LOGG INN
MIN SIDE
LOGG UT
BLI ABONNENT

Sandkasseprosjekt «fant» paragraf som åpner for massiv datadeling om bedrageri

En ny sandkasserapport slår fast at finansforetaksloven gir langt større rom for datadeling mellom de som yter betalingstjenester enn bransjen har praktisert. Samtidig etterlyser tilsynsmyndighetene tydeligere lover.

Finansforetaksloven § 13-21 inneholder unntak fra taushetsplikten og gir betalingstjenesteytere adgang til å dele og behandle personopplysninger når det er nødvendig for å forebygge, etterforske eller avdekke betalingsbedrageri. Her: Datatilsynets kontor i Trelastgata 3 i Oslo.
Einar Ravndal Einar er daglig leder og journalist i Økonomi24
Publisert

Bedrageri i finanssektoren er i ferd med å endre karakter fra isolerte hendelser til systematiske angrep fra organiserte kriminelle. Ifølge Finanstilsynets siste risiko- og sårbarhetsanalyse økte tapene knyttet til bedragerier med 32 prosent fra 2023 til 2024, tilsvarende 299 millioner kroner. 

– Deling av informasjon gjøres allerede blant kriminelle, som samarbeider og bytter tjenester seg imellom i et åpent marked, uten å ta hensyn til reguleringer. Finansforetakene derimot arbeider i siloer med svært begrenset deling av informasjon. Dette gir de kriminelle et forsprang sett opp mot finansforetakene som må forholde seg til et omfattende regulatorisk rammeverk, heter det i sluttrapporten fra sandkasseprosjektet.

I rapporten fra DNB, Nordea, SpareBank 1 og Eika til den regulatoriske sandkassen, utarbeidet i dialog med Datatilsynet og Finanstilsynet, konkluderer bankene med at dagens praktisering av taushetsplikten har vært strengere enn regelverket faktisk tilsier.

Juridisk gjennombrudd: Finansforetaksloven § 13-21

Det sentrale juridiske omdreiningspunktet i rapporten er finansforetaksloven § 13-21. Dette er selve «nøkkelen» som åpner for informasjonsdeling mellom betalingstjenesteytere for å forebygge, etterforske eller avdekke betalingsbedrageri. Datatilsynet understreker at taushetsplikten i finansforetaksloven er den avgjørende terskelen for datadeling. Dersom det ikke finnes et unntak her, er det heller ikke adgang til å dele etter personvernregelverket.

– Finansforetaksloven § 13-21 inneholder unntak fra taushetsplikten og gir betalingstjenesteytere adgang til å dele og behandle personopplysninger når det er nødvendig for å forebygge, etterforske eller avdekke betalingsbedrageri. Samtidig inneholder loven klare begrensninger om hva som kan deles, for hvilke formål og med hvilke aktører, slår Datatilsynet fast i sin overordnede vurdering.

Rapporten viser at dette handlingsrommet i stor grad har vært underutnyttet, primært på grunn av usikkerhet rundt taushetspliktens rekkevidde. Begrepet betalingsbedrageri skal imidlertid tolkes vidt. Etter veiledning fra tilsynsmyndighetene legges det til grunn at også situasjoner der kunden selv forledes til å gjennomføre betalingen, for eksempel kjærlighets- og investeringssvindel under sosial manipulasjon, faller innenfor lovens rammer.

Dataene som kan flyte

Typen informasjon som kan utveksles mellom foretakene favner bredt. Rapporten viser til at både transaksjonsopplysninger og annen betalingsinformasjon kan deles når det er nødvendig for formålet. Dette inkluderer blant annet:

  • Transaksjonsdata: Opplysninger om betaler, mottaker, kontonummer og beløp.

  • Tekniske spor: IP-adresser og andre tekniske identifikatorer.

  • Vurderinger: Beskrivelser av modus og foretakenes egne analyser av svindelsituasjonen, der dette anses nødvendig for å forebygge, etterforske eller avdekke betalingsbedrageri.

Kravet er at delingen må være nødvendig for formålet. Datatilsynet presiserer at bankene ikke får noen blankofullmakt.

Prinsippet om dataminimering står fast, og betalingstjenesteytere må løpende vurdere at de kun behandler informasjon som er nødvendig for å forebygge, etterforske eller avdekke betalingsbedragerier.

Klare grenser

Selv om døren åpnes for mer effektiv svindelbekjempelse, er den fortsatt lukket for andre formål. Prosjektgruppen har vurdert forholdet til hvitvaskingsregelverket, herunder avsløringsforbudet i hvitvaskingsloven § 28. Avsløringsforbudet gjelder den som deler opplysninger, altså avsenderen, og innebærer at det ikke skal avsløres overfor mottaker at det foretas nærmere undersøkelser etter hvitvaskingsregelverket.

– Forbudet innebærer at avsender ikke skal avsløre overfor mottaker at det foretas nærmere undersøkelser etter hvitvaskingsregelverket, skriver prosjektgruppen.

Samtidig presiserer rapporten at dette normalt ikke vil være særlig begrensende for den tiltenkte datadelingen. I en fotnote heter det at risikoen for brudd på avsløringsforbudet som regel er lav på delingstidspunktet.

– På delingstidspunktet vil det sjelden være risiko for avsløring av etterforskning eller rapportering av mistenkelige forhold til Økokrim, som er de to andre typetilfellene som dekkes av avsløringsforbudet.

Prosjektgruppen understreker også at delingen normalt ikke gir mottaker grunnlag for å forstå at det foretas undersøkelser etter hvitvaskingsregelverket. Informasjonen som deles er avgrenset til selve primærforbrytelsen – betalingsbedrageriet – med formål å hindre eller avdekke ytterligere svindel, ikke å indikere at undersøkelses- eller rapporteringsplikt etter hvitvaskingsloven er utløst.

Valget mellom to modeller

For å gjøre datadelingen operativ, skisserer rapporten to hovedmodeller som vil definere bankenes tekniske veikart fremover.

Den første er bilateral deling, der banker deler informasjon direkte med hverandre når de avdekker mistenkelige forhold. Dette kan etableres raskt, men beskrives som ressurskrevende og lite effektivt i større skala.

Den andre modellen er en sentral hub-løsning, som fremstår som bankenes langsiktige ambisjon. Her vil relevante opplysninger distribueres via en felles teknisk infrastruktur til foretak med lovlig behov.

Ifølge rapporten vil en slik løsning muliggjøre automatisert varsling og bedre treffsikkerhet, ved at informasjonen integreres direkte i foretakenes egne antisvindelsystemer.

Kritisk ubalanse og behov for lovavklaring

Selv om rapporten konkluderer med at bankene har et betydelig handlingsrom seg imellom, avdekker sandkasseprosjektet utfordringer i samarbeidet med eksterne aktører som teleoperatører og politi.

Telefon og SMS er blant de viktigste angrepsvektorene i dagens bedragerier, men regelverket gir i dag begrenset adgang til å dele informasjon med teleselskapene. Tilsvarende beskrives forholdet til politiet som skjevt. Mens politiet har vid adgang til å innhente informasjon fra finansforetakene, er bankenes adgang til å varsle politiet proaktivt på eget initiativ snever.

– Dette står i ubalanse i forhold til informasjonsretten som politiet har til finansforetakene, skriver prosjektgruppen.

På bakgrunn av disse erfaringene etterlyser både Datatilsynet og Finanstilsynet tydeligere rammer.

– Datatilsynet og Finanstilsynet mener at lovgiver bør klargjøre loven ytterligere for å unngå tvil.

Fredag arrangerer Datatilsynet seminar om funnene i denne rapporten og tre andre.

Flere saker om hvitvasking og bedrageri i Økonomi24

hvitvasking

datadeling bedrageri nyheter hvitvasking datatilsynet finanstilsynet
Powered by Labrador CMS