ITWatch

Klumme: Er den finansielle regulering klar til blockchain?

Nye teknologier inden for blockchain og betalingssystemer vil skabe regulatoriske udfordringer. Sådan lyder det fra advokat Annette Printz Nielsen, co-head of fintech hos Bird & Bird, i denne klumme.

Annette Printz Nielsen

Debatten om brug af blockchain-teknologi til at skabe virtuelle valutaer fylder meget, men anvendelse af blockchain-databaser i de mere traditionelle fiat-valuta betalingssystemer, eller en kombination af fiat og virtuel valuta, er mindst lige så interessant.

Virtuel valuta er typisk udbudt af uregulerede virksomheder, hvorfor blockchain teknologi i den sammenhæng også fortrinsvis har været anvendt af uregulerede virksomheder. I det omfang finansielle virksomheder anvender blockchain teknologi i for eksempel betalingssystemer til brug for overførsel af fiat-valuta, rejser det imidlertid spørgsmålet om, hvorvidt den finansielle regulering er klar til blockchain.

Et konkret spørgsmål, som denne klumme forhold sig til, er de udfordringer som outsourcingbekendtgørelsen giver ved anvendelse af blockchain technologi i den finansielle sektor.

Blockchain teknologi i den finansielle sektor

"Cross border"-betalinger har traditionelt været forbundet med lang eksekveringstid og høje omkostninger, blandt andet som følge af de mange mellemled, som indgår i betalingskæden.

Blockchain-teknologi er imidlertid interessant for den finansielle sektor i mange sammenhænge. Det gælder ikke mindst i det omfang, at blockchain-teknologi kan bruges til at forsimple betalingskæden og gøre "cross border"-betalinger hurtigere og billigere.

En række udbydere har lanceret blockchain baserede betalingssystemer med løftet om, at "cross border"-betalinger kan eksekveres på minutter eller endda sekunder. Ripple var et af de første forsøg på lancering af en betalingsløsning baseret på blockchain-teknologi, og IBM lancerede for eksempel et blockchain-baseret betalingssystem, Blockchain World Wire, på Sibos i oktober 2018. World Wire Blockchain gør det ifølge IBM muligt for eksempelvis banker at bruge stablecoins, nationalbank udstedte virtuel valuta eller andre digitale aktiver som bro mellem fiat-valuta og dermed eksekvere cross border betalinger på sekunder.

Derudover ser vi andre blockchain-baserede initiativer i den finansielle sektor, såsom JPMorgan Interbank Information Network, som ikke er et betalingssystem, men et compliance informationssystem, som også har fokus på cross border betalinger.

Finansielle virksomheders outsourcing af IT-systemer

Outsourcingbekendtgørelsen er et af de regelsæt, som finansielle virksomheder skal tage højde for i forbindelse med anskaffelse og outsourcing af it-systemer, herunder betalingssystemer.

Outsourcingbekendtgørelsen finder i sin nuværende form ikke anvendelse på betalings- og e-pengeinstitutter, men qua det reviderede sæt retningslinjer for finansielle virksomheders outsourcing, som European Banking Authority (EBA) sendte i høring den 22. juni 2018 ("EBAs Guidelines"), er det formentlig alene et spørgsmål om tid, før også den danske outsourcingbekendtgørelse finder anvendelse på betalings- og e-pengeinstitutter.

Outsourcingbekendtgørelsen finder anvendelse ved finansvirksomheders outsourcing, hvormed forstås finansvirksomheders henlæggelse af væsentlige aktivitetsområder, der er underlagt Finanstilsynets tilsyn, til en ekstern leverandør.

Hvad der præcist ligger i væsentlighedsvurderingen, følger ikke klart af den nugældende outsourcingbekendtgørelse, men hvis man tager udgangspunkt i EBAs Guidelines, så har EBA ændret terminologi fra "material" til "critical or important" og henviser til brugen af kritiske eller væsentlige funktioner i direktivet 2014/65/EU (MiFID II) og Kommissionens delegerede forordning hertil 2017/565/EU.

Herefter vil en operationel funktion være at anse for afgørende eller væsentlig, hvis en fejl eller mangel ved dens udførelse materielt ville forringe finansvirksomhedens muligheder for fortsat at opfylde betingelserne og forpligtelserne i henhold til sin tilladelse eller sine øvrige forpligtelser eller ville forværre dets finansielle resultater eller dets mulighed for fortsat eller på et sundt grundlag at yde finansielle service og udføre finansielle aktiviteter.

En finansvirksomheds anskaffelse og anvendelse af et it-system betragtes som udgangspunkt ikke som en outsourcing, men hvis en ekstern it-leverandør eller en anden tredjepart derimod leverer it-systemet som "managed services" og/eller hoster it-systemet, vil der som udgangspunkt være tale om outsourcing underlagt outsourcingbekendtgørelsen, med mindre der altså er tale om et it-system, som ikke betragtes som udførende en væsentlig aktivitet.

Hvis en finansvirksomhed for eksempel anvender et betalingssystem, som er leveret som "managed services" og/eller hostet af en ekstern it-leverandør, vil det klare udgangspunkt være, at der er tale om en outsourcing af et væsentligt aktivitetsområde, som er underlagt outsourcingbekendtgørelsen.

Nogle af de forhold, som særligt giver finansvirksomheder og it-leverandører udfordringer i forbindelse med outsourcing af it-systemer, er outsourcingsbekendtgørelsens krav om auditadgang og godkendelse af underleverandører og underleverandørers eventuelle videreoutsourcing.

Blockchain baserede betalingssystemer

Ny teknologi udfordrer altid status quo, og anvendelse af blockchain teknologi i den finansielle sektor i for eksempel betalingssystemer vil formentlig i lige så høj grad, som vi har set det med cloud baserede it-systemer, rejse nye problemstillinger.

Hvorvidt en finansvirksomheds anvendelse af et betalingssystem baseret på blockchain teknologi skal betragtes som outsourcing omfattet af outsourcingbekendtgørelsen, vil afhænge af den konkrete blockchain-baserede tjenestes karakteristika.

Den "klassiske" eller "ægte" blockchain teknologi, er åben og data er svær - om ikke umulig - at kontrollere. Bitcoin består af open source-klienter, hvor alle kan downloade en klient og deltage i netværket, og alle deltagere har en kopi af databasen med bitcoin-transaktionerne. Databasen kan ikke ændres, når transaktionerne er godkendt gennem den decentrale beslutningsproces. Ingen central aktør eller gruppe af aktører har kontrol eller kan rette fejl eller kræve godkendelse, før andre får adgang til netværket og data.

Derfor er den ægte og radikale åbne blockchain teknologi uforenelig med anvendelse i det offentlige og større virksomheder, herunder særligt den finansielle sektor med kravene til styring og kontrol. Anvendelse af blockchain teknologi i den finansielle sektor vil derfor nok være begrænset til en variation af blockchain teknologi, hvor en vis grad af centralisering af beslutningskompetencen er gennemført.

Outsourcingsbekendtgørelsen og blockchain

Et afgørende element for om outsourcingbekendtgørelsen finder anvendelse vil være, om det blockchain-baserede betalingssystem er "hosted" eller "managed" af finansvirksomheden selv eller af leverandøren af betalingssystemet eller en anden tredje part. Man må derfor se på, hvem der driver det blockchain-baserede betalingssystem, og hvor betalingssystemet er installeret - altså om der er tale om et netværk med distribuerede noder eller klienter, der er installeret lokalt på servere hos finansvirksomhederne eller leverandøren, eller om de er installerede i en cloud, der drives af leverandøren eller af en tredjepart som Amazon eller Google.

Den afgørende egenskab ved blockchain eller "distributed ledger technology" (DLT) er, at databasen er opbevaret decentralt, og i et blockchain baseret betalingssystem kunne dette være på noder eller klienter hos de i betalingssystemet deltagende finansvirksomheder. Hvis det er tilfældet, må man overveje, dels om betalingssystemet er drevet af it-leverandøren eller finansvirksomhederne selv, dels om betalingssystemet er at anse som "hosted" hos samtlige deltagende finansvirksomheder, qua at der ikke er én hoveddatabase, men derimod alene kopier af databasen på samtlige noder eller klienter.

Det kan have den konsekvens, at hver finansvirksomhed outsourcer direkte til de øvrige finansvirksomheder i form af "hosting" (hvis betalingssystemet anses som drevet af finansvirksomhederne selv) eller til leverandøren af det blockchain-baserede betalingssystem, som så videreoutsourcer i form af hosting til de øvrige finansvirksomheder (hvis betalingssystemet anses som drevet af leverandøren).

Hvis man når det resultat, at betalingssystemet er "hosted" af samtlige deltagende finansvirksomheder, hvilket ikke er usandsynligt, så er spørgsmålet, om den enkelte outsourcing – altså den enkelte finansvirksomheds opbevaring af en kopi af databasen på deres lokale noder eller klienter – isoleret set er væsentlig outsourcing.

Hvis man tager udgangspunkt i EBA's guidelines, så er det afgørende, om en fejl eller mangel i den enkelte finansvirksomheds kopi af databasen på deres lokale noder eller klienter, vil forringe finansvirksomhedens muligheder for fortsat at opfylde betingelserne og forpligtelserne i henhold til sin tilladelse eller sine øvrige forpligtelser eller ville forværre dets finansielle resultater eller dets mulighed for fortsat eller på et sundt grundlag at yde finansielle service og udføre finansielle aktiviteter.

Det er formentlig ikke tilfældet, men hvis der er fejl i samtlige eller en overvejende del af de lokale noder eller klienter, så vil den enkelte finansvirksomheds mulighed for at opfylde deres betingelser og forpligtelser formentlig være forringet. Vurdering er vanskelig, fordi anvendelsen af blockchain teknologi ikke passer ind i den traditionelle opfattelse af et it-system eller outsourcingen heraf.

Som outsourcingbekendgørelsen ser ud i dag, vil det – hvis det lægges til grund, at hver node eller klient hos de deltagende parter udgør en væsentlig outsourcing - kræve, at der indhentes samtykke fra samtlige outsourcende finansvirksomheder, hver gang betalingssystemet udvides med nye deltagende finansvirksomheder, der derved kommer til at opbevare kopier af databasen på deres lokale noder eller klienter.

Samme problemstilling gør sig gældende i forhold til kravet om auditadgang. I den sammenhæng må man overveje, om en decentral placering af noder eller klienter betyder, at Finanstilsynet skal have adgang til samtlige lokationer, hvor noder eller klienter indeholdende en kopi af databasen er placeret.

Endelig stiller decentraliseringen særlige krav til den risiko- og kontrolstyring, som finansvirksomhederne skal foretage i forbindelse med outsourcingen.

Betalingssystemer med brug af virtuel valuta

Udfordringerne vedrørende anvendelse af et blockchain baseret betalingssystem i en lukket blockchain, hvor finansvirksomhederne, der deltager og derved opbevarer databasen, skal godkendes (en såkaldt lukket eller "permissioned" blockchain), er formentlig overkommelige, når noderne eller klienterne er hosted lokalt hos finansvirksomhederne eller hos udbyderen af betalingssystemet.

Hvis der derimod er tale om et betalingssystem, som anvender et blockchain baseret system for eksempel en udbyder af en virtuel valuta, hvor i princippet alle, der downloader og installerer systemets klientsoftware (en såkaldt åben eller "permissionless" blockchain), og hvor databasen er placeret decentralt udenfor nodens kontrol, vil outsourcingbekendtgørelsen give væsentlig større udfordringer – hvis præmissen om, at behandling af databasen finder sted på enhver node eller klient, som er en del af blockchain-systemet, udgør en outsourcing i form af hosting, er korrekt.

Endelig kan man overveje, om betalingssystemer, som anvender et blockchain-baseret system - eksempelvis en udbyder af en virtuel valuta - reelt er en konstellation, der udgør en ny form for "settlement" eller clearingsystem, eller at udbyderen af betalingssystemet reelt udbyder betalingstjenester. I outsourcingsammenhæng vil det formentlig have den konsekvens, at man ikke vil anse det for en væsentlig outsourcing omfattet af outsourcingbekendtgørelsen – til trods for at man kan sætte spørgsmålstegn ved dette – men sådan en antagelse åbner op for en helt anden diskussion. Den diskussion ligger dog uden for dette indlægs rammer, ligesom de udfordringer som persondataforordningen og konkurrenceretlige overvejelser af brugen af blockchain-teknologi gør.

Mere teknologivenlig regulering

Hvorledes et blockchain baseret betalingssystem skal vurderes i forhold til outsourcingsbekendtgørelsen, afhænger af det helt konkrete blockchain-system eller -projekt og anvendelsen heraf.

I alle versioner af blockchain indgår dog, som nok den væsentligste egenskab, at der ikke er én hoveddatabase, og at alle noderne eller klienterne i netværket, som indgår i løsningen, behandler en kopi af databasen. Det er derfor nærliggende at antage, at alle de parter, som har installeret klientsoftwaren og behandler en datakopi, må anses for en outsourcing leverandør.

I de lukkede blockchains, hvor alle de deltagende parter skal godkendes, kan dette håndteres ved at godkendelsen kræver accept af en aftale, hvor der tages højde for overholdelse af outsourcingsbekendtgørelsens regler, men i forhold til de åbne blockchains vil det give uoverkommelige udfordringer.

Ud fra mantraet om, at man "ikke skal se problemer, kun løsninger", behøver den finansielle regulering ikke være en stopklods for anvendelsen af blockchain-teknologi i den finansielle sektor, men henset til at den finansielle regulering halter langt bagud i forhold til den teknologiske udvikling, er dette blot endnu ét område, hvor vejledning fra de regulerende myndigheder vil være kærkommen.

Ideelt havde European Banking Authority (EBA) i det reviderede sæt retningslinjer for finansielle virksomheders outsourcing, som blev sendt i høring den 22. juni 2018, taget højde for anvendelsen af blockchain teknologi i den finansielle sektor. Det er desværre ikke tilfældet, og set i lyset af EBA først ultimo 2017 forholdte sig til brugen af cloud (uden dog at omfavne mulighederne og fordelene ved cloud løsninger), kan man godt frygte, at der er lange udsigter til, at EBA i outsourcing sammenhæng forholder til brugen af blockchain teknologi.

Nogle skridt i den rigtige retning er dog Europa-Parlaments ikke-bindende resolution om DLT og blockchains af 3. oktober 2018, som også adresserer brug af DLT og blockchain i den finansielle sektor og Europa Kommissionens hensigt om at etableringen af "International Association for Trused Blockchain Applications" i starten af 2019.

Denne artikel er leveret af ITWatch' søstermedie FinansWatch.

Klumme: Ung vildskab skal føre til next practice

Klumme: Digital velfærd i verdensklasse kræver talent, tillid og tango

Klumme: Kunderne foretrækker selvbetjening

Relaterede

ITWatch trial banner 14 dage.jpg

Seneste nyt

Se alle ledige stillinger