Beredskapsløsninger i betalingssystemet
Finanstilsynet og Norges Banks brev av 29. september 2016 til Finansdepartementet
Finanstilsynet og Norges Bank viser til brev fra departementet 13.6.2016, brev fra Finanstilsynet og Norges Bank 23.5.2016 og øvrig korrespondanse i saken.
I Finanstilsynets og Norges Banks felles tilsyn i 2013 framkom det at beredskapen for det elektroniske betalingssystemet ikke er god nok og at ingen av de undersøkte bankene hadde tilfredsstillende beredskap for distribusjon av kontanter i en krisesituasjon, jf. brev til departementet 23.5.2016. I brevet opplyses det også at Finanstilsynet og Norges Bank vil komme tilbake til departementet når det gjelder beredskapsansvaret for distribusjon av kontanter i en krisesituasjon.
Ved svikt i det elektroniske betalingssystemet vil det være situasjoner der kontanter er det mest aktuelle betalingsmiddelet. I enkelte tilfeller kan kontanter også være kundenes eneste mulighet til å disponere egne innskuddsmidler. Samtidig er bankenes løsninger for kundenes innskudd og uttak av kontanter basert på tilgang til bankenes elektroniske driftssystemer. Beredskapsansvaret for det elektroniske betalingssystemet henger sammen med beredskapen for distribusjon av kontanter.
Departementet ber i brev 13.6.2016 om
– en tilbakemelding på beredskapsansvaret for distribusjon av kontanter. Departementet legger til grunn at Finanstilsynets og Norges Banks tilbakemelding vil omfatte råd om (og ev. utkast til) regelverksendringer eller andre tiltak dersom Finanstilsynet og Norges Bank mener det er behov for det.
– en oversikt over hvordan beredskapen for det elektroniske betalingssystemet følges opp. Departementet legger til grunn at Finanstilsynet og Norges Bank vil gi råd om (og ev. utkast til) regelverksendringer eller andre tiltak dersom Finanstilsynet og Norges Bank mener det er behov for det.
Dette behandles i henholdsvis del I og del II under.
Del I: Beredskapsansvar for distribusjon av kontanter
1. Bakgrunn
Betalingssystemet skal ivareta behovene til privatpersoner, næringsliv og offentlig forvaltning for å formidle og gjøre opp betalinger for varer og tjenester.
Det finnes i hovedsak to typer betalingsmidler: bankkontopenger (bankinnskudd) og kontanter. Disse er fordringer på henholdsvis banker og sentralbanken. Bankkontopenger disponeres ved bruk av ulike typer betalingsinstrumenter, slik som betalingskort og nettbankbetaling. Kontanter er i seg selv et betalingsinstrument og kan derfor brukes direkte. Kundenes rett til kontantuttak kan ha betydning for tilliten til betalingssystemet. Bankene har enerett på å motta innskudd fra kunder. Publikums tilgang på begge typer betalingsmidler er dermed basert på bankinnskuddene.
Bankene har som følge av dette to hovedoppgaver i betalingssystemet: De driver (elektroniske) betalingssystemer som gir kundene muligheter til å foreta betalinger med kontopenger, og de forsyner kundene med kontanter når kundene ønsker det. Bankene har ansvaret for løsningene som skal sikre kundene muligheten til å disponere sine innskudd, herunder tilfredsstillende beredskapsløsninger.
Betalingssystemet utvikler seg raskt, med stadige nye digitale betalingsformer. Det er en økning i antall betalinger som skjer ved bruk av elektroniske betalingssystemer enten ved bruk av betalingskort eller nettbankbetaling. Betaling med mobiltelefon har i all hovedsak betalingskort som underliggende betalingsinstrument.
Bankenes innretning av betalingsvirksomheten, herunder kontanthåndteringen, er drevet av lønnsomhetshensyn, kundenes preferanser og konkurranse fra andre aktører. Bankene kan ha en interesse i å avgrense sitt ansvar for å gjøre kontanter tilgjengelig.
I finansforetaksloven § 16-4 er bankenes plikt til å tilby kontanttjenester til sine kunder slått fast:
«Banker skal i samsvar med kundenes forventninger og behov, motta kontanter fra kundene og gjøre innskudd tilgjengelig for kundene i form av kontanter.
Det følger av forarbeidene at det er opp til bankene selv å innrette seg slik at de oppfyller denne plikten. Det avgjørende er at kundenes behov for kontantinnskudd og kontantuttak dekkes på en hensiktsmessig måte. Bestemmelsen utelukker ikke at bankene kan ta betalt for innskudd eller uttak, og stiller heller ikke krav om at bankene må utføre kontanthåndteringen selv, jf. prop. 125 L (2013-2014) kapittel 13.16.
Rekkevidden av bestemmelsen kan oppfattes å være uklar. Finansdepartementet ber om en vurdering av bankenes beredskapsansvar for distribusjon av kontanter. I punkt 2 gis det en omtale av kontantforsyningen og arbeidsdelingen i denne. Vurderinger av bankenes beredskapsansvar gis i punkt 3. I del II gis en vurdering av beredskapsløsninger i det elektroniske betalingssystemet.
2. Kontantforsyningen og arbeidsdelingen i denne
Norges Bank har etter sentralbankloven § 1 ansvar for å utstede pengesedler og mynter og fremme et effektivt betalingssystem. Norges Bank er bankenes bank, og forsyner bankene med kontanter basert på bankenes kontohold i sentralbanken. Bankene forsyner igjen sine kunder basert på kundenes kontohold i bankene. Når bankkundene ønsker å konvertere mellom bankkontopenger (fordringer på bankene) og sentralbankpenger (fordringer på sentralbanken), gjør de uttak og innskudd av kontanter. Dette er bestemmende for bankenes etterspørsel etter kontanter i Norges Bank.
Norges Bank forsyner bankene fra fem forskjellige sentralbankdepoter, mens bankene forsyner sine kunder med utgangspunkt i 13 fellesdrevne private depoter som mottar rentekompensasjon fra Norges Bank. I praksis er det i dag bare de private depotene som gjør innskudd og uttak av kontanter i Norges Bank, men bankene kan også selv ta ut kontanter i Norges Bank dersom de ønsker dette.
De private depotene drives i dag av NOKAS og Loomis i tilknytning til tellesentraler, der de også utfører andre kontanttjenester for både bankene og brukerstedene. I praksis er det disse to aktørene som på vegne av bankene fysisk henter ut kontanter fra Norges Banks depoter og transporterer dem til de 13 private depotene for så igjen å distribuere kontantene videre til bankene og brukerstedene (eks. butikker, minibanker, nattsafekunder, vekslingsagenter).
Hvordan bankene tilbyr kontanttjenester til sine kunder har endret seg mye de senere år, ved at de tradisjonelle kontanttjenestene i bankenes filialer i stor grad er erstattet av løsninger som minibanker, cash-back (kontantuttak ved varekjøp i butikk), innskuddsmaskiner og resirkuleringsmaskiner. Løsningene for å levere kontanttjenester til bankkundene er i stor grad utkontraktert. Utkontrakterte tjenester omfatter også tjenester som bank i butikk, der en har mulighet til å få utført mer tradisjonelle banktjenester som tidligere ble tilbudt i bankenes filialer (som å ta ut og sette inn kontanter uten bruk av betalingskort) og nattsafe.
Banker som baserer sin kundekontakt utelukkende på nettbaserte tjenester uten å ha egne lokaler for kundene, støtter seg i dag hovedsakelig til andre bankers ordninger for å yte sine kunder innskudds- og uttakstjenester via innskudds- og uttaksautomater. Kontanthåndteringsplikten gjelder for alle banker, uavhengig av om de er nettbasert eller ikke.
3. Beredskapsansvaret for kontanter
Bankene har i samsvar med finansforetaksloven § 16-4 plikt til å gjøre kontanter tilgjengelig for sine kunder. Finansdepartementet er i bestemmelsens annet ledd gitt hjemmel til i forskrift å fastsette "bankers plikt til å ta imot og til å gjøre kontanter tilgjengelig for kundene».
Ut fra ordlyden og forarbeidene til bestemmelsen, er plikten til å betjene kundene med kontanter ikke begrenset til en normalsituasjon. Det vises til departementets uttalelse i jf. prop. 125 L (2013-2014) kapittel 7.14 om at: "rekkevidden av plikten etter første ledd kan avklares i forskrift dersom det viser seg at det er behov for dette".
Bankenes plikt til å motta kontanter og gjøre innskudd tilgjengelig i form av kontanter for kundene, er motstykket til den enerett banker har til å motta innskudd fra en ubestemt krets av innskytere, jf. finansforetaksloven § 2-2 første ledd. Eneretten tilsier at plikten til å tilby kontanter også gjelder i situasjoner som kan betegnes som ekstraordinære- eller beredskapssituasjoner. Bankene må, på samme måte som på andre områder de opererer, ta høyde for uventede hendelser, både når det gjelder kundeadferd og drift.
Finanstilsynet og Norges Bank har i brev til departementet 31.1.2012 og 30.11.2012 gitt uttrykk for at betalinger med kontanter er den mest aktuelle betalingsmåten om det ordinære elektroniske betalingssystemet ikke fungerer[1]. Etter Finanstilsynets og Norges Banks syn er det ikke noe som tilsier en annen vurdering nå. Det kan tenkes at det i framtiden vil eksistere flere alternative og teknisk sett uavhengige elektroniske betalingssystemer som vil kunne fungere som beredskapsløsninger dersom det oppstår svikt i det ordinære elektroniske betalingssystemet. Det finnes ikke i dag elektroniske betalingsløsninger, for eksempel løsninger for allment tilgjengelige digitale sentralbankpenger, som er uavhengige av de ordinære betalingsløsningene, og som kan fylle en slik beredskapsrolle.
Beredskapsløsninger for distribusjon av kontanter vil helt eller delvis kunne bygge på den infrastrukturen bankene har etablert for å betjene kundenes behov for kontanter i en normalsituasjon. Bankenes evne til å håndtere en beredskapssituasjon og ekstra kostnader knyttet til beredskap, vil således påvirkes av hvordan bankene har tilpasset seg normalsituasjonen. I lys av de senere års endringer i hvordan og i hvilket omfang bankene tilbyr kontanttjenester, ser Finanstilsynet og Norges Bank at det på et tidspunkt kan være nødvendig å klargjøre forståelsen av minimumskravene (i en normalsituasjon) som følger av lovens § 16-4. Finanstilsynet og Norges Bank vil eventuelt komme tilbake til dette.
Det er i hovedsak tre beredskapssituasjoner hvor bankene må ha løsninger for å dekke kundenes behov for kontanter:
a) Svikt i det elektroniske betalingssystemet
b) Endret kundeadferd som skyldes forhold utenfor betalingssystemet (vesentlig økt etterspørsel etter kontanter)
c) Svikt i bankenes forsyningssystem for kontanter
Felles for de to første tilfellene er at etterspørselen etter kontanter vil øke. Det tredje tilfellet vil ikke nødvendigvis påvirke etterspørselen etter kontanter.
Det er situasjonen ved svikt i de elektroniske betalingssystemene som antas å være mest krevende. Finanstilsynet og Norges Bank legger til grunn at det i en slik beredskapssituasjon påligger bankene en særlig forpliktelse til å tilby kontanttjenester til sine kunder, slik at disse skal kunne disponere sine innskudd. Svikt i det elektroniske betalingssystemet, kan medføre økt etterspørsel etter kontanter og kreve alternative løsninger for bankenes håndtering av kontoinformasjon mm., avhengig av om svikten rammer hele eller deler av det elektroniske betalingssystemet. Avhengig av hvor en hendelse inntreffer, vil svikt kunne ramme en enkelt bank, en gruppe banker med felles drift av kjernesystemer eller alle bankene dersom f.eks. sentrale infrastrukturtjenester for betalingssystemet faller ut. Det kan imidlertid, under ekstreme omstendigheter (f.eks. sammenbrudd i strømforsyningen) hvor andre vitale samfunnsfunksjoner er satt ut av spill, måtte aksepteres at tilgjengeligheten av kontanter er vesentlig dårligere enn i en normalsituasjon. Dette gjelder både volumer, hvor raskt kontanter kan gjøres tilgjengelig og hvor kontantene gjøres tilgjengelig. Myndighetene må alene ha kompetansen til å beslutte om en slik situasjon har inntruffet.
Finanstilsynet og Norges Bank legger til grunn at det er bankene som må vurdere hensiktsmessige alternative løsninger. Løsningene kan ta utgangspunkt i bankenes ordinære distribusjon av kontanter gjennom kontantautomater, utlevering over skranke i bankfilial, post i butikk eller bank i butikk og gjennom cashback på brukersteder. Selv om plikten til å sikre kundene tilgang til kontanter påhviler den enkelte bank, vil det være naturlig at beredskapsløsningene i stor grad baseres på fellesløsninger, slik det også er i den ordinære kontantforsyningen.
Utover beredskap for svikt i det elektroniske betalingssystemet, må det kunne forventes at bankene har beredskap for uventet stor etterspørsel etter kontanter og at det foreligger rutiner, herunder klare avtaler med kontanthåndteringsselskapene og eventuelt distributører (butikker), for å håndtere dette.
Som det fremgår av punkt 2, har bankene i stor grad utkontraktert kontanthåndteringen. Bruk av oppdragstaker er imidlertid uten innvirkning på finansforetaks plikter og ansvar overfor kunder, jf. finansforetaksloven § 13-4. Bankene må således også ha beredskap for det tilfellet at kontanthåndteringsselskapet ikke er i stand til å oppfylle sine forpliktelser etter avtalen.
Ettersom rekkevidden av bankenes plikter etter loven kan oppfattes som uklar, anser Finanstilsynets og Norges Banks at det i forskrift er behov for å presisere bankenes plikt til å sikre beredskap for kontantdistribusjon. I en forskrift bør det fremgå at:
- Bankene må etablere løsninger og rutiner for å distribuere kontanter ved svikt i det elektroniske betalingssystemet. Kunden skal uten urimelige anstrengelser (dvs. innenfor en rimelig reiseavstand) og innenfor en rimelig tid kunne ta ut kontanter.
- Bankene må gjennom retningslinjer og avtaler med kontanthåndteringsselskapene og andre tredjeparter sikre at det er klare rutiner for hvordan økt etterspørsel etter kontanter kan møtes på kort varsel.
- Bankene må ha beredskap for kontanthåndtering dersom motparter i avtaler om utkontraktering av kontanthåndtering ikke er i stand til å oppfylle sine forpliktelser etter avtalen.
Rutinene og løsningene bør være skriftlige og vedtas av styret i bankene. Løsningene må omfatte fysisk transport fra sentralbankdepoter og/eller private depoter til utleveringsstedene (minibanker, butikker, bankfilialer etc.), utlevering til og mottak fra kundene, og løsninger for hvordan kontoinformasjon etc. skal håndteres dersom de elektroniske systemene svikter. Rutinene bør eksempelvis inneholde en beskrivelse av hvordan de skal skaffe tilveie tilstrekkelig med personell og kjøretøy for å tilfredsstille økt etterspørsel i en beredskapssituasjon. Dersom bankene har utkontraktert kontanthåndteringen, må tilsvarende reguleres i avtalen med oppdragstaker.
Plikten til å motta kontanter og gjøre innskudd tilgjengelig i form av kontanter bør gjelde tilsvarende for filialer av kredittinstitusjoner etablert i EØS, jf. finansforetaksloven § 5-4. Kontanthåndteringsplikten skal sikre samfunnets grunnleggende behov for betalingsformidling. Det legges til grunn at plikten for å sikre kontanthåndtering i en beredskapssituasjon også kan anvendes overfor filialer i samsvar med at nasjonale myndigheter kan fastsette regler som skal ivareta allmenne hensyn.
Vedlagt følger forslag til forskrift.
Økonomiske og administrative kostnader
Kostnadene ved beredskapsløsninger vil i stor grad være avhengig av hva slags løsninger som bankene velger, herunder om beredskapsløsningen innebærer en oppskalering innenfor eksisterende infrastruktur eller en ny løsning.
I en normalsituasjon vil bankene kunne ta betalt for de tjenester de tilbyr, herunder for innskudd eller uttak. Det må legges til grunn at det ikke vil være anledning for bankene å ta mer betalt for kontanttjenester i en beredskapssituasjon (enn det som er fastsatt i en normalsituasjon) for at kundene skal få tilgang til sine innskudd i form av kontanter. Økte kostnader knyttet til beredskapsløsninger kan eventuelt dekkes inn gjennom prising av betalingstjenester generelt, og ikke kontanthåndtering spesielt, jf. at en vesentlig del av beredskapsplikten er knyttet til tilfeller med svikt i det elektroniske betalingssystemet.
Del II Oversikt over hvordan beredskapen for det elektroniske betalingssystemet følges opp
Norges Bank har tilsyn med beredskap i interbanksystemer, mens Finanstilsynet følger opp beredskap i enkeltbanker og betalingstjenester. Samtidig er det etablert et samarbeid for å følge opp helheten.
Finanstilsynet og Norges Bank har som nevnt i brev 23.5.2016 foretatt tilsyn i utvalgte banker og konstatert svakheter i bankenes beredskap. I det følgende gis det enkelte kommentarer til status for Finanstilsynets og Norges Banks oppfølging i de ulike delene av betalingssystemet og en vurdering av hvorvidt dagens hjemler er tilstrekkelig.
Interbanksystemer og Norges Banks oppfølging
Norges Banks oppgjørssystem (NBO)
NBO er klassifisert som et skjermingsverdig objekt etter sikkerhetsloven og er derfor underlagt krav i sikkerhetsloven og tilsyn av Nasjonal sikkerhetsmyndighet. Norges Bank har som mål at NBO skal tilfredsstille internasjonale standarder og oppfylle krav til samfunnskritisk infrastruktur. Norges Bank evaluerer NBO etter «Principles for Financial Market Infrastructures» fra CPMI og IOSCO, der hensynet til tilfredsstillende beredskap står sentralt. En oppdatert evaluering publiseres i den årlige rapporten «Finansiell infrastruktur». NBO skal også være satt opp og drevet i henhold til blant annet internt sikkerhetsregelverk og forskrift om internkontroll i Norges Bank. Norges Bank er ikke underlagt IKT-forskriften, men legger vekt på at NBO oppfyller relevante bestemmelser i den.
Blant annet for å begrense konsekvensene av programvarefeil, har Norges Bank inngått avtale med SWIFT om levering av beredskapsløsningen MIRS (Market Infrastructure Resilience Service). MIRS benytter en annen programvare og er fysisk uavhengig av de ordinære driftsstedene. MIRS ble implementert i november 2015.
Norwegian Interbank Clearing System (NICS)
Krav til beredskap i NICS følger av konsesjonsbrev til systemeier NICS Operatørkontor og oppfølging i Norges Banks tilsyn, jf. betalingssystemloven kapittel 2. Norges Bank legger vekt på relevante bestemmelser i IKT-forskriften i tilsynet av NICS Operatørkontor. Det følger av konsesjonen at NICS Operatørkontor jevnlig må rapportere til Norges Bank blant annet om avvik, oppfølging av avvik, beredskapsøvelser og risikoanalyser. Dette er også temaer i faste halvårlige møter og andre tilsynsmøter mellom NICS Operatørkontor og Norges Bank. Norges Banks evaluering av NICS etter «Principles for Financial Market Infrastructures» publiseres i rapporten «Finansiell infrastruktur».
NICS Operatørkontor var blant aktørene som var inkludert i Norges Bank og Finanstilsynets felles tilsyn med beredskapsløsninger for innenlands betalingsformidling. Norges Bank og Finanstilsynet vurderte at NICS Operatørkontor ikke har en tilfredsstillende beredskapsløsning for den tekniske driften. Vurderingen må ses i lys av at NICS har en svært sentral posisjon i den norske finansielle infrastrukturen.
Banknæringen ved Finans Norge har de siste årene arbeidet med å utrede en mulig løsning for avregning som skal kunne benyttes dersom de to eksisterende driftsstedene ikke er tilgjengelige. Videre vurdering av en slik løsning er utsatt fordi Nets har igangsatt arbeid med ny datasenterstrategi. Arbeidet er ikke sluttført, men NICS Operatørkontor har orientert om de overordnede prinsippene. Norges Bank og Finanstilsynet avventer nærmere konkretisering av beredskapsopplegget. Norges Bank vil som tilsynsmyndighet for NICS følge opp saken. Norges Bank vurderer det nå slik at det ikke er behov for regelverksendringer. Norges Bank er etter betalingssystemloven § 2-4 fjerde ledd gitt hjemmel til å fastsette nærmere krav til interbanksystemer dersom Norges bank mener det er behov for det.
Bankenes systemer og Finanstilsynets oppfølging
Krav til bankenes beredskap for det elektroniske betalingssystemet er blant annet regulert gjennom IKT-forskriften, og det er Finanstilsynets oppgave å føre tilsyn med at bankene etterlever regelverket. IKT-forskriften stiller blant annet krav til at driftsløsningene skal sikre en tilgjengelighet i tråd med foretakets dokumenterte krav. Det stilles videre krav om at foretaket skal ha en kriseplan som skal iverksettes dersom foretakets IKT-drift ikke kan fortsette med normalt tilgjengelige ressurser.
I juli 2014 ble det innført en bestemmelse om meldeplikt til Finanstilsynet ved utkontraktering i Finanstilsynsloven § 4c. Finanstilsynet krever at bankene utarbeider risikoanalyser og selvstendige vurderinger forut for utkontraktering av tjenester.
Finanstilsynet gjennomfører årlig rundt 10 stedlige IT-tilsyn i bankene hvor bankenes beredskap er tema. Basert på regelverket for utkontraktering, gjennomfører Finanstilsynet, som en del av tilsynet med bankene også tilsyn med leverandørene av tjenester som benyttes i betalingssystemet. De to viktigste infrastrukturleverandørene til bankene, Nets og EVRY, følger Finanstilsynet også opp gjennom halvårlige møter. Tema for møtene er blant annet gjennomgang av driftsstabilitet, hendelser og utkontrakteringsaktiviteter.
Bankene rapporterer om alvorlige og kritiske hendelser i det elektroniske betalingssystemet til Finanstilsynet. Der Finanstilsynet vurderer det som nødvendig, følges enkelthendelser opp. I tillegg er det faste møter om hendelsesrapporteringen med de største bankene. Finanstilsynet følger også utviklingen i svindel og tilsiktede angrep mot betalingssystemene tett bl.a. gjennom kontakt med FinansCERT, NorCERT og internasjonale nettverk.
Avsluttende kommentarer
Det er konstatert svakheter i bankenes beredskap i betalingssystemet. Norges Bank og Finanstilsynet mener det er behov for at bankenes beredskapsansvar for distribusjon av kontanter klargjøres i forskrift. Finanstilsynet og Norges Bank mener at eksisterende hjemler i lov om betalingssystem, finanstilsynsloven og sentralbankloven gir tilstrekkelig grunnlag for å kreve forbedringer i den enkelte bank og det elektroniske betalingssystemet, dersom det anses nødvendig.
Med hilsen
Øystein Olsen, sentralbanksjef
Morten Baltzersen, finanstilsynsdirektør
Fotnoter:
- Bankkundene har i dag lite erfaring med å benytte sjekker og blanketter som betalingsmiddel. Etter Finanstilsynets og Norges Banks syn vil heller ikke dette være aktuelt som alternative betalingsinstrumenter i dag. For å fungere tilfredsstillende i en beredskapssituasjon, må slike betalingsinstrumenter være etablert på forhånd både hos bankene, deres kunder og hos brukerstedene (betalingsmottakere).