Jön a DORA, mit jelent ez a bankoknak?
Az IMF becslése szerint az elmúlt 20 évben 20 ezer kibertámadás érte a pénzintézeteket, a támadások száma szinte exponenciálisan növekszik. A fenyegetések növekedését látva lépett az EU: a DORA szabályozás a kiberbiztonság, az ellenállóképesség megerősítését várja el a pénzintézetektől.
Jogilag a DORA rendelet már hatályba lépett, de csak 2025. január 17-étől alkalmazandó. Ez jelenti a pénzügyi szolgáltatóknak a megfelelőség határidejét. A bevezetést nehezíti, hogy a részletszabályozások utolsó csomagja csak 2024. második felében válik ismerté. „Ennek ellenére a rövid határidő miatt a pénzügyi szolgáltatók a már jelenleg ismert szabály elemek ismeretében megkezdték a felkészülést” – fejtette ki a téma szakértője, Sallai Péter lapunknak. A Dorsum CTO-ja szerint a bankok kiberbiztonsági rezilienciájának megerősítése az elmúlt években egyre sürgetőbbé vált, a szabályozók és a pénzügyi szektor szereplői számára egyaránt. Ennek hátterében számos ok áll, melyek közül a legfontosabb három a következő:
- Növekvő kiberfenyegetések: a kibertámadások egyre kifinomultabbá és pusztítóbbá válnak, komoly fenyegetést jelentve a bankok számára. A pénzügyi adatok ellopása, a rendszerek leállítása és a pénzügyi tranzakciók manipulálása a szakértő szerint súlyos következményekkel járhat a bankok számára, beleértve a pénzügyi veszteségeket, a reputációs károkat és a jogi következményeket. Az Európai Központi Bank a bankrendszert tekintő legsúlyosabb működési kockázatként azonosította a kiberfenyegetéseket.
- Digitalizáció: a bankok egyre inkább támaszkodnak a digitális technológiákra a szolgáltatások nyújtásában, ami növeli a kibertámadások felületét. Az online bankolás, a mobilbankolás és a felhőalapú szolgáltatások mind vonzó célpontok a hackerek számára. Ez a trend felerősödött a COVID-időszakban bekövetkezett digitalizációs boom után.
- Pénzügyi stabilitás: a bankok a pénzügyi rendszer kulcsfontosságú szereplői, és a kibertámadások elleni védekezésük elengedhetetlen a pénzügyi stabilitás fenntartásához. Egy nagyszabású kibertámadás egy bank ellen súlyos zavarokat okozhat a pénzügyi rendszerben, és széleskörű gazdasági következményekkel járhat. A fogyasztók elvárják, hogy a bankok biztonságban tartsák a pénzügyi adataikat. A kibertámadások elleni hatékony védekezés bizalmat épít a bankok és az ügyfelek között, és ösztönzi a digitális bankolás használatát.
A legnagyobb kihívást a DORA megfelelés kapcsán a bankok számára három tényező jelenti:
- Komplexitás: a DORA kiterjedt és összetett rendelet, számos követelményt fogalmaz meg a bankok digitális operatív rezilienciájával kapcsolatban. A bankoknak meg kell érteniük a rendelet minden aspektusát, és azonosítaniuk kell azokat a területeket, ahol fejleszteniük kell a rezilienciájukat.
- Bizonytalanság: a DORA 2025. január 1-jén lép hatályba, ami azt jelenti, hogy a bankoknak kevés idejük van a felkészülésre. A DORA végrehajtási és technikai szabályzatai (RTS) még kidolgozás alatt állnak, ami jelentős bizonytalanságot hordoz magában. A bankoknak folyamatosan követniük kell a DORA szabályozással kapcsolatos fejleményeket, és alkalmazkodniuk kell a változásokhoz.
- Technológiai szempontból a harmadik feles (third party) sérülékenységek kezelése jelenti a legnagyobb kihívást. A korábbi 2-5 éves architektúra megújítási ciklusról a pénzintézeteknek át kell térniük egy folyamatos verziófrissítési rendszerre, ahol havi rendszerességgel végzik el az új szoftver verziók élesítését. A korábbi módszertanok ebben a világban már nem működnek tovább. Ezeknek a kihívásoknak csak a jelenlegi szintnél jóval kiterjedtebb tesztelési és verzió kiadási automatizációval fognak tudni megfelelni.
Jön a MiCA - Mit kezdhetnek a bankok a kriptoeszközökkel?
Érkezik a MiCA szabályozás, a bankok pedig a jelek szerint mozgolódnak, a lehetőségeket keresik a kriptoeszközök piacán, de nem mindenki lelkes. „Vannak érdeklődő szereplők, egyelőre vegyes a kép. Egyes bankok releváns témának látják és fontos lehetőségnek, más bankok egyelőre nem ezt a témát tartják a kiemelt lehetőségüknek. Az általánosságban elmondható, hogy mindenki érdeklődve figyeli most már, hogy mi történik ezzel az új eszközosztállyal” – fejti ki Kanti Péter, a Dorsum Digital Assets and Blockchain területének vezetője.
A hazai kriptoállomány a Dorsum becslései szerint jóval 500 milliárd forint felett lehet a mai piaci értékeléssel számolva, a kereskedési volumen aránya ehhez képest pedig vélhetően magasabb, mint a tradicionális eszközök esetében. „A mi egyértelmű vélekedésünk az, hogy tekintettel arra, hogy ma nincs tradicionális banki szereplő ezen a piacon, egy bank belépése egy olyan lehetőség lenne, amely növelhetné is ezt a piacot jelentősen, hiszen ma neobankoknál és kriptotőzsdéknél elérhetőek csak ezek az eszközök".
A hazai bankok lehetőségét az alapvető bizalom és a meglévő ügyfélkörben lévő potenciál jelentheti.”
A szakértő szerint a legfontosabb kihívás, hogy ez a technológia és a kriptoeszközök is másképp működnek, és mind a piacot, mind a technológiát meg kell ismerni és meg kell tanulni értenie a bankoknak. Kanti Péter szerint a blockchain technológiát önmagában belső hatékonyságnövelési céllal használni nem feltétlenül célravezető, így a felhasználási esetek is inkább az együttműködési-, közös adatok, közös eszközök elszámolására vonatkozó helyzetekre fókuszálnak. Az értékpapír tokenizáció, vagy a digitális azonosítási lehetőségek például néhány olyan felhasználási eset, amellyel érdemes egy banknak képben lennie és akár szerepet is vállalnia annak bevezetésében, mert ez adott esetben a későbbiekben versenyelőnyt nyújthat a számára.
A Dorsum rendezvényén Simán Kristóf (MBH Bank) kifejtette, hogy a blockchain egy olyan új technológiai lehetőséget jelent a bankoknak, amit a kriptokereskedés biztosításától kezdve az okosszerződéseken keresztül egészen odáig használhatunk, hogy a banki rendszereket is ebben a struktúrában működtetjük. Úgy vélte, eljött az a pillanat, amikor az inkumbens szereplőknek meg kell jelenni a piacon: ezt végig is kell vezetni egy nagy banki rendszeren, a kriptók bevezetése a teljes banki folyamatot befolyásolja. Szerinte a jogi keretek támogatóak Magyarországon, de még további párbeszédre lesz szükség a szabályozók és a pénzintézetek között. Hozzátette, ebben a technológiában nincs azonnal rendelkezésre álló technológiai tudásbázis, felépített csapat, itt megtanulni, kialakítani kell a kompetenciákat, a bankoknak képzési, oktatási feladatai is vannak.
Mogyorósi Attila (Coincash) úgy vélekedett, bízhatunk abban, hogy a MiCA a GDPR-hoz hasonlóan a világon iránymutató szabályozássá válik. Ám előremutató jellege ellenére a MiCA 2018-as kriptós problémákra ad választ, például az akkor divatos ICO-kat szabályozza, amelyet már szinte senki nem használ. Szerinte a bankok számára is aranybányává válhat a kriptokereskedés és a kriptoeszközökre épülő banki termékek.
Fáykiss Péter (MNB) leszögezte, hogy a szabályozói környezet komoly lehetőséget biztosít: hamarosan az inkumbens szereplők is kínálhatnak majd szabályozott keretek között kriptoeszközöket az EU-ban, így Magyarországon is. A MiCA és a DLT Pilot szabályozásnak köszönhetően az EU lesz a legnagyobb egységes piac a világon, ahol a kriptoeszközökre és a tokenizált pénzügyi eszközökre dedikált szabályozást alkottak. Még a folyamat elején járunk, a bankárok és a kriptósok világa jelenleg nagyon különbözik egymástól, de mindkét terület sokat tud tanulni a másiktól.
Címlapkép forrása: EU
