Czy można zaufać fintechom? Problem cyberbezpieczeństwa w podmiotach z branży nowych technologii.

Co pewien czas świat obiega informacja o ogłoszeniu upadłości podmiotów z branży nowych technologii w wyniku ataków hakerskich, problemów technicznych czy utraty płynności. Tytułem przykładu wskazać można – wywołujący burzliwą dyskusję medialną – upadek giełdy Bitmarket.pl. Z początkiem lipca na stronie wspomnianego podmiotu pojawił się komunikat o treści: „Szanowni Użytkownicy, Z przykrością informujemy, że w skutek utraty płynności, z dniem 08.07.2019 roku, Serwis Bitmarket.pl/net został zmuszony zakończyć swoją działalność. Będziemy informować Państwa o dalszych krokach”. W wyniku tych wydarzeń, klienci najstarszej giełdy kryptowalutowej w Polsce utracili łącznie środki o wartości prawie 100 milionów złotych.

Sprawa serwisu Bitmarket.pl nie ma bynajmniej charakteru bezprecedensowego. Kilka miesięcy wcześniej rozpoczęcie procesu likwidacyjnego ogłosiła Cryptopia – nowozelandzka giełda ciesząca się dużą popularnością wśród inwestorów na całym świecie, głównie z uwagi na szeroki wachlarz notowanych kryptowalut.  (zob.: Oficjalny komunikat na stronie giełdy). Podobne przykłady można mnożyć.

Problemy z dochowaniem najwyższych standardów świadczonych usług nie dotyczą wyłącznie podmiotów działających w obszarze kryptowalut (lub szerzej technologii blockchain), a bezpieczeństwo przechowywanych środków czy odporność na ataki hakerskie nie stanowią jedynych newralgicznych obszarów działalności fintechów. Problemem o dużej doniosłości jest też m.in. przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu. Praktyka pokazuje, że kraje, które zapewniające niezwykle atrakcyjne warunki dla rozwoju innowacyjnej działalności z uwagi na korzystne regulacje prawne oraz szybką i niesformalizowaną procedurę licencyjną (np. Malta czy Litwa) nie potrafią uporać się z narastającym ryzykiem wykorzystywania środków pieniężnych do nielegalnych celów. (zob. więcej: Lithuania should step up its efforts to strengthen its understanding of money laundering and financing of terrorism risks, says Council of Europe report; Malta fails its first Moneyval anti-money laundering test but…).

Powyższe prowadzi do jasnej konstatacji,  że nie wszystkie podmioty z branży nowych technologii  są gotowe na prowadzenie działalności na dużą skalę. Problematyczne okazuje się zapewnienie wymaganego poziomu bezpieczeństwa i profesjonalizmu – i to w sferach najbardziej kluczowych z punktu widzenia klienta.

Zgodnie z analizami zaprezentowanymi w „Cisco Annual Cybersecurity Report, finanse są jedną z branży najbardziej narażonych na cyberataki.  Wynika to z faktu, że cyberprzestępcy wybierają te sektory i obszary działalności, które gromadzą najwięcej cennych zasobów i danych. Nie ma przy tym wątpliwości, że podmioty rynku finansowego każdego dnia przetwarzają ogromne ilości danych o poufnym charakterze.

W tym miejscu podkreślić należy,  że wymogi w zakresie cyberbezpieczeństwa, zarządzania ryzykiem, ochrony interesów klientów czy jakości świadczonych usług stawiane tradycyjnym instytucjom rynku kapitałowego (tj. bankom, funduszom inwestycyjnym czy domom maklerskim) są niezwykle rygorystyczne. Od tego typu podmiotów wymaga się dopełnienia najwyższych standardów w zakresie kadry zarządzającej, infrastruktury IT, ochrony informacji poufnych, a nawet warunków lokalowych w których prowadzona jest działalność.  Dla przykładu, zgodnie z § 14 Rozporządzenia Ministra Rozwoju i Finansów z dnia 25 kwietnia 2017 r. w sprawie kapitału wewnętrznego, systemu zarządzania ryzykiem, programu oceny nadzorczej oraz badania i oceny nadzorczej, a także polityki wynagrodzeń w domu maklerskim „w ramach systemu zarządzania ryzykiem dom maklerski przeprowadza testy warunków skrajnych, co najmniej dla wszystkich rodzajów ryzyka, które zostały zidentyfikowane jako istotne w prowadzonej działalności (…)Dom maklerski przeprowadza testy warunków skrajnych regularnie, co najmniej raz w roku”. Test warunków skrajnych może przykładowo odbywać się w drodze symulacji ataku hakerskiego na systemy stosowane przez dom maklerski. Dzięki temu możliwe jest wyłapanie luk w zabezpieczeniach jak również opracowanie szczegółowej instrukcji postępowania w razie wystąpienia realnego zagrożenia.

Z kolei podmioty z branży fintech działają w dużej mierze poza bezpośrednią regulacją prawną, a świadczone przez nie usługi nie podlegają zwykle kognicji właściwych organów nadzoru. Oznacza to, że  – co do zasady – restrykcyjne ograniczenia przewidziane dla tradycyjnych podmiotów rynku kapitałowego nie znajdują do nich zastosowania, a żaden organ centralny nie sprawuje nadzoru nad standardem świadczonych przez nie usług. Nie da się zatem w sposób rzetelny i kompleksowy zweryfikować, czy dany podmiot wykonuje swoją działalność z dołożeniem najwyższej staranności.  Prowadzi to do rażącego obniżenia poziomu ochrony klienta względem usług finansowych z sektora regulowanego.

Dlaczego zatem  – mimo wysokiego poziomu ryzyka – sektor innowacji w finansach rozwija się w tak żywiołowym tempie?

W odpowiedzi na wyżej postawione pytanie można pokusić się o stwierdzenie, że działalność podmiotów z branży FinTech wypełnia luki w ubogiej ofercie dostępnej na rynku finansowym. Wachlarz usług lub produktów oferowanych przez tradycyjne podmioty rynku kapitałowego nie odpowiada potrzebom wszystkich grup klientów. Postępująca w każdej sferze życia digitalizacja powoduje, że dotychczas stosowane środki stają się anachroniczne i niedostosowane do zmieniającej się rzeczywistości. Fintechy bardzo często wychodzą naprzeciw najbardziej wymagającym klientom oferując pionierskie, nieszablonowe i spersonalizowane rozwiązania. Ich usługi czy produkty niejednokrotnie przełamują dotychczasowy schemat postrzegania danej działalności, powodując że określona grupa odbiorców nie wyobraża sobie powrotu do tradycyjnie świadczonych metod. (zob. R. Milic-Czerniak, Rola Fintechów w rozwoju innowacji finansowych, BAS 1(57)2019.)

Z drugiej strony, innowacyjność, funkcjonalność czy wygoda nie są wystarczającymi atrybutami, by całkowicie zrewolucjonizować świat finansów i zastąpić dotychczas funkcjonujące podmioty. By w ogóle móc konkurować z podmiotami tradycyjnego rynku finansowego, spółki z branży FinTech muszą zapewnić swoim klientom co najmniej taki sam poziom bezpieczeństwa i profesjonalizmu.  Nie ma wątpliwości odnośnie do tego, że utrzymywanie najwyższych standardów w zakresie prowadzonej działalności jest kwestią o fundamentalnym znaczeniu dla powszechnej adaptacji innowacyjnych usług.

Jak zwiększyć bezpieczeństwo usług świadczonych przez podmioty w branży FinTech?

Praktyka pokazuje, że wprowadzenie odpowiednich przepisów prawnych jak również istnienie skutecznego nadzoru instytucjonalnego odgrywają kluczową rolę w zapewnieniu bezpieczeństwa usług świadczonych przez podmioty z branży FinTech. Rzecz jasna, objęcie odpowiednimi regulacjami prawnymi nowych obszarów działalności nie wyeliminuje automatycznie wszelkich problemów jakie mogą pojawić się na tym tle (nietrudno bowiem przywołać przykłady rażących nieprawidłowości jakie miały miejsca w działalności podmiotów pozostających pod ścisłym nadzorem organów państwowych) jednak znacząco zminimalizuje ryzyko ich wystąpienia. Konieczne jest natomiast, aby uchwalane przepisy cechowały się dużą dozą elastyczności i proporcjonalności, tak aby nie nakładać nadmiarowych obciążeń na przedsiębiorców, powodując tym samym paraliż rozwoju nowych technologii.

Brak przepisów, które wprost regulują określoną formę działalności nie stanowi bynajmniej przeszkody która uniemożliwia świadczenie usług z zachowaniem najwyższych standardów profesjonalizmu i bezpieczeństwa, jednak czyni to zdecydowanie bardziej problematycznym. Brak konkretnych obowiązków ustawowych w zakresie zarządzania ryzykiem bardzo często skłania przedsiębiorców do bagatelizowania krytycznych sfer swojej działalności (głównie ze względu na redukcję kosztów). Zaleca się więc, by podmioty z branży FinTech stosowały się do przepisów i wytycznych dotyczących regulowanych podmiotów rynku finansowego na zasadzie dobrych praktyk. W tym zakresie pomocne mogą okazać się m.in. następujące rozwiązania:

-sporządzenie mapy ryzyk związanych z daną działalnością oraz opracowanie sposobu ich ograniczania;

-wdrożenie odpowiednich procedur wewnętrznych;

-wdrożenie odpowiedniej infrastruktury IT i stałe monitorowanie jej zabezpieczeń;

-regularne przeprowadzanie testów warunków skrajnych;

-podejmowanie współpracy z organem nadzoru.

Z punktu widzenia klientów istotne jest z kolei, aby przed skorzystaniem z usług danego podmiotu sprawdzić jurysdykcję w której działa, posiadane zezwolenia i licencje, współpracę z dostawcami technologicznymi oraz informacje dostępne w mediach. Warto przy tym pamiętać, że duża część podmiotów oferujących innowacyjne usługi finansowe działa w fazie start-up. Ich konkurencyjność i pozycja nie została jeszcze właściwie zweryfikowana przez rynek. Fascynacja nowymi technologiami nie powinna więc przyćmić rzeczowej i zdroworozsądkowej analizy projektu.

Podkreślić należy, że – z wyjątkiem niespodziewanych ataków hakerskich – upadek podmiotów z branży FinTech zwykle nie następuje z dnia na dzień. W przeważającej większości przypadków utrata możliwości realizowania zobowiązań jest wynikiem długotrwałych problemów finansowych związanych z niewłaściwym zarządzaniem aktywami, problemami technicznymi czy wewnętrznymi konfliktami w spółce. Dla przykładu pierwsze informacje o problemach giełdy BitMarket.pl pojawiły się już kilka lat temu (zob. więcej:  Upadek giełdy Bitmarket – dwa lata na skraju ukrywanego bankructwa. Ponad sto milionów złotych strat?). Sytuacja ta pokazuje, że nie można lekceważyć doniesień medialnych sygnalizujących istnienie określonych nieprawidłowości w spółce.

Fintechy rozpoczynające działalność otrzymują od swoich klientów duży kredyt zaufania, od nich tylko zależy jak go wykorzystają. Sama – mimo entuzjastycznego nastawienia do nowych technologii na rynku finansowym – podchodzę do nich z dużym sceptycyzmem, skrupulatnie analizując każdy aspekt działalności.