23 października 2017, 18:00:Start Jerusalem - Mindspace Hala Koszyki, ul. Koszykowa 61, Warszawa

Krzysztof Góral, Urząd KNF – FinTechy nie zagrażają rynkowi finansowemu w Polsce

W nadchodzących miesiącach wiele się zmieni w finansowym ekosystemie nad Wisłą. Od początku przyszłego roku w życie wchodzi unijna dyrektywa PSDII, a najważniejsze polskie urzędy administracji publicznej pracują nad rozwiązaniami, które mają przygotować Polskę na zbliżającą się transformację.

Zapraszamy na rozmowę z Krzysztofem Góralem, zastępcą dyrektora Departamentu Inspekcji Bankowych, Instytucji Płatniczych i SKOK w Urzędzie Komisji Nadzoru Finansowego. Porozmawialiśmy między innymi o pracach zespołu do spraw FinTechu, regulacyjnej piaskownicy, bezpieczeństwie, dyrektywie PSDII i pożyczkach peer-to-peer. Wywiad przeprowadził Rafał Tomaszewski.

Czytaj także: Paweł Bułgaryn, Ministerstwo Finansów – ułatwiamy życie FinTechom

Rafał Tomaszewski: Dzień dobry! Na początek może powiedziałby mi Pan, czym zajmuje się zespół ds. FinTechów, który działa przy Komisji Nadzoru Finansowego?

Krzysztof Góral (na zdjęciu poniżej): Dzień dobry. Tak naprawdę mamy dwa zespoły. Ten, który jest powszechnie znany nazywamy międzyresortowym Zespołem ds. Rozwoju Innowacji Finansowych (FinTech) w Polsce – w skrócie nazywany zespołem FinTech. Został powołany z inicjatywy Ministerstwa Rozwoju, Ministerstwa Finansów oraz Przewodniczącego Komisji Nadzoru Finansowego. Powstał na przełomie zeszłego i obecnego roku, a operacyjnie zaczął działać w styczniu. Ponadto mamy wewnętrzny zespół w ramach Urzędu KNF do realizacji zadań uzgodnionych na forum zespołu międzyresortowego i przypisanych do UKNF.

Krzysztof Góral UKNF - źródło Fintek.pl.
Naszym celem jest identyfikacja i likwidacja barier, które pojawiają się na drodze rozwoju FinTechów w Polsce. Reprezentacja w tym zespole jest bardzo szeroka, ponieważ zasiadają w nim przedstawiciele władz – Ministerstw Rozwoju, Finansów i Cyfryzacji, nadzorców- KNF, NBP, UOKiK i GIODO oraz szeroka reprezentacja rynku – między innymi ZBP, PIU, IDM czy fundacje reprezentujące sektor startupowy (na przykład fundacja FinTech Poland). W sumie zespół składa się z 22 członków.

Zainteresowanie pracami zespołu jest naprawdę duże. Do tej pory otrzymujemy zapytania o możliwość dołączenia do składu grupy. Niestety jesteśmy zmuszeni odmawiać, ponieważ zespół stałby się zbyt duży i nie można byłoby nim efektywnie zarządzać. O pracach zespołu informujemy na bieżąco na dedykowanej podstronie internetowej KNF-u.

Naszym celem jest rozpoznanie barier różnej natury – prawnych, regulacyjnych i tych związanych z praktykami nadzorczymi. Na początku rynek zgłosił nam 145 barier. Produktem prac zespołu będzie raport, który wskaże te przeszkody i zaproponuje sposoby ich likwidacji. Staramy się też rozwiązywać jak najwięcej możliwych problemów już podczas prac zespołu. Grupa ma działać do końca 2017 roku, dlatego tempo prac jest naprawdę szybkie.

R.T.: Rozumiem, że większość barier zidentyfikowanych przez zespół, to bariery regulacyjne. W takim razie jak KNF zapatruje się na kwestię regulacyjnej piaskownicy?

K.G.: Okazuje się, że główną przeszkodą dla rozwoju FinTechu w Polsce jest brak pewności prawnej. Brak pewności, jakie przepisy stosują się do danej firmy, czy potrzebują zezwoleń i na jaką część swojej działalności… Jest to taka bariera na styku prawa, jego interpretacji i praktyki nadzorcy.

Urząd KNF wraz z zespołem chce usunąć tę niepewność prawną. Od 23 czerwca działa nowa strona Urzędu, na której jest dedykowana podstrona dla FinTechów. Będą tam umieszczane stanowiska nadzorcze odnośnie różnych spraw związanych z FinTechem. Już teraz można tam znaleźć przewodniki po procesie licencyjnym. W ten sposób dbamy o transparentność rynku i wzmacniamy pewność prawną.

To prawda – jednym z głównych postulatów rynku była kwestia piaskownicy regulacyjnej (regulatory sandbox). Była to jedna z większych kwestii do przeanalizowania. Obecnie zespół znajduje się w końcowej fazie analitycznej i wkracza w fazę implementacji uzgodnionych rozwiązań. Najpierw trzeba jednak zastanowić się czym w ogóle jest piaskownica regulacyjna. Z naszych kontaktów z innymi nadzorcami wynika, że pod pojęciem sandboxu rozumiane są różne stany prawne i rozwiązania praktyczne.

Piaskownica regulacyjna to środowisko do testowania innowacyjnych rozwiązań, ale na żywym organizmie – na prawdziwych klientach. Z racji swojej innowacyjnej i nieprzewidywalnej natury rozwiązania te testowane są na ograniczonej liczbie użytkowników i w ograniczonym czasie oraz np. przy zastosowaniu limitów kwotowych. Takich piaskownic na świecie jest tylko kilka.

Obserwując inne rynki doszliśmy do wniosku, że podczas powstawania piaskownicy wyłania się następująca sekwencja – najpierw tworzone są komórki, które można nazwać „innovation unit”, czyli punkty kontaktowe z rynkiem i centra kompetencji, które gromadzą informacje na temat innowacyjnych rozwiązań. W ten sposób postąpił brytyjski nadzór – Financial Conduct Authority, który najpierw stworzył taka komórkę, a dopiero później piaskownicę.

Można też wyróżnić formę pośrednią, czyli „innovation hub”, albo „wirtualną piaskownicę”. W ramach takiego rozwiązania zapewniona jest infrastruktura informatyczna, ale nie występuje proces testowania na klientach. Taki model działa na przykład w Hong Kongu. Można zatem pokusić się o następującą gradację – innovation unit – innovation hub – regulatory sandbox.

My będziemy starali się podążać właśnie za tą sekwencją. Są już pierwsze decyzje co do rozpoczęcia tego procesu. Postaramy się powołać specjalną komórkę dedykowaną FinTechom, która będzie punktem kontaktowym dla rynku i będzie kumulować wiedzę o branży po stronie nadzoru. Piaskownica to nie tylko korzyści dla rynku, ale również dla nadzorcy. Dzięki niej Urząd może zbierać bardzo specjalistyczną i nowoczesną wiedzę, której nie da się wyczytać z książek. Jest to obopólna korzyść.

W Ministerstwie Cyfryzacji przygotowywane jest też coś na kształt wirtualnej piaskownicy. Jest to uwzględnione w trzeciej osi krajowej agendy badawczej – program nazywa się InfoStrateg. Rozumiem, że jest to dopiero na etapie planów. Ma to być wirtualna platforma z interfejsami – czyli API – oraz z dostępem do testowych danych.

R.T.: A czy KNF widzi jakieś zagrożenia ze strony FinTechów, na przykład dla stabilności rynku finansowego w Polsce? Jeżeli tak, to z czego takie obawy wynikają?

K.G.: Tak, rzeczywiście sporo się o tym mówi, ale głównie na forum międzynarodowym, a nie w Polsce. U nas ton dyskusji jest zupełnie inny. Moim zdaniem wynika to z tego, że polskie banki, jako jedne z głównych graczy na rynku finansowym, są już wyjątkowo zaawansowane technologicznie. Dlatego nie widzimy jako takiego zagrożenia ze strony innowacji w usługach finansowych – po prostu większość tych rozwiązań już w Polsce funkcjonuje.

U nas usługi FinTechowe często świadczą banki wspólnie ze startupami. Wspólnie angażują się w programy akceleracyjne. Dlatego jesteśmy spokojni, że o innowacyjność zadba rynek, natomiast nasza rola to pilnowanie, aby ta innowacyjność była realizowana w sposób bezpieczny. Dlatego jak mantrę powtarzamy hasło „Secure FinTech”.

Bezpieczeństwo przejawia się też w kontekście PSDII. Jedną z żywiej dyskutowanych kwestii jest bezpieczne realizowanie koncepcji Open Banking. Są tutaj duże tarcia na poziomie regulacyjnym w Europie, dotyczące głównie screen scrapingu. W tej sprawie trwa dyskusja pomiędzy Europejskim Urzędem Nadzoru Bankowego (EBA) a Komisją Europejską.

Czytaj także: Nowa stawka abonamentu RTV – maks 8 zł miesięcznie odprowadzane od podatku

R.T.: Nawiązując do kwestii bezpieczeństwa – jak KNF zapatruje się na zmiany, które pociągnie za sobą implementacja dyrektywy PSDII? Jak to wpłynie na wygląd rynku finansowego w Polsce?

K.G.: Uczestniczymy w procesie implementacji PSDII do prawa krajowego i mieliśmy swój udział w stworzeniu koncepcji małej instytucji płatniczej (MIP). Jest to bardzo ważne dla krajowego rynku FinTechowego, ponieważ ułatwia mniejszym podmiotom zdobycie licencji. To jest bardzo ciekawy aspekt naszej lokalnej implementacji dyrektywy.

Aktywnie uczestniczymy w pracach nad kolejnym etapem regulacji, czyli nad standardami technicznymi, które wynikają z PSDII. Najbardziej znanym standardem jest ten dotyczący silnego uwierzytelniania i bezpiecznej komunikacji, ale tego typu zagadnień jest dużo więcej. Będą to zupełnie nowe wymogi dla instytucji płatniczych w Polsce. O ile banki śledzą te zmiany, to pozostaje pytanie czy przyglądają się im wszyscy dostawcy usług płatniczych.

Nowe standardy to też kwestia przyzwyczajenia klientów – chociażby do wspomnianego silnego uwierzytelniania. Będzie potrzebna akcja edukacyjna, a czasu nie pozostało już zbyt wiele. Inna sprawa to wdrożenia techniczne – wiemy, że trwają prace nad tak zwanym Polish API. Mam nadzieję, że już niedługo zobaczymy konkretne owoce tych działań. Wiemy też, że nie tylko Polska pracuje nad tym standardem. To jest coś, na co cały rynek płatniczy czeka z niecierpliwością.

Czytaj także: Natychmiastowe płatności w Unii Europejskiej. EBC uruchomi nowy system TIPS

R.T.: Skoro jesteśmy już przy zagadnieniach związanych z bezpieczeństwem to muszę jeszcze dopytać o stanowisko KNF-u względem rozwiązań biometrycznych. Ostatnio Alior Bank planował rozpoczęcie autoryzacji klientów poprzez wideoweryfikację, ale spotkał się ze sprzeciwem Ministerstwa Cyfryzacji i GIODO. Jak Komisja Nadzoru Finansowego zapatruje się na kwestię wideoweryfikacji i rozwiązania biometryczne?

K.G.: Zanim przejdziemy do kwestii biometrii, chciałbym jeszcze wyjaśnić pewne kwestie dotyczące bezpieczeństwa. Już wspomniałem, że „Secure FinTech” to nasz motyw przewodni. Z punktu widzenia KNF polski rynek wygląda całkiem nieźle pod względem bezpieczeństwa. Naszym benchmarkiem standardów bezpieczeństwa jest Rekomendacja D dla banków, czyli regulacja kompleksowa i dość wymagająca, ale doceniona przez rynek również jako elastyczna. Na tej bazie powstała też dedykowana regulacja skierowana do SKOK-ów, przy czym mocno uwzględniająca zasadę proporcjonalności.

Jeżeli chodzi o rynek instytucji płatniczych, to główne prace trwają jednak na forum europejskim w kwestii standardów technicznych – przede wszystkim w EBA. Wydaje mi się, że od strony regulacyjnej standardy już są, albo za chwile będą określone. Część z tych dokumentów jest już w konsultacjach publicznych.

Mówiąc o bezpiecznym wprowadzaniu innowacji mamy na myśli przede wszystkim dokładne testowanie przed wdrożeniem, a następnie bieżące monitorowanie bezpieczeństwa, w tym sumienne zarządzanie podatnościami. Niestety bardzo często słyszymy o atakach, które udają się właśnie dlatego, że w używanym softwarze są niezabezpieczone podatności. Często nie wszędzie aktualizuje się oprogramowanie i stąd powstają luki. Ostatnio było głośno o ataku ransomware’a Petya – między innymi na Ukrainę.

Trzeba jednak pamiętać, że to klient jest najsłabszym ogniwem. Wydaje mi się, że będą rosły oczekiwania względem instytucji finansowych, żeby jeszcze bardziej zadbać o klienta, jako nieprofesjonalnego uczestnika rynku.

Wracając do pytania – jednym z aspektów, na który Urząd KNF mógłby zwrócić uwagę jest przeciwdziałanie praniu pieniędzy (AML). W przypadku biometrii i wideoweryfikacji akcent należy przesunąć jednak na ochronę danych osobowych i potencjalnie w tym aspekcie występują większe zagrożenia. Właśnie dlatego temat ten podjął GIODO.

Warto jeszcze wrócić do standardu silnego uwierzytelniania – jest to wykorzystanie dwóch z trzech rodzajów potwierdzenia tożsamości. Pierwsze – to co klient wie, czyli zwykle login i hasło. Drugie – to co klient ma, czyli zazwyczaj token, albo hasło jednorazowe. Trzecie – to kim klient jest. I właśnie w trzecim punkcie pojawia się biometria.

W tym względzie widzimy, że we wspomnianym projekcie standardu technicznego biometria jest akceptowana. Projekt mówi jednak wprost, co w trzecim punkcie jest nieakceptowane. Nieakceptowana jest biometria behawioralna. Pojawiają się zatem przesłanki, że „klasyczna” biometria jest dozwolona i będzie się rozwijała. Ale tak jak wspomniałem, w mojej opinii, jest to bardziej pole do działania dla GIODO, a nie KNF-u.

R.T.: Odbiegając na chwilę od głównego wątku… Przygotowując się do rozmowy, dowiedziałem się, że z wykształcenia jest Pan fizykiem. Co Pan myśli na temat nowej teorii, że Wszechświat jest hologramem?

K.G.: Szczerze mówiąc nie słyszałem o takiej teorii (śmiech). To bardziej brzmi jak filozofia, niż jak fizyka – trochę jak platońskie koncepcje, że świat jest odzwierciedleniem pewnych idei. Cała idea hologramu polega na tym, że jest on odzwierciedleniem pewnego przedmiotu, który znajduje się gdzieś indziej… Więcej na ten temat jednak się nie wypowiem, bo niestety nie zapoznałem się z taką teorią (śmiech).

Czytaj także: Rośnie liczba użytkowników FinTechu – banki i fintechy współpracują

R.T.: Rozumiem. W takim razie wróćmy do kwestii związanych z Komisją Nadzoru Finansowego. Czy Komisja obserwuje platformy P2P lending, które coraz śmielej działają w Polsce? Jakie jest Państwa stanowisko w tej kwestii?

K.G.: Ten temat pojawił się w pracach zespołu ds. FinTech. Działamy w ramach 6-ciu podgrup i w 5 z nich rozpatrujemy konkretnie wyselekcjonowane bariery – typu niejasności względem wymogu trwałego nośnika, albo restrykcyjne wymogi odnośnie outsourcingu.

Natomiast w szóstej grupie prace mają zupełnie inny charakter – to właśnie w niej zajmujemy się pożyczkami peer-to-peer. Ten odmienny charakter prac wynika z tego, że mamy tam do czynienia z wieloma modelami biznesowymi i nie wiadomo jakie przepisy się do nich stosują. Jaki jest reżim regulacyjny? Czy trzeba stworzyć nowe przepisy?

W pierwszym etapie przedstawiciele rynku przygotowali nam materiał, w którym opisali różne rodzaje crowdfundingu – dotacyjny, oparty na przedsprzedaży, oparty na nagrodach – te pierwsze trzy mają bardziej wymiar działalności charytatywnej.

Natomiast te dwa główne rodzaje to crowdfunding inwestycyjny/udziałowy i crowdfunding dłużny. To właśnie tym dwóm rodzajom postanowiliśmy się przyjrzeć najdokładniej. Nie zakładaliśmy tworzenia specjalnych regulacji, ponieważ uważamy, że ich działalność da się wpisać w już istniejące ramy prawne. Te prace jeszcze nie są zakończone, ale są już mocno zaawansowane. Obecnie prowadzimy bardziej szczegółowe dyskusje z Ministerstwem Finansów i podmiotami rynkowymi. Wiemy, które przepisy powinny się stosować do tego typu działalności.

Warto też wspomnieć, że teraz analizujemy działalność P2P lending w obecnym reżimie prawnym, ale mamy świadomość, że warunki regulacyjne niedługo ulegną zmianie. Mam tutaj na myśli przede wszystkim PSDII i MIFID II. Patrzymy na to dosyć kompleksowo i wszystkie wnioski zawrzemy w ostatecznym raporcie, który będzie produktem prac zespołu ds. FinTech. W 4 z 6 podgrup większość spraw została domknięta, natomiast w dwóch pozostałych podgrupach wciąż mamy ważne kwestie do wyjaśnienia – również w tej poświęconej crowdfundingowi. Tak naprawdę szykujemy się już do przygotowania pierwszej wersji raportu.

R.T.: Na koniec zapytam Pana o SKOK-i. Czy SKOK-i też mogą być FinTechami? Czy mogą pójść w tym kierunku, aby zmaksymalizować swój potencjał?

K.G.: Uważam, że tak, SKOK-i mogą być FinTechami. W rozmowie nie zahaczyliśmy o definicję FinTechu, ale w rozumieniu KNF FinTech to usługi finansowe oparte na nowoczesnych technologiach, a nie jakiś konkretny zestaw podmiotów.

Panuje przekonanie, że FinTech to startupy, ale zwłaszcza na przykładzie Polski widać, że nie jest to do końca zgodne z prawdą – to nie tylko startupy, ale też nie tylko banki. SKOK-i mają swojego przedstawiciela w naszym zespole i zgłosiły konkretne bariery odnoszące się bezpośrednio do ich sytuacji. Istnieje duże prawdopodobieństwo, że te przeszkody zostaną usunięte. Część z nich jest już w toku procesów legislacyjnych.

Została zgłoszona kwestia umożliwienia SKOKO-m świadczenia różnych dodatkowych usług – np. usług zaufania. Była to kwestia uzupełnienia pewnych przepisów i zmiany są już w toku. Nie można jednak zapominać o standardach bezpieczeństwa. Już wcześniej wspominałem o rekomendacji D dla SKOK-ów. Poprawne wdrożenie rekomendacji D daje naprawdę dobrą bazę do trwałego rozwoju, również w kierunku FinTechowym.

R.T.: Dziękuję za rozmowę.

K.G.: Dziękuję.

Podziel się artykułem
Share on FacebookTweet about this on TwitterShare on Google+Email this to someone