4 Digital sårbarhet og operasjonell risiko
4.1 Innledning
Det norske finansielle systemet er blant det mest digitaliserte i verden, og innovasjonstakten innenfor finansielle tjenester er høy. Digitaliseringen gir store fordeler både for finansforetakene, kundene og samfunnet ellers, men innebærer også nye risikoer og sårbarheter. For eksempel kan alvorlig svikt i IKT-systemer i verste fall true den finansielle stabiliteten og påvirke samfunnssikkerheten, enten svikten forårsakes av operasjonelle avvik, vinningskriminalitet eller målrettede angrep. Mulighetene som fremveksten av nye betalingssystemer gir, kan også misbrukes av kriminelle for å raskt og fordekt flytte verdier over landegrenser uten kontrollmekanismene som de regulerte finansmarkedene har. For regjeringen er det viktig å legge til rette for digitalisering og innovasjon, samtidig som sikkerhet, forbrukervern og hensynet til finansiell stabilitet og kriminalitetsforebygging ivaretas.
I dette kapitlet omtales risikoer ved digital sårbarhet, både i den finansielle infrastrukturen og for den enkelte i form av kriminalitet og svindel, pågående utredninger av endringer i betalingssystemet, markeder for kryptoaktiva og arbeidet mot hvitvasking og terrorfinansiering.
4.2 Digital sårbarhet
4.2.1 Utviklingstrekk
Det er flere utviklingstrekk som kan bidra til digitale sårbarheter som finansforetakene og myndigheter må være oppmerksomme på. Høy innovasjonstakt og regulering som legger til rette for nye tjenester, økt konkurranse og nye aktører, gir større sårbarhetsflater. IKT-driften i finanssektoren er i betydelig grad utkontraktert til underleverandører, og det kan bidra til mer komplekse og lengre leverandørkjeder som er sårbare for angrep eller operasjonell svikt. Videre er tilgang på egen IKT-kompetanse en utfordring for finansnæringen.1 Uten tilstrekkelig teknisk kompetanse er det en risiko for at foretakene ikke i tilstrekkelig grad evner å definere sine behov, forstå kompleksitet og risiko, samt stille krav til og følge opp underleverandører.
Utkontrakteringen i finanssektoren skjer dessuten til et relativt lite antall sentrale tjenesteleverandører og datasentre, som også leverer viktige tjenester til andre sektorer. For det enkelte finansforetak kan det også være rasjonelt å minimere antall plattformer og verktøy f.eks. ved bruk av brede skytjenester, som kan redusere behovet for spesialistkompetanse i foretaket. Større tjenesteleverandører kan samtidig ha mer ressurser og kompetanse til å utvikle robuste løsninger enn mindre aktører og finansforetakene selv. Utviklingen kan bidra til å redusere foretakenes kostnader og eksponering for tekniske feil og angrep, men gir samtidig større konsentrasjonsrisiko. Hvis det oppstår problemer hos en sentral tjenesteleverandør, kan det raskt få ringvirkninger til store deler av finanssystemet og andre viktige samfunnsfunksjoner i Norge.
Trusselbildet for finansiell sektor er i stadig endring, også som følge av krigen i Ukraina og en mer uforutsigbar sikkerhetspolitisk situasjon. I Finansielt utsyn desember 2022 skriver Finanstilsynet at faren for større cyberhendelser med alvorlige konsekvenser har økt. Slike hendelser kan ha store konsekvenser for finansiell infrastruktur, særlig dersom kritiske funksjoner rammes. Tette koblinger i det finansielle systemet øker faren for at enkelthendelser sprer seg og rammer flere aktører og tjenester.
Den norske finansielle infrastrukturen vurderes jevnt over som robust, sikker og effektiv, se f.eks. Norges Banks rapport Finansiell infrastruktur 2022 og Finanstilsynets Risiko- og sårbarhetsanalyse 2022. Både finansforetakene og de sentrale infrastrukturforetakene i finanssektoren har opprettholdt normal drift og hatt god beredskap under koronapandemien og krigen i Ukraina. Foretakene i finanssektoren rapporterer alvorlige operasjonelle hendelser, som teknisk svikt, og sikkerhetshendelser, som cyberangrep eller andre ondsinnede angrep, til Finanstilsynet. I 2022 ble det rapportert 287 slike hendelser, som er på samme nivå som i 2021, se figur 4.1. Av disse var 21 sikkerhetshendelser og 266 operasjonelle hendelser. Det var ingen sikkerhetshendelser i 2022 som påvirket den finansielle stabiliteten.
Figur 4.1 Antall rapporterte IKT-hendelser fra finansforetakene til Finanstilsynet
Kilde: Finanstilsynet.
Digitalisering og teknologisk utvikling øker også handlingsrommet til kriminelle aktører. Finansnæringen legger store ressurser i å beskytte seg selv og sine kunder mot svindelforsøk, samtidig som kriminelle aktører utvikler sine metoder. Ifølge Økokrim rapporterte bankene i 2022 om en betydelig økning i antallet bedragerier.2 Finansforetakenes rapportering til Finanstilsynet viser at svindel gjennom sosial manipulering ser ut til å være den mest lønnsomme metoden for kriminelle. Samtidig forhindrer bankene en stadig større andel av svindelforsøkene.3 Den nye finansavtaleloven, som trådte i kraft 1. januar 2023, skal sikre at forbrukere som blir utsatt for svindel, i større grad enn tidligere er skjermet mot tap.
Boks 4.1 Regelverk og tilsyn
Finansnæringen i Norge er underlagt et omfattende regelverk for håndtering av digitale sårbarheter. Hver aktør har et selvstendig ansvar for å sikre akseptabel risiko i egen virksomhet, og skal innrette sine systemer slik at sannsynligheten for uønskede hendelser er lav, og konsekvenser av slike hendelser begrenses. Dette omfatter bl.a. ansvar for sikre og stabile driftsløsninger, gode reserve- og beredskapsløsninger og en plikt til aktivt å bidra til robust finansiell infrastruktur. Banker og andre foretak skal ha kriseplaner som skal iverksettes dersom IKT-driften ikke kan opprettholdes som følge av uønskede hendelser. Finanstilsynet fører tilsyn med systemer for kunderettede betalingstjenester og systemer for verdipapiroppgjør, mens Norges Bank har ansvar for tilsynet med interbanksystemene.
Finanstilsynet legger i sin tilsynsmessige oppfølging vekt på at foretakene skal gjøre grundige risikoanalyser og vurderinger ved ny eller endret utkontraktering, og tilsynet kan iverksette tiltak overfor uforsvarlig utkontraktering. Foretakene er ansvarlige for at utkontraktering av IKT-virksomhet gjøres forsvarlig, og at krav som følger av regelverket etterleves, også der utkontraktering skjer til utlandet. Ved all utkontraktering er det viktig at foretakene har god innkjøps- og oppfølgingskompetanse for å kunne stille krav til leverandøren og forstå leveransene.
4.2.2 Samarbeid og beredskap
Det er et godt samarbeid om IKT-sikkerhet og finansiell infrastruktur i Norge, både innad i finanssektoren og mellom sektoren og myndigheter. Norske finansforetak har lenge samarbeidet om fellesløsninger, som avregningssystemet NICS, debetkortsystemet BankAxept og identifikasjons- og signeringssystemet BankID. Det legger til rette for utstrakt samarbeid også om sikkerhet og beredskap. Beredskapskapasiteten i BankAxept-systemet har nylig blitt forbedret, se boks 4.2. Siden 2018 har bankene et krav om å tilpasse sine kontantløsninger til den elektroniske beredskapen og risikoen for økt etterspørsel etter kontanter. De siste par årene har bankene dessuten bygget ut fellesløsningen for å sette inn og ta ut kontanter i dagligvarebutikker («Kontanttjenester i butikk»), se også kapittel 3.5.3. Tjenesten gir kundene mulighet til å ta ut kontanter over hele landet. Finanstilsynet og Økokrim har imidlertid pekt på at tjenesten kan misbrukes til hvitvasking og terrorfinansiering, og Finanstilsynet har understreket at brukersteds- og kontobankene forventes å iverksette tiltak for bl.a. å etterleve hvitvaskingsregelverket.4, 5
Boks 4.2 Beredskap i BankAxept-systemet
Beredskapen i det elektroniske betalingssystemet er fra 2021 forbedret ved at kapasiteten i betalingsterminaler hos samfunnskritiske aktører i detaljhandelen har økt vesentlig. I utgangspunktet har alle betalingsterminaler som tar imot BankAxept, mulighet til å ta imot betalinger også når betalingsterminalen ikke har kontakt med internett, gjennom den såkalte reserveløsningen. Denne er frivillig for brukersteder å ta i bruk, og det koster ikke noe ekstra å slå på funksjonaliteten. Gjennom den såkalte «utvidede reserveløsningen» kan betalingsterminalene hos tilbydere av nødvendighetsvarer som dagligvarer, mat, medisin og drivstoff kunne lagre transaksjoner tilsvarende forventet omsetning i syv døgn i situasjoner der transaksjonene ikke kan gjennomføres og gjøres opp på vanlig måte. Bedre reserveløsninger reduserer kontantenes betydning i beredskapssammenheng, og gir tilbydere av kontanttjenester noe bedre tid til å fremskaffe økt mengde kontanter. Det vil imidlertid kunne bli økt press på øvrige deler av kontantinfrastrukturen, siden det ikke vil være mulig å ta ut kontanter ved kortterminaler når reserveløsningen er i bruk.
Formiddagen 16. mai 2022 var det problemer med betalingsterminalene i en rekke butikker og utsalgssteder. Problemene medførte at terminalene ikke fikk kontakt med resten av betalingssystemet, og for butikkene som ikke hadde aktivert reserveløsningen var det ikke mulig å ta i mot betaling med kort. Problemene varte i rundt halvannen time og skapte stor oppmerksomhet, særlig fordi de oppstod på en dag med stor omsetning i handel, og fordi aktører som Vinmonopolet og en stor dagligvarekjede var blant dem som ikke hadde aktivert reserveløsningen. I tillegg var det en teknisk feil hos en leverandør av terminaler, slik at reserveløsningen heller ikke fungerte hos brukersteder med denne typen terminaler. Årsaken til problemene for kortbetaling var en nettverksendring utført i Nets.
Det er uheldig at en operasjonell feil rammer betalingssystemet så bredt, og særlig på et travelt tidspunkt. Samtidig var det flere ting som gjorde at hendelsen fikk et større omfang enn nødvendig.
Flere brukersteder hadde ikke inngått avtale om reserveløsning, noe som er frivillig.
Terminaler fra en leverandør med reserveløsning virket ikke i offline-modus. Dersom brukerstedene hadde testet terminalene for alle typer avvik, kunne denne svakheten blitt oppdaget tidligere.
Selve reserveløsningen fungerte uten problemer, og er et viktig bidrag til god beredskap i betalingssystemet. Samtidig fordrer det at butikker og andre brukersteder velger å inngå i reserveløsningen, og at nødvendig utstyr regelmessig testes.
Gjennom Nordic Financial CERT (NFCERT), som er etablert av den nordiske finanssektoren for å bistå foretakene i håndteringen av digitale angrep, er samhandlingen mellom finansforetakene forbedret og forsvarsverkene styrket. Finans Norge er dessuten medlem i Næringslivets sikkerhetsråd (NSR), som legger til rette for samarbeid på tvers av sektorer og bransjer for å kartlegge, forebygge og hindre sikkerhetstrusler. NSR er partner i Nasjonalt Cybersikkerhetssenter (NCSC), som er en del av Nasjonal sikkerhetsmyndighet (NSM). NCSC jobber for å beskytte samfunnet mot cyberangrep.
Finanstilsynet er også partner i NCSC, og deltar videre sammen med Norges Bank i NSMs samarbeidsforum for tilsynsmyndigheter på IKT-sikkerhetsområdet. Finanstilsynet er sektorvist responsmiljø (SRM) for håndtering av IKT-sikkerhetshendelser i finansmarkedene, jf. NSMs rammeverk for håndtering av sikkerhetshendelser. Finanstilsynet utøver rollen i samarbeid med NFCERT, og hadde gjennom 2022 månedlige møter med NFCERT som del av dette arbeidet.
Beredskapsutvalget for finansiell infrastruktur (BFI) har en viktig rolle i å samordne beredskapstiltak i den norske infrastrukturen. BFI ledes av Finanstilsynet, og har medlemmer fra de mest sentrale aktørene i den finansielle infrastrukturen. BFI-møtene er også en arena for Finanstilsynet og Norges Bank til å holde kontakt med aktørene, og i tillegg deltar bl.a. Finansdepartementet, NSM, Nkom og NVE som observatører.6 BFI skal komme frem til og koordinere tiltak for å forebygge og løse kriser og andre situasjoner som kan resultere i store forstyrrelser. BFI har normalt tre faste møter i året, men møtes hyppigere ved behov, som under koronapandemien og i forbindelse med krigen i Ukraina.
Norges Bank og Finanstilsynet har etablert et rammeverk for testing av cybersikkerhet i finansiell sektor, kalt TIBER-NO.7 Dette er en nasjonal tilpasning av TIBER-EU-rammeverket fra Den europeiske sentralbanken (ESB). TIBER-tester ligner reelle angrep, og skal gi innsikt i sårbarheter både for det enkelte foretak og for finansiell stabilitet. Testing etter TIBER-NO er frivillig, og de første foretakene startet opp testarbeidet i fjerde kvartal 2022.
Sikkerhetsloven skal bidra til å trygge nasjonale sikkerhetsinteresser gjennom å ivareta grunnleggende nasjonale funksjoner (GNF). GNF-er er tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser. Hvert departement skal identifisere og holde oversikt over GNF-er i sin sektor. Loven gjelder uansett for statlige, fylkeskommunale og kommunale organer, og dersom en privat virksomhet er av avgjørende betydning for en GNF, skal det ansvarlige departementet underlegge virksomheten sikkerhetsloven. Dette gjelder også dersom en privat virksomhet ikke direkte er avgjørende for en GNF, men av andre årsaker har behov for å behandle sikkerhetsgradert informasjon. Finansdepartementet har definert tre GNF-er i egen sektor, herunder «Sikre samfunnets evne til å formidle finansielle tjenester». Departementet har utpekt skjermingsverdige objekter og infrastruktur som understøtter denne GNF-en, og arbeider sammen med Finanstilsynet og Norges Bank med å identifisere ytterligere skjermingsverdige verdier i sektoren.
Innsats på tvers av sektorer vil også ha betydning for sikkerhet og beredskap i den finansielle infrastrukturen. Blant annet oppnevnte Nærings- og fiskeridepartementet i oktober 2022 Eierskapskontrollutvalget, som innen 1. desember 2023 skal utrede behovet for ytterligere kontroll med eierskap i virksomheter som ikke er underlagt sikkerhetsloven, og foreslå eventuelle tiltak. Kommunal- og distriktsdepartementet har hatt på høring forslag til ny datasenterregulering, som bl.a. omfatter krav om forsvarlig sikkerhet og beredskap for datasentertjenester og registreringsplikt for datasenteraktører, og regjeringen skal i tillegg kartlegge hvilke datasentre som leverer tjenester av betydning for kritiske samfunnsfunksjoner.8 Kommunal- og distriktsdepartementet har også varslet at det skal settes ned et ekspertutvalg for nasjonal kontroll med digital infrastruktur, herunder mobil- og bredbåndsnett og datasentre.9
4.2.3 Internasjonal koordinering
Større grad av internasjonalisering og sammenkobling over landegrensene stiller nye krav til samarbeid. I EU ble det i desember 2022 vedtatt en forordning om digital operasjonell motstandsdyktighet («Digital Operational Resilience Act», DORA), se boks 4.3. Målet med forordningen er å sikre at alle deltakere i det finansielle systemet har nødvendige tiltak på plass for å håndtere cyberangrep og andre risikoer, og stiller bl.a. krav om tilsyn med sentrale IKT-tjenesteleverandører og om rapportering av alvorlige IKT-hendelser til nasjonale myndigheter og til de felleseuropeiske tilsynsmyndighetene. Forordningen er EØS-relevant, og Finansdepartementet vurderer nå hvordan regelverket kan gjennomføres i norsk rett. I EU skal regelverket gjelde fra 17. januar 2025.
Det europeiske systemrisikorådet (ESRB) har anbefalt de felleseuropeiske tilsynsmyndighetene, ESB og nasjonale myndigheter å opprette et rammeverk for koordinering ved systemiske cyberhendelser («pan-European systemic cyber incident coordination framework», EU-SCICF). Målet er å muliggjøre rask kommunikasjon og koordinering mellom tilsyn og andre relevante myndigheter for å unngå koordineringssvikt. Rammeverket vil bli utviklet som en del av innføringen av DORA, og arbeidet startet i slutten av 2022.
Boks 4.3 Forordning om digital operasjonell motstandsdyktighet (DORA)
DORA skal sikre at alle deltakere i det finansielle systemet har nødvendige tiltak på plass for å håndtere cyberangrep og andre risikoer. DORA krever at alle foretak skal kunne håndtere alle typer IKT-relaterte forstyrrelser og trusler. DORA introduserer også et rammeverk for overvåking av kritiske IKT-leverandører, for eksempel leverandører av skytjenester. IKT-leverandører som vurderes som kritiske for finansmarkedenes virkemåte, vil overvåkes på felleseuropeisk nivå.
Forordningen omfatter en rekke foretak regulert på EU-nivå, herunder kredittforetak, betalingsforetak, e-pengeforetak, verdipapirforetak, leverandører av kryptotjenester, verdipapirregister, sentrale motparter, handelsplasser, transaksjonsregister, forvaltere av alternative investeringsfond, forvaltningsselskaper, leverandører av datarapporteringstjenester, forsikrings- og gjenforsikringsforetak, forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere, tjenestepensjonsforetak, kredittvurderingsbyråer, lovpålagte revisorer og revisjonsselskaper, administratorer av kritiske referanser og tjenesteleverandører for folkefinansiering. Den brede dekningen av foretak gjør det mulig å få til en homogen og enhetlig anvendelse av kravene til risikostyring på IKT-relaterte områder. Samtidig søker regelverket å ivareta hensynet til proporsjonalitet. Mikroforetak, definert som foretak med under 10 ansatte og en årlig omsetning opp til 2 millioner euro, er underlagt mindre strenge krav enn større foretak.
Forordningen stiller bl.a. krav om at foretak må etablere opplegg for styring og kontroll, gjennomføre risikovurderinger ved endringer i foretakets tekniske infrastruktur, regelmessig gjennomføre risiko- og sårbarhetsanalyser av eldre IKT-systemer, utvide testingen av beredskapsplaner og ha egne gjenopprettingsplaner for å sikre at kriseløsninger er etablert. I forordningen slås det fast at foretakets ledelse er ansvarlig for å styre foretakets IKT-risiko, herunder tredjeparts IKT-risiko. Forordningen inneholder også harmoniserte regler for rapportering av IKT-relaterte hendelser til myndighetene. De europeiske tilsynsmyndighetene (ESAene) skal utarbeide en harmonisert prosedyre for rapporteringen. Myndighetene skal videreformidle informasjon om hendelsene til ESAene og andre relevante myndigheter.
Foretakenes digitale operasjonelle motstandsdyktighet skal testes regelmessig. Forordningen åpner for en forholdsmessig anvendelse av krav til testing i samsvar med foretakenes størrelse, forretningsprofil og risikoprofil. Foretak som vurderes som tilstrekkelig viktige, må gjennomføre såkalt trusselbasert penetrasjonstesting (Threat Lead Penetration Tests, TLPT).
Finanstilsynet deltar i de europeiske finanstilsynsmyndighetenes arbeid med å utforme utfyllende regelverk til forordningen.
4.3 Utredninger av endringer i betalingssystemet
Betalingslandskapet er i endring og preges av bl.a. internasjonalisering, nye aktører, betalingsmåter og -instrumenter, samtidig som bruken av kontanter har falt over mange år, se figur 4.2. Utviklingen gir behov for å vurdere om det bør gjennomføres endringer i betalingssystemet for å sikre at det fungerer godt også i fremtiden.
Figur 4.2 Bruk av kontanter i betalinger på utsalgssteder og i betalinger mellom privatpersoner. Prosent
Kilde: Norges Bank.
Norges Bank skal etter sentralbankloven fremme et effektivt og sikkert betalingssystem, og i sentralbankens strategi for 2023–25 er det å utrede og forme fremtidens betalingssystem ett av tre særskilte satsningsområder. Herunder fortsetter Norges Bank utredningen av digitale sentralbankpenger (DSP), se boks 4.4. Norges Banks utredning er i sin fjerde fase, der det bl.a. gjennomføres eksperimentell testing av tekniske løsninger. For Norges Bank er det overordnede spørsmålet knyttet til innføring av DSP om det vil være hensiktsmessig tiltak for å fremme et effektivt og sikkert betalingssystem og sikre tillit til pengevesenet. En eventuell innføring av DSP i Norge vil ligge et stykke frem i tid, og vil kreve lovendringer.10 Departementet følger Norges Banks utredningsarbeid nøye.
Norges Bank ser også på mulighetene for forbedringer av infrastrukturen for såkalte realtidsbetalinger, det vil si betalinger der mottaker får penger på konto sekunder etter at betalingen er satt i gang. Norges Bank mener at etablering av effektive, fremtidsrettede tjenester for betaling i sanntid bl.a. kan redusere risikoen for at internasjonale betalingsaktører etablerer betalingsløsninger basert på alternative betalingsmidler, eller på annen måte blir så dominerende at norske myndigheters reelle styring og kontroll med viktige deler av betalingssystemet svekkes. I 2021 besluttet Norges Bank å innlede forhandlinger med ESB om mulig deltakelse i Eurosystemets infrastruktur for realtidsbetalinger, TIPS («Target Instant Payment Settlement»). Flere nordiske land deltar allerede, eller planlegger å delta, i TIPS. Finlands Bank er del av eurosystemet, og vil gjennom det delta i TIPS. Siden mai 2022 har oppgjør av realtidsbetalinger i Sverige gått gjennom TIPS. Danmarks Nationalbank har offentliggjort at realtidsbetalinger i danske kroner skal kunne gjøres opp i TIPS fra 2024/25. En eventuell beslutning om norsk deltakelse i TIPS vil fattes etter forhandlingene, og forutsetter bl.a. tilfredsstillende løsninger for sikkerhets- og likviditetsstyring.
Regjeringen vil om kort tid oppnevne et utvalg som skal utrede trygge og enkle betalinger for alle, herunder kontantenes rolle i samfunnet fremover. Dette er en oppfølging av Stortingets anmodningsvedtak 9. juni 2021 nr. 1174 der «Stortinget ber regjeringen nedsette et offentlig utvalg som skal vurdere kontantenes rolle i samfunnet fremover».
Boks 4.4 Norges Banks arbeid med digitale sentralbankpenger
Digitale sentralbankpenger (DSP) kan defineres som allment tilgjengelige elektroniske penger utstedt av en sentralbank, det vil si en digital versjon av kontanter. DSP utredes nå av flere sentralbanker, inkludert Norges Bank. En undersøkelse fra Den internasjonale oppgjørsbanken (BIS) viser at 90 pst. av sentralbankene i et bredt utvalg av land utreder DSP.1 I utviklede økonomier handler innføringen av DSP i stor grad om rollen til sentralbankpenger i lys av fallende kontantbruk og framveksten av nye penge- og betalingssystemer.
Norges Banks utredning er inne i en fjerde fase som består av eksperimentell testing av tekniske løsninger og analyse av formål med, og konsekvenser av, å innføre DSP. Den tekniske testingen skal belyse hvordan løsningene kan oppfylle egenskapene som DSP må ha, og om det kan være utilsiktede konsekvenser. Testingen kan også avdekke økonomiske og regulatoriske problemstillinger som ikke er fanget opp av tidligere analyser. Det er ikke besluttet hvilken type teknologi eventuelle DSP skal bygge på.
Norges Bank trekker på eksterne leverandører i sitt arbeid, bl.a. for å programmere og teste en enkel prototype for utstedelse og destruksjon av DSP i et «tokenformat». Prototypen er lagt ut som åpen kildekode, og flere norske banker og andre aktører deltar i testingen. Norges Bank har også kontakt med aktører i universitets- og høyskolesektoren og representanter for sluttbrukere om innspill til utredningen.
For Norges Bank er det overordnede spørsmålet om innføring av DSP er et hensiktsmessig tiltak for å fremme et effektivt og sikkert betalingssystem og tillit til pengevesenet, og en eventuell innføring vil ligge et stykke fram i tid. Et premiss for Norges Banks utredning er at mulighetene for privat sektor til å formidle kreditt til foretak og husholdninger ikke svekkes vesentlig. Norges Bank har dessuten pekt på at DSP kan ses som et kollektivt gode som sikrer et alternativt stabilt oppgjørsmiddel, og som også legger til rette for videre innovasjon fra private og offentlige aktører «på toppen» av betalingsinfrastrukturen.2
Norges Bank samarbeider også med andre sentralbanker om å utforske potensialet i DSP. I prosjekt «Icebreaker» samarbeidet Sveriges Riksbank, Bank of Israel, Norges Bank og BIS Innovation Hub om å teste grensekryssende betalinger med DSP.3
Norges Bank vil fortsette utredningen av DSP. I Norges Banks Strategi 25 heter det: «Vi skal gjøre oss klare til eventuelt å kunne innføre digitale sentralbankpenger. Digitale sentralbankpenger kan bli nødvendig for at det også i fremtiden skal oppleves som sikkert, effektivt og attraktivt å betale med norske kroner. I strategiperioden vil vi analysere muligheter ved og konsekvenser av å innføre slike penger, samt teste løsninger det kan være aktuelt å innføre. For å få kunnskap og bidra til internasjonal standardisering og samhandling vil vi samarbeide med andre sentralbanker og internasjonale organisasjoner.»
1 Kosse, A. og I. Mattei: «Gaining momentum – Results of the 2021 BIS Survey on central bank digital currencies», BIS Papers No. 125/2022.
2 Se foredrag i forbindelse med Betalingsformidlingskonferansen 10. november 2022.
3 Se https://www.bis.org/about/bisih/topics/cbdc/icebreaker.htm
4.4 Markeder for kryptoaktiva
4.4.1 Muligheter og risiko
Siden Bitcoin ble lansert i 2009, har markedet for kryptoaktiva og andre virtuelle eiendeler vokst kraftig. Markedet består i dag av et stort antall kryptovalutaer og andre typer eiendeler som har til felles at de er basert på blokkjedeteknologi. Én Bitcoin var ved utgangen av 2022 verdt omtrent 16 500 USD, og den totale markedsverdien for kryptovaluta var på samme tid omtrent 760 mrd. USD, ifølge plattformen Tradingview. De siste årene har prisene i markedet vært preget av høy volatilitet, se figur 4.3.
Figur 4.3 Utvikling i markedsverdi for kryptoaktiva. 1000 mrd. USD
Kilde: Tradingview.
Fremveksten av kryptovaluta og andre former for desentralisert finans, altså produkter og tjenester som benytter desentralisert teknolgi, og ikke er avhengig av en sentralisert tredjepart, kan potensielt bidra til en mer effektiv finanssektor og til finansiell innovasjon, men er også forbundet med risiko. Sentralbankorganet BIS peker i sin årsrapport fra juni 2022 på at kryptoaktiva har strukturelle svakheter som hindrer det fra å kunne ha den stabiliteten, effektiviteten og integriteten som et pengesystem trenger. Kryptoaktiva reiser videre problemstillinger knyttet til bl.a. forbruker- og investorbeskyttelse og hvitvasking, terrorfinansiering og sanksjonsomgåelser, og kan over tid også få implikasjoner for finansiell stabilitet. I en annen publikasjon fra BIS i 2023 vises det til at kryptomarkedet har vært gjennom en bemerkelsesverdig mengde opp- og nedturer, som ofte har påført investorer store tap.11 Forfatterne bemerker at selv om negative hendelser i kryptomarkedet så langt ikke har spredt seg til det tradisjonelle finanssystemet, er det ikke noen garanti for at det ikke vil skje i fremtiden når det blir stadig tettere sammenkoblinger mellom desentralisert og tradisjonell finans.
I Norge har risikoen for misbruk av kryptoaktiva blitt påpekt i flere trussel- og risikovurderinger over flere år. I Nasjonal risikovurdering – hvitvasking og terrorfinansiering 2022 fra Økokrim og PST vises det til at manglende beløpsgrenser, global dekning, såkalte miksetjenester12, useriøse vekslingstjenester og desentralisering gjør kryptovaluta egnet for kriminelle, og at kombinasjonen av dette og hopping mellom blokkjeder er noe som brukes bevisst og i økende grad av mer avanserte aktører. I rapporten trekkes utenlandske kryptovalutavekslere frem som aktører med høy risiko for å brukes til hvitvasking. Kripos viser i rapporten Politiets trusselvurdering 2022 til at nordmenn anslagsvis sender 50 mill. kroner ut av landet i bedrageri knyttet til det som fremstår som investering i kryptoaktiva. Det vises også til at flere nordmenn har betalt med kryptovaluta for å få tilgang til overgrepsmateriale på nett.
Utviklingen av internasjonale handelsplattformer for kryptoaktiva og ulike betalings- og investeringsapplikasjoner rettet mot massemarkedet har gjort det enklere for ikke-profesjonelle investorer å handle i kryptoaktiva de siste årene. En undersøkelse gjennomført av Arcane Research og EY fant at 420 000 nordmenn eide kryptovaluta i mars 2022.13 I tillegg har store og etablerte finans- og teknologiaktører begynt å involvere seg mer i markedet for kryptoaktiva.
Norges Bank peker i rapporten Finansiell stabilitet 2022 på at institusjonelle investorers og finansinstitusjoners økte eksponering mot kryptoaktiva kan bli en kilde til systemrisiko. Brå og kraftige verdifall i kryptoaktiva kan gi store tap, og dersom omfanget av kryptoaktiva er stort, kan hastesalg av andre aktiva for å dekke belånte posisjoner føre til finansiell ustabilitet. Det er imidlertid ikke tegn på at norske banker direkte eller indirekte har store eksponeringer mot kryptoaktiva. Norges Bank peker også på at såkalte stablecoins14 og deres sikringsmekanismer er en mulig kilde til systemrisiko dersom de får en vesentlig rolle i betalingssystemet. Et system med høy utbredelse av stablecoins vil kunne være sårbart for svikt som følge av svindel, manipulasjon eller av tekniske grunner. Dette kan medføre at brukere mister betalingsmidlene sine eller ikke får gjennomført betalinger. En effekt av dette kan bli verdifall i aktivaene som holdes, og smitteeffekter i finansiell sektor som kan føre til finansiell ustabilitet.
4.4.2 Regulering
Den generelle finansmarkedsreguleringen har til nå i liten grad blitt anvendt på kryptoaktivamarkeder og relaterte tjenester. I USA har imidlertid finansmyndighetene i økende grad tatt i bruk verdipapirregelverket. Tilbydere av vekslingstjenester og oppbevaringstjenester for kryptovaluta er omfattet av antihvitvaskingsregelverket, i tillegg til at generelle regler om straffansvar for hvitvasking, terrorfinansiering, bedrageri mv. gjelder dersom kryptovaluta inngår i kriminelle handlinger. I kjølvannet av at aktører og systemer har feilet gjennom 2022, ofte som følge av bedrageriliknende aktiviteter, har myndigheter internasjonalt blant annet sett på muligheten for å anvende generelle bedrageribestemmelser.
EU-kommisjonen la i september 2020 frem forslag til en reguleringspakke for å fremme digital finans i EU, inkludert et forslag til regelverk for kryptoaktivamarkeder («Markets in Crypto-Assets», MiCA). Målet er bl.a. å sikre forbruker- og investorbeskyttelse og håndtere trusler mot finansiell stabilitet, og samtidig tilrettelegge for innovasjon og like konkurransevilkår. Regelverket retter seg også mot risiko knyttet til stablecoins, bl.a. gjennom å stille krav til at utstedere må holde likviditetsreserver. Det er oppnådd foreløpig enighet mellom EU-parlamentet og Rådet om MiCA, og det forventes endelig vedtatt våren 2023. Regelverket ventes å tre i kraft i EU i 2025. Forslaget vurderes som EØS-relevant, og departementet vil vurdere norsk gjennomføring når regelverket er vedtatt.
Baselkomiteen publiserte i desember 2022 et sett med nye standarder for kapitalkrav for banker som anbefales innført innen 1. januar 2025.15 Standardene innebærer at bankene skal oppfylle strenge kapitalkrav ved eksponeringer mot kryptoaktiva som er ansett som særskilt risikofylte, herunder Bitcoin. I praksis må bankene holde egenkapital som tilsvarer hele verdien på deres eksponering mot spesielt risikofylte kryptoaktiva. Baselkomiteen uttalte i en pressemelding at standarden gir et robust og forsvarlig globalt regulatorisk rammeverk for internasjonalt aktive bankers eksponeringer mot kryptoaktiva som bidrar til ansvarlig innovasjon mens det opprettholder finansiell stabilitet.
EU-kommisjonen la i juli 2021 frem en pakke med regelverksforslag på antihvitvaskingsområdet, jf. også omtale i avsnitt 4.5. Ett av forslagene gjelder utvidelse av EU-forordningen om sporbarhet i elektroniske betalinger til også å gjelde overføringer av kryptoaktiva. Den gjeldende forordningen er i Norge gjennomført i hvitvaskingsforskriften.
4.5 Antihvitvasking og -terrorfinansiering
4.5.1 Finansforetakenes ansvar og risiko
Hvitvasking er handlinger som bidrar til å få utbytte fra straffbare handlinger, som skatteunndragelse, narkotikakriminalitet, bedrageri og annen økonomisk kriminalitet, til å fremstå som lovlig utbytte. Terrorfinansiering er økonomisk støtte til, eller innsamling av penger på vegne av, personer eller grupper som begår eller har til hensikt å begå terrorhandlinger. Hvitvaskingsloven er det sentrale regelverket i Norge for å forebygge og avdekke at finansmarkedsaktører misbrukes til hvitvasking mv., se boks 4.5.
Finansforetakene har en viktig rolle i å avdekke og stanse hvitvasking av midler som stammer fra kriminalitet. Manglende tiltak mot hvitvasking kan påvirke risikoen for ulike typer bedrageri og svindel. Gjennom innsatsen mot hvitvasking og terrorfinansiering reduseres insentivene og mulighetene for kriminelle til å misbruke legitime aktører til illegitime formål.
Ved mangelfull innsats kan transaksjoner fra Norge bli møtt med mistenksomhet, og tilliten til det norske finanssystemet som helhet kan svekkes. For finansforetak er hvitvasking en operasjonell risiko, og manglende etterlevelse av hvitvaskingsloven kan føre til store bøter, tap av omdømme og i ytterste fall tap av konsesjon. Det er flere eksempler på at banker, herunder i Norge, har fått store bøter på grunn av manglende etterlevelse av anti-hvitvaskingsregler.
I Nasjonal risikovurdering – hvitvasking og terrorfinansiering (NRA) 2022, som utarbeides av Økokrim og PST, pekes det bl.a. på sårbarheter knyttet til manglende deling av informasjon på tvers av rapporteringspliktige sektorer (som følge av økt bruk av tredjepartsaktører i betalingstransaksjoner), kjøp av antihvitvaskingsprodukter og -tjenester som hyllevare (som sjelden er tilpasset den enkelte virksomheten) og manglende transparens om reelle rettighetshavere.
Boks 4.5 Hvitvaskingsloven
Hvitvaskingsloven er det sentrale regelverket i Norge for å forebygge og avdekke at finansmarkedsaktører misbrukes til hvitvasking mv. Gjeldende hvitvaskingslov trådte i kraft i 2018. Regelverket har i Norge røtter tilbake til begynnelsen av 1990-tallet og har over tid blitt utvidet, bl.a. til å gjelde flere aktører og regulere flere aspekter. Hvitvaskingsloven utfylles av hvitvaskingsforskriften. Det norske hvitvaskingsregelverket bygger i hovedsak på internasjonale forventninger og krav. EUs hvitvaskingsdirektiv er EØS-relevant og gjeldende hvitvaskingslov gjennomfører i dag relevante deler av EUs gjeldende hvitvaskingsdirektiv.
Hvitvaskingsloven gjelder for utvalgte aktører både i og utenfor finansmarkedene. Hvitvaskingsregelverkets krav om innhenting og bekreftelse av informasjon om kunden, kundeforhold mv., bidrar til at det blir vanskeligere å svindle banken eller få kundeforhold etablert på feilaktig grunnlag. Dersom det likevel skjer, skal hvitvaskingsloven bidra til at relevant informasjon når myndighetene gjennom rapporteringsplikten til Enheten for finansiell etterretning (EFE) i Økokrim. Forebyggingen styrkes videre ved at hvitvaskingsloven stiller krav om dokumentasjon og oppbevaring av dokumenter, opplysninger mv., som kan være vesentlig i forbindelse med f.eks. straffeforfølgning, eller når en søker etter midler som skal inndras etter et lovbrudd. Ved å bidra til bedre straffeforfølgning og inndragning av utbytte fra lovbrudd, reduseres insentivene til å begå kriminalitet. Hvitvaskingslovens regler om tilsyn og administrative sanksjoner ved lovbrudd skal bidra til at reglene faktisk følges av rapporteringspliktige foretak.
Departementet arbeider nå med en liste over stillinger og funksjoner som i Norge gir status som «politisk eksponert person» («PEP»). Krav i EUs femte hvitvaskingsdirektiv om å utvide hvitvaskingsloven til enkelte aktører innen kunsthandel, må også gjennomføres.
I juli 2021 kom det forslag til nytt regelverk fra EU-kommisjonen. Pakken inneholder fire regelverksforslag på hvitvaskingsområdet, herunder et forslag om å opprette et nytt EU-byrå for antihvitvasking. Byrået skal ha ansvar for å samordne både tilsynsarbeidet og arbeidet i de finansielle etterretningsenhetene som skal ta imot rapporter om mistenkelige forhold etter hvitvaskingsregelverket. Det foreslåtte byrået skal også føre direkte tilsyn med aktører i privat sektor, og herunder kunne ilegge sanksjoner for brudd på regelverket. Norge og de andre EØS/EFTA-statene (Island og Liechtenstein) har overfor EU gitt uttrykk for støtte til styrkingen av antihvitvaskings- og -terrorfinansieringsrammeverket, men har ytret skepsis til direkte tilsyn på europeisk nivå.
4.5.2 Myndigheter og internasjonalt samarbeid
Norske myndigheter jobber bredt for å forebygge, avdekke og bekjempe hvitvasking, terrorfinansiering og tilknyttet kriminalitet. Finansdepartementet har ansvar for antihvitvaskingsregelverket, mens Utenriksdepartementet har ansvar for implementering av internasjonale finansielle sanksjoner vedtatt av bl.a. FNs sikkerhetsråd. Justis- og beredskapsdepartementet har ansvar for rettergangsregelverket og politi- og påtalemyndigheten. Nærings- og fiskeridepartementet har ansvar for selskapsretten og regler for registrering av selskapsinformasjon, som er vesentlig for å begrense misbruk av selskaper til ulike illegitime formål.
Finanstilsynet har trappet opp innsatsen på hvitvaskingsområdet, særlig etter 2016. Tilsynsaktiviteten har bl.a. resultert i tilbakekall av tillatelser, pålegg om stans av virksomhet og pålegg om retting, og Finanstilsynet har ilagt betydelige overtredelsesgebyr. Tilsynserfaringer viser at flere rapporteringspliktige har økt innsatsen mot hvitvasking og terrorfinansiering, men også at etterlevelsen er mangelfull i mange tilfeller. Finanstilsynet har på flere tilsynsområder pekt på manglende risikoforståelse, for liten kapasitet til å følge opp risikoer, og mangelfulle rutiner. Etterlevelse av hvitvaskingsregelverket er blant særlig prioriterte tilsynsområder for Finanstilsynet i strategiperioden 2023–2026.
Finanstilsynet deltar i flere samarbeid om bekjempelse av hvitvasking og terrorfinansiering, bl.a. i Kontaktforum der flere etater møtes for å sikre en koordinert innsats. Finanstilsynet deltar også som observatør i styringsgruppen for offentlig-privat samarbeid mot hvitvasking og terrorfinansiering (OPS-AT), etablert av Finans Norge i 2021, der også Skatteetaten, NAV, Økokrim og PST deltar. I tillegg samarbeider Finanstilsynet med andre offentlige myndigheter om flere enkeltsaker, særlig Økokrim, flere politidistrikt, Tolletaten, Kripos og Skatteetaten. I Økokrim er det Enheten for finansiell etterretning (EFE) som behandler meldinger om mistenkelige transaksjoner, som videreformidles til politiet, forvaltningsorganer med kontrolloppgaver og andre lands kontrollorganer.
Den internasjonale standardsetteren Financial Action Task Force (FATF) er en sentral premissleverandør for det internasjonale arbeidet for å bekjempe hvitvasking og terrorfinansiering og finansiering av spredning av masseødeleggelsesvåpen. Dette er en samarbeidsgruppe med 39 medlemsland herunder Norge. I tillegg deltar mange land og organisasjoner som observatører. FATF gjennomfører blant annet kontinuerlige landevalueringer og produserer detaljerte rapporter av landenes etterlevelse av standardene. Den foreløpig siste oppfølgingsrapporten om Norge når det gjelder teknisk implementering av standardene ble publisert i februar 2023. Siden både EU-kommisjonen og en rekke EU-land er medlem av FATF, påvirker FATFs standarder EUs hvitvaskingsregelverk. Dermed kan FATFs standarder bli bindende for Norge, gitt at disse er gjennomført i EU-rettsakter som tas inn i EØS-avtalen.
Norge deltar videre i et nordisk-baltisk samarbeid i regi av Det internasjonale pengefondet (IMF) som har til formål å analysere nasjonalt og regionalt antihvitvaskingsarbeid, finansiell stabilitet og pengestrømmer. Den endelige rapporten er forventet å foreligge i første kvartal 2023.
Regjeringen vil trappe opp kampen mot økonomisk kriminalitet, og vil legge frem en stortingsmelding om temaet. Et overordnet mål for stortingsmeldingen er å legge til rette for en kunnskapsbasert politikkutvikling og sikre at politiet i fremtiden har nødvendig kompetanse, kapasitet og hjemler til å kunne prioritere og behandle de mest alvorlige sakene om økonomisk kriminalitet på en effektiv måte, slik at disse sakene kan møtes med en riktig straffereaksjon og at utbyttet inndras. Meldingen vil blant annet omtale innsatsen mot hvitvasking og terrorfinansiering, herunder privat sektors rolle, og se nærmere på samarbeid og saksfordeling mellom politiet og kontrolletatene når det gjelder bekjempelse av økonomisk kriminalitet.
4.5.3 Register over reelle rettighetshavere
Lov om register over reelle rettighetshavere med forskrift er et supplement til hvitvaskingsloven. Forskriften ble ferdigstilt i juni 2021. Etableringen av registeret følger opp forpliktelser i EUs hvitvaskingsdirektiv, som bygger på FATF-standardene om transparens for reelle rettighetshavere. Registeret skal gi tilgang til opplysninger om de fysiske personene som i siste instans eier eller kontrollerer f. eks. selskaper. Formålet er særlig å forebygge at selskaper og andre juridiske konstruksjoner kan misbrukes til å skjule hvitvasking, terrorfinansiering og annen kriminalitet.
I november 2022 avsa EU-domstolen en avgjørelse (forente saker C-37/20 og C-601/20), hvor den kjente ugyldig en direktivbestemmelse i femte hvitvaskingsdirektiv som stiller krav om at opplysninger i register over reelle rettighetshavere skal gjøres tilgjengelig for allmennheten uten nærmere vilkår. Direktivbestemmelsen ble ansett å være i strid med retten til vern av privatliv og retten til vern om personopplysninger i EU-pakten artikkel 7 og 8. I lov om register over reelle rettighetshavere er det i utgangspunktet lagt opp til at de registrerte opplysningene skal være åpne for innsyn for allmennheten. Åpenhet har vært vurdert som et sentralt virkemiddel for å motvirke hvitvasking. Norske myndigheter har sett det som nødvendig å gjøre en nærmere vurdering av dommens betydning før det norske registeret tas i bruk.
Fotnoter
Se f.eks. Finans Norges medlemsundersøkelse «Kompetansesjekken 2022».
Se pressemelding fra Økokrim 8. februar 2022, «Rekordhøyt antall anmeldelser på bedrageri».
Se Finanstilsynets «Risiko- og sårbarhetsanalyse (ROS) 2022».
Se Finanstilsynets rapport «Hvitvaskingstilsyn av tjenesten «Kontant i butikk»», 24. desember 2021.
Se Økokrims Temarapport «Kontant i butikk», desember 2022.
Nasjonal kommunikasjonsmyndighet (Nkom) og Norges vassdrags- og energidirektorat (NVE).
«TIBER» står for «Threat Intelligence-based Ethical Red-Teaming».
Jf. Meld. St. 9 (2022–2023) «Nasjonal kontroll og digital motstandskraft for å ivareta digital sikkerhet» (Justis- og beredskapsdepartementet).
Se pressemelding fra Kommunal- og distriktsdepartementet 16. desember 2022 på regjeringen.no.
Se Norges Bank Staff Memo 4/2023, hvor det er gjort en vurdering av lovendringene som antas å være nødvendige for å kunne innføre DSP.
Aquilina, M, Frost, J og Schrimpf, A (2023): «Addressing the risks in crypto: laying out the options». BIS Bulletin No 66.
En miksetjeneste blander egen kryptovaluta med andre personers kryptovaluta for å skjule hvor pengene kommer fra.
Se undersøkelsen «Norwegian Crypto Adoption Survey 2022» fra Arcane Research og EY.
Stablecoins er laget for å ha en stabil verdi mot en referanse, som f.eks. valutaer eller andre aktiva.
Se The Basel Committee on Banking Supervision (2022): «Prudential treatment of cryptoasset exposures». BIS, desember 2022.