Σε πέντε συγκεκριμένες περιοχές όπου υπάρχουν σημαντικές εξελίξεις στο κανονιστικό πλαίσιο του χρηματοπιστωτικού τομέα επικέντρωσε την ομιλία της στο 7th Compliance Conference: “Embracing change”, η υποδιοικήτρια της Τράπεζας της Ελλάδος, κας Χριστίνα Παπακωνσταντίνου.
Όπως σημείωσε οι χρηματοπιστωτικοί οργανισμοί παγκοσμίως, όπως και στη χώρα μας, περνούν από την εποχή του ήπιου ψηφιακού μετασχηματισμού στην ταχύτερη υιοθέτηση καινοτόμων τεχνολογιών, προκειμένου να ανταποκριθούν σε ένα ολοένα πιο ανταγωνιστικό επιχειρηματικό περιβάλλον και στα μεταβαλλόμενα χαρακτηριστικά της ζήτησης χρηματοπιστωτικών υπηρεσιών. Οι ρυθμιστικές αρχές αντιστοίχως θεσπίζουν νέες υποχρεώσεις ή αναθεωρούν τις υφιστάμενες, με σκοπό να διασφαλίσουν την αποτελεσματική διαχείριση των αναδυόμενων κινδύνων.
Παράλληλα ανέλυσε τους στόχους που έχουν τεθεί με την υιοθέτηση του ευρωπαϊκού Κανονισμού για την Ψηφιακή Ανθεκτικότητα του Χρηματοπιστωτικού Τομέα (DORA), ο οποίος θα τεθεί σε εφαρμογή στις 17 Ιανουαρίου του 2025.
Αναλυτικά η ομιλία της:
«Κατά γενική ομολογία, η αυξανόμενη εξάρτηση από ψηφιακά συστήματα και κυρίως από τρίτους παρόχους υπηρεσιών (όπως οι πάροχοι υποδομών υπολογιστικού νέφους) καθιστά τα ιδρύματα πιο ευάλωτα σε κυβερνοεπιθέσεις, παραβιάσεις δεδομένων και τεχνικές διακοπές, υπονομεύοντας την εμπιστοσύνη των πελατών και τη σταθερότητα του συστήματος. Μάλιστα, σύμφωνα με τα τελευταία στοιχεία, έχει αυξηθεί η συχνότητα και η σοβαρότητα των επιθέσεων, εν μέρει λόγω γεωπολιτικών παραγόντων.
Ως απάντηση σε αυτές τις προκλήσεις, πρόσφατα υιοθετήθηκε ο ευρωπαϊκός Κανονισμός για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα του Χρηματοοικονομικού Τομέα, ο οποίος είναι γνωστός ως DORA (Digital OperationalResilience Act) και θα τεθεί σε εφαρμογή από τις 17 Ιανουαρίου 2025.
Ο Κανονισμός αποτελεί ένα πλήρως διατομεακό και ευρείας εμβέλειας κανονιστικό πλαίσιο, το οποίο θεσπίζει ένα ενιαίο και εκτεταμένο σύνολο ρυθμίσεων, που θα εφαρμόζεται σε κάθε χρηματοπιστωτικό ίδρυμα, ανεξαρτήτως μεγέθους, πολυπλοκότητας ή επιχειρηματικού μοντέλου. Το πλαίσιο αυτό φιλοδοξεί να διασφαλίζει την ψηφιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα και τη σταθερότητα του συστήματος εν μέσω σύνθετων προκλήσεων που προκύπτουν από το νέο ψηφιακό περιβάλλον.
Προκειμένου να επιτευχθεί ο στόχος αυτός, ο Κανονισμός θεσπίζει, μεταξύ άλλων, σημαντικές απαιτήσεις συμμόρφωσης για τα χρηματοπιστωτικά ιδρύματα, τις εποπτικές αρχές, καθώς και, για πρώτη φορά, για τους τρίτους παρόχους υπηρεσιών τεχνολογίας πληροφορικής και επικοινωνιών. Ειδικότερα όσον αφορά τους κρίσιμους τρίτους παρόχους, οι οποίοι πλέον θα υπόκεινται σε ελέγχους και σε συγκεκριμένες υποχρεώσεις (π.χ. να τηρούν πρότυπα ασφάλειας και ανθεκτικότητας των υπηρεσιών που παρέχουν προς τα ιδρύματα), οι Ευρωπαϊκές Εποπτικές Αρχές (EBA, ESMA, EIOPA) θα παρακολουθούν τη συμμόρφωσή τους με τους κανόνες που θεσπίζει ο Κανονισμός. Για τον προσδιορισμό των κρίσιμων τρίτων παρόχων, τα ιδρύματα θα πρέπει να τηρούν και να αποστέλλουν στις Ευρωπαϊκές Εποπτικές Αρχές πλήρες μητρώο πληροφοριών τρίτων παρόχων.
Μια άλλη σημαντική αλλαγή είναι ότι αντιμετωπίζεται το χρόνιο πρόβλημα της πληθώρας των κανονιστικών προτύπων για την ασφάλεια που σήμαινε ότι τα ιδρύματα έπρεπε να στέλνουν διαφορετικές αναφορές σε πολλαπλούς αποδέκτες για το ίδιο περιστατικό. Πλέον τα ιδρύματα υποχρεούνται να έχουν συγκεκριμένο πλαίσιο για την αξιολόγηση και αναφορά μειζόνων περιστατικών, με στόχο την έγκαιρη ενημέρωση μόνο των άμεσα αρμόδιων εποπτικών αρχών.
Τέλος, ο Κανονισμός DORA εισάγει το πλαίσιο δοκιμών παρείσδυσης βάσει απειλών (TLPT – Threat-LedPenetrationTesting), μέσω του οποίου, με βάση συγκεκριμένα σενάρια και τεχνικές που προσομοιώνουν πραγματικές κυβερνοαπειλές και επιθέσεις, θα αξιολογείται η ανθεκτικότητα των κρίσιμων συστημάτων και των υποδομών σε πιθανές απειλές. Αυτό θα επιτρέπει στα χρηματοπιστωτικά ιδρύματα να εντοπίζουν και να διορθώνουν αδυναμίες των συστημάτων τους πριν αυτές γίνουν αντικείμενο εκμετάλλευσης, μειώνοντας τον κίνδυνο διακοπής λειτουργίας τους και απώλειας δεδομένων.
Η Τράπεζα της Ελλάδος είναι η αρμόδια εποπτική αρχή για την εφαρμογή του Κανονισμού από όλα τα ιδρύματα του χρηματοπιστωτικού τομέα που εμπίπτουν στην εποπτεία της.
Σημαντικές είναι επίσης οι εξελίξεις στον τομέα της καταπολέμησης του ξεπλύματος χρήματος και της χρηματοδότησης της τρομοκρατίας (Anti-Money Laundering – AML), καθώς θεσπίστηκε η πολυαναμενόμενη νομοθετική δέσμη μέτρων της Ευρωπαϊκής Ένωσης (ΕΕ), που στοχεύει σε μια εκ βάθρων αναμόρφωση του συναφούς ευρωπαϊκού κανονιστικού και εποπτικού πλαισίου. Ειδικότερα, τον Ιούνιο του τρέχοντος έτους δημοσιεύθηκε ο νέος Κανονισμός AML, με έναρξη εφαρμογής μετά από 3 χρόνια, ο οποίος θέτει για πρώτη φορά κοινούς και ισχυρούς κανόνες σε ευρωπαϊκό επίπεδο. Ο Κανονισμός αίρει τον πολυκερματισμό των εθνικών πλαισίων και ενισχύει την ικανότητα του χρηματοπιστωτικού συστήματος να εντοπίζει ύποπτες συναλλαγές. Παράλληλα, η σύσταση της ευρωπαϊκής αρχής AMLA (Authority for Anti-Money Laundering and Countering the Financing of Terrorism - AMLA) με έδρα τη Φραγκφούρτη και ισχυρές εξουσίες προς διασφάλιση της εφαρμογής του νέου πλαισίου, αναμένεται να επιφέρει επωφελείς αλλαγές, αντίστοιχες με αυτές που επέφερε προ δεκαετίας ο Ενιαίος Εποπτικός Μηχανισμός στην προληπτική εποπτεία των τραπεζών.
Αντιλαμβανόμαστε όλοι τη βαρύτητα των επερχόμενων αλλαγών και τις προκλήσεις που ενέχει η μετάβαση στο νέο ευρωπαϊκό κανονιστικό και εποπτικό πλαίσιο. Η Τράπεζα της Ελλάδος, έχοντας πρωταρχικό ρόλο στη διασφάλιση της χρηματοπιστωτικής σταθερότητας και στην πρόληψη της χρησιμοποίησης του χρηματοπιστωτικού τομέα για σκοπούς ξεπλύματος χρήματος και χρηματοδότησης της τρομοκρατίας, θα έχει την ευθύνη της μόνιμης κοινής εκπροσώπησης των εποπτικών αρχών της χώρας στο υπό εποπτική σύνθεση Γενικό Συμβούλιο της AMLA. Εν τω μεταξύ, συμμετέχει ενεργά στις προπαρασκευαστικές ομάδες εργασίας της Ευρωπαϊκής Αρχής Τραπεζών και συνεργάζεται στενά με τους ομολόγους της, τόσο για τη διαμόρφωση των κανονιστικών τεχνικών προτύπων (Regulatory Technical Standards) που θα συμπληρώσουν το ρυθμιστικό πλαίσιο όσο και για τη μετάβαση στην εποπτεία υπό την AMLA. Παράλληλα, και η ίδια η Τράπεζα της Ελλάδος προετοιμάζεται εσωτερικά προκειμένου να ανταποκριθεί στις απαιτήσεις του νέου πλαισίου. Τέλος, αναγνωρίζοντας την ανάγκη συμπόρευσης με τον ιδιωτικό τομέα για την αντιμετώπιση των επερχόμενων προκλήσεων, συγκροτήσαμε κοινή ομάδα εργασίας με την Ελληνική Ένωση Τραπεζών για την ενίσχυση της συνεργασίας και διαβούλευσης κατά τη μεταβατική αυτή περίοδο.
Ο Κανονισμός για τις αγορές κρυπτοστοιχείων, γνωστός και ως MiCA (MarketsinCrypto-AssetsRegulation), είναι το πρώτο ενιαίο κανονιστικό πλαίσιο της ΕΕ για τα κρυπτοστοιχεία, το οποίο θα εφαρμοστεί στο σύνολό του μέχρι το τέλος του 2024. Ο Κανονισμός διακρίνει συγκεκριμένους τύπους κρυπτοστοιχείων και προβλέπει ειδικές για κάθε τύπο απαιτήσεις συμμόρφωσης από την αγορά, με γνώμονα την προστασία των κατόχων και χρηστών υπηρεσιών κρυπτοστοιχείων, την ακεραιότητα της αγοράς κρυπτοστοιχείων, τη χρηματοπιστωτική σταθερότητα, την ομαλή λειτουργία των συστημάτων πληρωμών, τη μετάδοση της νομισματικής πολιτικής και τη νομισματική κυριαρχία. Με τον Κανονισμό ρυθμίζονται θέματα έκδοσης, δημόσιας προσφοράς, εισαγωγής προς διαπραγμάτευση και παροχής υπηρεσιών κρυπτοστοιχείων. Επίσης, προβλέπονται απαιτήσεις αδειοδότησης και προληπτικής εποπτείας για συγκεκριμένα είδη εκδοτών και παρόχων υπηρεσιών κρυπτοστοιχείων εντός του πεδίου εφαρμογής του Κανονισμού, καθώς και κανόνες για την πρόληψη και απαγόρευση της κατάχρησης της αγοράς. Στην Ελλάδα σύντομα αναμένεται ο νόμος που θα κατανέμει αρμοδιότητες στις εθνικές εποπτικές αρχές.
Είναι σκόπιμο να αναφερθούμε και στον ευρωπαϊκό Κανονισμό για τη τεχνητή νοημοσύνη, γνωστό ως AI Act, ο οποίος διέπει τη διαχείριση της ανάπτυξης και χρήσης της τεχνητής νοημοσύνης σε όλους τους τομείς δραστηριότητας στην ΕΕ και τέθηκε σε ισχύ φέτος το καλοκαίρι. Η πρωταρχική του επιδίωξη είναι να υποστηρίξει την καινοτομία, προστατεύοντας παράλληλα τα ατομικά και κοινωνικά δικαιώματα. Οι κύριες υποχρεώσεις που εισάγει ο Κανονισμός περιλαμβάνουν την ενίσχυση της διαφάνειας, μέσω της παροχής πληροφόρησης στους χρήστες συστημάτων τεχνητής νοημοσύνης, την αξιολόγηση πιθανών κινδύνων πριν από την κυκλοφορία ενός συστήματος τεχνητής νοημοσύνης και την εφαρμογή απαιτήσεων για την ασφάλεια και την ακρίβεια. Ενδεικτικά, διασφαλίζεται ότι οι αλγόριθμοι τεχνητής νοημοσύνης δεν ενσωματώνουν μεροληψία και είναι προστατευμένοι από μη εξουσιοδοτημένη ή κακόβουλη χρήση.
Ο νέος Κανονισμός αναγνωρίζει κατηγορίες συστημάτων τεχνητής νοημοσύνης που θα απαγορεύονται στην ΕΕ, κατηγορίες συστημάτων υψηλού κινδύνου για τις οποίες θα ισχύουν αυξημένες απαιτήσεις συμμόρφωσης και κατηγορίες συστημάτων χαμηλότερου κινδύνου για τις οποίες θα υφίστανται συγκεκριμένες απαιτήσεις διαφάνειας. Η εφαρμογή του Κανονισμού ξεκινά το Φεβρουάριο του 2025 και θα ολοκληρωθεί σταδιακά έως τον Αύγουστο του 2026.
Το AIAct προσφέρει ένα ασφαλές πλαίσιο για την καινοτομία και την προώθηση της τεχνολογίας στην ΕΕ και η συμμόρφωση με αυτό αποτελεί βασικό παράγοντα για την ενίσχυση της εμπιστοσύνης στη χρήση της τεχνητής νοημοσύνης. Η παρατηρούμενη ταχεία υιοθέτηση λύσεων τεχνητής νοημοσύνης από παρόχους χρηματοπιστωτικών υπηρεσιών θα πρέπει να συνοδευθεί από αντίστοιχη επάρκεια της κατάρτισης τόσο των ίδιων των παρόχων όσο και των εποπτικών αρχών, προκειμένου να διασφαλιστεί η κανονιστική συμμόρφωση και η αποτελεσματική εποπτεία.
Πέρα από τα παραπάνω νομοθετήματα που έχουν ήδη τεθεί σε ισχύ και αναμένεται να εφαρμοστούν το επόμενο διάστημα, είναι σκόπιμο να γίνει αναφορά και στην πρόταση Κανονισμού της Ευρωπαϊκής Επιτροπής για την πρόσβαση σε χρηματοοικονομικά δεδομένα, γνωστού ως FiDA. Η πρόταση Κανονισμού αποτελεί την εξέλιξη και συμπλήρωση του των κανόνων ανοικτής τραπεζικής που θεσμοθετήθηκε με την αναθεωρημένη οδηγία για τις πληρωμές και διαμορφώνει ένα πλαίσιο διαμοιρασμού ευρύτερων κατηγοριών χρηματοοικονομικών δεδομένων, που αφορούν δάνεια, λογαριασμούς αποταμίευσης, χρηματοπιστωτικά μέσα, ασφαλιστικά προϊόντα κ.λπ. Προβλέπονται υποχρεώσεις συμμόρφωσης για δύο κατηγορίες οντοτήτων, τους κατόχους δεδομένων, δηλαδή τις οντότητες που τα τηρούν, και τους χρήστες δεδομένων, δηλαδή τις οντότητες που ζητούν το διαμοιρασμό τους. Οι υποχρεώσεις αφορούν τη διάθεση των δεδομένων κατόπιν αιτήματος του πελάτη με προτυποποιημένο και ασφαλή τρόπο, τη διαχείριση της πρόσβασης στα δεδομένα μέσω πινάκων αδειών πρόσβασης, την υποχρεωτική συμμετοχή σε συστήματα κοινοχρησίας δεδομένων, καθώς και προβλέψεις αδειοδότησης και εποπτείας μιας νέας κατηγορίας εποπτευόμενου ιδρύματος, των Παρόχων Υπηρεσιών Πληροφοριών Λογαριασμού, οι οποίοι θα μπορούν να λειτουργούν ως χρήστες δεδομένων χωρίς να έχουν άδεια χρηματοπιστωτικού ιδρύματος. Η συμμόρφωση με τον νέο Κανονισμό θα επιτρέπει στους χρήστες να έχουν τον έλεγχο των δεδομένων τους και θα εξασφαλίζει την υπεύθυνη πρόσβαση στα διαμοιραζόμενα δεδομένα από τις εμπλεκόμενες οντότητες. Επί του παρόντος, η πρόταση Κανονισμού εξετάζεται από το Ευρωπαϊκό Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο.
Κυρίες και κύριοι, είναι σαφές ότι ο χρηματοπιστωτικός τομέας καλείται να αγκαλιάσει την αλλαγή με θάρρος και διορατικότητα. Η ψηφιακή εποχή απαιτεί εγρήγορση, ευελιξία και προσαρμοστικότητα από όλους τους εμπλεκόμενους, και ο μόνος τρόπος να προχωρήσουμε είναι να αντιμετωπίζουμε κάθε νέα πρόκληση ως ευκαιρία για συνεχή εξέλιξη και βελτίωση. Οι κανονισμοί στους οποίους αναφερθήκαμε, καθώς και λοιπές σχετικές νομοθετικές πρωτοβουλίες, παρέχουν τα απαραίτητα εργαλεία για να οικοδομήσουμε ένα μέλλον που θα βασίζεται στην εμπιστοσύνη των χρηστών και στην προστασία θεμελιωδών δικαιωμάτων. Σας ευχαριστώ για την προσοχή σας».