Flere kjemper om å få dele norske bankers data: – Kanskje fint at noen i midten ikke har et kommersielt motiv

Finanstilsynet nevner Nordic Financial CERT (NFCERT) med navn som en mulig løsning for et transaksjonssystem i arbeidet mot å bekjempe svindel. Det er Finans Norge som har tatt opp vurderingen, og tilsynet gir den videre til Finansdepartementet i et høringsnotat som ble sendt i september.

Fagdirektør antisvindel Gry Nergård i Finans Norge kunne fortelle litt om hvorfor det er nødvendig, og hvorfor organisasjonen mener NFCERT er den rette aktøren i et slikt arbeid, til BankShift. Og at man blir nevnt i offisielle høringsnotater mellom tilsyn og departement, setter daglig leder Morten Drægni i NFCERT pris på.

– Jeg tenker jo det er veldig gøy og veldig positivt at NFCERT blir trukket så tydelig frem i tilsynets høringsnotat til Finansdepartementet. Det er jo også et ansvar vi har lyst til å ta, sier Drægni til BankShift.

En datadelingshub

Som Nergård i Finans Norge kunne fortelle, har allerede bankene laget egne transaksjonssystemer internt. Derfor mener heller ikke Drægni at det vil være nødvendig å lage et helt nytt system fra bunnen. NFCERT vil komme inn å være en hub for bransjen.

– Når det snakkes om et felles system, ser vi ikke for oss å lage et sanntids transaksjonssystem. Bankene har sine løsninger og sine leverandører. I første omgang ser vi for oss å være en datadelingshub, der vi som medlemseid organisasjon kan fasilitere datadeling mellom medlemmene våre raskere og enklere enn i dag. Bankene kan koble seg på med sine leverandører, bruke dataen i egne prosesser og behandle den slik de er komfortable med, sier Drægni om en eventuell løsning.

Derfor er han også veldig spent på hva utfallet blir av sandkasseprosjektet til Finans- og Datatilsynet som går nå.

– En slik datadelingshub kan brukes inn i realtidsmonitorering. Hvis vi for eksempel deler informasjon om muldyrkonti, kan bankene bruke det i transaksjonsovervåkingen. Hvis sandkasseprosjektet åpner for deling av personnummer og navn knyttet til hvem som er muldyr, kan bankene velge å bruke det inn i sine KYC-prosesser og koble dataen inn i oppsett som vil variere fra bank til bank.

– Hva må til for å få dette i gang?

– Det juridiske er viktigst. Vi må ha så tydelige og gode avklaringer som mulig. Vi er en nordisk organisasjon og ønsker også å se hva vi kan få til på nordisk nivå. Selv om vi er underlagt de samme direktivene og reglene, er det overraskende hvor forskjellig dette tolkes i de nordiske landene. Vi starter der vi kan starte, med juridiske avklaringer, og bygger teknologien rundt. Teknologien tror jeg vi løser, så lenge medlemmene våre vil, sier Drægni.

Han påpeker at NFCERT allerede driver med en god del informasjonsdeling innenfor lovverket i dag, som vil kunne videreutvikles relativt raskt om man kan dele mer, mens andre ting vil kreve et større utviklingsløp.

Drægni viser også til det nye PSR-direktivet, som stiller nye og store krav til realtidsmonitorering for svindel. Drægni forteller at det i enkelte medlemsland nå diskuteres om det må håndteres mer sentralt, og om NFCERT da kan spille en rolle på sikt, ettersom PSR kan medføre nye krav som må løses på en litt annen måte enn i dag. Uansett mener Drægni at datadeling er den enkleste veien til målet, for å komme i gang med å bekjempe svindel.

Konkurranse om jobben

I høringsnotatet nevnes dog NFCERT som én av flere aktører som kan være interessante rundt et slikt transaksjonssystem. På spørsmål om hva Drægni tenker om at andre aktører, som Visa og Mastercard, også har kastet hatten sin inn i ringen, har den daglige lederen stor tro på egen maskin, og det ikke-kommersielle aspektet.

– Det finnes åpenbart flere aktører, både kommersielle og ikke-kommersielle, som har sine nisjer. En av våre største styrker er at vi ikke er kommersielle, og er medlemsbasert. Det er et fortrinn, og vi er i tillegg nordiske, slik at vi kan se kriminaliteten på tvers av land der mye flyter over grensene. Hvis dette settes opp i en ikke-kommersiell kontekst, tror jeg det kan være vinneroppskriften på sikt, sier han.

– I Norge og Norden har det historisk vært bra for finanssektoren at en del infrastruktur og løsninger driftes i fellesskap og eies av bankene og finansnæringen selv, uten avhengighet av kommersielle tredjeparter. Samtidig kommer man ikke unna aktører som Visa og Mastercard. Det viktigste er å bygge noe som kan samarbeide, hente inn og dele data på tvers. Når man skal dele sensitiv informasjon mellom finansinstitusjoner i Norden, er det kanskje fint at noen i midten ikke har et kommersielt motiv, legger han til.

Mer har blitt gjort på ett år

Drægni var også en av foredragsholderne under Finans Norges Digital Robusthet 2025. Han påpeker at mye har skjedd over det siste året, fra forrige fagseminar for Digital Robusthet i 2024 og merker tydelig at flere aktører nå er klare på at noe må skje.

– Det har skjedd utrolig mye det siste året siden forrige konferanse om digital robusthet – mer enn på de ti foregående årene. Bransje, politi, myndigheter, Finanstilsynet og Datatilsynet snakker sammen og blir mer og mer enige om at man ønsker, og at det er mulig, å få til mer deling, sier Drægni.

Han trekker også frem aktørene i sandkasseprosjektet, som han mener gjør en god jobb, også på bakgrunn av at de legger ressurser inn i noe som gagner bransjen som helhet.

– At dette diskuteres konkret i sandkassene, er kjempebra. Honnør til Finanstilsynet, Datatilsynet, DNB, Eika og Nordea for å bruke ressurser på dette. Stemningen er god, og vi tenker at dette skal vi få til, sier Drægni.