Устаревшие и сложные ИТ-системы могут сорвать переход переход на новые правила ЕС по защите данных.
У банков в распоряжении чуть меньше года, чтобы пересмотреть способ обработки данных клиентов, если они хотят избежать крупных штрафов. Но многие из них негласно предупреждают, что задача уже выглядит непреодолимой.
Все компании должны будут определить, какие данные они хранят о своих клиентах, где они держат их, если у них есть разрешение на это, независимо от того, хранятся ли они безопасно, и как быстро они могут быть извлечены в «мобильную» форму или удалены, если потребуется.
Это основные требования нового европейского закона о защите данных, который вступает в силу 25 мая 2018 года. Он затрагивает все компании, хранящие данные о гражданах ЕС.
Однако консультанты говорят, что банки сталкиваются с самыми сложными задачами (чтобы успеть к сроку) из-за трудностей с модернизацией и сложных ИТ-систем.
«Банки борются с устаревшими системами, - говорит Крис Макмиллан, партнер Oliver Wyman.
Из наших обсуждений с главными специалистами по технологиям в банках мы выяснили, что они обеспокоены тем, что решить технические проблемы всего за один год может быть невозможно.
«В некоторых банках данные клиентов могут храниться в более чем 100 системах, и каждая из них требует много времени, даже для простых изменений», - говорит Макмиллан, - «Иногда даже самые простые изменения занимают месяцы. Умножьте это на сто, и это станет очень сложной задачей».
Он говорит, что самые умные банки попытаются обратить новый закон в свою пользу, став главным центром данных для своих клиентов. Например, они могут предложить своим клиентам проверить, получают ли они лучшее ценовое предложение от своего поставщика сотовой связи или электроэнергии.
«Банк может видеть, что у вас есть прямые расчёты с телекоммуникационной компанией и попросить разрешение на запрос данных от телефонной компании, чтобы проверить, что вы получаете лучшее предложение», - говорит он, - «Это было бы убедительным предложением для клиента, который будет знать, что банк пытается сэкономить их деньги».
Ставки для банков высоки. Нарушение правил может привести к штрафам до 4% от общего оборота компании или 20 млн. евро, в зависимости от того, что больше.
Oliver Wyman подсчитал, что компании FTSE 100 могут быть оштрафованы на сумму до 25 млрд. фунтов за публичные нарушение правил хранения данных, которые имели место за последние пять лет.
Скотт Винсент (Scott Vincent), управляющий партнер консалтинговой компании Parker Fitzgerald, говорит, что в ближайшее время вступит в силу перечень других финансовых правил, в том числе Mifid 2, PSD2 и IFRS 9. Из-за этого банки столкнулись с «огромной проблемой» в соблюдении правил ЕС - General Data Protection Regulation (GDPR). Он описывает растущее чувство «отраслевой паники» в отношении закона о защите данных.
Некоторые банкиры жалуются, что их "разводят" в разных направлениях по противоречивым правилам. «Ваша голова будет идти кругом», - сказал на прошлой неделе генеральный директор компании Citigroup Вивенне Арц (Vivenne Artz).
Она сказала, что законы о защите данных, ограничивающие количество и тип информации, которая может быть передана, могут противоречить требованиям раскрытия информации о любых кибератаках.
Согласно данным недавнего опроса 500 руководителей ИТ в разных секторах для Varonis Systems, три четверти компаний считают, что сталкиваются с серьезными проблемами в отношении соответствия требованиям GDPR. В фирмах, оказывающих финансовые услуги, этот показатель выше на 76%.
Однако финансовые компании, похоже, более серьезно относятся к этим задачам. Только треть ИТ-руководителей сектора говорят, что их компания не сделала приоритетом соблюдение закона до наступления крайнего срока. Это сопоставимо со средним показателем в 42% во всех секторах.
Банки также, похоже, проигрывают больше всех. Когда их спросили, какой сектор, вероятно, станет примером нарушения GDPR, более четверти респондентов указали банковский сектор.