és eleget kell tenniük a DSA-ban ezekre előírt átláthatósági, szerződéses, dokumentációs és egyéb technikai előírásoknak és módosítaniuk kell a tárhelyszolgáltatókkal, felhőszolgáltatókkal kötött szerződéseiket. A DSA már 2024. január óta alkalmazandó. A DSA főleg a BNPL szolgáltatásokat, banki online piactereket érinti.
DORA rendelet: a pénzügyi szektor szinte egészét lefedő kiberbiztonsági rendelet 2025. január 17-ig ad határidőt a megfelelésre, amely alapján a pénzügyi szervezeteknek kockázatkezelési keretrendszert kell kialakítaniuk, kiberbiztonsági, műszaki, dokumentációs, incidenskezelési, tesztelési és egyéb előírásoknak kell megfelelniük, új munkaköröket kell létrehozniuk és módosítaniuk kell minden harmadik személy IKT szolgáltatóval megkötött szerződésüket. A DORA rendelet az IT biztonsági csapatokat dolgoztatja meg a leginkább a pénzügyi szektorban.
NIS2 irányelv: a NIS2 irányelv részben átültetésre került a magyar Kibertantv-be és annak végrehajtási rendeleteibe, és az első, SZTFH-nál történő regisztrációra vonatkozó határidő 2024. június 30-án telt le. A következő határidő 2024. október 18. lesz, ameddigre a hálózat-, adat- és kiberbiztonsági előírásoknak, dokumentációs, műszaki és egyéb kötelezettségeknek kell megfelelni. Ezt követően 2024. december 31-ig kell megfelelő NIS2 auditorral szerződést kötni. A DORA rendelettel való kölcsönhatás eredményeként a DORA hatálya alá tartozó pénzügyi szervezetek az incidenseket és kiberfenyegetéseket kötelesek lesznek a NIS2 szerinti hatóságokhoz is bejelenteni, egyebekben rájuk a speciálisabb DORA rendelet fog vonatkozni. Azokra a pénzügyi szervezetekre azonban, akikre esetleg a DORA rendelet nem vonatkozik, a NIS2 és a Kibertantv. alkalmazható lehet.
MiCA rendelet: a kriptoeszközökről szóló EU rendelet alapján az eszközalapú token kibocsátása, e-pénz token kibocsátása, egyéb kriptoeszköz kibocsátása és a kriptoeszköz szolgáltatások nyújtása főszabály szerint (néhány kivétellel) engedélyhez kötött, meghatározott prudenciális, dokumentációs, tőke és eszköztartalék előírásoknak kell megfelelni. Az alkalmazási határidő 2024. június 30. volt.
PSD3, PSR: a PSD2 irányelvet a PSD3 irányelv és a PSR rendelet váltja majd fel, amely újraszabályozza a pénzforgalmi szolgáltatók engedélyezését, működését, felügyeletét, valamint az ügyfeleikkel fennálló szerződéses jogviszonyt, a fizetési megbízások megadásának, teljesítésének szabályait, integrálja kicsit módosítva a korábbi erős ügyfélhitelesítésről szóló külön rendeletet, új csalásmegelőzési előírásokat tartalmaz, részletesebben szabályozza az open banking API-kat és az elektronikus pénz irányelvet is hatályon kívül helyezi. A pénzforgalmi szolgáltatóknak majd a tervezet szerint 2 év áll rendelkezésükre a szükséges új dokumentumok benyújtására a felügyeleti szervhez, ennek elmulasztása felfüggesztést vagy a meglévő engedély visszavonását vonja maga után. A PSR a jogi megfelelés mellett komolyabb informatikai és üzletfejlesztési feladatokat is fog generálni a pénzforgalmi szolgáltatók oldalán.
FIDA: a rendelet tervezet a PSD2 szerinti open banking szabályokat emeli open finance szintjére azáltal, hogy a PSD2-höz képest sokkal szélesebb körben enged hozzáférést ügyfél adatokhoz, amelyekhez való hozzáférést, azok megosztását és használatát szabályozza a rendelet és létrehoz egy új intézménytípust is, a Financial Information Service Provider-t (FISP), amely engedélyhez kötött tevékenység lesz. A pénzügyi szervezetek számára a FIDA-nak való megfelelés dokumentációs, adatvédelmi, szerződéses kötelezettségekkel jár majd és ezek mellett komolyabb informatikai fejlesztést is igényel.

Milyen kihívásokra számíthatnak (pl. a korábbi gyakorlattól eltérő új gyakorlatok alkalmazása és/vagy szigorúbb felügyeleti elvárások megjelenése és/vagy a digitális megoldások intenzívebb használata stb.) a compliance munkatársak az előbbi jogszabályok, irányelvek rendeletek kapcsán?

Horváth Katalin: Összességében rengeteg dokumentációs, átláthatósági követelménynek kell megfelelni a következő években, mindemellett jelentős fejlesztési feladat előtt is áll a pénzügyi szektor, hogy eleget tudjanak tenni a jogszabályi előírásoknak.

A compliance szakemberek a következő években szabályzatokkal, kockázatértékelésekkel, dokumentáció gyártással lesznek elfoglalva és napi feladataik közé fog tartozni az IT és IT biztonsági csapatok felügyelete és a velük való együttműködés annak érdekében, hogy műszakilag biztosítható legyen a jogszabályi megfelelés.

Én egyelőre nem látom azonban, hogy a rengeteg IT fejlesztési és IT biztonsági jogszabályi feladat mellett hogyan lesz idejük és erőforrásuk a banki, biztosítói IT, IT biztonsági csapatoknak arra, hogy innováljanak és saját digitalizációs terveiket megvalósítsák.

Én most úgy gondolom, hogy a jogszabályi megfeleléskényszer egyszerűen agyonnyomja az egyéb fejlesztéseket és hátráltatja a bankszektorból jövő és nem a szabályozó által diktált innovációt, digitális transzformációt.

Hogyan látja az úgynevezett RegTech (regulation technologies) megoldások elterjedtségét a pénzügyi szektorban?

Horváth Katalin: Mivel a pénzügyi szektornak nagyon jelentős a jogszabályi megfelelési kötelezettsége és magas bírságtételek fenyegetik, ezért a szervezetek szignifikáns időt és erőforrást, pénzt fordítanak arra, hogy ezt teljesítsék.

Minden olyan technológia, eszköz, megoldás, ami ezt a terhet bármely oldalról csökkenti, hasznos és kívánatos a pénzügyi szektorban, és a pénzügyi szervezetek már használják is ezek egy részét.

Jó példa erre a különféle adatszolgáltatások teljesítése, amelyeket a szervezetek ma már gépi automatizációval állítják elő és ritkább esetben automatizáltan teljesítik is. Ezek a banki rendszerek gyakran mesterséges intelligenciát is alkalmaznak.

Másik élő példa például az AI alkalmazása arra a célra, hogy a sok banki, biztosítói belső szabályzat, politika, terv és eljárásrend szerteágazó szabályai között gyorsan megtalálja azt a szabályt, amit egy adott esetben alkalmazni kell, vagy ha jogszabályi megfelelés miatt módosítani kell. Egy ilyen AI eszköz a belső szabályzatok nagyobb összhangját és magasabb szintű jogszabályi megfelelést is eredményezhet.

A kockázatkezelésben, csalásmegelőzésben is jelentős már a regtech megoldások alkalmazása, gyakori itt is az AI alapú megoldások használata.

Az IT biztonság területén pedig szintén AI megoldások segítik a szervezeteket abban, hogy hatékonyan tudjanak védekezni az adott esetben szintén AI által támogatott támadásokkal szemben, ezáltal is eleget téve a jogszabályok szigorú kiberbiztonsági előírásainak.

A pénzmosás, ügyfélhitelesítés, KYC területén is jelentős a technológia használata, elegendő, ha csak az online ügyfélazonosításra, igazolványok online ellenőrzésére, viselkedésminták monitorozására, vagy a háttérellenőrzésekre gondolunk. Ezek a technológiák szintén a jogszabályi megfelelést biztosítják és jelentős terhet vesznek le a szervezetek válláról.

Melyek azok a compliance tevékenységek, amelyek ellátása esetén a digitalizáció és a regtech megoldások elterjedtsége magasabb fokú?

Horváth Katalin: Ahogy az előbb is említettem, a pénzügyi szektor rengeteg területen használja már a regtech megoldásokat és a digitalizációt.

Kiemelkedik ezek közül az online onboarding és szerződéskötés, az ehhez kapcsolódó elektronikus ügyfélazonosítás, hitelesítés, KYC és AML terület, valamint a csalásmegelőzés, és az IT biztonság.

Hogyan segítheti a generatív AI (genAI) a compliance tevékenységet?

Horváth Katalin: A compliance munkatársak segítségül hívhatják a genAI-t a szabályozás jobb megértéséhez, értelmezéséhez, és a különböző országokban hatályos eltérő szabályokat is össze tudják ezáltal hasonlítani határon átnyúló működés esetén.

A genAI arra is képes, hogy összevesse a meglévő belső szabályzatokat, politikákat, eljárásrendeket a jogszabállyal és elemezze, hogy hol teljesülnek az előírások, és hol van bennük valamilyen gap.

A genAI segítséget nyújthat a munkatársaknak szóló training anyagok előállításában is, ami szintén jelentős erőforrást igényelne.

Milyen trendek és újítások várhatók a RegTech területén a következő években 2024-2026?

Horváth Katalin: A regtech területén egyre több AI vagy ML (machine learning) alapú megoldás fog elterjedni, így különösen automatizált compliance monitoringban, amely folyamatosan figyeli a jogszabályoknak való megfelelést az adatok elemzésével.

Az előrejelző kockázat menedzsmentben potenciális kockázatokat és jogsértéseket tudhat előre jelezni a rendszer, és a KYC, AML területen is jelentős fejlődést várok az AI bevonásával, ami gyorsan és hatékonyan tud nagy mennyiségű adatot elemezni egy-egy ügyfélről.

A blockchain alapú regtech megoldásoknak is helyük lesz a következő években, például blockchain alapú ügyfélhitelesítésben és azonosításban.

Mindezek számára pedig a felhőtechnológia biztosítja a regtech megoldások skálázhatóságát és rugalmasságát. A regtech akár olyan magasságokat is elérhet, ahol már géppel olvasható és végrehajtható szabályozás kerül kifejlesztésre.

Kapcsolódó cikkek:

Címlapfotón: dr. Horváth Katalin, a CMS Hungary Ügyvédi Iroda technológiai, banktech partnere

Címkék:

CMS Hungary | compliance | interjú | LegalTech | regtech

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

2024. október 15. FinTechShow

2024. november 26. BankTechShow

A növekvő jogszabályi nyomás kihívásai: compliance a digitális transzformáció korában – interjú dr. Horváth Katalinnal

2024. október 15.
FinTechShow

2024. november 26.
BankTechShow