Erik Thedéen: Fintech och cyberhot – hur påverkas den finansiella stabiliteten?

Hushållens skulder har vuxit långsammare de senaste tre åren. De två amorteringskrav som FI har infört har bidragit till dämpningen. Men de låga räntorna medför risker. Skulderna hos kommersiella fastighetsföretag har vuxit snabbt, och bankernas utlåning till sektorn är stor. FI har i dag beslutat om att höja kapitalkraven för banklån till kommersiella fastigheter. Dessutom konstaterade Erik Thedéen att cyberhot är en utmaning för hela samhället där det krävs samarbete på ett brett plan.

  • Datum: 2020-01-28
  • Talare: Generaldirektör Erik Thedéen
  • Möte: Finansutskottets öppna utfrågning om finansiell stabilitet

Erik Thedéen deltog den 28 januari i Finansutskottets öppna utfrågning om finansiell stabilitet. Utfrågningen handlade om stabilitetsläget, och hur fintech och cyberhot kan påverka den finansiella stabiliteten. I utfrågningen deltog, utöver Erik Thedéen, finansmarknadsminister Per Bolund, riksbankschefen Stefan Ingves och riksgäldsdirektören Hans Lindblad.

Inledning

Den finansiella stabiliteten är central för svensk ekonomi, och för oss på Finansinspektionen (FI) innebär den förändrade hotbilden mot och förändringstrycket på finansmarknaden att vi anpassar våra arbetssätt och prioriteringar.

Men innan jag går in på hur vi ser på den finansiella stabiliteten vill jag göra ett klargörande om FI:s tillsyn. Vi har på senare tid fått kritik mot det vi kallar kommunikativ tillsyn. Den bygger i stor utsträckning på missförstånd och feltolkningar. Låt mig förklara.

Ett grundläggande syfte med FI:s tillsyn är att se till att finansiella företag följer de regler som gäller. Reglerna är utformade för att nå målen om finansiell stabilitet och ett gott konsumentskydd. Det bästa måttet på effektiv tillsyn är därför att regler följs. Det är i detta perspektiv kommunikativ tillsyn ska ses. En förutsättning för att kunna göra rätt är att man vet vilka regler som gäller. Kommunikation syftar alltså till att förklara vad reglerna innebär och vilka förväntningar FI har på företagen. Eftersom det minskar risken för att regler överträds, bidrar det till att nå tillsynens mål. Det är på så sätt ett kompletterande medel till vanlig tillsyn. Syftet sammanfattas väl med Skatteverkets motto "det ska vara lätt att göra rätt" när skatt ska betalas.

Det här sättet att arbeta med kommunikation och dialog har funnits länge, och det är ett etablerat arbetssätt bland tillsynsmyndigheter världen över.

Nytt är att FI har börjat använda fler kanaler för att nå ut till företagen. Redan för tiotalet år sedan införde FI remiss- och beslutspromemorior som förklarar vad FI vill uppnå med föreskrifter och allmänna råd. Det har gått vidare med "Frågor och svar" på webbplatsen för vägledning när företag söker tillstånd. Ett annat medel är FI-forum, öppna (och webbsända) möten där FI:s experter presenterar nya regelverk för företagens experter. Ett sådant exempel är när vi presenterade hur det fungerar med undantag från beredskapsmekanismen
(PSD 2) på ett FI-forum i februari 2019. Det är en komplex fråga, och vi informerade bland annat om hur ansökan går till, hur handläggningsprocessen ser ut och vilka villkor som ska uppfyllas. Vi publicerar även tillsynsrapporter med iakttagelser från vår tillsyn som vi vill uppmärksamma företagen på och vill att de ska anpassa sitt agerande till. I detta ligger ingen dramatik.

I kritiken har även hävdats att FI har ersatt den vanliga tillsynen och sanktioner med kommunikativa åtgärder. Om det var sant, skulle det vara dramatiskt, men det är fel. Fungerande tillsyn innefattar både och. Om en tillsynsundersökning visar på allvarliga brister, är FI skyldig att ingripa med en sanktion, det vill säga en rättslig åtgärd mot företaget. Så sker också – precis som tidigare – i lagreglerade och rättssäkra former. Därmed inte sagt att beslut om vilka åtgärder som är ändamålsenliga i alla ärenden är enkla. Det gäller både valet mellan slutskrivelse och sanktion och, om valet blir det senare, vilken sanktion som är lämplig. Men vem har sagt att finansiell tillsyn ska vara enkelt?

Kort sagt: Regelefterlevnad är syftet med tillsyn och därmed måttet på framgång. Och i det arbetet har både kommunikativ tillsyn och vanliga tillsynsundersökningar – med och utan sanktioner – sin naturliga roll.

Stabilitetsläget

Låt mig nu gå över till att prata om finansiell stabilitet. I FI:s stabilitetsrapport från november konstaterades det att konjunkturen dämpas och att räntor väntas förbli låga länge. Den marginella ökning som vi har sett i marknadsräntor på sistone ändrar inte det faktum att räntorna befinner sig på exceptionellt låga nivåer. De låga räntorna har bidragit och kommer att bidra till att driva upp både tillgångspriser och skulder. FI har därför behövt agera för att dämpa riskerna kopplade till den ökande skuldsättningen. Detta arbete har burit frukt, och skulderna i den privata sektorn växer nu med 6,5 procent jämfört med 8,1 procent vid toppen 2017.

Den viktigaste orsaken till inbromsningen är att hushållens skulder har vuxit långsammare de senaste tre åren. Och de två amorteringskrav som FI har infört har bidragit till dämpningen. De som omfattas av åtgärderna köper lite billigare bostäder och amorterar lite mer. En sundare amorteringskultur har etablerats. Det är bra för motståndskraften och stabiliteten. Samtidigt finns pressen från lågräntemiljön kvar och under hösten har bostadspriserna börjat öka snabbare igen. Snabbt stigande bostadspriser riskerar att stänga ute svaga grupper från bostadsmarknaden och tvinga allt fler bostadsköpare att ta på sig alltför stora skulder. Det finns med andra ord fortsatt anledning för FI att bevaka utvecklingen med hushållens skulder.

Men även om amorteringskraven har bidragit till att utlåningen till hushåll växer långsammare skapar lågräntemiljön utmaningar på andra håll. Exempelvis har de icke-finansiella företagens skulder vuxit snabbare under senare år, och det gäller i synnerhet för kommersiella fastighetsföretag. Storbankernas utlåning till fastighetsföretag är stor – den utgör 16 procent av utlåningen till allmänheten. Samtidigt är fastighetssektorn räntekänslig. Vår bedömning är att storbankernas motståndskraft mot risker kopplade till utlåningen till den kommersiella fastighetssektorn måste öka. FI har därför i dag beslutat att höja kapitalkraven för banklån till kommersiella fastigheter, i enlighet med tidigare kommunicerat förslag. Åtgärden förväntas öka de svenska storbankernas kapitalkrav med mellan 4,5 och 5 miljarder kronor per bank. Detta kan relateras till storbankernas totala kapitalkrav som uppgår till omkring 120-150 miljarder kronor per bank, samt till deras vinst som uppgick till drygt 20 miljarder kronor per bank under 2018.

Ett annat område där utmaningarna med långvarigt låga räntor också syns tydligt är pensionsbolagen. I dagsläget ser bolagen finansiellt stabila ut. Men de har stora utmaningar kopplat till låga räntor som i förlängningen kan hota deras finansiella styrka.

De låga räntorna gör det svårare för bolagen att generera den avkastning som krävs för att kunna möta de garantier de har ställt till framtida pensionärer. För att uppnå en avkastning som motsvarar deras finansiella garantier kan företagen frestas att ta större risk och hoppas på att t.ex. aktier ska ge hög avkastning. Men hög risk innebär också att tillgångarna kan falla mer i värde. Och händer det, kan svaga företag hamna i lägen där de inte klarar att hålla vad de lovat. Det måste därför finnas en koppling mellan hur mycket kapital bolagen håller och de risker de tar.

De räntor som för närvarande används för att beräkna hur mycket kapital som måste sättas av i dag för att möta åtaganden i framtiden innehåller antaganden om att långsiktiga räntor är betydligt högre än nivån på aktuella marknadsräntor. Det finns därför en risk att för lite sätts av till framtida åtaganden vilket kan leda till lägre pensioner framöver.

Det hävdas ibland att vi inte behöver ta så stor hänsyn till risken för stigande räntor eftersom de flesta bedömare tycks eniga om att räntorna kommer förbli låga under lång tid. Och då är det naturligt – och inte så riskabelt – att skulderna stiger och att aktörer tar stora risker. Men vi kan inte med säkerhet förutspå framtiden. För ett antal år sedan var det få bedömare som förutsåg de låga räntor som vi nu upplever. Utgångspunkten för FI:s åtgärder måste vara att värna den finansiella stabiliteten även om det oförutsägbara inträffar. Vi måste bygga motståndskraft i det finansiella systemet. För något som vi med säkerhet vet, är att det oväntade kommer att inträffa även i framtiden.

Fintech och cyberhot – hur påverkas den finansiella stabiliteten?

Fintech och cyberhot är viktiga och svåra områden, där utvecklingen går snabbt. Vi ser nya och växande risker, med koppling till finansiell stabilitet.

Den pågående förändringen på finansmarknaden med innovation och fintech påverkar FI:s mål och uppdrag på flera sätt. Ur ett konsumentperspektiv är det positivt med enkla och billiga lösningar som passar konsumenternas behov.

Men innovationer kan också drivas av att nya aktörer ser möjligheter att göra liknande aktiviteter som bankerna men utan att regleras som en bank. I någon mening kringgår man då regleringens syfte. Ur både stabilitets-, penningtvätts- och konsumentskyddsperspektiv kan det vara problematiskt och här behöver vi vara vaksamma.

För de etablerade finansiella instituten kan nya aktörers finansiella tjänster innebära ökad konkurrens om bland annat insättningar från hushåll och företag. En ökad konkurrens är i grunden bra, då det leder till att kunderna kan få tillgång till bättre och billigare tjänster. Samtidigt finns utmaningar och risker. Ett sådant exempel är ökad konkurrens på marknaden för insättningar. Eftersom insättningar är en viktig, och vanligtvis stabil, finansieringskälla för bankerna kan den ökade konkurrensen och flyktigheten medföra risker för den finansiella stabiliteten. Det kan handla om att bankerna i ännu högre grad än i dag kommer att förlita sig på marknadsfinansiering, vilket innebär ökad sårbarhet för marknadsstörningar. Men det kan även handla om att det blir lättare för bankernas kunder att ta ut sina pengar och flytta dem utanför banksystemet. Då ökar risken för uttagsanstormning och eventuella likviditetsproblem i banksektorn om förtroendet för en eller flera banker skulle svikta.

Svenska storbanker har i dag en tillfredsställande motståndskraft, vilket bland annat drivs av en god lönsamhet. Fintech kan komma att utmana bankernas affärsmodeller. Det innebär ökad konkurrens, vilket kan vara bra för konsumenterna. Men det kan också försämra lönsamheten i banksektorn. Det är därför viktigt att bankerna upprätthåller en tillfredsställande motståndskraft, som kan väga upp för minskad lönsamhet.

Fintech är både en konsekvens av och en drivkraft bakom att vi i dag har en digitaliserad finansmarknad. Digitalisering är i grund och botten positivt. Men det medför också nya risker för det finansiella systemet. Sverige ligger i framkant vad gäller innovativa företag som möjliggör digitalisering av tidigare manuella processer i samhället. Det är bra men det skapar även utmaningar då det inte alltid finns någon att utbyta erfarenheter med. Ett exempel är den lägre kontantanvändningen i Sverige jämfört med många europeiska länder, och hur man hanterar den ökade risken att stå utan betalmedel om det digitaliserade betalsystemet inte fungerar. En annan avgörande risk är de allt fler och alltmer sofistikerade cyberattackerna mot finansiella företag. De finansiella instituten är ständigt utsatta för attacker i form av intrångsförsök, överbelastningsattacker och andra typer av bedrägerier där diverse aktörer försöker sabotera finansiella tjänster, stjäla, manipulera eller sprida känslig information om företaget och dess kunder.

Cyberhotet mot den finansiella stabiliteten grundar sig i stor del i att finansiella marknader och företag är nära sammanlänkade, t.ex. i form av transaktionshantering och beroende av samma infrastruktur. En aktörs problem kan lätt bli alla aktörers problem.

Orsakerna till att cyberhot adderar till detta är flera. Den viktigaste faktorn är att de finansiella tjänsterna i sin helhet är beroende av tekniska system som är globalt sammankopplade, ofta med hög komplexitet och låg transparens, och som till stora delar är uppkopplade mot internet. Tekniska lösningar och programvaror är också i hög grad gemensamma. Teknikutvecklingen gör med andra ord att ett redan tidigare starkt sammanlänkat finansiellt system blir ännu mer sammanlänkat.

Utmärkande för cyberincidenter är att de kan uppstå hastigt och potentiellt påverka många verksamheter samtidigt. Det kan också vara svårt att i ett givet läge avgöra när, var, hur och varför störningen uppstått.

De flesta bedömare verkar ha synen att riskerna för systemhotande attacker främst kommer från statsunderstödda aktörer och etablerad organiserad brottslighet, som kan tänkas använda cyberattacker mot kritisk infrastruktur som ett verktyg i en övergripande avsiktsplan. Det finns även bland kvalificerade bedömare olika syn på i vilken grad cyberhot faktiskt är systemhotande. Klart är dock att såväl FI som andra ansvariga myndigheter behöver fortsätta utveckla förståelsen för riskernas utveckling.

Samtidigt som cyberhoten ökat är bilden inte nattsvart. Kunskaperna hos såväl finansiella företag som ansvariga myndigheter har ökat. Investeringar och andra åtgärder som syftar till att bygga motståndskraft sker också. Här är det viktigt att poängtera att de finansiella instituten själva är ansvariga för att i tillräcklig omfattning skydda sig mot cyberattacker, och att ha förmågan att hantera situationen om en cyberattack skulle ske. Företagen har också starka incitament att säkerställa att den egna verksamheten kan bedrivas, men det är inte säkert att de fullt ut beaktar effekter på det finansiella systemet i sin helhet.

Där kommer FI in i bilden. FI:s roll är att bidra med ett systemperspektiv – att även lyfta blicken från det enskilda institutet och se till helheten på finansmarknaden – för att säkra den finansiella stabiliteten. Det kan till exempel handla om att kartlägga beroendet av tredjeparts- och molntjänstleverantörer, och på så sätt kunna identifiera koncentrationsrisker där många finansiella institut är beroende av en och samma leverantör.

Men det kan även handla om att identifiera aktiviteter som behövs på ett övergripande plan för att främja hela det finansiella systemet. Ett exempel är behovet av ett ökat operativt samarbete mellan finansiella institut vid inträffade incidenter och attacker.

Inget system är starkare än den svagaste länken i kedjan. Det är därför FI även utför riskbaserad tillsyn av de enskilda finansiella institutens operativa risker, inte minst it-, informations- och cyberrisker. Det handlar om breda kartläggningar av hur flera institut hanterar specifika informations- och cyberrisker. Det handlar även om riktade undersökningar mot enskilda institut samt regelbundna bilaterala möten i den löpande tillsynen där fokus ligger på hur instituten hanterar risker, brister och hot, liksom hur de planerar för att hantera incidenter. Samtidigt måste vi vara ödmjuka. Cyberhot är ett allvarligt hot som prioriteras högt och vi arbetar på att bygga upp kapacitet för att hantera utmaningen. Men det är en stor och svår uppgift.

Samtidigt vill jag återigen betona att det konkreta arbetet för cybersäkerhet måste ske i de finansiella företagen. FI:s roll är att övervaka att företagen tar sitt ansvar och gör vad som behövs. För det ändamålet är kommunikation i tillsynen ett viktigt medel. Genom att komplettera institutspecifika undersökningar med t.ex. publika tillsynsrapporter, FI-forum, och publicering av information på fi.se kan FI vägleda företagen och visa vad FI förväntar sig av dem. På så sätt kan vi påverka sektorn brett och snabbt. Och hittar vi allvarliga brister, tvekar vi självfallet inte att gå på sanktion.

De finns flera utmaningar relaterat till den pågående omvandlingen av finansmarknaden och det ökande cyberhotet. En väsentlig sådan är att cyberhot inte är specifikt för finansmarknaden. Tvärtom ser vi att alla samhällsviktiga sektorer är utsatta, och att hotbilden växer. FI:s tillsyn är riktad specifikt mot finansiella institut, och vi arbetar för att de finansiella instituten ska samarbeta operativt kring inträffade incidenter och attacker. Men finansiella institut använder sig i sin tur av olika leverantörer, exempelvis för molntjänster. Cyberattacker mot leverantörer – som är verksamma i en helt annan sektor i näringslivet – kan därför orsaka problem i det finansiella systemet. Detta är alltså en större fråga, och det krävs samarbete både internationellt och nationellt mellan flera olika myndigheter och sektorer, och i samverkan med regeringen. Vi är alla beroende av varandra, och det krävs en helhetssyn i arbetet med cyberhot. På ett internationellt plan samarbetar FI kring dessa frågor i bland annat Europeiska bankmyndigheten (EBA) och Europeiska värdepappers- och marknadsmyndigheten. Där arbetar vi fram gemensam europeisk reglering för cyberrisker, och utbyter kunskap och erfarenheter inom området. På en nationell nivå, sker samarbete inom ramen för Stabilitetsrådet och i Finansiella Sektorns Privat-Offentliga Samverkansgrupp (FSPOS). Vi stödjer även regeringens initiativ att upprätta ett nationellt cybersäkerhetscenter, och ser fram emot ett samarbete. I den mån det krävs ny lagstiftning eller resurstillskott har naturligtvis även riksdagen en central roll i detta viktiga arbete för att göra det svenska samhället mer robust.