I Finanstilsynets årlige risiko- og sårbarhetsanalyse av IT i finanssektoren: Risiko- og sårbarhetsanalyse (ROS) 2012 heter det at bankene «ikke i tilstrekkelig grad etterlever lovens krav» (se artikkelen – Bankene bryter meldeplikt).
Det dreier seg om Lov om betalingssystemer. Loven krever at det uten unødig opphold skal meldes fra til Finanstilsynet når betalingssystemer etableres eller endres. Meldingen foregår på et spørreskjema der bankene skal svare «ja» eller «nei» på til sammen 19 kontrollspørsmål.
Hovedformålet med meldeplikten er å sikre at risiko er vurdert og at ansvarsforhold er avklart innen en betalingstjeneste tas i bruk. Eksempler på spørsmål er: «Har det blitt utført risikovurdering av løsninger som benyttes til å autentisere kunde og til å iverksette betalinger?» «Er plan for katastrofeberedskap oppdatert med ny konfigurasjon samtidig med omlegging til drift?» «Er det gjennomført risiko- og sårbarhetsanalyse av ny løsning eller av endringen?»
Finanstilsynet sier de mottok kun fem tilbakemeldinger i henhold til denne meldeplikten i 2013. De mener det burde ha vært mange ganger flere.
En rundspørring blant tre av Norges største banker – DNB, Nordea og Sparebank1 Gruppen – viser at bankene stiller seg uforstående til påstanden fra Finanstilsynet.
Kommunikasjonsdirektør Thomas Midteide i DNB sier det slik, i en e-post til digi.no:
– Vi opplever at vi har en god dialog med Finanstilsynet om disse temaene, og vi er opptatt av å ivareta informasjonsplikten vår. Hvis de bare fikk inn fem meldinger i fjor så vil jeg tro at de kommer fra oss i DNB.
Informasjonssjef Thomas Sevang i Nordea Norge svarer slik på spørsmål om Nordea kjenner seg igjen i beskrivelsen til Finanstilsynet:
– Vi kjenner oss ikke igjen i denne beskrivelsen for vår del.
Informasjonsdirektør Christian Brosstad i Sparebank1 Gruppen skriver i en e-post til digi.no at de ikke kjenner til å ha fått kritikk fra Finanstilsynet for underrapportering.
– Sparebank 1 har gode rutiner for innrapportering av feil. Ved avvik sendes det innen 1 time et varsel til tilsynet om hva som har oppstått, denne følges opp med en formell hendelsesrapport noen dager senere. Vi har flere ganger kontrollspurt tilsynet på om vi rapporterer i henhold til forskriftene, og fått forståelsen av at det gjør vi.
Brosstad sier samtidig at Sparebank1 har startet et stort moderniseringsprogram for bankvirksomheten som vil strekke seg over flere år og gi dem større eierskap og bedre kontroll over IT-systemene de er avhengig av.
– Her vil vi forbedre de løsningene som i dag er overrepresentert på feilstatistikkene, innføre forbedringer på løsningene og sikre at vi har langsiktig kontroll på de viktige løsningene. I tillegg til dette programmet brukes det hvert år hundrevis av millioner kroner i Sparebank 1 på ulike kvalitetshevende tiltak, feilretting og sikre ajouritet i forhold til de komponenter (programvare, systemsoftware, mm) som brukes i operasjonen, skriver Brosstad.
Finanstilsynet sier de vurderer å skjerpe kravet til innrapportering med å innføre en forskrift.
Forslaget vekker ikke umiddelbare motforestillinger hos bankene. Midteide i DNB sier de «ikke har sterke synspunkter». Sevang i Nordea sier de t ikke er avgjørende om kravet følger av et rundskriv eller en forskrift, siden de «uansett ønsker å tilfredsstille myndighetenes krav til meldinger og rapportering». Brosstad i Sparebank1 sier de ikke vil kommentere forslaget før de har lest hele ROS-rapporten.
Les også:
- [16.04.2013] Advarer mot norske «muldyr»
- [15.04.2013] – Storbanker drukner i egen IT
- [15.04.2013] – Bankene bryter meldeplikt
- [12.04.2013] Frykter IT-spagetti hos bankene
- [11.04.2013] Kraftig vekst i nettbank-svindel