לצפייה בהודעה זו כקובץ לחץ כאן

למצגת לחץ כאן

 

כנס הפיקוח על הבנקים לשנת 2024 בנושא הונאות פיננסיות מתקיים היום. מצורפים דברי המפקח המלאים בכנס:

 

השנה האחרונה הייתה אינטנסיבית ומאתגרת והשפיעה לא מעט על העשייה. הפיקוח על הבנקים יחד עם המערכת הבנקאית התגייס לסייע לציבור הנפגעים ולאנשי המילואים בצעד שמשקף הוגנות ומעורבות חברתית גבוהה. זהו סטנדרט גבוה שהמערכת הבנקאית הציבה לעצמה, ומכאן אפשר וצריך רק לעלות.

בשנה הקרובה, נמשיך להטמיע תרבות של הוגנות במערכת הבנקאות, כפי שהצהרנו בעבר, בין היתר באמצעות רגולציה – גם ברמת המחויבות להוגנות של המערכת וגם בעולמות יותר נקודתיים כמו עמלות ושקיפות.

בעולם התחרות, הפרויקט המרכזי שלנו הוא ליצור תשתית רגולטורית לכך שגופים חוץ-בנקאיים יוכלו להיכנס כמתחרים למערכת הבנקאית ולגייס פיקדונות תחת רישיון בנקאי ופיקוח יציבותי.

כמובן, הדגש המרכזי ימשיך להיות עולם היציבות, ואנו נמשיך לקדם את הוראות באזל 4 וכן את יישום באזל 3 בחלק הנוגע לכריות הון. במקביל, מה שגם מתקשר לכנס שאנו עורכים היום, נלווה את המערכת הבנקאית ביישום ההוראה החדשה שהוצאנו בנושא ניהול סיכוני הטכנולוגיה והגנת הסייבר.

 

נושא הכנס היום הוא הונאות פיננסיות. הגדרנו את הנושא כמיקוד פיקוחי שלנו, מתוך כוונה לתת תשומת לב פיקוחית ואת המשאבים המתאימים לטיפול בנושא. הקמנו צוות ייעודי בפיקוח על הבנקים, שמתכלל את העשייה בנושא זה עם עבודת החטיבה, החל מביקורת בנושאי זיהוי אנומליות על ידי הבנקים, בסקירות על הונאות בחברות כרטיסי אשראי, בהליכים הנוגעים לפיצוי לקוחות בקרות הונאה, וכן קידום שיתופי פעולה בין ממשלתיים עם גורמים כמו משרד התקשורת, המשטרה ומערך הסייבר לטיפול בנושא.

בדבריי אדבר על העולם הדיגיטלי החדש, על הסיכונים התפעוליים בעולם כזה, על החובה שלנו כמערכת פיננסית כלפי הלקוחות, בדגש על עולם ההונאות והצעדים הרגולטורים שאנחנו עושים בהקשר זה.

 

הטכנולוגיה ויותר מזה החדשנות הטכנולוגית משנה את הדרך בה אנשים בעולם צורכים שירותים, וזה כמובן לא פוסח על המערכת הפיננסית. כבר מספר שנים ששיעור הפעולות שנעשה על ידי הלקוחות הקמעונאיים באופן ישיר עומד על כ-90%. כאשר מסתכלים לפי פלח גיל, רואים שגם הציבור המבוגר מבצע את פעולותיו באופו ישיר. זה הרבה יותר נוח, הרבה יותר פשוט, הרבה יותר מהיר ומסקרים שאנו מבצעים עולה שאנשים גם מרוצים מהשירות הזה.

 

בשנים האחרונות הפיקוח על הבנקים דחף את המערכת הבנקאית לחדשנות דיגיטלית, גם בראייה של טובת הלקוח, אך גם בראייה של ניהול סיכון המודל העסקי של המערכת הבנקאית. אחת הדוגמאות לקידום טכנולוגי כזה היה פרויקט הבנקאות הפתוחה שהובל על ידי הפיקוח על הבנקים. אנחנו עדיין בתחילתו של הפרויקט, והגופים הפיננסיים עדיין לא מנצלים את התועלות המובנות הקיימות בו, אולם תארו לכם עולם בו יש מרקט-פלייס של מוצרים פיננסיים, והלקוח יכול לבחור או לקבל מוצר שמתאים לו בהתאמה אישית.

 

כבר כעת אנחנו מדברים על מעל ל-500,000 הסכמות פעילות בחשבונות הלקוחות. חצי מיליון חשבונות, שניתן אישור לגביהם להיכנס למידע של הלקוח, כאשר בתוך המערכת הזו עוברים עשרות מיליוני פעולות API מידי חודש. הצגת עולם ה-API פותחת עוד אפשרויות רבות למערכת הבנקאית ולגופים הפיננסיים מחוץ למערכת, וכבר יש פרויקטים נוספים שעומדים על הפרק בהקשר זה. אחד מהם זה כל עולם ייזום התשלומים – בעצם ביצוע תשלומים על ידי צד ג' ישירות מתוך חשבון הבנק שלך על מערכות תשלומים קיימות, שגם בהן יש התפתחות ומקודמת חדשנות. דוגמא נוספת הוא פרויקט שאנו מובילים בבנק ישראל לקידום שיק דיגיטלי שיבוסס גם הוא על API. החיבור בין העולמות כמובן יביא לשיפור ברמת השירות ללקוחות, במגוון המוצרים וביכולת להתאים את המוצרים ללקוחות בצורה הוגנת.

 

החדשנות הטכנולוגית כמובן מתאפשרת בזכות טכנולוגיות שרק הולכות ומשתפרות, ואני אזכיר מלמעלה כמה מהן:

  • עולם האוטומציה שמאפשר ביצוע תהליכים בצורה יעילה.
  • מחשוב ענן – היכולת להשתמש במשאבי מחשוב בהתאם לצורך, למצוא מוצרי מדף מותאמים לפעילות וליהנות מיתרונות לגודל.
  • בינה מלאכותית – טכנולוגיית הבינה המלאכותית צפויה לשנות את העולם שאנחנו מכירים. תארו לכם, שכל עולם השירות של הלקוחות יתבצע על ידי בינה מלאכותית. האפשרויות מבחינת שיפור העלויות, היכולת להתאים ללקוח מוצרים מותאמים ועוד. גם בעולם של ניהול סיכונים, הבינה המלאכותית יכולה להביא לקפיצת מדרגה משמעותית. הבנקים, בעולם וגם בישראל, מתחילים לבנות יכולות בתחום הזה, ואנחנו כפיקוח עוקבים מקרוב אחר הדברים. בנושא זה אף פורסם דוח ביניים של צוות בין-משרדי שהפיקוח על הבנקים היה שותף לו.
  • טכנולוגיית הבלוקצ'יין וכל עולם הטוקניזציה – מתחבר לחזון העתידי של העולם הפיננסי, לפחות לפי ה-BIS. אם בעבר היה סימן שאלה על תפקידה של המערכת הבנקאית, הרי שבחזון הנוכחי, למערכת יהיה חלק מרכזי, אולם אין ספק שהם יצטרכו להמשיך להשתדרג ולהתחדש טכנולוגית.ה-BIS פרסם סכמה של מערכת עתידית, שמבוססת על מערכות פיננסיות המקושרות זו לזו (בדומה לאינטרנט), באמצעותה יחידים ועסקים יוכלו להעביר כל נכס פיננסי שירצו, בכל סכום, בכל זמן, באמצעות כל מכשיר, לכל אדם אחר, בכל מקום בעולם. עסקאות פיננסיות יהיו זולות, מאובטחות וכמעט מיידיות. גם בנושא זה הקמנו צוות משותף לפיקוח על הבנקים ולמערכת הבנקאית שמטרתו לבחון כיצד ניתן לקדם טוקניזציה בישראל, מאפייני המודל העסקי ועוד.
  • בעולמות הקוואנטום, הנושא שמטריד אותנו במיוחד, גם בהקשר של טוקניזציה, הוא שבירת ההצפנות שהמחשוב הקוואנטי יכול לספק. ככל הנראה יש לנו עוד מספר שנים להתכונן לכך, אבל זה יגיע. אנו עוקבים מקרוב גם אחר ההתפתחויות בנושא זה ובהתאם גם נוציא הנחיות למערכת הבנקאית.

 

בעולם החדש, הסיכונים הדיגיטליים הם משמעותיים. לפני שניגע בהונאות, שזה אחד הסיכונים המשמעותיים, ניגע קצת בסיכונים אחרים.

 

המערכת הופכת להיות הרבה יותר מורכבת, זו כבר לא מערכת מחשוב של הבנק שנמצאת  on-prem אלא הרבה מהמערכות היום הם במיקור חוץ, וזה עוד לפני המעבר שהולך ומתרחב ליישומי ענן. בעולם כזה, תקלות עולות הרבה יותר והן גם קורות בתדירות גבוהה יותר.

כולנו זוכרים את יום שישי בחודש יולי האחרון בו התעוררנו לבוקר עם תקלה גלובלית של קראוד-סטרייק. באירוע, למעלה מ-8 מיליוני מחשבים בעולם הושבתו, מה שהביא לעצירת טיסות בעולם, פעילות של בתי חולים, מערכות פיננסיות, וגם השפיע על המערכת הפיננסית אצלנו שנאלצה לעבוד אל תוך השבת כדי להשמיש בחזרה את המערכות שלה.

בפיקוח על הבנקים מגבירים את המעקב בנושא זה, בעיקר על מנת לוודא שהשירות הבנקאי ללקוחות ממשיך בצורה רציפה. הציבור דורש גישה של 24/7 לשירותים שהוא מקבל מהתאגידים ורמת הזמינות עומדת בציפיות. מהנתונים המדווחים אלינו אנו רואים זמינות ברמה של 99.9% מהזמן, בהחלט נתון ברמה הגבוהה ביותר. אולם, לצד הזמינות הגבוהה והמורכבות של המערכות יש גם סיכונים גבוהים יותר ולכן גם לתקלות שהשביתו ערוצי שירות ללקוחות.

בעולם הזה, גם סיכוני הסייבר גדלים, ובשנה האחרונה, גם בחסות המלחמה הרגשנו את זה יותר במערכת הפיננסית. אם זה התגברות מתקפות DDOS, אירועי דלף מידע, וגם ניסיונות הפישינג שהולכים וצומחים.

 

הכנס היום הוא בנושא הונאות פיננסיות. העולם הזה של ההונאות גם הוא רק הולך ומתעצם, הונאות מבוצעות בדרכים שונות ומסוגים שונים ולעתים בתחכום רב, והרבה אנשים נופלים בהם. אנורואים עלייה של עשרות אחוזים במקרי ההונאות הפיננסיות וגם אצלנו בפיקוח, כמות התלונות בנושא רק הולכת ועולה.

מי לא מכיר את העוקץ הניגרי. אותו מייל או הודעה על הנסיך מניגריה שמוסר לנו שאנחנו קשורים בקשר דם, ואין לו למי להוריש את הכסף, רק לנו, אך כדי לקבל את הכסף צריך רק לתת לו את פרטי האשראי או חשבון הבנק.

במקרה של העוקץ הרוסי, מתקשרים ללקוח או פונים אליו בדרך זו או אחרת, וגורמים לו להגיע לכספומט או לסניף הבנק כדי למשוך כספים ולהעביר אותם לגורמים עבריינים. ראינו גם מקרים בהם לקוח קיבל כספים לחשבון הבנק שלו מגורם עברייני בלי ידיעתו, ואז הגורם באמתלה של נציג משטרה או נציג הבנק דרש לקבל את הכסף במזומן. בסוף יצירת הקשר הזו עם הלקוח, הביאה לגניבות ישירות מחשבון הלקוח.

או הודעות פישינג שבהן נכתב שחבילה מהדואר ממתינה לנו שנשחרר אותה תמורה מספר שקלים, ובדיעבד מסתבר שמסרנו את קוד ה OTP לגורם עברייני. בנוסף, יש הונאות מסוג וישינג שזו הונאה קולית, עוקץ רומנטי, גניבת זהות, סים סוואפ ועוד ועוד.

אלה הונאות בעולם היחסית מוכר לנו, עוד לפני שנכנסו טכנולוגיות AI שמתחזות לגופים שונים או אולי לילדים או להורים שלנו...

 

למערכת הפיננסית יש אחריות גבוהה במניעת הונאות. כמערכת שדרכה מתבצעת הפעילות הפיננסית, לבנקים ולנותני שירותי התשלום שמאפשרים את ביצוע העסקאות, יש את היכולת לזהות ולמנוע הונאות כבר בהתהוותן. אם זה באמצעות וידוא ואימות זהות מבצע העסקה, או באמצעות מערכות לניטור אנומליות שדרכן ניתן לזהות בשלב מוקדם דפוסים חשודים בפעילות. הציפייה שלנו כפיקוח מהמערכת הבנקאית, ובמבט רחב יותר – המערכת הפיננסית כולה, כולל נותני שירותים פיננסיים שאינם מפוקחים על ידינו, היא למנוע את ההונאות כחלק מאחריות חברתית של המערכת כלפי הציבור.

נושא זה מתחבר גם לאחריות של הגופים הפיננסיים לפצות לקוחות שנפגעו כתוצאה מהונאות. החוק מגדיר את חלוקת האחריות בין הגופים הפיננסיים ובין הלקוחות בהקשר זה כאשר המחוקק קבע את נקודת האיזון לטובת הלקוח, מתוך הבנה שלגוף הפיננסי יכולת טובה יותר לזהות הונאות ולמנוע אותן.

לצד התאגידים הפיננסיים, ישנה אחריות גם לתאגידים מתעשיות אחרות שקשורות לנושא, ואני מדבר על חברות התקשורת.

בנוסף, גם לרגולטורים יש פה תפקיד. עלינו מוטלת האחריות ליצור את התשתית הרגולטורית והפיזית, להביא לכך שבידי המערכת הפיננסית והמערכות התומכות, לרבות הלקוחות, תהיה היכולת לצמצם למינימום את ההונאות. הדגשים שאנו מובילים בהקשר זה:

  • חינוך פיננסי – כאמור, למרות שהנטייה בתחומים אלו היא לטובת הלקוחות, גם ללקוח יש אחריות וגם אם הוא יקבל פיצוי בסופו של דבר, עדיף להימנע מהתהליך הזה על ידי זיהוי מוקדם ונקיטת צעדי ביטחון גם מצד הלקוח. לכן, יצאנו בקמפיינים ובתוכניות של חינוך פיננסי, בחלקם עם הגופים הפיננסיים, כדי להגביר את המודעות של הציבור לנושא ההונאות.
  • שת"פ עם גופים אחרים – האחריות שלנו כרגולטורים לייצר אחריות כוללת. דוגמא לכך ניתן לראות בצוות הבין-משרדי שהוקם עם משרד התקשורת והמשטרה, שמטרתו להסתכל על ההונאות בצורה רוחבית וכוללנית ולבחון את תחומי האחריות ואת יכולות ההגנה והמעקב בין התעשיות השונות, כמו חברות התקשורת שדרכן עוברים מסרוני הפישינג, ובין הגופים השונים. דוגמא נוספת, היא פעילות צוות בין-משרדי להקמת מערכת לשיתוף מידע בתחום ההונאות בין הגופים הפיננסיים עצמם.
  • אסדרה ואכיפה – בסופו של דבר, התפקיד שלנו דורש גם אסדרה ברורה, ככל שניתן, גבולות גזרה, הגנות על הלקוח אך גם על קידום השוק במקביל וככל שנדרש גם אכיפה.

קרדיט: דוברות בנק ישראל