העולם נעצר: לקחים מהקריסה הגדולה

פורסם ע"יtheregulatorפורסם בכלים ומנגנוניםתגים: , ,

דמיינו שאתם בדרך לחופשה חלומית. הדרכונים מוכנים, המזוודות ארוזות, ואתם בדיוק מגיעים לשדה התעופה.
אבל אז—כאוס.
הטיסות מתבטלות, התורים בשדה התעופה עומדים. בכל שדות התעופה התורים הארוכים משתרכים, אנשים מתוסכלים ולא מצליחים לשלם על כרטיסים חדשים כי גם מערכות הבנקים קורסות.
אתם הולכים לקנות כוס קפה כדי לקחת הפסקה. אבל גם בחנויות הקופות משותקות, וכל הלקוחות עומדים מבולבלים, ללא דרך לשלם.

הסיבה? תקלה טכנולוגית עצומה ששיתקה את מערכות התשלומים בעולם. מערכות בנקאיות קרסו, קמעונאים איבדו שליטה על הקופות, וטיסות הושבתו.

התרחיש האפוקליפטי הזה קרה ביולי 2024. הנזק הישיר למגזר הפיננסי בלבד הוערך ב־1.15 מיליארד דולר. לא מדובר בתקלה בבנק מסוים או בחברת תעופה בודדת. התקלה התרחשה בחוליה בלתי צפויה: ספקי שירותי טכנולוגיה ותקשורת שפועלים מאחורי הקלעים ומאפשרים למערכות הפיננסיות לפעול. למשל, דמיינו שהבנקים וחברות כרטיס האשראי מחוברים לכל העסקים בממשק טכנולוגי. אם יש כשל בממשק הזה – התוצאה דה פקטו היא שאי אפשר לקבל שירותים של בנקים וחברות כרטיסי אשראי.

המשבר הזה הוכיח אמת אחת חשובה: בעולם דיגיטלי, גם אם הבנק שלכם מנוהל היטב, הוא עדיין תלוי בספקי שירותים חיצוניים, שעלולים להפוך לנקודת כשל מערכתית.
וכאן הרגולטורים נכנסו לתמונה.

איך ממשלת בריטניה מתמודדת עם הסיכון?

בבריטניה לא חיכו לקריסה הבאה. כבר ב־2023 נחקק חוק השירותים הפיננסיים והשוק (Financial Services and Market Act 2023). החוק מעניק לרגולטורים כלים לפקח – לא רק על הבנקים וחברות הביטוח – אלא גם על ספקים של שירותים קריטיים שעובדים עם המוסדות הפיננסיים.
איך זה עובד?

מי נחשב "ספק קריטי" (CTP – Critical Third Party) שכפוף לחוק?
משרד האוצר הבריטי מוסמך להכריז על ספקי שירותים מסוימים כ"ספקים קריטיים" אם הפסקת פעילותם עלולה לערער את היציבות של המערכת הפיננסית. החוק חל גם על חברות שאין להן נציגות בבריטניה – כדי לוודא שאם השירות ניתן בבריטניה, יש מי שיישא באחריות על הסיכונים הנלווים. הקריטריונים כוללים את היקף השירותים שהם מספקים, הריכוזיות בשוק, והאם קיימות להם חלופות.

מי אחראי על הרגולציה?
הבנק המרכזי של אנגליה, ועוד שני רגולטורים פיננסיים: PRA ו-FCA קיבלו סמכויות נרחבות: הם יכולים לקבוע כללים, לחקור ספקים, להטיל סנקציות נגד מי שלא עומד בדרישות.

מה הדרישות החדשות?

הרגולציה שנכנסה לתוקף ב־1 בינואר 2025 מטילה ע הספקים הקריטיים חובות משמעותיות:

1. שקיפות וגישה של הרגולטור למידע – ספקים מחויבים להחזיק כתובת משפטית בבריטניה ולמנות איש קשר מרכזי בעל ידע פיננסי.
2. ניהול סיכונים והערכות שוטפות – עליהם לזהות סיכונים, להפעיל מנגנוני ניהול סיכונים, ולבצע הערכות עצמיות ובדיקות תרחיש תקופתיות.
3. התמודדות עם תקלות טכנולוגיות – הם נדרשים להפעיל מערכות הגנה מפני מתקפות סייבר ולתכנן תוכניות תגובה לשיבושים טכנולוגיים.
4. ניהול שרשרת האספקה – אם ספק קריטי משתמש בקבלני משנה, הוא חייב לוודא שגם השירותים שלהם בטוחים ולדווח על כל בעיה לרגולטורים.
5. ניהול אירועי משבר – כל ספק נדרש להחזיק "ספר ניהול אירועים" (Incident Management Playbook) עם נהלי פעולה במקרה של תקלה, כדי לצמצם את הנזק למערכת הפיננסית.

פיקוח חכם או רגולציה מכבידה?

הרגולציה החדשה אמורה לשפר את היציבות של המערכת הפיננסית ולמנוע קטסטרופות כמו זו של יולי 2024. אך האם זהו צעד חכם או פשוט עוד שכבה של בירוקרטיה?

היתרונות של רגולציה כזו ברורים. השוק הפיננסי המודרני תלוי יותר מאי פעם בגורמים חיצוניים למוסדות הפיננסים עצמם. הרגולציה החדשה קובעת שגם אותם שחקנים יתנהלו באחריות, ייערכו לתקלות, ויפעלו בשקיפות.

מצד שני, יש גם חסרונות. ההחלטה לחייב ספקי שירותים לעמוד בדרישות מחמירות ולהגיש דיווחים לרגולטור עלול להכביד עליהם, לסרבל את העבודה, להעלות עלויות לצרכן, ולהרחיק שחקנים קטנים מהשוק.
כמו תמיד ברגולציה – גם פה מדובר במשחק של סיכונים. לא בטוח שהסיכון יתממש, אבל את העלויות נשלם. האם יציבות פיננסית מצדיקה ייקור של השירותים הפיננסיים?

הבריטים ניסו למצוא נקודה מאוזנת בין שתי הדרישות.
למשל, הרגולציה החדשה אמנם מעניקה לרשויות הבריטיות כלים משמעותיים לפקח על ספקים קריטיים, אך היא עדיין מוגבלת. הרגולציה חלה רק על השירותים של הספקים למוסדות פיננסיים, ולא על כל פעילותם העסקית. המשמעות היא שאם יתרחש כשל מערכתי חמור אצל ספק טכנולוגי גדול, הרגולטורים יוכלו להתערב רק בהקשר של השפעה על גופים פיננסיים. אם הכשל ישפיע על חברות אחרות (מפעלים, משרדים, גופים לא פיננסיים) – הנזק הזה ייוותר ללא מענה. המטרה היא למקד את הרגולציה בכדי לחסוך בעלויות.

הבריטים נחשבים חלוצים ברגולציה של ספקי שירותים טכנולוגיים לגופים פיננסיים.
במבט קדימה, השאלה היא האם גם מדינות אחרות יאמצו רגולציה דומה, ומה יקרה בפועל כשהמשבר הבא יגיע…

תגובה אחת על “העולם נעצר: לקחים מהקריסה הגדולה

  1. ברור שהרגולציה הזו תהיה לא יעילה או כבדה מידי.לבנק יש ספק תוכנה, שמשתמש בשירותים של חברות קטנות יותר וכן הלאה.

    מצד אחד, הרגולטור לא יכול לבדוק את כל החברות בשרשרת, ואת כל חלקי התוכנה, זה יצור קיפאון טכנולוגי. ואם היה לו את הכלים לעשות את זה ביעילות, הוא לא היה רגולטור, אלא חברת תוכנה בשרשרת.

    מצד שני, אם קובעים שהרגולטור יבדוק רק את הספקים הישירים לבנק, אז הוא לא יתפוס בעיות כמו זו שקרתה, שגורם שלישי בשרשרת סיפק לחברת תוכנה חיבור מאובטח מרחוק, והשירות שלהם קרס.

    אהבתי

    להגיב

כתוב תגובה לtacovaliantddeaa9be67 לבטל