Comment les changements réglementaires affecteront les services financiers en 2020
Quelle est la prochaine étape pour les agents de conformité des entreprises qui naviguent en équilibrant les changements réglementaires, les progrès technologiques, la fraude numérique et les attentes plus élevées en matière d’expérience client? Michael Magrath, de OneSpan, partage ses principales prévisions de conformité pour l’industrie des services financiers en 2020.
Le paysage réglementaire est en constante évolution. Dans peut-être aucune industrie n’est plus évidente que dans les services financiers. Chaque nouvelle année apporte un nouvel ensemble de règlements, de défis et de changements.
En 2019, nous avons vu les premiers exemples d’organisations qui ont reçu de lourdes amendes pour atteinte à la confidentialité des données et à la sécurité en vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne. L’année dernière a également introduit le concept d’open banking en Europe, avec l’entrée en vigueur de la directive sur les services de paiement (PSD2).
Avec ces changements réglementaires, couplés au rythme rapide des progrès technologiques dans l’industrie, au défi croissant de lutter contre la fraude dans les canaux numériques et aux attentes toujours plus élevées en matière d’expérience client, il devient clair que les institutions financières ont du travail pour elles.
Les organisations sont constamment mises au défi de suivre le cours, et les agents de conformité de l’entreprise se demandent « Quelle est la prochaine étape? » Dans cet esprit, j’aimerais partager trois de mes meilleures prévisions de conformité pour l’industrie des services financiers en 2020 :
1. L’ACCP déclenchera une politique fédérale sur la protection de la vie privée des consommateurs et une loi sur la protection des données aux États-Unis.
L’ACCP est entrée en vigueur le 1er janvier et a attiré l’attention des décideurs des 49 autres États et du Congrès des États-Unis; en conséquence, il a été le catalyseur d’autres factures de confidentialité et de sécurité des données au niveau de l’État. Par exemple, l’État de Washington a réintroduit sa Loi sur la protection des renseignements personnels de Washington le 13 janvier. S’il est promulgué, il entrera en vigueur le 31 juillet 2021. De plus, le New Hampshire et l’Illinois ont présenté leurs propres projets de loi sur la protection de la vie privée des consommateurs en janvier. Ce n’est qu’une question de temps avant que d’autres États suivent les traces de la Californie et adoptent leurs propres lois sur la protection de la vie privée des consommateurs et des données.
Comme on peut l’imaginer, cependant, si des projets de loi ponctuels au niveau de l’État continuent d’être présentés, avoir 50 lois sur la protection des renseignements personnels des consommateurs d’État sur les livres créera un cauchemar de conformité pour les organisations de services financiers de toutes tailles. Il doit y avoir une loi complète sur la protection de la vie privée et des données des consommateurs au niveau fédéral aux États-Unis. pour résoudre les problèmes de conformité. La législation devrait également intégrer des exigences de sécurité minimales pour les organisations à déployer pour protéger les données des consommateurs.
Plusieurs projets de loi relatifs à la protection de la vie privée des données ont déjà été présentés au Congrès, dont la «Consumer Online Privacy Rights Act», présentée en novembre 2019. Il serait surprenant que la Loi devienne une loi fédérale en 2020, mais elle devrait susciter des débats intéressants, et les législateurs peuvent s’attendre à des pressions de la part du milieu des affaires, surtout après le début de l’application de la ccNA en juillet.
2. Poursuite des mouvements vers l’ouverture bancaire aux États-Unis stimulera également de nouvelles exigences réglementaires pour renforcer la sécurité.
Dans l’état actuel des choses, l’Open Banking est « en attente » aux États-Unis. en raison d’une décision d’un tribunal fédéral rendue en faveur du New York State Department of Financial Services (NYDFS) contre le U.S. Office of the Comptroller of the Currency (OCC).
En 2018, l’OCC a annoncé que les fournisseurs de fintech pourraient demander des chartes bancaires spéciales, ce qui a attiré l’ire du secteur bancaire préoccupé par un terrain de jeu réglementaire inégal. En vertu de la charte proposée, les fournisseurs de fintech titulaires d’une licence auraient été en mesure d’exercer certaines activités bancaires, comme l’émission de prêts. Toutefois, le juge a statué que l’OCC ne peut accepter les demandes de sa « charte de banque fintech ».
Pourtant, il ya une forte poussée par les parties intéressées aux États-Unis. pour aller vers l’open banking, un peu comme nous l’avons vu en Europe.
Le 19 décembre 2019, le CCO a interjeté appel devant la Cour d’appel du 2e circuit. Si l’OCC fait appel et gagne, l’ouverture bancaire pourrait encore se réaliser aux États-Unis, et les sociétés de fintech s’installeront rapidement pour fournir des services bancaires, au grand dam des institutions financières traditionnelles. Si cela se produit, le département du Trésor des États-Unis devrait suivre l’exemple de l’Autorité bancaire européenne pour définir les normes techniques réglementaires et exiger une authentification forte de la clientèle.
La sécurité et la confiance sont primordiales pour le système financier et une exigence inébranlable pour maintenir la confiance des consommateurs. Afin de maintenir la confiance, les exigences réglementaires devront inclure l’authentification multifacteur et le lien dynamique, qui contrecarre les attaques de l’homme dans le milieu, afin d’empêcher la modification d’une transaction après que le payeur a authentifié le l’analyse des risques de transaction à transaction.
3. Les changements apportés par la FTC inciteront les banques à adopter des technologies plus rigoureuses de vérification d’identité, d’authentification et d’analyse des risques de transaction.
En 2011, la Federal Trade Commission (FTC) a commencé à appliquer sa règle de 2003 sur les transactions de crédit équitables et précises (FACT Act). La règle des drapeaux rouges exige que les institutions financières prennent les mesures appropriées pour « détecter, prévenir et atténuer » les signes de vol d’identité affectant leurs clients. Cette année, la FTC devrait recommander certains changements potentiels qui restent à voir, mais je prévois que ces changements incluront des exigences pour une vérification d’identité forte, l’authentification et l’analysedes risques de transaction .
Avec tant de violations à grande échelle couvrant de multiples marchés verticaux, des millions de consommateurs ont été victimes dans un ou plusieurs d’entre eux, laissant leurs informations personnellement identifiables (PII) exposés et à vendre sur le dark web. En février 2019, les procureurs généraux de 31 États ont signé une lettre à la FTC notant que « grâce aux informations glanées à partir d’atteintes à la protection des données ou accessibles au public sur les sites de médias sociaux, les voleurs d’identité peuvent être meilleurs que les consommateurs pour répondre aux questions de connaissances. questions d’authentification, parce qu’ils ont les données en face d’eux, tandis que les consommateurs doivent essayer de se rappeler les événements qui se sont produits des années auparavant. Ainsi, même si une personne peut fournir des informations d’authentification, les voleurs d’identité peuvent ne pas être suffisamment contrôlés de l’ouverture ou l’accès à un compte. La lettre demande aux institutions financières d’adopter des formes plus modernes d’authentification, telles que l’authentification multifacteur.
Par ailleurs, en mars 2019, la FTC a proposé des modifications à la Règle sur les garanties et à la règle de confidentialité en vertu de la Loi Gramm-Leach-Bliley qui obligent les institutions financières à expliquer leurs pratiques d’échange d’information à leurs clients et à protéger les données sensibles. En vertu de la règle des garanties,les institutions financières (FI) doivent mettre en place des mesures pour assurer la sécurité des renseignements sur les clients et prendre des mesures pour s’assurer que leurs affiliés et fournisseurs de services protègent les renseignements sur les clients dont ils ont la garde. La règle de confidentialité exige qu’un FI informe les clients de ses pratiques d’échange d’informations et leur permette de ne pas partager leurs renseignements avec certains tiers.
Les modifications proposées à la Règle sur les garanties et à la Règle sur la protection des renseignements personnels exigeraient généralement que toutes les institutions financières chiffrent toutes les données des clients, mettent en œuvre des contrôles d’accès pour empêcher les utilisateurs non autorisés d’accéder aux renseignements sur les clients et d’utiliser l’authentification multifacteur pour accéder aux données des clients. Toutefois, comme les règles proposées sont calquées sur le Règlement sur la cybersécurité du Department of Financial Services (NYDFS) de New York, la réalité est que ce ne sont pas toutes les institutions financières aux États-Unis. seraient assujettis à la réglementation. Mais toutes les institutions financières aux États-Unis est régi par la FTC, ce qui signifie que les règlements proposés par la FTC et les modifications apportées à la règle sur le vol d’identité des drapeaux rouges élimineront, selon ma prédiction, toutes les lacunes.
En outre, le Groupe d’action financière s’emploie à publier cette année ses orientations sur l’identité numérique, ce qui incitera davantage les banques à adopter une vérification et une authentification plus rigoureuses de l’identité. Les directives expliquent comment les systèmes d’identité numérique peuvent être utilisés pour la diligence raisonnable des clients (CDD), un élément clé dont les pays du monde entier ont besoin pour lutter contre le blanchiment d’argent et le financement du terrorisme. Les directives comprennent également la vérification électronique des documents pour s’assurer que le document est valide et favorise également l’utilisation de l’authentification à deux facteurs.
2020 : L’année du changement
Le paysage réglementaire est en constante évolution, en particulier dans les industries fortement réglementées comme les services financiers. Bien que la législation fédérale ne sera probablement pas mise en œuvre cette année, nous verrons plus de législation sur les États, ce qui nous rapprochera en fin de compte d’une loi fédérale sur la protection des données des consommateurs.
Heureusement, les changements réglementaires que nous verrons se produire en 2020 nous profiteront à tous en encourageant les institutions financières à renforcer la sécurité et la confidentialité des données et à adopter des méthodes plus solides et plus sûres pour la vérification de l’identité, l’authentification et l’analyse des risques. En fin de compte, ces changements aideront à protéger les consommateurs et les institutions financières elles-mêmes contre les fraudes et les atteintes à la protection des données non désirées.
Cet article a été publié le CorporateComplianceInsights.com le 10 février 2020.