„A rendeletek szaladnak a technológia után”
Napjaink egyik legizgalmasabb területét a pénzügyek és a technológia metszéspontjában találjuk, de nagy kérdés, hogy a jogi háttér hogyan tud igazodni ehhez a dinamikusan változó területhez. Interjúnkban a friss fintech-trendekről és a szabályozást érintő legfontosabb kérdésekről dr. Papp Erikát, a CMS vezető partnerét és pénzügyi csoportjának vezetőjét, valamint dr. Horváth Katalint, a CMS technológiai jogi csapatának szenior tanácsadóját kérdeztük.
A fintech a financial technology, azaz pénzügyi technológia angol kifejezéséből keletkezett szó, amely a hagyományos pénzügyi tevékenységek helyére belépő modern technológiai megoldásokat takarja, akárcsak az oktatás területén az edtech, míg a biztosítási területen az insurtech. Bonyolult, de izgalmas területről van szó, ahol a technológiai fejlesztésekre legalább akkora figyelem irányul, mint a jogi háttérre és a szabályozásra.
„Ezzel a területtel kapcsolatban fontos megjegyezni, hogy a technológia itt mindig pár lépéssel a piac előtt jár, a rendeletek pedig szaladnak utána” – magyarázta Papp Erika. „Ennek tipikus példája az úgynevezett MiCA – Markets in Crypto Assets szabályozás. A kriptovalutákról, eszközökről már régóta beszélünk, az Európai Unió rendelete pedig ezt kívánja szabályozni, azonban ennek a kifutása nem azonnali. Azaz a jogalkotással próbálunk a piac után menni. Szerencsére itt egy harmonizált uniós rendeleti szintű jogalkotásról van szó, amely azonnal közvetlen hatályú, nem kell majd éveket várni az implementálásra. Ez azért is nagyon fontos, mert az eltérő technológiák mellett az egyes tagországoknak az attitűdje is jelentősen eltér, így egy direktíva nagyon eltérően is megvalósulhat.”
Papp Erika szerint ezzel az EU a fintech-cégek térnyerését próbálja valamelyest szabályozni, mivel a terület akkorára nőtt, hogy komoly működési és egyéb kockázatokat jelenthet olyan esetekben, ha például egy bank felvásárolna bizonyos fintech-startupokat.
„Mi is dolgozunk a fintech-szektorban működő ügyfelekkel, és a régiós társirodáinkon keresztül is látjuk, hogy milyen szabályozásoknak lesz érdemi hatása erre a területre” – tette hozzá Papp Erika. „Többek között ott az Európai Bizottság digitális működési rezilienciára irányuló DORA-rendelete, amely biztosítja a pénzügyi szektor kibertámadásokkal szembeni nagyobb ellenállóképességét és harmonizálja a pénzügyi szektor informatikai biztonsági szabályait, de említhetjük a mesterséges intelligenciára vonatkozó új EU-s rendeletet és a hozzá kapcsolódó felelősségi irányelvet is, ami mind arra irányul, hogy ha egy fintech-cég akár önállóan, akár egy bankkal együttműködve van jelen a piacon, akkor a működését hogyan lehet a fogyasztók szempontjából védett szolgáltatássá tenni, úgy, hogy ez ne járjon a felhasználók számára veszteséggel. Azaz, a lényeg, hogy egy szolgáltatásnál ugyanolyan fogyasztóvédő folyamatok érvényesüljenek, mint bármely banki szolgáltatásnál. Ez pedig nem a jövő zenéje, hanem a jelen, ezek a dolgok már itt vannak velünk.”
Horváth Katalin rámutatott, hogy ami a bankok szempontjából könnyítés, az a fintech-cégeknek leküzdendő akadályokat jelent: „A fintech startupok nincsenek hozzászokva az ilyen szigorú szabályozáshoz, így náluk komoly gondolkodásbeli változásokra van szükség” – szögezte le a szakember, akinek egyik fő szakterülete a fintech-jog. „Ez már elkezdődött pár éve a fizetési szolgáltatókra vonatkozó Payment Service Directive (PSD2) irányelvvel, ami rendelkezett a fizetéskezdeményezési szolgáltatásokról, a számlainformációs szolgáltatásokról, de a nyílt bankolásról (open banking) és a nyílt pénzügyekről is. Azonban az irányelveket általában elég eltérően implementálták a tagállamok, így nem véletlen, hogy a Bizottság a rendeletekre tért át a pénzügyi területen.”
Horváth Katalin szerint Magyarországon a Magyar Nemzeti Bank kiemelt figyelmet fordít a pénzügyi szektor IT-biztonságára, az új technológiák bevezetését szoros figyelemmel kíséri. Ennek keretében például a Magyar Nemzeti Bank már idén témavizsgálat keretében elkezdte felmérni a mesterséges intelligencia hazai bankszektorban történő használatát, amely alapján év végén megszülethet a döntés, hogy szükség van-e és milyen szintű szabályozói eszközre az MI-vel kapcsolatban, ahogy az történt például 2019-ben a felhő-technológiával kapcsolatban. Az MI rendeletnek egyébként már most is megvan a nagyjából véglegesnek tekinthető szövegezése, függetlenül attól, hogy ez legkorábban másfél-két év múlva léphet hatályba, így ugyanis a szabályozó hatóságok megkezdhetik a felkészülést és átvilágíthatják a szektort, épp úgy, ahogy az MNB is teszi.
„Ugyanez igaz a kritikus rendszerek biztonsági előírásaira vonatkozó, úgynevezett NIS2-irányelvre is” – tette hozzá Horváth Katalin. „Ez szintén egy általános jellegű irányelv, azonban az egész bankszektort szabályozza majd abban a tekintetben, hogy milyen incidensről, kinek és hogyan kell bejelentést tenni. A területre szintén hatással lesz az úgynevezett Cyber Resilience Act (CRA), amely a bankokra és a fintech cégek által fejlesztett szoftverekre is vonatkozni fog. A korábban említett PSD2 következő verziója, a PSD3 még várat magára, az azonnali fizetéseket szabályozó, úgynevezett instant payment EU rendelet viszont már elkészült. Ezen EU-s jogszabályok hatályba lépése fokozatosan fog megtörténni a következő 1-2 évben, amely okozhat érdekes kérdéseket, mivel még nem teljesen tisztázott ezeknek az egymásra gyakorolt kölcsönhatása.”
Az olvasóban is jogosan merülhet fel a kérdés, hogy ha a technológia fejlődése ennyire gyors, hogyan tarthat ezzel lépést a jóval megfontoltabban mozgó pénzügyi szektor? A jó hír, hogy a megfelelően megtervezett jogalkotás képes választ adni erre a kérdésre.
„Akkor jó a szabályozás, ha nem konkrét technológiákat, hanem általános felelősségi köröket szabályoz” – mutatott rá Papp Erika. „Persze nem állítom, hogy ne fordulhatna elő, hogy a technológia átlépi a szabályozást, hiszen az élet általában mindig előrébb jár, de szerencsére, ahogy Katalin is említette, az EU felismerte, hogy ezen a területen gyorsabb mozgásra van szükség, ezért is alkalmazzák a rendeleteket, a direktívákkal szemben. Míg ugyanis az előbbi azonnal hatályba léphet, utóbbinak 2-3 év is lehet az implementációs időszaka, ráadásul a rendeleteket mindenhol ugyanúgy kell értelmezni, ez is biztosítja az egységes jogalkotást.”
Papp Erika a hazai helyzetre is rávilágított, Magyarországon ugyanis, akár a környező országokhoz képest is jóval nehézkesebb a bürokrácia: „Egy évvel ezelőtt felmértük a helyzetet és azt találtuk, hogy Kelet-Közép-Európában egyelőre nem kerülhető el teljesen a papíralapú banki ügyintézés” – mondta a szakértő. Ugyan a B2C ügyfelek banki ügyintézése az utóbbi három évben digitális csatornákra terelődött, a B2B szektorban ez már korántsem olyan szokványos. „Másik probléma, hogy például határon átnyúló szerződések esetében a legtöbb országban nem tud az ügyfél olyan meghatalmazást, okiratot előállítani, amit a közjegyzők is elismernek és digitálisan tudnak is kezelni. Segíthetne ezen a helyzeten, ha a tagállami jogalkotás megtámogatná azt a digitális rendelkezés-cunamit, ami most ránk zúdul, mert jelenleg sem a Polgári Törvénykönyv, sem a közjegyzők szabályozása nem teszi teljesen lehetővé a banki ügyintézés teljes digitalizációját.”
A CMS szakértői fontos trendként jelölték meg a bankok digitális transzformációját is, ami szintén nem egy könnyed, dinamikusan változó terület. Ráadásul, mivel biztonság orientált szektorról van szó, az ügyfelek bizalmának megtartása érdekében a legtöbb bank önállóan kezdi el kifejleszteni a saját digitális környezetét.
„A monolitikus banki rendszerek esetében komoly feladat a digitalizáció, hiszen azok nehezebben alakíthatók át, az egész struktúra átalakítását igénylik, és lassan haladnak. Ezzel szemben az újonnan alapított fintech-cégek nem kell, hogy ilyen legacy-rendszereket cipeljenek magukkal, ők gyorsabban reagálnak, rugalmasabbak az általuk alkalmazott mikroszolgáltatások, konténerizációs technológiák, felhő szolgáltatások miatt.” – mutatott rá Horváth Katalin. „A fintech-cégek is errefelé mozdulnak, ezért a jelenlegi, örökölt banki rendszereket átalakítani modernebb, hatékonyabb megoldásokra, szinte közel lehetetlen küldetést jelent, ráadásul nem is tudnak olyan gyorsan reagálni a változásokra. Igaz, ez nem is feltétlenül szükséges, mert elképzelhető, hogy egy fintech-vállalkozás közbeiktatásával, akvizíciójával meg tudják oldani a kérdést és így mindenki jobban jár.”
Horváth Katalin arra is rámutatott, hogy míg az egyes országokon belül megvannak a szükséges szabványok, vagy nemzeti banki vagy szabályozói oldalról, addig komoly akadályt jelent, hogy az országokon átívelő tranzakcióknál nincs meg az egységes protokoll.
„Azt látjuk még, hogy rengeteg erőforrást kell fordítani a pénzügyi szektor informatikai oldalára, hogy az intézmények meg tudjanak felelni a szabályoknak” – tette hozzá Horváth Katalin. „Nálunk is jelentősen átalakult, hogy mikor, kivel kell beszélgetnünk: a bankok belső jogászai és a fintech-cégek jogászai mellett egyre többet beszélgetünk az informatikusokkal.”
„A fiatal fintech-cégek fiatal tagjait pedig sokszor meglepi, hogy az engedélyezési eljárások mennyire el tudnak húzódni” – figyelmeztetett Papp Erika. „Sokan azt gondolják, hogy az ilyesmi 2-3 hónap alatt lezajlik, ezért komoly sokk lehet számukra, amikor kiderül, hogy 6-9 hónapos időtartamban kell gondolkodni. Ráadásul, gyakran nincsenek felkészülve azokra a kérdésekre, szükséges fejlesztésekre, amit egy nemzeti bank, mint az MNB megkövetelhet. Ezért minden fintech-cégnél az IT jelenti a szűk keresztmetszetet, a fintech-cégek pedig általában nem mérik fel megfelelően, hogy milyen súlyú követelményekről van szó. Mi, ügyvédek fontosnak tartjuk elmondani már az első találkozás alkalmával, hogy ez nagyobb falat lesz, mint amire számítanak.”
Papp Erika arra is felhívta a figyelmet, hogy a költségeket tekintve sem filléres dolgokról van szó. Egy fintech-cégnél a különféle engedélyek beszerzése és az induláshoz szükséges befektetés legalább félmillió euróra rúg. „Ez egyébként egy teljesen érthető elvárás, hiszen, ha egy fintech-garázscégként valaki több tízezer lakossági ügyfélnek akar valamilyen pénzügyi szolgáltatást nyújtani, akkor olyan tőkével és operációval kell működnie, ami megvédi ezt a rengeteg felhasználót” – tette hozzá a szakértő.
A tartalom a CMS Budapest megbízásából, a HVG BrandLab produkciójában készült. A cikk létrehozásában a HVG hetilap és a hvg.hu szerkesztősége nem vett részt.