Utfordringer i betalingssystemet
Tale av visesentralbanksjef Jon Nicolaisen, Finans Norges betalingsformidlingskonferanse, 16. november 2017
Det tas forbehold om endringer under fremføringen.
Innledning
Betalingssystemet er i endring, langs flere dimensjoner. Disse endringene vil ikke bare påvirke måten vi betaler på. De vil ganske sikkert også medvirke til at de strukturelle endringene vi allerede har sett i finansnæringen, vil fortsette og trolig akselerere.
I dag vil jeg kort skissere noen av de viktigste utfordringene vi står overfor. I sum utgjør de kanskje det vi kan kalle et endringsprogram. For å lykkes, kreves samarbeid – både i næringen selv og mellom næringsliv og myndigheter. Langt på vei har myndighetene og næringen sammenfallende interesser: Vi ønsker alle at Norge også i fremtiden skal ha et effektivt, robust og tidsriktig betalingssystem.
PSD2 og nye betalingsaktører
Det har de siste årene kommet flere reguleringer fra EU som vi må forholde oss til. Spesielt viktig er det reviderte betalingstjenestedirektivet, PSD2. Formålet med PSD2, sammen med annen regulering, er å sikre moderne, effektive og billige betalingstjenester. PSD2 skal tre i kraft i EU om to måneder. Forslag til gjennomføring i norsk lov er i høringsprosess. I tillegg må detaljerte retningslinjer fra EU være på plass før PSD2 kan virke etter planen.
PSD2 legger til rette for to nye typer betalingstjenester: betalingsfullmakt og kontoopplysning.[1]
- Betalingsfullmakt innebærer at en tredje part – i tillegg til kunden og kundens bank – får adgang til å iverksette en betaling fra en kundes konto. Tredjeparten kan for eksempel være et selskap som tilbyr en betalingsapplikasjon på smarttelefon.
- Kontoopplysning betyr at en tredje part får tilgang til informasjon på kundens kontoer, og kan gi kunden en samlet digital oversikt over sine kontoer.
Dette grepet skiller eierskapet til kontosystemene fra yting av betalingstjenester. Det skal legge til rette for innovasjon og konkurranse om kundetjenester, på toppen av infrastrukturen i kontosystemet.
Betalingsfullmakt og kontoopplysning kan tilbys som selvstendige tjenester eller som del av et bredere tjenestetilbud. Særlig de plattformbaserte tjenesteleverandørene vil trolig tilby betaling sammen med andre tjenester.
PSD2 vil i utgangspunktet bidra til et mer effektivt betalingssystem. Samtidig må vi være forberedt på at en endret markedsstruktur og teknologisk utvikling kan føre til nye sårbarheter og risikoer. Det kan bli nødvendig med ytterligere reguleringer. Norges Bank vil vurdere tiltak dersom det blir nødvendig. Målet må være at vi fortsatt kan ha et robust og effektivt betalingssystem.
Betalingsmarkedet er preget av nettverksfordeler og plattformkonkurranse. Store internasjonale teknologibedrifter er aktuelle tilbydere av betalingstjenester – som Facebook Messenger, Google, Apple og Samsung. Disse selskapene kan utnytte sin posisjon blant brukerne. På sikt kan det bli negativt for konkurranse og effektivitet, siden det er krevende for andre tilbydere å utfordre store nettverk. Det er også en fare for at eierne av populære teknologiske plattformer kan stenge andre aktører ute fra å tilby tjenester på plattformen. Det er i så fall en sak for konkurransemyndighetene.
Også aktører i handelsnæringen kan søke tillatelse til å tilby betalingsfullmakt etter PSD2. Apper på mobiltelefon kan kombinere direkte reklame, fordelsprogrammer, lagring av kvitteringer og selve betalingen.
Bankene vil uansett ha en sentral rolle. Bankene kan tilby betalingstjenester, også til kunder som ikke har konto i banken. Det kan styrke konkurransen mellom bankene om betalingskundene.
Ny teknologi må utnyttes til samfunnets beste. Det er i utgangspunktet opp til næringslivet og kundene å finne egnede betalingsmåter. Samtidig må vi ivareta sikkerheten i betalingssystemet. Nye aktører i betalingsmarkedet vil innebære at betalingsinformasjon kan spres. Det kan øke risikoen for at informasjonen kommer på avveie. Sårbarheter knyttet til tilgang, behandling og oppbevaring av informasjon kan påvirke tilliten til betalingssystemet. Det kan derfor i siste instans bli aktuelt å gjennomføre nye tiltak for å sikre at informasjonen blir behandlet forsvarlig.
Raske betalinger
Publikum forventer i økende grad at de kan overføre penger på alle ukedager og utenfor de tradisjonelle åpningstidene. De forventer også at mottaker får pengene raskt. I fremtiden må vi ha en god begrunnelse for hvorfor mottaker ikke skal få pengene med en gang, snarere enn det motsatte.
Dette stiller nye krav til betalingssystemet. Vi har en midlertidig straksløsning som stadig flere banker knytter seg opp mot. Det er bra at oppslutningen øker. Men selv om bankene har inngått en avtale om å fordele tap seg i mellom, er det fortsatt kredittrisiko i oppgjøret, og løsningen kan ikke benyttes for alle typer betalinger.
Bits og Norges Bank samarbeider derfor om å utvikle en bedre løsning. Den heter BRO – Betalinger med raskere oppgjør. BRO vil være en effektiv underliggende infrastruktur som skal kunne benyttes for alle typer betalinger. Løsningen skal være på plass innen utgangen av 2019.
Norges Bank har startet opp et internt prosjekt for de tilpasningene vi må gjøre på vår side. Vi skal gjøre vår del av jobben, slik at bankene kan gjøre opp seg i mellom uten kredittrisiko. Da vil også større beløp kunne gå som straksbetalinger.
Også tjenestene ut mot kundene må tilpasses. Jeg vil oppfordre bankene til å være tidlig ute med å gjøre nødvendige forbedringer, slik at kundene så raskt som mulig får gleden av bedre realtidsbetalinger. Vipps vil erstatte internasjonale kort med BankAxept og straksbetalinger konto-til-konto som underliggende betalingsinstrumenter. Det bidrar til mer effektive betalinger. Når realtidsbetalinger basert på BRO erstatter dagens straksløsning, kan i utgangspunktet alle betalinger skje på denne måten, avhengig av hva kundene velger.
Mobil betalingsteknologi
Mobil betalingsteknologi er i utvikling. Brukervennlige apper for betalinger med smarttelefon har økt sterkt de siste par årene. Etter en innledende fase med flere aktører, dominerer nå Vipps i Norge. Vipps er etablert som eget selskap, og har knyttet til seg mange banker.
I dag benyttes mobilapper først og fremst når kortterminaler ikke er tilgjengelige. Slik sett har de til nå først og fremst vært et alternativ til kontanter. Fremover må en forvente at bruksområdene øker. Betalinger for kjøp over internett er ett eksempel. Betalinger i butikker et annet. I tillegg til apper som Vipps vil banker trolig utvikle mobile lommebøker med en rullemeny av betalingsløsninger. Erfaringer fra andre land og innføringen av PSD2 kan tilsi at internasjonale aktører også kan komme til.
Interoperabilitet innebærer at betalinger kan gjøres, selv om sender og mottaker benytter forskjellige banker eller grensesnitt.Det har vært krevende å få til interoperabilitet på tvers av mobilapper. Konsentrasjonen rundt Vipps reduserer utfordringene, men det forutsetter at alle aktører blir med. Det kan være en streng forutsetning. Vi må forvente at andre aktører og løsninger også vil ønske å komme inn i markedet på like vilkår.
Aliasregistrene er viktige her. Et aliasregister kobler kontonummer med telefonnummer og andre måter å identifisere kontoholdere på. I dag bygges det opp egne registre i hver løsning. Jeg mener det er klare fordeler med et sentralt register som benyttes av alle banker og andre aktører i det norske betalingsmarkedet. Dette bør være del av en felles infrastruktur, ikke ligge i private lukkede systemer hvor eierskapet kan skifte.
Et felles register legger til rette for interoperabilitet og høy registerkvalitet. Jo større aktivitet, desto mer oppdatert informasjon. Vi unngår også motstridende informasjon i forskjellige registre, som blant annet kan oppstå når kunder ikke oppdaterer informasjon overalt på samme tidspunkt.
Manglende registerinformasjon kan bli et konkurransehinder. Et aliasregister har preg av et fellesgode som bør organiseres som felles infrastruktur og være tilgjengelig for alle aktuelle tjenestetilbydere, eventuelt for en pris. Aktørene bør konkurrere om andre forhold ved tjenestene de tilbyr.
Jeg ser fram til at Finans Norge og Bits tar tak i dette. Det er ofte mest hensiktsmessig at næringen finner fram til gode løsninger på egen hånd.
Cybersikkerhet
Konsekvensene av cyberangrep kan bli store. Det vi ser nå, er antakelig bare begynnelsen. Vi må finne en egnet måte å motvirke risikoen på – uten å fordyre systemene våre unødig. Utfordringene knyttet til cybersikkerhet er blant de viktigste betalingssystemet vårt nå står overfor. Uten et effektivt forsvar, kan tilliten til systemet over tid bli underminert.
For egen del legger vi i Norges Bank betydelige ressurser ned i sikringen av våre systemer, overvåking av aktivitet og beredskap mot angrep. Vi kommer også til å følge opp cybersikkerhet i betalingssystemet enda tettere i overvåking og tilsyn.
Det krever samarbeid både nasjonalt og internasjonalt å identifisere og bekjempe cyberangrep. Nasjonalt skjer det blant annet gjennom NorCERT under Nasjonal sikkerhetsmyndighet – NSM – og for finanssektoren gjennom FinansCERT under Bits. Den nordiske finansnæringen har etablert Nordic Financial CERT, med utgangspunkt i miljøet i norske FinansCERT. Behovet for samarbeid stopper ikke på nordisk nivå. Utfordringene er internasjonale, og deles av både private finansforetak, deres leverandører og myndigheter i mange land.
Arbeidet med cybersikkerhet er teknisk komplisert og krever spesialkompetanse. Men det er ledelse og styrer i institusjoner og selskaper som har det endelige ansvaret, og som beslutter strategi og ressursbruk. Dette ansvaret kan ikke delegeres eller utkontrakteres. Eiere og ledere må være seg sitt ansvar bevisst. Som tilsynsmyndighet vil Norges Bank følge opp i samarbeid med Finanstilsynet.
Myndighetene og finansnæringen har her sammenfallende interesser. Jeg vil igjen oppfordre næringen til å arbeide fram gode løsninger. Det er allerede gjort mye, og det er etablert samarbeidsorganer på nasjonalt nivå. Men innsatsen på dette området er til dels fortsatt fragmentert. Det er behov for en enda mer samordnet og målrettet innsats for å få samlet kontroll og redusere risikoen.
Systemeierne må sikre at kritiske IT-leverandører har etablert robuste beredskapsløsninger og at disse testes regelmessig. Hvis ikke, plikter systemeierne å vurdere alternative løsninger, også om de er kostbare. Systemeiernes ansvar er det samme, selv om hele eller deler av driften utføres av andre.
Utkontraktering til utlandet – såkalt offshoring – øker. Mer fleksibilitet, lavere kostnader og større kompetansemiljøer er gode argumenter. Samtidig innebærer offshoring andre former for risiko. Norsk kontroll reduseres. Vi blir avhengige av utenlandsk infrastruktur og utenlandske myndigheter. Det hjelper hvis driften kan flyttes – ved en krise – til Norge på kort varsel. Vi kan likevel ikke utelukke at det i fremtiden vil bli krav om at kritiske systemer driftes fast i Norge.
Elektroniske sentralbankpenger
Når vi gjør elektroniske betalinger, bruker vi kontopenger – pengene vi har som innskudd i bankene. Bankinnskudd er penger utstedt av og fordringer på private banker. Hver gang en bank gir et lån, skapes nye penger. Bankinnskudd utgjør nå 98 prosent av pengemengden i vid forstand (M3). Nye betalingsmåter – blant annet med mobiltelefoner – tilsier at denne andelen vil fortsette å stige.
Et spørsmål vi må stille er: Skal vi la de private løsningene konkurrere fritt om å bringe fram betalingsmidler, eller må myndighetene ha en rolle? Det avgjørende er om løsninger basert på private penger, leverer de egenskaper betalingssystemet bør ha. Betalinger må kunne gjøres raskt, sikkert, billig og brukervennlig. Selve betalingsmiddelet – pengene våre – må være utbredt, fordi penger bare er nyttige hvis mange bruker dem. Det krever tillit.
Tilliten til bankenes kontopenger fremmes gjennom innskuddsgaranti og bankreguleringer. Tilliten understøttes også av muligheten til å veksle om til et sikkert alternativ – kontantene. Norges Bank bistår de private aktørene med å gjøre betalingene raske og trygge. Sammen med andre myndigheter overvåker og fører vi tilsyn med infrastrukturen for å sikre at den er robust og effektiv. Personvernregler motvirker at uvedkommende kan få tilgang på informasjon om våre betalinger.
Men det er noen egenskaper kontopengene ikke har. Direkte og umiddelbart oppgjør mellom to parter, uten bruk av tredjepart, er ikke mulig i dag uten kontanter. Systemet er sårbart for avanserte angrep. Det er også risiko forbundet med å holde kontopenger ut over innskuddsgarantien.
Kanskje kan nye private betalingsløsninger tilby noen av disse egenskapene. Men en mulighet som også diskuteres, er å innføre elektroniske sentralbankpenger – i tillegg til kontanter. Denne muligheten reiser mange spørsmål som Norges Bank – og andre sentralbanker – prøver å besvare. Dette er et langsiktig arbeid, og vi vet ennå ikke hva svaret blir.
Avslutning
Det norske betalingssystemet ble digitalisert tidlig. Det har både privatpersoner, bedrifter og banker hatt glede av. Vi kan med rette være stolte av betalingssystemet vårt. Nå går digitaliseringen gjennom nye faser. Leveranser av kundetjenester og underliggende infrastruktur skilles fra hverandre. Nye typer aktører kommer inn. Globale plattformaktører fatter interesse for betalingsmarkedet.
Vi må utnytte mulighetene til å forbedre betalingssystemet. Noe er vi i gang med. Andre endringer vil komme. Jeg har i dag pekt på noen av de oppgavene som næringen og Norges Bank må løse de neste årene:
- Innføre straksbetalinger og utvikle en bedre løsning gjennom BRO-prosjektet.
- Mobil oppkobling mot straksbetalinger og BRO.
- Samling rundt ett aliasregister som en felles infrastruktur.
- En mer samordnet og målrettet innsats for å redusere cyberrisiko. Ledere og eiere må være bevisst sitt ansvar, også når driften er utkontraktert.
- Vi må arbeide videre med reelle beredskapsløsninger.
- Vi må vurdere om det er behov for å redusere risiko knyttet til offshoring.
- Og vi må vurdere om elektroniske sentralbankpenger er nødvendig og ønskelig.
Vi vil alle at Norge også i fremtiden skal ha et av verdens mest effektive og robuste betalingssystemer. Det krever endring og vilje til å investere. Vi har en jobb å gjøre. Men vi har også gode forutsetninger for å lykkes.
Fotnoter
- I regelverket heter tjenestene henholdsvis avtale om betalingsfullmakt og avtale om opplysningsfullmakt.