Kategorier
Nyheter

Strengere kommunikasjonskrav i ny finansavtalelov

Akrobaten (Norwegian) pedestrian bridge captured at night.

Den nye finansavtaleloven ble vedtatt i desember 2020. Ikrafttredelsesdato er ikke kunngjort ennå, og ventes i løpet av 2022.

En viktig målsetning med ny finansavtalelov har vært å styrke forbrukervernet, gjøre loven enklere å forstå, samt gjøre det tryggere å være bankkunde i en digital hverdag. Et gjennomgangstema i dette er kommunikasjon. Og mer spesifikt kravene til varsling og valg av varslingskanaler.

Her følger en oversikt over de viktigste endringene for bankene som angår kommunikasjon med privatkunder, samt en forklaring på hvorfor valg av varslingskanaler og kanaler for kundekommunikasjon må ses i sammenheng med utbredelsen og økningen i nettsvindel.

Vi skal også redegjøre for hvordan digital postkasse allerede møter kravene lovendringen innebærer, og hvorfor Digipost er det tryggeste valget for sikker og effektiv kundekommunikasjon i henhold til ny lovgivning.

Endringer i kommunikasjonsflyten med privatkunder

Dette er de tre prosessene i kommunikasjonsflyten med private kredittsøkere bankene pålegges endringer for:

  • Krav om ytterligere sikringstiltak ved bruk av BankID  
  • Krav om å sende nye finansavtaler til privatpersoner ved avtaleinngåelse «direkte til mottaker»  
  • Krav om løsning for å sende avtaler til privatpersoner på forespørsel «direkte til mottaker»  

Ytterligere sikringstiltak ved bruk av BankID

Den endringen i loven som kanskje har fått mest oppmerksomhet av bransjen selv er at ansvaret for misbruk av elektronisk signatur tydelig plasseres hos tjenesteleverandøren.

Det innebærer at den økonomiske risikoen ved misbruk av elektronisk ID i stor grad flyttes fra forbrukeren til banken. Bankene pålegges i ny lov å benytte ytterligere sikringstiltak ved bruk av BankID, og vil selvsagt ha egeninteresse av å innføre slike tiltak for å minimere risiko for tap.

Sending av finansavtaler «direkte til mottaker»

Nye sikringstiltak ved bruk av BankID har fanget bankenes oppmerksomhet, men tilpasningene de må gjøre for å etterleve nye og skjerpede lovkrav er mange.

Et tydelig krav i ny lov, som i liten grad har blitt omtalt i mediene, er at forbrukere skal motta et eksemplar av avtalen ved inngåelse av nye finansavtaler, og senere på forespørsel (§ 3-9 fjerde ledd og § 3-22 fjerde ledd).

Primærstrategien for de fleste banker og finansforetak er at det meste av kommunikasjon med privatkunder skal foregå i nettbank eller på egne nettsider. Dette har fungert frem til nå, men tar vi med § 3-2, tredje ledd i den nye loven endrer kravet til kommunikasjon med forbrukeren seg betydelig. Der slås det fast at «Stilles det i denne loven krav om at noen skal varsles, skal varselet eller en melding om varselet sendes direkte til mottakeren».

Det betyr i praksis at nettbank, mobilbank eller Min Side ikke lenger er tilstrekkelig. 

«Direkte til mottakeren» er i forarbeidene til loven definert som en kommunikasjonskanal som mottakeren bruker i det daglige, og som ikke er tjenesteyterens digitale tjenesteportal. Digital postkasse, e-post som ikke er opprettet av tjenesteyteren eller SMS nevnes som eksempler.

Flere lovkrav omhandler altså rene kommunikasjonstiltak som skal bidra til å avdekke forsøk på misbruk. Kravene kan tolkes, og derfor venter nok mange banker og finansinstitusjoner på en entydig beskrivelse av hvordan de i praksis skal løse dem. Finans Norge utarbeider en bransjenorm for sine medlemsbedrifter, og departementet jobber med forskrifter til loven. I mellomtiden sitter mange og venter på hvordan dette skal utspille seg i praksis.

Utbredelsen av nettsvindel reduserer antallet reelle varslingskanaler

Kommunikasjonskanaler som e-post og SMS er ikke tilstrekkelig sikre i møte med nettsvindel. Omfanget av svindelforsøk gjennom e-post (phishing) og SMS (smishing) med lenke til et etterlignet nettsted (spoofing) har opplevd dramatisk vekst de senere årene, samtidig som forsøkene stadig blir mer sofistikerte. Om kort tid vil det være tilnærmet umulig å skille svindelforsøkene fra de reelle varslingene. 

Derfor er det nødvendig for banker og finansinstitusjoner å vurdere den generelle risikoen involvert i kommunikasjon via e-post og SMS. Trusselbildet innebærer i verste fall reell risiko for økonomisk tap, omdømmetap og økt forekomst av nettsvindel generelt.

Den nye loven gir imidlertid mer konkrete utfordringer å ta stilling til:

  • Den manglende sikkerheten gjør bruk av e-post og SMS for sikringstiltakene ved bruk av BankID utfordrende 
  • E-post som kanal for sending av finansavtaler «direkte til mottaker» blir også utfordrende som følge av manglende sikkerhet, selv om dokumentet i praksis kan sendes 
  • SMS som kanal for sending av finansavtaler blir krevende både som følge av manglende sikkerhet og at dokumentet ikke kan sendes i kanalen, men vil kreve lenke 
  • SMS kun med varsling og lenke til avtale på bankens eget domene vil ikke være i henhold til de nye kravene 

Ser man bort fra disse usikre kommunikasjonskanalene er det i realiteten lite tolkningsrom i loven. Alternativene kan være å utvikle nye løsninger, eller å bruke eksisterende sikre tredjepartsløsninger.

Løsningene finnes og benyttes allerede av bankene

Digipost kan enkelt og kostnadseffektivt løse de nye kommunikasjonskravene. Tjenesten benytter sin egen kontaktinformasjon om kredittsøker for varsling. Denne ajourholdes flittig og vaskes bl.a. mot Digitaliseringsdirektoratets Kontakt- og Reservasjonsregister. Altså trenger ikke banken som sender å oppgi mobilnummer eller e-postadresse som de selv har innhentet fra forbruker. Dette gir økt sikkerhet og vern mot misbruk.
   
Digipost løser også bankenes utfordring med at det ikke lengre er tilstrekkelig å legge signerte avtaler i forbrukerens nettbank eller på Min Side. Når en ny finansavtale er signert i nettbanken eller på Min side, kan den enkelt leveres til forbrukerens postkasse i Digipost. Denne måten å sende «direkte til mottaker» på medfører minimale endringer for bankene, hvor de øvrige prosessene vil være uforandret.
   
På samme vis løser Digipost kravet om å kunne sende eksisterende avtaler til privatpersoner på forespørsel «direkte til mottaker».

Lovendringer i tråd med Digipost sitt DNA

Brukeren i sentrum har vært Digipost sitt DNA siden oppstarten. Prinsippet om at den eneste kopien av en avtale som er viktig for en forbruker ikke kun bør ligge på avtalemotpartens plattform har vi snakket om i ti år.

Logikken bak de nevnte tiltakene for å styrke forbrukervernet samsvarer altså med hvordan vi har tenkt personvern lenge før arbeidet med ny finansavtalelov startet. Derfor har vi for lengst på plass de praktiske løsningene. Løsninger som vil tilfredsstille bankenes og forbrukernes behov, og som gjør at man kan operere i henhold til den nye finansavtalelovens intensjon.
   
Vi har forståelse for at endringene som innebærer at kommunikasjon ikke lengre utelukkende kan skje i nettbanken og på Min side fremstår som en stor omveltning for banker og finansaktører. I praksis trenger ikke endringen være så stor. Vi tror kravene som går på kommunikasjon med privatkunder kan løses uten at prosessene for kundedialog endres nevneverdig, med bruk av nettbank og Min side på samme måte som i dag:

  • Legg til en elektronisk ID eller en varslingskanal uavhengig av dine egne kundedata.  
  •  Send nye, ferdigsignerte avtaler til forbrukeren i Digipost. Lagre avtalen akkurat som før i nettbank eller på Min side.  
  • Bruk samme løsning for å sende eksisterende avtaler til kunder som ønsker avtalekopi.