4 Et digitalt finanssystem
4.1 Innledning
Den norske finansnæringen har vært tidlig ute med å bruke digitale løsninger. Digitaliseringen av finansielle tjenester og infrastruktur bidrar til effektivisering og et bredere tjenestetilbud, som kommer både næringen og kundene til gode. Digitalisering og innovasjon gir også økt konkurranse, både finansforetakene imellom og fra nye aktører som bruker teknologi for å tilby finansielle tjenester på nye måter. Samtidig gir nye produkter og tjenester, og økt avhengighet av IKT-systemer, opphav til nye risikoer og sårbarheter. Myndighetene er opptatt av å legge til rette for digitalisering og innovasjon, samtidig som sikkerhet, forbrukervern og finansiell stabilitet ivaretas.
Dette kapittelet gir en oversikt over gevinster ved digitalisering, innovasjon og konkurranse, og omtaler bl.a. privat-offentlig samarbeid, fremvekst av nye aktører og tjenster og bankbytte. Det gir også en oversikt over markedsutvikling, risiko og regulering av kryptovaluta og desentralisert finans, og av hvordan digital sårbarhet i det finansielle systemet håndteres.
4.2 Digitale gevinster
4.2.1 Effektivitet og lave kostnader
Norge er blant de mest digitaliserte landene i Europa, og scorer i undersøkelser over EU-gjennomsnittet for digital kompetanse og bruk av digitale tjenester, se figur 4.1. Den norske finanssektoren ligger langt fremme og har vært tidlig ute med å ta i bruk nye løsninger og tilby digitale tjenester til sine kunder. Digitaliseringen har bidratt til en mer effektiv produksjon av finansielle tjenester i hele sektoren. Det kommer både finansnæringen selv, kundene og norsk økonomi til gode.
Blant annet har det norske betalingssystemet lenge vært mer effektivt enn systemene i mange andre land. Et effektivt betalingssystem kjennetegnes av at betalinger kan gjennomføres raskt, til lave kostnader og på måter som er tilpasset brukernes behov. Norges Bank beregnet i 2014 at de samfunnsøkonomiske kostnadene ved betalinger i Norge tilsvarte rundt 0,5 pst. av Norges BNP, som var lavt sammenlignet med andre land. En ny undersøkelse om kostnader i betalingssystemet skal legges frem våren 2022. Som vist i figur 4.2, er Norge blant landene der en oftest betaler for varer og tjenester med kort. De fleste betalingene blir gjort i det norske BankAxept-systemet, som har betydelig lavere kostnader enn f.eks. internasjonale kredittkort. Girobetalinger fra personkunder blir i stor grad gjennomført i nett- og mobilbank, men det har vært en kraftig vekst i realtidsbetalinger (ofte kalt straksbetalinger), særlig gjennom mobilbetalingsløsningen Vipps de siste årene, se figur 4.3. Elektronisk fakturering (eFaktura/EHF) utgjør en stadig større andel av fakturaene som sendes fra bedrifter og offentlige virksomheter.
Digitaliseringen av finansielle tjenester innebærer også at den fysiske avstanden mellom tilbyder og etterspørrer blir mindre viktig. Forbrukere og bedrifter kan i dag enkelt søke om lån, plassere sparepenger og kjøpe forsikring hos den aktøren som tilbyr best betingelser, uavhengig av fysisk plassering. Tilbyderne får flere potensielle kunder, men også flere konkurrenter. Utviklingen har positive effekter for konkurransen i markedet, og kan bidra til lavere priser og bedre tjenester. Dette er særlig merkbart i de delene av landet der tilgangen på finansielle tjenester har vært avhengig av et fåtall aktører. For bank- og forsikringskunder i distriktene kan digitaliseringen innebære gevinster av både økonomisk og praktisk art, samtidig som det har blitt lettere å tilby tjenester i hele landet også for aktører som holder til utenfor de store byene.
Utsiktene for innovasjon og konkurranse fremover er omtalt i avsnitt 4.3 nedenfor.
4.2.2 Elektronisk identifikasjon
Innovasjoner i norsk finansnæring har fått anvendelse også utenfor næringen. Et fremtredende eksempel er utviklingen av BankID, som er en løsning for elektronisk identifikasjon (e-ID). Norske banker var tidlig ute med en sikker form for digital identifikasjon med et bredt bruksområde, som både lar brukere legitimere seg og signere avtaler digitalt. BankID er i dag den praktisk viktigste e-ID-en i Norge, og kan benyttes til innlogging på en rekke offentlige og private tjenester. I tillegg til BankID og enkelte andre private e-ID-er som Buypass og Commfides, finnes det også en offentlig løsning kalt MinID. Kommunal- og distriktsdepartementet arbeider med en ny e-ID-strategi som skal adressere en rekke av de utfordringene dagens situasjon med et begrenset utvalg av private e-ID-tilbydere medfører, se omtale i boks 4.1.
Boks 4.1 Ny e-ID-strategi
Kommunal- og distriktsdepartementet har igangsatt et arbeid med ny strategi for e-ID i offentlig sektor. Dagens strategi er fra 2008 og går i hovedsak ut på å benytte markedsløsninger for innlogging til offentlige digitale tjenester. Bakgrunnen for arbeidet med ny strategi er den økte digitaliseringen av offentlige tjenester og behovet for å sørge for at alle har mulighet til å logge seg på offentlige tjenester. Strategien er en oppfølging av digitaliseringsstrategi for offentlig sektor 2019–2025 samt deler av områdegjennomgangen av ID-forvaltningen. Strategien vil beskrive overordnede retningsvalg og tiltak og vil bli etterfulgt av en handlingsplan. Primær målgruppe for strategien er virksomheter og myndigheter i offentlig sektor. Strategien vil bygge på foretatte behovsanalyser hos virksomheter og organisasjoner i offentlig, privat og frivillig sektor samt utvalgte sluttbrukere av e-ID. Det har vært nedsatt en interdepartemental referansegruppe der også KS har deltatt. Strategien vil etter planen bli lagt frem før sommeren 2022.
I juni 2021 la Europakommisjonen frem et forslag om etablering av en ny «EU-e-ID» som skal kunne brukes på tvers av grensene i Europa. Etter forslaget må alle medlemsstatene etablere en teknisk harmonisert løsning basert på en digital lommebok, og utstede dette gratis til sine innbyggere. Videre stilles det krav om at enkelte næringer, herunder bank og finans, samt store teknologiplattformer som Google, Amazon og Facebook, må akseptere denne digitale e-ID-en. Forslaget er til behandling i Rådet og Europaparlamentet.
4.2.3 Samarbeid med offentlig sektor
Digitalisering bidrar til en mer effektiv offentlig sektor, mer verdiskaping i næringslivet og ikke minst forenklinger for forbrukerne. Det er positive samspillseffekter av digitaliseringen av offentlig sektor og finanssektoren, og finansnæringen er en nyttig samarbeidspartner i statens digitaliseringsarbeid. I digitaliseringsstrategien for offentlig sektor 2019 til 2025 kartlegges en rekke områder hvor digitalisering vil være særskilt viktig. Et godt samarbeid med finansnæringen vil fortsette å være en sentral del av dette arbeidet i tiden fremover.
Skatteetaten, Brønnøysundregistrene og finansnæringen innledet i 2016 samarbeidet Digital Samhandling Offentlig Privat (DSOP). Samarbeidet har gradvis blitt utvidet, og de faste medlemmene i DSOP omfatter i dag også NAV, Politiet, Kartverket, Digitaliseringsdirektoratet og Finans Norge/Bits. I tillegg er flere parter involvert i DSOP-samarbeidet uten å være faste medlemmer, herunder Domstolsadministrasjonen, Lånekassen, Statens vegvesen, Eiendom Norge, Statens Sivilrettsforvaltning og Statistisk sentralbyrå.
DSOP-samarbeidet har til nå blant annet realisert følgende løsninger:
Samtykkebasert lånesøknad (SBL)
Maskinell kontroll av signaturrett og prokura
Saldo på studielån i nett- og mobilbank
Syke- og uføreopplysninger fra NAV
Oversikt over kundeforhold
Konkursbehandling
Digital samhandling ved eiendomshandel
I tillegg er flere prosjekter under arbeid. Blant annet startet Skatteetaten, NAV og finansnæringen i 2021 opp arbeidet med enklere innrapportering etter lov om obligatorisk tjenestepensjon (OTP). Prosjektet utvikler løsninger som gjenbruker inntekts- og arbeidsforholdsopplysninger fra a-ordningen, som forvaltes av Skatteetaten. Dette legger grunnlag for riktigere pensjonssparing for arbeidstakere, og betydelig enklere rapportering for arbeidsgivere og pensjonsleverandørene. Prosjektet skal etter planen ferdigstilles innen utgangen av 2022.
OPS AT (Offentlig Privat Samarbeid Antihvitvasking og Terrorfinansiering) ble iverksatt høsten 2021, og har som mål å øke effektiviteten og kvaliteten i arbeidet mot hvitvasking og terrorfinansiering. Prosjektet har forankring i DSOP-samarbeidet, og har deltakelse fra bl.a. finansnæringen, Skatteetaten, NAV, Økokrim og PST. Finanstilsynet deltar som observatør. Samarbeidet skal særlig omfatte operative problemstillinger på antihvitvaskings og -terrorfinansieringsområdet, noe som bl.a. innebærer deling av informasjon om trender og trusler, diskusjoner og forslag til nye tiltak, gjensidig kompetanseheving og gjennomføring av egne prosjekter. Bits AS har den administrative styringen for samarbeidet.
Prosjektet DSOP Kontroll skal effektivisere og samordne utleveringen av kontrollopplysninger fra finansforetak til offentlige etater. Den tekniske løsningen er på plass, men det gjenstår enkelte juridiske avklaringer før løsningen kan tas i bruk.
Resultatene fra samarbeidet mellom finanssektoren og offentlig sektor bl.a. i DSOP har gitt store gevinster for innbyggere, næringsliv og det offentlige. For eksempel var gevinstene fra etableringen av samtykkebasert lånesøknad (SBL) opprinnelig beregnet til 6 mrd. kroner over en ti-årsperiode, men er senere beregnet til 13 mrd. kroner.1
Erfaringen fra samarbeidet er at tverrsektoriell datadeling ofte støter på regelverksutfordringer som må håndteres grundig. Blant annet kan det opprinnelige formålet for datainnhentingen legge begrensninger på videre deling, og partene kan også være underlagt ulike regelverk som kan ha betydning for hva som kan deles.
4.3 Innovasjon og konkurranse
4.3.1 Nye aktører og nye tjenester
Både i Norge og internasjonalt tas ny eller eksisterende teknologi i økende grad i bruk for å tilby bl.a. bank-, forsikrings- og verdipapirtjenester på nye måter. Utviklingen skjer både hos etablerte aktører og utenfor de tradisjonelle markedene der stadig flere aktører tilbyr helt nye løsninger, ofte frikoblet fra etablerte kanaler for finansiell tjenesteyting. Etter hvert som ny teknologi modnes og regelverket tilpasses nye løsninger og forretningsmodeller, kan konkurransen mellom tilbyderne øke, og det kan bli enda lettere å bytte tjenesteleverandør eller bruke flere leverandører samtidig.
Fintech er en forkortelse for finansiell teknologi, og omfatter en rekke teknologier med ulike anvendelsesområder. Eksempler er nye betalingstjenester og tjenester for å holde oversikt over personlig økonomi, plattformer for folkefinansiering (se avsnitt 3.3.4), tjenester som baserer seg på bruk av blokkjedeteknologi, algoritmer i investeringsrådgivning, kunstig intelligens og maskinlæring i porteføljeforvaltning, bruk av skytjenester for mer effektiv datalagring og bruk av dataanalyse og sensorer i forsikringsnæringen. Teknologiske innovasjoner som stordataanalyse og maskinlæring kan både brukes i utviklingen av nye tjenester og gjøre det enklere for foretak å overholde regulatoriske krav, f.eks. rapporteringskrav. Ny teknologi kan også nyttiggjøres av tilsynsmyndigheter i tilsynsvirksomheten.
Internasjonalt ser en at der de etablerte finansforetakene har vært sent ute med å tilby digitale finansielle tjenester i tråd med kundenes etterspørsel, har nye aktører i større grad fått innpass i markedene. Ifølge Financial Stability Board (FSB) er dette en utvikling som har skutt fart gjennom koronapandemien.2
I Norge er dette et mindre uttalt utviklingstrekk, ettersom norsk finansnæring lenge har vært tidlig ute og ofte satt en standard for digital tjenesteyting for andre norske næringer. Den tidlige digitaliseringen i norsk finansnæring har samtidig medført at IT-systemene i mange finansforetak har blitt gradvis mer komplekse. Det kan gjøre det utfordrende og kostbart å innpasse nye produkter og tjenester i systemene. Fintech-virksomheters mulighet til å bygge opp egnede systemer fra bunnen av, kan dermed være en konkurransefordel. Samtidig har etablerte finansforetak fordelen av en eksisterende kundemasse.
EUs andre betalingstjenestedirektiv (PSD2) innebærer bl.a. at kundene kan samle og bruke tjenester fra flere banker i én løsning, uten at de enkelte bankene må gi samtykke til det. Regelverket legger til rette for at tredjepartstilbydere, herunder også andre banker, kan tilby kontobaserte betalingstjenester og informasjonstjenester basert på eksisterende kontoer i enhver bank. I det norske markedet er det så langt begrenset med nye aktører som har tatt i bruk nye muligheter etter PSD2, mens de fleste banker har tatt disse mulighetene i bruk gjennom å tilby oversikt over kontoopplysninger på tvers av ulike banker og/eller mulighet til å betale fra kontoer i andre banker. Blant de nye aktørene finnes det både aktører som bruker de nye mulighetene som grunnlag for sine tjenester til forbrukere og bedrifter, og aktører som tilbyr tjenester til brukersteder, f.eks. betalingsinitiering ved netthandel. Så langt har markedsstrukturen i liten grad endret seg, og endringer har i hovedsak skjedd gjennom samarbeid mellom etablerte banker og nye aktører, ofte med tjenester som bygger på bankenes eksisterende infrastruktur.
I en strategi for digital finans som ble lagt frem i 2020, peker Europakommisjonen på at datadelingsprinsippene som er innført med PSD2, bør utvides til et bredere spekter av finansielle tjenester, såkalt «open finance». Etter Europakommisjonens vurdering kan datadeling for flere typer finansielle tjenester gi bedre produkter og mer målrettet rådgivning, samt forbedret tilgang for forbrukere. Et mål er å legge til rette for økt innovasjon og konkurranse også på andre områder enn betalingstjenester. Europakommisjonen har varslet at et forslag til rammeverk for «open finance» skal legges frem innen midten av 2022. Europakommisjonen har også startet arbeidet med å revidere PSD2 og er nå i en fase hvor de samler inn innspill til forbedringer.
De fleste benytter seg av ulike digitale løsninger for å få tilgang til finansielle tjenester, men utviklingen mot at stadig mer skjer via digitale løsninger kan skape utfordringer for en del bankkunder. Samtidig med at det utvikles nye digitale tjenester, er det viktig at det opprettholdes eller utvikles løsninger som ivaretar kunder med andre behov, også dem som trenger hjelp til å utføre forskjellige økonomiske handlinger.
4.3.2 Veiledning og regulatorisk sandkasse for fintech
Nye aktører, nye forretningsmodeller og bruk av ny teknologi i produksjonen av finansielle tjenester skaper behov for avklaringer og veiledning fra myndighetene. Aktører med liten erfaring med regulering og tilsyn kan ha særlig behov for veiledning, men også etablerte finansforetak kan ha behov for veiledning dersom de ønsker å tilby tjenester på nye måter. Informasjons- og veiledningsarbeid kan spille en viktig rolle i å gjøre veien kortere for innovativ teknologi å bli tatt i bruk. Siden 2017 har Finanstilsynet hatt et eget kontaktpunkt for fintech-virksomhet, bestående av en nettside og kontaktinformasjon for henvendelser til Finanstilsynet. På nettsiden er det informasjon om bl.a. Finanstilsynets rolle, regelverk, krav til konsesjon og søknadsprosesser. I tillegg til informasjon om relevant regelverk, kan Finanstilsynet gi veiledning og avklaringer om konsesjonssøknader. Dette skal bidra til en effektiv oppfølging av henvendelser, og å identifisere teknologiske utviklingstrekk og eventuelle behov for endringer i regelverket.
I regulatoriske sandkasser gis utvalgte virksomheter mulighet til å teste ut bestemte produkter, teknologier eller tjenester på et begrenset antall kunder, i en begrenset tidsperiode og under tett oppfølging av tilsynsmyndighetene. Regulatoriske sandkasser innebærer ikke fritak fra konsesjonskrav eller regulatoriske krav som følger av nasjonal eller europeisk lovgivning. Finanstilsynet etablerte i 2018 en slik regulatorisk sandkasse for fintech i Norge. Målet med sandkassen er å bidra til økt teknologisk innovasjon og til å øke innovative virksomheters forståelse av regulatoriske krav. Sandkassen skal også være med på å øke Finanstilsynets forståelse av nye teknologiske løsninger i finansmarkedet og gjøre det lettere å identifisere potensielle risikoer på et tidlig stadium.
Både eksisterende foretak under tilsyn, nye aktører som planlegger å søke om nødvendige tillatelser, og leverandører som tilbyr tjenester til virksomheter under tilsyn, kan delta i Finanstilsynets regulatoriske sandkasse. Kriteriene for å bli tatt opp er at tjenesten er knyttet til regulerte finansielle tjenester under Finanstilsynets ansvarsområde, at tjenesten vil gi fordeler for forbrukere eller det finansielle systemet som helhet, at tjenesten representerer en teknologisk innovasjon eller noe som er genuint nytt, at deltakelse i sandkassen er avgjørende for at tjenesten skal kunne realiseres, og at foretaket og tjenesten er klar til å starte deltakelse i sandkassen.
Det har så langt vært tre puljer med opptak av virksomheter i Finanstilsynets regulatoriske sandkasse:
Quesnay AS og Sparebank 1 SR-Bank ble tatt opp i 2020. Quesnay utviklet løsninger knyttet til antihvitvaskingsarbeid hos rapporteringspliktige foretak, mens Sparebank 1 SR-Bank utviklet en løsning for digital kunderådgiving med innslag av kunstig intelligens.
Abendum AS ble tatt opp i 2021, og utviklet en løsning for å lagre og gjøre tilgjengelig revisjonsbevis basert på blokkjedeteknologi.
R8Me AS ble tatt opp i mars 2022, og utvikler en løsning for automatisert måling av bærekraft i foretak, med basis i EUs taksonomi for bærekraftig aktivitet.
Finanstilsynet samarbeider med regulatoriske sandkasser i Datatilsynet og Arkivverket. Blant annet bistår Finanstilsynet i Datatilsynets sandkasse for kunstig intelligens i forbindelse med at selskapet Finterai ble tatt opp der i november 2021. Finterai ønsker å teste ut en tjeneste basert på kunstig intelligens som skal kutte finansinstitusjoners risiko og kostnader i arbeidet mot hvitvasking og terrorfinansiering. Finanstilsynet vil delta i gjennomføringen av de delene av prosjektet som er relatert til lovverk på finansområdet. Tilsvarende deltok Datatilsynet i Finanstilsynets sandkasse da Quesnay var tatt opp der. I tillegg har Finanstilsynet jevnlig kontakt med regulatoriske sandkasser for fintech i andre land, som Danmark og Spania, og deltar på møter i European Forum for Innovation Facilitators (EFIF).
Erfaringene med sandkassen har så langt vært positive, og både Finanstilsynet og deltakende foretak har hatt nytte av samarbeidet. Regjeringen mener det er viktig med gode løsninger som bidrar til rask behandling av nye, innovative løsninger, og vil derfor videreføre den regulatoriske sandkassen for finansnæringen.
4.3.3 Realtidsbetalinger og grensekryssende betalinger
I Norges Banks oppgjørssystem (NBO) gjøres bankenes posisjoner mot hverandre opp fem ganger i døgnet. Realtidsbetalinger er betalinger der mottaker får pengene direkte inn på konto sekunder etter at betalingen er satt i gang, uavhengig av når betalingen skjer. I Norge etablerte banknæringen et system for dette i 2013, som i 2020 ble forbedret ved at bankenes felles interbanksystem NICS ble utvidet med et nytt løp for realtidsbetalinger kalt NICS Real. Nesten alle bankene er i dag tilknyttet NICS Real, som i praksis ikke innebærer noen kredittrisiko for bankene, siden det settes av midler i sentralbanken som sikkerhet for oppgjøret. I det tidligere systemet fikk betalingsmottaker pengene uten at bankene hadde sikret oppgjøret seg imellom, slik at mottakers bank risikerte at pengene fra betalers bank ikke kom som avtalt.
Realtidsbetalinger kan brukes i nett- og mobilbank og mobilbetalingsløsninger som Vipps, og har økt mye de siste årene, jf. avsnitt 4.2.1. Samtidig mener Norges Bank at utviklingen har gått saktere enn ønsket, og at tilgangen til realtidsbaserte betalingstjenester må utvikles videre, bl.a. ved å legge til rette for betalingstjenester for bedrifter og offentlig sektor. Norges Bank vil derfor vurdere å ta et økt operativt ansvar for den underliggende infrastrukturen for realtidsbetalinger. Norges Bank har hatt på høring et høringsnotat som diskuterte to alternativer for å etablere en egen infrastruktur hvor enkelttransaksjoner gjøres opp i sentralbankpenger kontinuerlig gjennom hele døgnet. Det ene alternativet er anskaffelse av et eget system. Det andre er samarbeid med andre sentralbanker i Europa ved en tilknytning til eurosystemets TIPS-løsning i Den europeiske sentralbanken (ESB). TIPS (TARGET Instant Payment Settlement) ble satt i drift i november 2018 for realtidsbetalinger i euro. Også flere andre sentralbanker har i den senere tid etablert eller har besluttet å etablere egne infrastrukturer for realtidsbetalinger, bl.a. Federal Reserve i USA.
Norges Bank har i etterkant av høringen innledet forhandlinger med ESB. I forhandlingene vil opplegget for sikkerhetsstyring være et sentralt tema. Norges Bank vil fatte endelig beslutning om deltakelse i TIPS etter gjennomførte forhandlinger med ESB. En norsk deltakelse i TIPS forutsetter bl.a. at en finner løsninger som sikrer at både bankene og Norges Bank kan ha kontroll på sin likviditetsstyring på samme måte som i dag. Flere av de nordiske sentralbankene deltar allerede, eller planlegger å delta, i TIPS. Finlands Bank er del av eurosystemet, og deltar gjennom det i TIPS. Sveriges Riksbank har inngått en avtale med ESB om å delta i TIPS, slik at realtidsbetalinger i svenske kroner skal kunne gjøres opp i TIPS fra mai 2022. Danmarks Nationalbank har offentliggjort at realtidsbetalinger i danske kroner skal kunne gjøres opp i TIPS fra 2024/25.
Mens innenlandske betalinger har blitt enklere og raskere de siste årene, er tilbudet langt dårligere for grensekryssende betalinger. Grensekryssende betalinger er som regel både dyre, trege og lite transparente. ESB og Sveriges Riksbank utreder nå hvordan TIPS kan tilrettelegges for realtidsbetalinger mellom euro og andre valutaer. Det kan tilrettelegge den underliggende infrastrukturen for realtidsbetalinger på tvers av landegrenser og i ulike valutaer. En beslutning er ventet høsten 2022.
Det er også satt i gang flere initiativer med mål om å forbedre grensekryssende betalinger, bl.a. et arbeid i EU for billigere og raskere betaling på tvers av grensene, i første omgang for euro, og et globalt initiativ i regi av det internasjonale betalingsnettverket SWIFT. Forbedring av grensekryssende betalinger står også på agendaen til G20 og Financial Stability Board, som høsten 2020 publiserte et veikart som oppstiller utfordringer og målsettinger for arbeidet fremover. En gruppe europeiske mobilbetalingsleverandører, inkludert norske Vipps, danske MobilePay og svenske Swish, har dessuten etablert EMPSA (European Mobile Payment Systems Association), som arbeider med mål om sømløse mobilbetalinger på tvers av landegrensene.
4.3.4 Bankbytte
Regjeringen er opptatt av at forbrukere enkelt skal kunne bytte bank. Det krever at bankene selv har gode løsninger, og at regulering og andre rammebetingelser er tilpasset utviklingen i markedene.
Det har blitt enklere å bytte bank i Norge de siste årene, bl.a. fordi bankene har samlet seg om Finans Norges regler om samarbeid ved bankbytte. Bankene skal etter reglene gi sine kunder informasjon om hvordan kundeforholdet kan overføres fra en bank til en annen. Kunden skal ikke trenge å gjøre mer enn å be den nye banken sette i gang prosessen, f.eks. i «bli kunde»-løsninger på nettet. Hovedregelen er at overføring av innskudd, fullmakter og betalingsoppdrag skal skje innen tre virkedager etter at den gamle banken har mottatt nødvendige opplysninger fra den nye banken. På Finansportalen kan kundene finne oversikt over priser og vilkår, og sette i gang bytteprosessen, jf. avsnitt 4.3.5. Muligheten for å signere konto- og låneavtaler raskt og digitalt med BankID gjør det også enklere å bytte bank, jf. avsnitt 4.2.2.
I den nye finansavtaleloven, som det tas sikte på at trer i kraft 1. januar 2023, er mesteparten av Finans Norges regler lovfestet, herunder regler om at forbrukere skal få bistand til å flytte kundeforholdet til en ny tjenesteleverandør. Bankene skal sikre forbrukere tilgang til en klar, hurtig og sikker prosedyre for bytte av betalingskonto, som skal være enkel for forbrukerne å benytte. Bytteprosessen skal omfatte faste betalingsavtaler, som AvtaleGiro. Finansnæringen har for øvrig igangsatt et prosjekt for å forenkle prosessen med å flytte faste betalingsavtaler. Siden eFaktura-avtaler er koblet til personnummer, ikke bank, påvirkes de ikke av bankbytte.
Undersøkelser fra mange land viser at forbrukerne tradisjonelt har byttet bank og andre leverandører av finansielle tjenester vesentlig sjeldnere enn leverandører av andre typer tjenester. Ifølge undersøkelser av forbruker- og finanstrender fra Kantar har andelen som bytter boliglånsbank i Norge ligget rundt 8–10 pst. de siste årene, mens andelen som reforhandler boliglånet har ligget på ca. 25 pst. Bedre betingelser hos den nye banken, samt misnøye med betingelser eller service i den gamle banken har blitt oppgitt som hovedårsaker for hvorfor kunder bytter bank. Undersøkelser har også vist at de viktigste grunnene til at kundene ikke bytter bank, er at de er fornøyde med banken, tror det er lite å spare og ikke ønsker å bruke tid på det. Samtidig kan det lave rentenivået de siste årene ha bidratt til at færre har tatt initiativ til å bytte bank eller reforhandle lån. Kundene har i liten grad gitt uttrykk for at de tror bankbytte er vanskelig. Ifølge undersøkelsene fra Kantar har andelen som tror det er lett å bytte bank, holdt seg relativt stabil på i underkant av 50 pst. siden 2017. Andelen som tror det er vanskelig å bytte bank, har ligget rundt 20 pst.
De nye mulighetene som regelverket for betalingstjenester gir, for eksempel ved at det nå finnes tjenester som gir oversikt over betalingskontoer i flere banker, kan redusere behovet for å bytte bank, og kan bidra til at flere velger å ha flere bankkontoer i ulike banker som de veksler mellom.
Spørsmål om såkalt kontonummerportabilitet har stått på agendaen i flere land de siste årene. Kontonummerportabilitet innebærer at kontonummer følger kunden ved bankbytte. Kontonummerportabilitet kan generelt være egnet til å øke mobiliteten i et bankmarked, men det er usikkert hvor stor nytten vil være, bl.a. som følge av regulatoriske og teknologiske utviklinger som gjør at bankbytte over tid har blitt enklere. I de eksisterende banksystemene angir kontonummeret viktig informasjon som brukes i lange transaksjonskjeder for å identifisere bl.a. banken, filialen og kunden. Fellestrekk ved arbeid på dette feltet i ulike land, er at det er betydelige tekniske utfordringer og høye kostnadsanslag, bl.a. fordi kontonummerportabilitet vil kreve større omlegginger og innebære betydelige utfordringer og kostnader uavhengig av modell. I tillegg er mange betalinger grensekryssende, noe som tilsier at et eventuelt system for kontonummerportabilitet bør være et fellesprosjekt i EU/EØS.
Europakommisjonen skulle etter betalingskontodirektivet publisert en rapport om bl.a. kostnader og fordeler med kontonummerportabilitet i EU i september 2019. Rapporten er blitt forsinket i flere omganger. Etter det departementet er kjent med, kan den komme sommeren 2022. Som en forberedelse til rapporten har Europakommisjonen fått utarbeidet flere analyser som ser på ulike aspekter ved betalingskontoer og byttekostnader i EU. En studie som ble publisert i april 2021 ser på ulike verktøy som kan legge til rette for bytting og grensekryssende betalingskontoer i EU.3 I studien pekes det bl.a. på at utviklingen av kontonummerportabilitet i EU kan forenkle bytteprosessen betydelig, men også innebære betydelig kompleksitet i implementeringen. Ingen av de ulike alternativene som undersøkes i studien vil være samfunnsøkonomisk lønnsomme. Regjeringen vil vurdere Europakommisjonens rapport når den foreligger.
Selv om bankbytte har blitt enklere de siste årene, og utvikling av nye tjenester kan gjøre at flere velger å ha flere banker, er det rom for forbedringer. Eksempelvis er det i land som Storbritannia og Nederland mer omfattende bankbyttetjenester enn i Norge, bl.a. slik at bankene automatisk gjennomfører overføringer fra gammel til ny konto i en lengre periode. En annen kjent tjeneste er automatiske varslinger til betalere dersom en kunde får betalinger inn på gammel konto. Mer omfattende bankbyttetjenester kan være et alternativ til en nærmere vurdering av kontonummerportabilitet. Regjeringen tar sikte på å følge opp dette overfor bankene etter at Europakommisjonens rapport om kontonummerportabilitet foreligger.
4.3.5 Finansportalen
Regjeringen er opptatt av å bidra til enkle og rimelige banktjenester for forbrukerne, blant annet gjennom mer gjennomsiktighet av bankenes boliglånsrenter og prising av tjenester. Det viktigste verktøyet er Finansportalen.
Finansportalen er en nettportal drevet av Forbrukerrådet. Portalen har en viktig funksjon i å samle inn og gi god, sammenlignbar og enkelt tilgjengelig informasjon om bank-, forsikrings-, pensjons- og fondsprodukter i finansmarkedet, slik at forbrukerne kan finne de beste prisene og vilkårene. Portalen har også verktøy for bytte av tjenesteleverandør, og har som formål å bidra til større gjennomsiktighet i priser og øvrige vilkår. Finansportalen leverer i tillegg data til andre aktører som dermed kan publisere oppdatert informasjon om finansmarkedet gjennom sine distribusjonskanaler og prissammenligningstjenester. Forbrukerrådet har nylig forbedret de tekniske løsningene til portalen, utviklet nytt design, styrket datakvaliteten og opprettet en ny sammenligningstjeneste for egen pensjonskonto.
Det er viktig at forbrukere og andre kan ha tillit til at Finansportalen gir prisinformasjon som holder høy kvalitet og er oppdatert. Dette er også viktig fordi prisopplysninger fra Finansportalen er grunnlag for rentesatser som myndighetene benytter til en rekke formål.4 Det er derfor en prioritert oppgave for Forbrukerrådet å arbeide for at Finansportalen leverer korrekte og dekkende opplysninger til både forbrukere og andre interessenter innenfor alle områder portalen dekker. Dette forutsetter bl.a. tilstrekkelig innrapportering fra banker, forsikringsforetak og andre finansielle foretak. Foretakene har plikt til å innrapportere sine priser til portalen. Prisene er veiledende og gjelder nye kunder, og ikke nødvendigvis de prisene den enkelte kunde faktisk får. Det henger sammen med at foretakene må tilpasse prisene etter kundespesifikke vurderinger av risiko, betjeningsevne og andre relevante forhold. Det finnes imidlertid andre tjenester, som Renteradar, som i noen grad også sammenligner faktiske priser, basert på data som tjenestens brukere har tillatt at hentes ut fra foretakene.
Finansdepartementet har fastsatt krav om at finansforetak, verdipapirforetak og forvaltningsselskaper for verdipapirfond skal ha en godt synlig lenke til Finansportalen på forsiden av sine nettsider og på øvrige digitale plattformer hvor priser eller produkter presenteres.
4.4 Kryptoaktiva og desentralisert finans
4.4.1 Markedsutvikling
Siden Bitcoin ble lansert i 2009 har markedet for kryptovalutaer og andre kryptoaktiva vokst kraftig. Markedet består i dag av et stort antall kryptoaktiva som har til felles at de er basert på blokkjedeteknologi, se boks 4.2. Én Bitcoin var ved utgangen av 2021 verdt omtrent 46 800 dollar, og den totale markedsverdien for kryptoaktiva var på samme tid omtrent 2 200 mrd. dollar, ifølge plattformen Tradingview. Det er en kraftig økning fra henholdsvis 7 400 dollar og 191 mrd. dollar ved utgangen av 2019. De siste årene har prisene i markedet vært preget av høy volatilitet, se figur 4.4. I mars 2020 ble verdien på Bitcoin halvert i løpet av noen få dager, og i mai 2021 falt den totale markedsverdien for kryptoaktiva med 40 pst.
Utvikling av internasjonale handelsplattformer for kryptoaktiva og ulike betalings- og investeringsapplikasjoner rettet mot massemarkedet, slik som PayPal og Robinhood, har gjort det enklere for ikke-profesjonelle investorer å handle i kryptoaktiva de siste årene. Også i Norge har det vært en fremvekst av handelsplattformer for kryptoaktiva, som NBX, MiraiEx og Kaupang. En undersøkelse gjennomført av Arcane Research og EY fant at 420 000 nordmenn eide kryptovaluta i mars 2022, det vil si omtrent 10 pst. av den voksne befolkningen. Dette er en økning fra 4 pst. i 2019 og 7 pst. i 2020.
I tillegg har store og etablerte finans- og teknologiaktører begynt å involvere seg mer i markedet for kryptoaktiva. Både Mastercard og Visa tilbyr tjenester for å kunne formidle betalinger med kryptoaktiva, bl.a. via betalingskort som er knyttet opp mot en kryptobeholdning. Facebook var involvert i arbeidet med kryptovalutaen «Diem», som etter planen skulle fungere som en digital lommebok bl.a. i applikasjoner som Messenger og Whatsapp. Arbeidet med Diem ble imidlertid avsluttet i 2022.
Utviklingen i kryptoaktivamarkedet gjenspeiler fremveksten de siste årene av desentralisert finans («DeFi») mer generelt. Desentralisert finans er i grove trekk finansielle produkter og tjenester som benytter desentralisert teknologi, altså uten å være avhengig av en sentralisert tredjepart. OECD definerer DeFi som et forsøk på å gjenskape visse funksjoner ved det tradisjonelle finanssystemet på en åpen, desentralisert og autonom måte, basert på blokkjedeteknologi.5 Et eksempel på en DeFi-applikasjon er kryptovalutaer med stabiliseringsmekanismer (såkalte stablecoins), som er en type kryptoaktiva med en stabil verdi mot nasjonale valutaer eller andre referanser. Et annet eksempel er såkalte desentraliserte handelsplasser, der brukerne kan handle kryptoaktiva med hverandre uten behov for en sentral mellompart. I tillegg er det utviklet flere typer kryptoaktiva basert på blokkjedeteknologi, bl.a. markedet for «Non-Fungible Tokens» (NFT-er). NFT-er har unike identifikasjonskoder slik at de kan skilles fra hverandre og ikke dupliseres, og brukes bl.a. til å verifisere originaler av digital kunst og andre samlegjenstander.
Både i Norge og internasjonalt arbeides det på flere fronter med hvilke muligheter som kan ligge i kryptoaktiva og desentralisert teknologi (DLT) generelt. IMF har vist til at teknologien bak kryptoaktiva kan tilrettelegge for raskere og billigere betalinger over landegrenser, og at desentralisert finans kan bli en plattform for mer innovative, inkluderende og transparente finansielle tjenester i fremtiden.6 DLT kan videre være en hensiktsmessig teknologi for gjennomføring av visse automatiserte kontrakter (såkalte smartkontrakter), idet verdier kan overføres simultant uten behov for mellomparter. Enkelte sentralbanker har også vurdert om desentralisert teknologi kan benyttes i oppgjørssystemet mellom banker.
Boks 4.2 Desentralisert teknologi og blokkjeden
Desentralisert teknologi («Distributed Ledger Technology», DLT) har fått stor oppmerksomhet de siste årene som underliggende teknologi for kryptoaktiva som Bitcoin. Desentralisert teknologi er en måte å lagre og distribuere data, f.eks. transaksjoner, i et delt register uten behov for en sentral aktør. Tilliten til det desentraliserte registeret ivaretas gjennom mekanismer som skal sikre at bare gyldige transaksjoner legges inn av deltakerne i systemet. Mange kryptoaktiva benytter såkalt blokkjedeteknologi for å ivareta integriteten til det underliggende desentraliserte registeret. Blokkjeden kan i konteksten av kryptoaktiva beskrives som en desentralisert og distribuert digital regnskapsbok, der hver blokk i kjeden inneholder informasjon om transaksjoner i en bestemt kryptoaktiva. Deltakerne i blokkjeden kan konkurrere om å samle nye transaksjoner i blokker og validere at disse er gyldige og konsistente med foregående blokker i kjeden, f.eks. ved å løse energikrevende matematiske regnestykker. Når en blokk med transaksjoner er validert, legges den på blokkjeden, og deltakeren som validerte blokken blir belønnet med nyutstedte enheter av kryptoaktivaen. Denne prosessen kalles utvinning, eller «mining», av kryptoaktiva. Validering av blokker krever generelt store ressurser, i tillegg til at deltakerne ikke får noen utvinningsgevinst dersom en blokk ikke blir akseptert og bygget videre på i etterfølgende valideringer. Slik skaper systemet insentiver til at blokkjeden oppdateres med gyldige transaksjoner.
4.4.2 Risiko
Fremveksten av desentralisert finans kan potensielt bidra til en mer effektiv finanssektor og til finansiell innovasjon, men er også forbundet med risiko. I et kommuniké fra et møte i mars 2018 uttalte G20-lederne at kryptovaluta reiser problemstillinger knyttet til blant annet forbruker- og investorbeskyttelse, hvitvasking og terrorfinansiering, og at slike valutaer på sikt kan få implikasjoner for finansiell stabilitet. De samme problemstillingene, i tillegg til markedsintegritet, personvern og markedsmakt, ble løftet frem av en arbeidsgruppe under G7 i oktober 2019.7 I lys av dette risikobildet publiserte de europeiske finanstilsynsmyndighetene EBA, ESMA og EIOPA i februar 2018, i mars 2021 og i mars 2022 felles uttalelser der de advarte forbrukerne mot risikoene knyttet til kryptovaluta, blant annet manglende pristransparens, misvisende informasjon og høy prisvolatilitet. Finanstilsynet har sluttet seg til og videreformidlet advarslene.
Norges Bank påpeker i sin «Finansiell infrastruktur»-rapport fra 2020 at dersom befolkningen holder store mengder kryptovalutaer på bekostning av bankinnskudd, kan bankenes renter påvirke økonomien i mindre grad enn før og sentralbankens gjennomslag for pengepolitikken svekkes. Dette vil kunne ha store konsekvenser for myndighetenes evne til å opprettholde finansiell stabilitet. I sin rapport om finansiell stabilitet fra oktober 2021 peker IMF på en slik svekkelse av transmisjonsmekanismen som en av flere grunnleggende utfordringer ved at et lands innbyggere bruker kryptoaktiva i større grad enn den nasjonale valutaen, en utvikling IMF omtaler som kryptofisering («cryptoization»).8 IMF viser også til at varepriser og verdien av finansielle midler kan variere betraktelig ved en slik kryptofisering av økonomien.
Norges Bank har videre pekt på at stablecoins kan bli kritiske for betalingsinfrastrukturen dersom omfanget av denne typen kryptoaktiva blir stort nok. Et system med høy utbredelse av stablecoins vil kunne være sårbart for svikt som følge av svindel, manipulasjon eller av tekniske grunner. Dette kan medføre at brukere mister betalingsmidlene sine eller ikke får gjennomført betalinger. En effekt av dette kan bli verdifall i aktivaene som holdes og smitteeffekter i finansiell sektor som kan føre til finansiell ustabilitet.
Videre er de fleste kryptoaktiva preget av å være svært volatile og spekulative, og EUs finanstilsynsmyndigheter har i sine felles uttalelser pekt på at markedet viser tydelige tegn på en prisboble. Blant andre har Financial Stability Board (FSB) vurdert dette til å utgjøre en stor finansiell risiko forbundet med utstrakt bruk av kryptoaktiva, ettersom det kan bidra til store svingninger i formue, konsum og økonomisk aktivitet.9 FSB publiserte i februar 2022 en rapport om utviklingen i markedet for kryptoaktiva og implikasjoner for finansiell stabilitet. Etter FSBs vurdering kan markedet i fremtiden utgjøre en trussel mot finansiell stabilitet som følge av markedets størrelse, strukturelle sårbarheter og økende grad av sammenkobling med det tradisjonelle finansielle systemet.
Flere har også uttrykt bekymring over strømforbruket og klimaavtrykket forbundet med utvinningen av kryptoaktiva som Bitcoin. Ifølge beregninger fra Cambridge University bruker utvinningen av Bitcoin ca. 138 terawattimer (TWh) i året.10 Til sammenligning var strømforbruket i Norge totalt 140 TWh i 2021, ifølge Statnett. Strømforbruket og klimaavtrykket forbundet med enkelte typer kryptovaluta dannet bakteppet for at det svenske finanstilsynet i november 2021 oppfordret EU til å forby «proof of work», en svært energikrevende form for kryptoutvinning, som bl.a. brukes til å utvinne Bitcoin.
Det er i tillegg bred internasjonal enighet om at kryptovalutaer utgjør en betydelig risiko for hvitvasking og terrorfinansiering. Også risikoen for omgåelse av sanksjoner rettet mot personer og foretak, vedtatt av FNs sikkerhetsråd, EU og andre og gjort til del av norsk rett, er betydelig. Financial Action Task Force (FATF), som er den internasjonale standardsetteren for tiltak mot hvitvasking og terrorfinansiering, har de siste årene analysert risikoen for misbruk av kryptovaluta til kriminelle formål. Sårbarhetene knytter seg til hvordan kriminelle og andre illegitime aktører hurtig kan overføre verdier, gjerne over landegrensene, uten de kontrollmekanismene som det regulerte finansmarkedet har. Truslene har også vært tydelig identifisert gjennom en rekke konkrete saker. Det dreier seg bl.a. om hvordan løsepengevirus krever betaling i ulike former for kryptovaluta, investeringsbedragerier der det loves utbetaling av kryptovaluta med store gevinster og bruk av kryptovaluta til kjøp av ulike typer ulovlige varer. Det er videre identifisert tilfeller av finansiering av terrorisme og omgåelse av internasjonale sanksjoner ved bruk av kryptovaluta. I en rapport til et G20-toppmøte fremhevet FATF i juni 2020 økt anonymitet, global utstrekning og mindre sporbarhet som grunner til at stablecoins medfører økt risiko for hvitvasking og terrorfinansiering.11 Sammenlignet med andre typer kryptoaktiva er det særlig muligheten for stablecoins sin større utbredelse i markedet som øker risikoen for misbruk til illegitime formål. FATF publiserte i 2020 dessuten en liste over særskilte indikatorer på hvitvasking og terrorfinansiering tilknyttet kryptovaluta, der det også fremgår informasjon om de generelle egenskapene ved kryptovaluta som skaper sårbarheter, og de truslene som er blitt identifisert vedrørende misbruk.12
I Norge har risikoen for misbruk av kryptovaluta blitt påpekt i flere trussel- og risikovurderinger over flere år. Senest i Nasjonal risikovurdering for hvitvasking og terrorfinansiering fra 2020,13 utgitt av Politidirektoratet og Politiets Sikkerhetstjeneste (PST), er det påpekt at kryptovaluta er en stadig mer utbredt metode for hvitvasking og benyttes som betalingsmiddel ved omsetning av illegale varer, og i transaksjoner som følge av bedrageri og løsepengevirus. Videre vises det til at anonymiteten ved kryptoadresser og tilsløringen av partene i transaksjonen ved bruk av uregistrerte kryptovekslere, gjør det meget sannsynlig at slike vekslere vil benyttes til hvitvasking. Risikoen for at kryptovaluta og uregistrerte vekslere skal bli brukt til hvitvasking av midler, vurderes som høy. Tilbydere av vekslings- og oppbevaringstjenester for kryptovaluta som er underlagt hvitvaskingsloven og under tilsyn av Finanstilsynet, vurderes samlet sett til å ha en betydelig risiko for misbruk til hvitvasking. Når det gjelder terrorfinansiering, gir PST uttrykk for at det er en høy iboende risiko for terrorfinansiering ved kryptovaluta.
4.4.3 Regulering
I Norge som i EU har kryptovaluta til nå som utgangspunkt falt utenfor det meste av finansmarkedsreguleringen. Tilbydere av vekslingstjenester og oppbevaringstjenester for kryptovaluta er imidlertid omfattet av antihvitvaskingsregelverket, og generelle regler om straffansvar for hvitvasking, terrorfinansiering, bedrageri mv. vil naturligvis gjelde dersom kryptovaluta inngår i kriminelle handlinger. Regjeringen følger nøye med på utviklingen i markedet for kryptoaktiva og desentralisert finans. De siste årene har det kommet mange reguleringsinitiativ fra internasjonale organisasjoner og myndigheter, herunder fra EU-kommisjonen.
En kombinasjon av manglende reguleringer, økt regulatorisk fragmentering blant EU-landene og et voksende kryptomarked med store aktører dannet bakteppet for at EU-kommisjonen i september 2020 la frem forslag til en reguleringspakke for å fremme digital finans i EU, der et forslag til regelverk for kryptoaktivamarkeder («Markets in Crypto-Assets», MiCA) inngår, se boks 4.3. Kommisjonen ønsker med reguleringen å skape et juridisk rammeverk for kryptoaktiva som ikke dekkes av eksisterende EU-regelverk, og samtidig tilrettelegge for innovasjon og like konkurransevilkår. Reguleringen har også som formål å sikre forbruker- og investorbeskyttelse for aktører i markedet for kryptoaktiva, og håndtere trusler mot finansiell stabilitet som utstrakt bruk av kryptoaktiva kan medføre. Det foreslåtte regelverket omfatter alle kryptoaktiva og tilhørende aktiviteter som ikke allerede dekkes av annet regelverk.
Boks 4.3 Forslag til EU-regelverk for kryptoaktivamarkeder (MiCA)
EU-kommisjonen la i september 2020 frem forslag til bl.a. et nytt EU-regelverk for kryptoaktivamarkeder («Markets in Crypto-Assets», MiCA). Under MiCA stilles det strenge krav til rapportering, dokumentasjon og organisering for alle utstedere av kryptoaktiva. For å kunne tilby kryptoaktiva i EU, må utstederne blant annet sende et dokument til sitt nasjonale finanstilsyn som inneholder prosjektbeskrivelser, informasjon om den underliggende teknologien og en beskrivelse av risikoene prosjektet medfører. Videre er det i MiCA krav til at markedsføringen av kryptoaktiva skal være transparent og ikke misvisende, samt at kommunikasjonen med kjøpere skal være redelig og tydelig. Tilbydere av stablecoins stilles overfor enda strengere krav på alle fronter.
MiCA stiller også en rekke krav til aktører som ønsker å tilby tjenester relatert til kryptoaktiva, som handelsplasser, oppbevaringstjenester og rådgivere. Under MiCA er det kun autoriserte tjenesteytere som har et registrert kontor i EU som vil få lov til å tilby kryptotjenester. For å bli autorisert må en tjenesteyter blant annet ha tilstrekkelig kapital til å tåle tap, ordninger for å ivareta klientenes interesser og systemer for å unngå markedsmisbruk og -manipulasjon. Tjenesteytere vil i tillegg bli holdt ansvarlig for tap av kryptoaktiva som oppstår som følge av tekniske feil eller kriminalitet.
MiCA inneholder også regler rettet mot investorer som skal motvirke markedsmisbruk og -manipulasjon, blant annet ved å forby bruken av en dominerende posisjon i kryptoaktiva for bevisst å manipulere priser og slik oppnå gevinst. Dette inkluderer regler mot markedsmanipulering fra såkalte «finfluensere» som bruker sosiale medier og andre kanaler til å påvirke priser på kryptoaktiva og villede publikum, se også omtale av investeringsrådgivning på sosiale medier i boks 3.3.
MiCA er nå til forhandlinger i EU-parlamentet og Rådet. Det er ventet at MiCA kan tre i kraft i EU innen slutten av 2024. Forslaget vurderes som EØS-relevant, og departementet vil vurdere norsk gjennomføring når regelverket er vedtatt.
Et annet aktuelt reguleringsinitiativ er Baselkomiteens høringsforslag om at bankene skal oppfylle strenge kapitalkrav ved eksponeringer mot kryptoaktiva som er ansett som særskilt risikofylte, herunder Bitcoin. I praksis innebærer forslaget at bankene må holde egenkapital som tilsvarer hele verdien på deres eksponering mot spesielt risikofylte kryptoaktiva, slik at de har nok kapital til å tåle et fullstendig tap av hele beholdningen. Høringsfristen var 10. september 2021. Dersom Baselkomiteen følger opp med anbefalinger etter høringen, er det opp til EU og andre jurisdiksjoner å vurdere gjennomføring i eget regelverk. EU-kommisjonen har allerede opplyst om at den vil vurdere å innføre Baselkomiteens forslag.
I Norge har tilbydere av vekslings- og oppbevaringstjenester for kryptovaluta vært omfattet av antihvitvaskingsregelverket siden ikrafttredelsen av gjeldende hvitvaskingslov fra 2018. Det ble dessuten vedtatt enkelte justeringer i hvitvaskingsforskriften i mai 2021, som trådte i kraft 1. juli 2021. Reglene som ble innført i 2018, baserte seg på EUs femte hvitvaskingsdirektiv. Financial Action Task Force (FATF) endret dessuten sine standarder i 2018 og 2019, og disse var del av bakteppet for de endringene som ble vedtatt i hvitvaskingsforskriften i 2021.
FATF publiserte rapporter i 2020 og 2021 om oppfølgingen av endringene i standardene.14 Videre publiserte FATF i oktober 2021 et oppdatert veiledningsdokument om risikobasert tilnærming til kryptovalutaer (av FATF kalt «virtual assets»). Til forberedelsen av 2021-rapporten om oppfølgingen av standardendringene innhentet FATF informasjon fra 128 land om status for innføring av nødvendige antihvitvaskingsregler. Rapporten viste bl.a. at det per april 2021 var 52 land som hadde innført nødvendig regelverk, mens 6 land opplyste å ha innført forbud mot de relevante tjenestene i stedet. For fremtiden antyder rapporten oppmerksomhet om følgende punkter:
Den faktiske gjennomføringen av standardene for antihvitvaskingstiltak for kryptovaluta verden over.
Å bidra til å akselerere privat sektors implementering av FATF-standardenes krav om sporbarhet i overføringer av kryptovaluta, herunder gjennom tydelig regelverk om dette i landene.
Å fortsette å følge med på markedet for kryptovaluta med tanke på eventuelt behov for ytterligere endringer eller presiseringer av standardene.
EU-kommisjonen la i juli 2022 frem en pakke med regelverksforslag på antihvitvaskingsområdet. Ett av forslagene gjelder å utvide EU-forordningen om sporbarhet i elektroniske betalinger (forordning (EU) 2015/847) til også å gjelde overføringer av kryptoaktiva. Forordningen er del av EØS-avtalen og er i Norge gjennomført som del av hvitvaskingsforskriften. Per mars 2022 forhandles det fortsatt i EU-organene om forslaget til endringer i forordningen. Endringsforordningen er ment som EUs gjennomføring av FATF-standardenes krav på dette området.
Boks 4.4 Reguleringsinitiativ utenfor EU
Kryptoaktiva er i dag lovlig i de fleste land i verden. Det er imidlertid stor variasjon i hvordan ulike lands myndigheter forholder seg til aktivaene. I USA reguleres kryptoaktiva til en viss grad av eksisterende lover som omfatter finansielle institusjoner og betalingsformidlere, men det eksisterer ingen egen lov om kryptoaktiva. I den siste tiden har behovet for nye reguleringer av kryptoaktiva blitt diskutert i USA, spesielt med hensyn til finansiell kriminalitet, skatteunndragelse og stablecoins. På oppdrag fra finansminister Janet Yellen publiserte presidentens arbeidsgruppe for finansmarkeder i november 2021 en rapport som identifiserer risiko forbundet med stablecoins og gir konkrete reguleringsforslag til amerikanske myndigheter for å håndtere risikoen.1
El Salvador gjorde Bitcoin til lovlig betalingsmiddel fra september 2021, og i dag må alle butikker, selskaper og resten av næringslivet i landet akseptere kryptovalutaen som betalingsmiddel. Pådriver for lovendringen, president Nayib Bukele, har sagt at ordningen vil gi mange innbyggere tilgang til banktjenester for første gang i et land der 70 pst. av befolkningen ikke har bankkonto. I tillegg har regjeringen som ambisjon å spare 3,5 milliarder kroner per år i gebyrer på overføringer fra borgere i utlandet. Innføringen av Bitcoin som lovlig betalingsmiddel ble møtt av sterk skepsis fra bl.a. Verdensbanken og Det internasjonale valutafondet (IMF), som pekte på hensyn til finansiell stabilitet, forbrukerbeskyttelse og klima. IMF oppfordret 25. januar i år El Salvadors myndigheter til å fjerne Bitcoin som lovlig betalingsmiddel. IMF er bekymret for at store verdisvingninger, svindel eller cyberangrep vil medføre stor ustabilitet i husholdningenes formue og at sentralbankens pengepolitikk mister sin effektivitet ved utstrakt bruk av kryptovaluta.
I sterk kontrast til El Salvador har Kina blant de strengeste reglene i verden mot kryptoaktiva. Kryptoutvinning og handelsplattformer for kryptoaktiva har vært forbudt i flere år, og i mai 2021 ble det forbudt for finansielle institusjoner i landet å utstede kryptoaktiva eller tilby tjenester tilknyttet kryptoaktiva. I september 2021 kunngjorde Kinas sentralbank at alle finansielle transaksjoner som omfatter kryptovaluta er ulovlig i landet. Formålet med Kinas strenge regulering er ifølge myndighetene å ivareta investorbeskyttelse, karbonnøytralitet og finansiell stabilitet.
1 Se «The President’s Working Group on Financial Markets» sin rapport «Report on stablecoins» fra november 2021.
4.4.4 Digitale sentralbankpenger
Digitale sentralbankpenger (DSP) er allment tilgjengelige elektroniske penger utstedt av en sentralbank i den offisielle pengeenheten. DSP er, som kontanter, en fordring på sentralbanken, i motsetning til bankinnskudd som er en fordring på en privat bank. DSP blir i dag vurdert innført av flere sentralbanker, inkludert Norges Bank. En undersøkelse fra sentralbankorganet BIS i januar 2021 finner at 86 pst. av sentralbankene i et bredt utvalg utreder DSP, og at 60 pst. ser nærmere på tekniske løsninger.15 I boks 4.5 gis en oversikt over arbeidet med digitale sentralbankpenger i enkelte land utenfor Norge.
Norges Bank har utredet bruken av DSP i rundt fire år, og avsluttet i fjor fase tre av sin utredning der en arbeidsgruppe bl.a. undersøkte tekniske løsninger og konsekvenser for bankene ved innføring av DSP.16 Norges Bank har besluttet å fortsette utredningen i en fjerde fase i inntil to år, der det bl.a. skal gjennomføres eksperimentell testing av tekniske løsninger. For Norges Bank er det overordnede spørsmålet om innføring av DSP er et hensiktsmessig tiltak for å fremme et effektivt og sikkert betalingssystem og tillit til pengevesenet. En eventuell innføring av DSP vil ifølge Norges Bank fortsatt ligge et stykke fram i tid.
I utviklede økonomier handler innføringen av DSP i stor grad om rollen til sentralbankpenger i lys av fallende kontantbruk og framveksten av nye penge- og betalingssystemer. Norges Bank peker på at kontanter har noen spesielle egenskaper og fyller funksjoner som kan være viktige også i framtidens betalingssystem, og som kan videreføres og utvikles gjennom sentralbankpenger i digital form. Ellers ønsker Norges Bank å være forberedt på å kunne innføre DSP dersom betalingssystemet utvikler seg i en annen retning enn banken i dag kan forutse. En premiss for Norges Banks utredning er at mulighetene for privat sektor til å formidle kreditt til foretak og husholdninger ikke svekkes vesentlig. Å innføre DSP vil kreve politisk forankring. Finansdepartementet følger Norges Banks utredningsarbeid nøye.
Boks 4.5 Arbeidet med digitale sentralbankpenger internasjonalt
Venezuela lanserte i 2018 en sentralbankstøttet digital valuta, kalt petro. Siden har land som Bahamas, Nigeria og Kina lansert digitale versjoner av sine valutaer. I Sverige har Riksbanken kommet lengre enn Norges Bank i arbeidet med DSP, og i februar 2020 startet banken et pilotprosjekt med Accenture for å bygge en teknisk plattform for sin e-krone. I et testmiljø simuleres inn- og utbetalinger av DSP på en digital lommebok, samt betalinger med DSP i ulike situasjoner. Riksbanken har i 2021 bl.a. testet sin digitale løsnings ytelse ved massebetalinger og gjennomført tester av tjenestedistributører.1
ECB besluttet i juli 2021 å lansere et prosjekt for en digital euro. De påpekte at prosjektet ikke nødvendigvis vil medføre at en digital euro tilbys, men at sentralbanken ønsker å være klar for utstedelse dersom det skulle bli hensiktsmessig. Banken startet i oktober 2021 å undersøke hvordan en slik digital euro kan se ut, samt de juridiske implikasjonene og de økonomiske konsekvensene av en utstedelse. Denne fasen vil vare i to år, før banken skal bestemme seg for hvorvidt en digital euro skal utvikles.
I USA har Federal Reserve begynt innledende undersøkelser av digitale sentralbankpenger. I januar 2022 publiserte sentralbanken en rapport som ser på fordelene og risikoene forbundet med en digital valuta som utstedes av den amerikanske sentralbanken. I rapporten uttalte sentralbanken at de bare vil gå videre med utviklingen av DSP dersom undersøkelser viser at fordelene for husholdninger, bedrifter og økonomien som helhet ved å innføre DSP er større enn nedsiderisikoen. Sentralbanken ba også om innspill og tilbakemeldinger på rapporten, som de vil vurdere i det videre arbeidet.
1 Se Sveriges Riksbanks rapport «E-kronapiloten etapp 1» fra april 2021.
4.5 Håndtering av digital sårbarhet
4.5.1 Robust infrastruktur
Den finansielle infrastrukturen består av betalingssystemene og andre systemer som er nødvendige for at økonomiske transaksjoner skal kunne gjennomføres. Økt digitalisering og bruk av ny teknologi i finanssektoren gir gevinster, men medfører også nye og endrede sårbarheter. Dersom en større bank, et sentralt infrastrukturforetak eller mange banker samtidig blir satt ut av spill over noe tid som følge av svikt i IKT-systemer, kan det true den finansielle stabiliteten, se også omtale i avsnitt 2.3.4. Høy endringstakt, mer kompliserte systemer og stadig lengre verdikjeder kan øke risikoen. Økt mangfold av aktører og løsninger kan virke risikoreduserende hvis transaksjoner og tjenester kan utføres i flere, delvis uavhengige systemer. Utviklingen så langt viser imidlertid at den nye tjenesteytingen i hovedsak har skjedd innenfor eller i forlengelsen av eksisterende infrastruktur.
Finansielle tjenester er utpekt som en av 14 kritiske samfunnsfunksjoner som må opprettholdes av hensyn til samfunnssikkerheten, og Finansdepartementet er hovedansvarlig departement i henhold til samfunnssikkerhetsinstruksen. DSB har på oppdrag fra Justis- og beredskapsdepartementet et pågående arbeid med å revidere oversikt over de kritiske samfunnsfunksjonene, der både Norges Bank og Finanstilsynet har gitt enkelte innspill.
Den norske finansielle infrastrukturen vurderes jevnt over som robust, sikker og effektiv, se f.eks. Norges Banks rapport Finansiell infrastruktur 202117 og Finanstilsynets Risiko- og sårbarhetsanalyse 2021.18
Det ble ikke observert spesielt alvorlige avvik i driften av betalingssystemene i 2021. Med unntak av en driftshendelse i Danske Bank i oktober var det ingen driftshendelser av spesielt lang varighet. Imidlertid var det hendelser der flere banker rapporterte om gjentagende ustabilitet og periodevis utilgjengelighet i betalingstjenester grunnet driftsproblemer hos leverandør. I forbindelse med bytte av driftsleverandør var det betydelig ustabilitet i tilgangen til BankID-tjenesten for mange brukere mot slutten av året. Finanstilsynet vurderer problemene som alvorlige, og har fulgt opp saken overfor Vipps og bankene.
Høy endringstakt, mer kompliserte systemer og stadig lengre verdikjeder kan øke risikoen for operasjonelle problemer. For eksempel kan det være komplisert og ressurskrevende for bankene å integrere nye applikasjoner i eldre og komplekse IKT-systemer, samtidig som nye aktører introduserer alternative løsninger både i og utenfor den etablerte infrastrukturen. Utviklingen kan utfordre finansforetakenes evne til å opprettholde god sikkerhet, styring og kontroll, og øker behovet for å overvåke og begrense systemrisikoen som kan følge av IKT-hendelser.
IKT-driften i finanssektoren er i betydelig grad utkontraktert til et relativt lite antall sentrale tjenesteleverandører og datasentre, som også leverer viktige tjenester til andre sektorer. Tjenesteleverandørene kan ha mer ressurser og kompetanse til å utvikle robuste løsninger enn de enkelte foretakene, og dermed bidra til å redusere risikoen for uønskede hendelser i systemene. Hvis det først oppstår problemer hos en sentral tjenesteleverandør, kan det imidlertid få ringvirkninger til store deler av finanssystemet og andre viktige samfunnsfunksjoner i Norge. Ansvaret ligger hos systemeierne, det vil si banker og andre som har konsesjon til å yte de aktuelle tjenestene, selv om driften er satt ut til andre. Finanstilsynet følger opp foretak under tilsyn, herunder at foretakenes oppfølging av leverandørenes virksomhet er i tråd med regelverket. Norges Bank har pekt på at konsentrasjons- og systemrisikoen knyttet til IKT-leverandører vanskelig kan håndteres av den enkelte systemeier, og har foreslått for Justis- og beredskapsdepartementet at det bør utredes nærmere hvordan sentrale IKT-leverandører og datasentre best kan underlegges tilsyn. Finansdepartementet følger opp dette overfor Justis- og beredskapsdepartementet.
Deler av IKT-driften i finanssektoren foregår utenfor Norge, enten ved at den gjennom utkontraktering er flyttet ut av Norge eller at aktiviteten som drives i Norge skjer gjennom filial og der IKT-driften skjer i hjemlandet. Der dette skjer gjennom utkontraktering er det viktig at slik utflytting skjer på en forsvarlig måte, både av hensyn til det enkelte foretak og til finanssystemet som helhet. Finanstilsynet legger i sin tilsynsmessige oppfølging vekt på at foretakene skal gjøre grundige risikoanalyser og vurderinger ved ny eller endret utkontraktering, og tilsynet kan iverksette tiltak overfor uforsvarlig utkontraktering. Selv om det er klare rammer i regelverket for hva slags oppgaver som kan utkontrakteres, er det en fare for at foretakenes egen IKT-kompetanse svekkes, og at den norske finansnæringen ikke vil få dekket sitt fremtidige kompetansebehov innen kritiske områder. Flere foretak har imidlertid sett behovet for selv å besitte nødvendig IKT-kompetanse om utkontrakterte tjenester. Dette gjelder både bestiller-, fag-, nettverks- og sikkerhetskompetanse, og foretakene har tatt grep for å sikre dette, bl.a. gjennom nyrekruttering og kompetanseprogrammer og ved å ta større ansvar i utkontrakteringsforholdet.
Det er de siste årene gjennomført eller besluttet flere vesentlige endringer i den norske finansielle infrastrukturen. Blant annet har Oslo Børs tatt i bruk Euronexts handelssystemer, Vipps har flyttet driften av BankID fra Nets til DXC og hos Eika-alliansen pågår arbeid med å forberede bytte av leverandør av kjernebank- og betalingsløsninger fra SDC til TietoEvry. Norges Bank har også byttet driftsleverandør for sitt oppgjørssystem. Mastercard arbeider med å ta over driften av avregningssystemet NICS og en rekke betalingstjenester benyttet av norske banker.
Beredskapen i det elektroniske betalingssystemet er i 2021 forbedret ved at kapasiteten i betalingsterminaler hos samfunnskritiske aktører i detaljhandelen har økt vesentlig. Forbedringene er gjennomført hos tilbydere av nødvendighetsvarer som dagligvarer/mat, medisin og drivstoff. Endringene innebærer bl.a. at betalingsterminalene skal kunne lagre transaksjoner tilsvarende forventet omsetning i syv døgn i situasjoner der transaksjonene ikke kan gjennomføres og gjøres opp på vanlig måte.
Som alle store og komplekse IKT-systemer er også den finansielle infrastrukturen avhengig av at strøm og tele- og datakommunikasjon fungerer. Svikter leveransen av disse grunnleggende innsatsfaktorene, kan det raskt slå ut i et redusert tjenestetilbud til kundene og gjøre det vanskeligere for finansforetakene å samhandle internt og med andre aktører. Myndighetene med ansvar for elektronisk kommunikasjon (ekom) har økt innsatsen rettet mot sikkerhet og robusthet, og det arbeides kontinuerlig med å redusere sårbarheter knyttet til ekomnettet og -tjenester. Som et ledd i oppfølgingen av Meld. St. 28 (2020–2021) Vår felles digitale grunnmur styrkes samarbeidet og samhandlingen mellom kraft- og ekomsektoren for å forbedre håndteringen av utfall av ekomtjenester som skyldes svikt i kraftforsyningen.
4.5.2 Cyberangrep
Finanssektoren er internasjonalt den sektoren som er hyppigst utsatt for cyberangrep. Størrelsen på, og frekvensen av, angrepene er økende og metodene stadig mer sofistikerte. Cyberangrep har potensial til å true finansiell stabilitet og er dermed en kilde til systemrisiko i det finansielle systemet, som omtalt i kapittel 2.3.4.
Også i Norge er det et økende omfang av cyberangrep mot foretakene og deres kunder. I finanssektoren har angrep oftest blitt avverget før de har fått konsekvenser for finansforetaket. I 2021 ble det rapportert 20 sikkerhetshendelser fra finansforetak til Finanstilsynet. Mange av disse gjaldt en sårbarhet i et såkalt loggverktøy som ble avdekket i desember 2021. Det ble observert en rekke forsøk på å utnytte sårbarheten, men det er ikke kjent at noen lykkes med å få tilgang til IT-systemer i norske finansforetak. De berørte finansforetakene har gjort nødvendige oppdateringer av IT-systemene og gjennomført tiltak for å overvåke og håndtere eventuelle forsøk på å utnytte sårbarheten. Øvrige rapporterte sikkerhetshendelser kom i hovedsak fra mindre finansforetak og bestod bl.a. av virusangrep. Det ble rapportert ett tjenestenektangrep (DDoS). Flere banker rapporterte om spesielt aggressive phishing-kampanjer. En sentral leverandør til finanssektoren ble utsatt for et løsepengeangrep, men dette rammet ikke foretak i finanssektoren.
Det har til nå ikke vært sikkerhetshendelser i det norske finansmarkedet med konsekvenser for den finansielle stabiliteten. Angrepene mot den finansielle infrastrukturen i Norge øker imidlertid fra år til år, og finansforetakene må forholde seg til et trusselbilde i kontinuerlig endring. For eksempel blir skillet mellom fremmed etterretning og organiserte kriminelle med økonomiske motiver stadig mindre tydelig. Fremmed etterretning vil ønske å skjule sin tilgang til systemene, og kan villede ved å gi inntrykk av at motivet er økonomisk. NSM skriver i sin åpne trussel- og risikovurdering Risiko 2022 at de ser en økende trusselaktivitet i cyberdomenet i Norge, både fra statlige aktører og kriminelle.
I forbindelse med krigen i Ukraina er det observert bruk av cybervirkemidler, bl.a. bruk av såkalt «wiper»-skadevare19 mot ukrainske banker og DDoS-angrep mot ukrainske nettsteder. Så langt er vurderingen at trusselbildet ikke er vesentlig forhøyet for norske finansforetak. Imidlertid kan også norske virksomheter bli rammet tilfeldig, og kriminelle aktører kan bruke situasjonen for å oppnå økonomisk vinning. Foretakene i norsk finanssektor og deres leverandører har som følge av situasjonen økt sin beredskap og årvåkenhet, forsterket sin overvåkning og gjør preventive tiltak.
Nordic Financial CERT er etablert av den nordiske finanssektoren for å bistå foretakene i håndteringen av digitale angrep. Ved å bedre samhandlingen mellom finansforetakene har Nordic Financial CERT redusert sårbarheten i næringen og styrket forsvarsverkene samlet sett.
Finanstilsynet er utpekt som sektorvis responsmiljø (SRM) på finansmarkedsområdet i henhold til rammeverket fra Nasjonal sikkerhetsmyndighet (NSM) for håndtering av IKT-sikkerhetshendelser. Tilsynet utøver rollen i samarbeid med Nordic Financial CERT. Finanstilsynet og Nordic Financial CERT hadde som en del av dette arbeidet faste, jevnlige møter i 2021.
Norges Bank og Finanstilsynet etablerte i 2021 et rammeverk for testing av cybersikkerhet i finansiell sektor, kalt TIBER-NO.20 Målsettingen er å bidra til finansiell stabilitet gjennom økt motstandsdyktighet mot cyberangrep for kritiske funksjoner i norsk finansiell sektor. Testing etter TIBER-NO er frivillig.
Det europeiske systemrisikorådet (ESRB) publiserte januar 2022 en strategi for å redusere risikoen for finansiell ustabilitet som følge av en cyberhendelse, hvor de bl.a. peker på et behov for å utvikle makroreguleringsvirkemidler som fanger opp systemisk cyberrisiko.21 Et viktig punkt i rapporten er en anbefaling om å opprette et rammeverk for koordinering ved systemiske cyberhendelser (EU-SCICF). Målet med dette er å muliggjøre rask kommunikasjon og koordinering mellom tilsynsmyndigheter og med andre relevante myndigheter for å unngå koordineringssvikt.
4.5.3 Regelverk og beredskap
Finansnæringen i Norge er underlagt et omfattende regelverk for håndtering av digitale sårbarheter. Regelverket og beredskapen i finanssektoren utgjør en del av den samlede innsatsen for å sikre det digitale økosystemet i Norge. En strategi for digital sikkerhet ble lagt frem i januar 2019, og mange av tiltakene i strategien følges opp i finanssektoren, bl.a. tekniske sikkerhetstiltak, anbefalinger og rådgivning, utredninger om IKT-sikkerhet og digital sårbarhet, inntrengingstester, etablering av sektorvise responsmiljø (SRM), rammeverk for håndtering av IKT-sikkerhetshendelser og sikkerhetsøvelser.
Etter regelverket har hver enkelt aktør i finansiell sektor et selvstendig ansvar for å sikre akseptabel risiko i egen virksomhet. Dette omfatter bl.a. ansvaret for sikre og stabile driftsløsninger, gode reserve- og beredskapsløsninger og aktivt å bidra til robust finansiell infrastruktur. Etter betalingssystemloven har Finanstilsynet ansvar for tilsynet med systemer for kunderettede betalingstjenester og systemer for verdipapiroppgjør, mens Norges Bank har ansvar for tilsynet med interbanksystemene. Foretakenes systemer skal etter regelverket innrettes slik at sannsynligheten for uønskede hendelser er lav og konsekvensene av hendelser begrenses. Banker og andre foretak skal ha kriseplaner som skal iverksettes dersom IKT-driften ikke kan opprettholdes som følge av uønskede hendelser.
Den nye sikkerhetsloven skal bl.a. bidra til å trygge nasjonale sikkerhetsinteresser gjennom å ivareta grunnleggende nasjonale funksjoner (GNF). Hvert departement skal identifisere og holde oversikt over GNF i sin sektor, og Finansdepartementet fastsatte slike funksjoner sommeren 2019. Departementet skal i lys av dette avgjøre hvilke virksomheter som er av vesentlig eller avgjørende betydning for GNF, og deretter treffe vedtak om at loven skal gjelde bestemte virksomheter dersom det er nødvendig.
Europakommisjonen foreslo i 2020 et nytt regelverk for digital operasjonell motstandsdyktighet («Digital Operational Resilience Act», DORA) som del av den såkalte «Digital Finance Package». Målet er å sikre at alle deltakere i det finansielle systemet har nødvendige tiltak på plass for å håndtere cyberangrep og andre risikoer. Det foreslåtte regelverket stiller bl.a. krav om styring og kontroll av IKT-virksomheten, utarbeidelse av risikoanalyser og iverksetting av tiltak, rapportering av hendelser og testing av operasjonell motstandsdyktighet. Det er også krav til oppfølging av leverandører. Det foreslåtte regelverket vurderes å være EØS-relevant.
Boks 4.6 Beredskapsutvalget for finansiell infrastruktur
Beredskapsutvalget for finansiell infrastruktur (BFI) skal sikre en best mulig samordning av beredskapsarbeidet i den norske infrastrukturen, og har i oppgave å komme frem til og koordinere tiltak for å forebygge og løse krisesituasjoner og andre situasjoner som kan resultere i store forstyrrelser. Utvalget har medlemmer fra de mest sentrale aktørene i sektoren. Finanstilsynet har ansvaret for ledelse og sekretariat. BFI-møtene er også en arena for Finanstilsynet og Norges Bank til å holde samlet kontakt med de mest sentrale aktørene. I en krisesituasjon skal BFI varsle og informere berørte aktører og myndigheter om hvilke problemer som har oppstått, hvilke konsekvenser problemene kan medføre og hvilke tiltak som settes i verk for å løse problemene. BFI skal forestå nødvendig koordinering av beredskapssaker i finanssektoren. Utvalget skal herunder, på grunnlag av Sivilt beredskapssystem, samordne arbeidet med å utarbeide og iverksette varslingsplaner og beredskapstiltak ved sikkerhetspolitiske kriser og krig. BFI har normalt tre faste møter i året. På møtene får utvalget blant annet orientering om alvorlige hendelser som har vært i perioden. Ved større hendelser møtes BFI ved behov. Det har bl.a. vært tilfellet gjennom koronapandemien, og i forbindelse med krigen i Ukraina.
Banker og andre foretak er pålagt å rapportere vesentlige IKT-hendelser til Finanstilsynet. Finanstilsynet legger i sin oppfølging vekt på både hvordan det enkelte foretak har håndtert hendelsen for å sikre at systemene gjenopprettes, og at det gjennomføres relevante, forebyggende tiltak. Figur 4.5 viser utviklingen i antall rapporterte IKT-hendelser fra finansforetakene til Finanstilsynet. Det ble rapportert betydelig flere hendelser i 2021 enn i 2020. Økningen skyldes i hovedsak at flere foretak rapporterte om hendelser, og at det ble rapportert om flere typer hendelser, herunder hendelser knyttet til antihvitvaskingssystemene og til bankenes grensesnitt for tilgang til betalingstjenester. Andelen sikkerhetshendelser var omtrent som i 2020. Selv om det ble rapportert vesentlig flere operasjonelle hendelser i 2021 enn i 2020, har Finanstilsynet ut fra hendelsenes varighet, tidspunkt og antall berørte brukere vurdert tilgjengeligheten til betalingstjenester og andre kunderettede tjenester som bedre enn i 2020, og også bedre enn i 2019.
Selv om finanssektoren er godt rustet til å håndtere hendelser både av operasjonell og ondsinnet karakter, er det utviklingstrekk som kan gjøre tilbudet av finansielle tjenester mer utsatt fremover. Både myndighetene og sektoren selv må fortsette å arbeide for å sikre en robust finansiell infrastruktur i møte med denne utviklingen.
Fotnoter
Se DSOPs aktivitetsrapport for 2021.
Se FSB-rapporten «Fintech and market structure in the COVID-19 pandemic. Implications for financial stability» fra 2022.
Se Deloitte-rapporten «Study on tools designed to facilitate switching and cross-border opening of payment accounts on the EU payment accounts market» fra 2021.
Den såkalte basisrenten fastsettes av Finanstilsynet med utgangspunkt i priser på boliglån fra Finansportalen. Basisrenten brukes blant annet for å fastsette utlånsrentene i Lånekassen, Husbanken og Statens pensjonskasse og statens utlån til helseforetakene, og ligger også til grunn for Skatteetatens fastsettelse av normrenten, som benyttes til å beregne skattepliktig rentefordel ved lån i arbeidsforhold.
Se OECDs rapport «Why Decentralised Finance Matters and the Policy Implications» fra januar 2022.
Se IMFs rapport «Global Financial Stability Report» fra oktober 2021.
Se G7-arbeidsgruppens rapport «Investigating the impact of global stablecoins».
Se «Global Financial Stability Report» fra oktober 2021 og «Cryptoassets as National Currency? A Step Too Far» fra juli 2021.
Se FSBs rapport «Addressing the challenges raised by global stablecoin arrangements».
Se Cambridge University sin «Bitcoin Electricity Consumption Index».
Se «FATF Report to G20 on So-called Stablecoins».
Se «FATF Report: Virtual Assets – Red Flag Indicators of Money Laundering and Terrorist Financing» fra 2020.
Se «Nasjonal risikovurdering – Hvitvasking og terrorfinansiering 2020».
Se «12-Month Review of the Revised FATF Standards on Virtual Assets and Virtual Asset Service Providers» fra 2020 og «Second 12-Month Review of the Revised FATF Standards on Virtual Assets and Virtual Asset Service Providers» fra 2021.
Se Boar, C. og A. Wehrli: «Ready, steady, go? – Results of the third BIS survey on central bank digital currency», BIS Papers No. 114/2021.
Se Norges Banks arbeidsgruppes tredje rapport fra april 2021.
I rapporten Finansiell infrastruktur identifiserer Norges Bank utfordringer og drøfter utviklingen i kunderettet betalingsformidling og i interbanksystemene. Rapporten utgis årlig, og er en del av Norges Banks arbeid med å fremme finansiell stabilitet og et effektivt og sikkert betalingssystem.
Finanstilsynets årlige Risiko- og sårbarhetsanalyse av finanssektorens bruk av IKT har som formål å beskrive risiko og trekke frem de mest sentrale truslene mot, og sårbarheter i, foretakenes IKT-systemer og den finansielle infrastrukturen som kan ha betydning for foretak, finansiell stabilitet og velfungerende markeder. I tillegg beskrives sårbarheter og trusler rettet mot foretakets kunder.
Wiper-skadevare er en type skadelig programvare som er ment å skade eller slette harddisken på datamaskinen den infiserer, og sletter data og programmer på en skadelig måte.
TIBER står for «Threat Intelligence-based Ethical Red Teaming». TIBER-NO bygger på et rammeverk (TIBER-EU) utarbeidet av Den europeiske sentralbanken (ESB). Rammeverket gir retningslinjer for testing av finansielle institusjoners evne til å oppdage, beskytte seg mot og håndtere avanserte cyberangrep. For å gjøre testingen realistisk brukes trusseletterretning og eksterne testspesialister («Red Team»). Norges Bank har ansvaret for forvaltningen av rammeverket.
Se ESRBs rapport «Mitigating systemic cyber risk» fra januar 2022.