FINTECH

DR. MEZEI KITTI

BME GTK – ÜZLETI JOG TANSZÉK
BEVEZETÉS
▪ A 20. század végéig a bankrendszer élen járt a technológiai újítások használatában.
➢ Az elmúlt évtizedek meghatározó fejlesztései közé tartozik például a bankkártya, az ATM és az elszámolások lebonyolítására használt
elektronikus rendszer.

➢ A 20. század végére a pénzügyi szolgáltatások területe vált az első digitalizált iparággá, egyúttal a pénzügyi szektor lett az IT szolgáltatások
legnagyobb vásárlója.

▪ A 21. század elején a bankrendszer elveszítette újító szerepét.

➢ Az elmúlt időszakban a technológiai újítások számos iparág működésére és termékkínálatába beépültek, ugyanakkor a bankrendszer nem
feltétlenül integrálta ezeket megfelelő módon és a korábbihoz hasonló szinten a működésébe.

▪ A válságot követően mind a meggyengült jövedelmezőség, mind a banki működés alapvető átalakulása
akadályozta a digitális megoldások adta lehetőségek kiaknázását.
➢ A válság hatására a nemteljesítő hitelek arányának növekedése és a banki veszteségek mértéke negatívan hatott a jövedelmezőségre, ami
tőke- és jövedelmi helyzet megrendülése mellett a banki humánerőforrások válságkezelésben való lekötését is jelentette.

➢ A válság hatására a fogyasztók bankrendszerbe vetett bizalma is csökkent, ami a hitelezés és a banki profittermelés helyreállítását
akadályozta.
BEVEZETÉS

▪ Az új technológiák a bankok számára is lehetővé teszik a hatékonyabb működést, a költségek

csökkentését.
▪ A technológiai újítások a fokozódó versenyen keresztül azonban alapjaiban változtathatják meg a
hitelintézetek fennálló üzleti modelljeit.
➢ A pénzügyi közvetítésbe a technológia-vezérelt innováció révén más gazdasági szektorokban működő vállalatok is belépnek, ami
új üzleti modelleket, termékeket eredményez.
➢ A nagy technológiai vállalatok és start-up-ok pénzügyi piacra való belépése egy újfajta versenyhelyzetet teremt, ami árleszorító
hatással bír.
➢ Azonban a kereskedelmi bankok szerepe a pénzteremtésben és a pénzügyi közvetítőrendszerben versenyelőnyt jelent.

▪ A biztosítási szektorban is jelentős változást hozhatnak az új technológiák.

▪ Fintech cégeknek jellemzően azokat tekintjük, amelyek a technológia újszerű, innovatív hasznosítására
alapozva kínálnak biztonságosabb, költséghatékonyabb, magasabb ügyfélélményt nyújtó pénzügyi
szolgáltatásokat a lakosságnak, vállalkozásoknak, vagy megoldásokat a pénzügyi szolgáltatók számára
szolgáltatásaik nyújtásához.
FINTECH
 FinTech (financial technology):
➢ Nincs egy egységes, széleskörben elfogadott definíciója.
➢ FinTech-ként a teljes pénzügyi szektor technológia-vezérelt fejlődése értendő, amelybe beletartozik a front,
a middle és a back-office tevékenységet érintő innováció is.
➢ Financial Stability Board meghatározása szerint: „olyan technológia okozta pénzügyi innováció, amely új
üzleti modelleket, alkalmazásokat vagy termékeket eredményezhet, és amelyek jelentős hatással lehetnek a
pénzügyi piacokra és intézményekre, valamint magukra a pénzügyi szolgáltatásokra is.”

Fenntartó típusú Felforgató típusú

(sustaining technology)
egy, már létező technológiát
fejlesztenek tovább, ezáltal
nincs felforgató hatása az
adott üzleti modellre
(disruptive technology)
új technológia révén alapjaiban
képes a fennálló üzleti modellt
megváltoztatni, ezért
kockázatosabbak
 01
Az inkumbens piaci szereplők (azaz a piacon már
jelenlévő, hagyományos pénzügyi intézmények)
beépítik az innovációt (például partnerségi
megállapodás, akvizíció vagy esetleg belső
innováció formájában), amely történhet helyi,
illetve globális szinten.
Ennek következtében az innovatív vállalkozások a
hagyományos pénzügyi közvetítőrendszer részévé
válnak.
A FINTECH VÁLLALKOZÁSOK FEJLŐDÉSI ÚTJAI
02
Az adott FinTech cég az értéklánc egy elemére
hatva a specializáció mellett dönt, amely azt
eredményezi, hogy egy konkrét ügyfélkört szolgál
majd ki.
03
A FinTech cégek vagy a globális technológiai
óriások („BigTech”) a teljes értékláncot lefedve
kiszorítják a hagyományos banki szereplőket.
Ez utóbbi lehetőség nemcsak az inkumbens piaci
szereplők, hanem a szabályozó és felügyelő
hatóságok számára is a legnagyobb kihívást
jelenti.
A jelenlegi szabályozási rendszer ugyanis nem
terjed ki a BigTech cégekre oly módon, mint a
pénzügyi szolgáltatókra. A BigTechekre más
szabályok vonatkoznak, például az adatkezelés, a
működési felügyelet valamint az átvilágítások
területén is.
A FINTECH INNOVÁCIÓK FŐBB IRÁNYAI

▪ A technológiai újítások többsége a pénzügyi tranzakciókat érinti.

➢ Például gondoljunk a különböző mobilfizetési alkalmazásokra vagy az okoskészülékek érintéses adatátvitelére (NFC).

▪ A hitelezési szolgáltatás pénzügyi intézmények nélkül is elérhetővé vált.

➢ Az új szereplők sokszor csak közvetítőként lépnek fel, indirekt módon hitelezve, így a banki szabályozások alól mentesülnek.
➢ Az új üzleti modellek közül kiemelkedik az online piactér alapú hitelezés (alacsonyabb működési költség, banki kamatoknál
alacsonyabban lehet hitelhez jutni, befektetők is magasabb hozamot érhetnek el).

▪ A FinTech megoldások megkönnyítik a magánszemélyek pénzügyeinek követését és kezelését.

➢ A bankok a folyószámlakezelő rendszer adatbázisához hozzáférést kötelesek biztosítani nyílt szabványokon alapuló ún. API-kon
keresztül engedéllyel rendelkező harmadik feles szolgáltatóknak.

▪ A technológiai fejlődés a határon átnyúló szolgáltatásokat is átalakítja.

▪ A biztosítási értéklánc egészére vagy egyes elemeire is kiterjedhetnek az InsurTech újítások.
➢ A nemzetközi tapasztalatok alapján az InsurTech fontos szerepet játszik a FinTech megoldásokon belül.
A FINTECH INNOVÁCIÓK FŐBB IRÁNYAI

1. Neobankolás
(Revolut, Wise, eToro, Stripe)
1. Digitális fizetés
2. Digitális eszközök
3. Digitális pénzügyi tervezés
4. Digitális vagyonkezelés
5. Alternatív finanszírozás
6. Alternatív hitelezés
7. Digitális banki megoldások
8. Digitális üzleti megoldások
 FOGALMAK I.
API (Application Programming Interface)
alkalmazás programozási felület InsurTech és RegTech
Egy szabályrendszer, amely lehetővé teszi, A technológiai újítások használatát jelenti a
hogy különböző alkalmazások egymással biztosítás területén, amelyek célja az
kommunikáljanak. Fizetési megoldások ügyfélélmény és a hatékonyság növelése.
A szolgáltatók az API segítségével Az InsurTech jelenleg főként olyan
kapcsolódnak és képesek adatokat átvinni, megoldásokban jellemző, mint a teljesen
megosztani egymás rendszerei között. A pénzügyi innovációk lehetővé teszik a testreszabott szolgáltatáscsomagok, vagy az
korábban a bankrendszerhez kötött igénybevételtől függő dinamikus díjazás,
A bankok API-jainak használatával szélesebb pénzforgalmi szolgáltatások külön kezelését, amelyet az internethez csatlakoztatott
szolgáltatási kört tudnak a bankok is és a amelyek akár jelentősen olcsóbbak vagy eszközökről begyűjtött adatok felhasználása tesz
csatlakozó Fintech cégek kínálni a gyorsabbak lehetnek a bankok által kínált lehetővé.
felhasználóknak, illetve lehetővé válik a megoldásoknál. Az ún. „Regulatory Technology” lehetővé teszi a
szolgáltatások személyre szabása. Ezen szolgáltatások között szerepelnek felügyelt intézmények számára, hogy FinTech
Például gondoljunk a bankok által adott mobilfizetési megoldások és távoli hazautalási megoldások használatával (pl. könnyen
rendszerek is. integrálható, biztonságos és megbízható
szolgáltató részére hozzáférést biztosító
software megoldásokkal) megfeleljenek
API-ra, amelyek segítségével a bizonyos szabályozási és adatszolgáltatási
magánszemély ügyfelek különböző követelményeknek, hatékonyabbá és olcsóbbá
intézménynél vezetett számláikat téve a jogszabályi megfelelést.
applikáción keresztül követhetik nyomon.
 FOGALMAK II.
Crowdfunding
A közösségi finanszírozás egy olyan
megoldás, amely keretében számos
magánszemély, viszonylag kis
tőkehozzájárulással, új vállalkozásokat
finanszíroz.
Alapjául a kiterjedt kapcsolati hálók (pl.
social media) szolgálnak, amelyek egyben a
könnyű hozzáférhetőséget is biztosítják.
A crowdfunding a befektetők körének
bővítésével, potenciálisan segítheti a
kisebb vállalkozások forráshoz jutását. A
közösségi finanszírozás leggyakoribb
formája az adomány- vagy ajándék alapú
modell, illetve a befektetésrészesedési
modell.
Robo-advisory
A robot-tanácsadók olyan digitális platformok,
amelyek automatizált, algoritmussal vezérelt
pénzügyi tervezési szolgáltatásokat nyújtanak,
minimális /vagy automatikusan emberi
felügyelet mellett.
A folyamat az ügyfelekről elérhető információk
(pénzügyi helyzet és jövőbeni célok)
összegyűjtésével kezdődik, majd ezen adatokra
támaszkodva tanácsadással és történő
befektetéssel folytatódik.
Személyközi hitelezés
A peer-to-peer (P2P) platformok lényege, hogy
viszonylag alacsony jutalék fejében, bankok
nélküli kapcsolat alakulhat ki a megtakarítók és a
hiteligénylők között, csökkentve a hitel- és betéti
kamatok közti felárat.
Legfontosabb előnyük, hogy mérsékelhetik a
pénzügyi közvetítés költségeit (pl. nincs szükség
egy fiókhálózat kiépítésére).
Megjelenését az internet tette lehetővé azzal,
hogy a pénzüket kihelyezni akaró és a kölcsön
forrást kereső személyek könnyen egymásra
találhatnak.
Az online piacterek nagyságrendekkel olcsóbban
üzemelnek, mint a hagyományos bankok. Ezért a
kölcsönhöz jutás is olcsóbb, miközben a piactér
üzemeltetője a szükséges minimális –
automatizált – szerződéses kereteket biztosítja.
 A FINTECH
ÖKOSZISZTÉMA

Forrás: https://www.businessinsider.com/fintech-ecosystem-report
 A FINTECH ÖKOSZISZTÉMA

Forrás: https://www.businessinsider.com/fintech-ecosystem-report Forrás: https://complyadvantage.com/what-is-regtech/

A FINTECH MEGOLDÁSOKKAL KAPCSOLATOS SZABÁLYOZÓI DILEMMA

Forrás: MNB 2017

A FINTECH MEGOLDÁSOKKAL KAPCSOLATOS SZABÁLYOZÓI DILEMMA

A FinTech innovációk „laissez-faire” szemléletű kezelése

 A fogyasztókra háruló költségek jelentős csökkenésnek indulnának, aminek köszönhetően a digitális
ügyfélélmény ugrásszerűen növekedhetne.
 Ez azonban kockázatot hordoz magában:

➢ egyrészt a banki szereplőket sújtó szigorú szabályozási követelményekhez képest jogosulatlan versenyelőnyt
élveznének a FinTech vállalkozások,
➢ másrészt a részletes szabályok hiánya az érintettek számára is veszélyeket hordoz.

 Egy kiforratlan megoldás korai piacra kerülése mind a fogyasztók, mind a forrásbiztosítók számára nem várt
veszteségeket is okozhat.
A FINTECH MEGOLDÁSOKKAL KAPCSOLATOS SZABÁLYOZÓI DILEMMA

A FinTech innovációk teljes tiltása

▪ A FinTech megoldások teljes tiltása visszafoghatja az innovációs hajlamot.
 Egy túlzottan szigorú szabályozási környezet következtében mind az innovációk, mind az ügyfelek
elfordulhatnak a hazai szolgáltatóktól.
 A határokon átívelő lehetőségek kihasználása valószínűleg még tovább emelné a hagyományos bankrendszeri
ügyfelek költségeit, mivel a megújuló külföldi lehetőségeket preferáló fogyasztók elvándorlását magasabb
árakkal ellensúlyoznák a hazai szereplők.

A szabályozó legfontosabb feladata egy olyan egyensúly megtalálása lehet, mely amellett, hogy biztosítja a FinTech
megoldásokkal kapcsolatos fogyasztóvédelmi és versenyjogi garanciákat, nem válik az innováció gátjává.
 SZABÁLYOZÁSI MEGOLDÁSOK A FINTECH INNOVÁCIÓKRA
Innovation Hub
 Az Innovation Hub egy, a szabályozó hatóság által biztosított
platform, ahol a FinTech innovációk megalkotói iránymutatást
kaphatnak a szabályozótól, illetve bizonyos esetekben akár
egymástól is.
 Egyaránt elérhető szabályozatlan, illetve aktuálisan szabályozott
tevékenységek számára.
 Továbbá mind az újonnan alakult vállalatok újításai, mind a már
meglévő, inkumbens intézmények (pl.: bankok, biztosítók) új
technológiai megoldásai megjelenhetnek benne.
 Az információcsere elsődleges platformja, ahol a szabályozó
hatóság szakértői megválaszolják a FinTech innovációk
képviselőitől érkező kérdéseket és segítenek értelmezni a
jogszabályi kereteket, valamint felmérik a jogszabályváltoztatási
igényeket, és továbbítják a döntéshozók felé.
 Lásd: https://www.mnb.hu/innovation-hub
Regulatory Sandbox
 A Regulatory Sandbox egy olyan szabályozói keretrendszer, amely
FinTech cégek és a hagyományos pénzügyi szolgáltatók (bankok,
befektetési vállalkozások, biztosítók) innovatív technológiáinak
tesztelésére szolgál.
 Segítségével a FinTech cégek és az inkumbens intézmények egy, a
szabályozó által kontrollált környezetben tesztelhetik
meghatározott ideig, valós fogyasztókon a pénzügyi terméküket,
de csak a meghatározott kritériumoknak megfelelők kerülhetnek
be (pl. az ügyfelek számára előnyt jelentsen az adott újítás, így
olcsóbb vagy gyorsabb legyen a pénzügyi szolgáltatás).
 A Regulatory Sandbox keretrendszere a kedvezőbb tesztelési
feltételek megteremtésével támogatja az innovatív cégek piacra
lépését.
 A szabályozó hatóság bizonyos szabályozói kötelezettségek alóli
könnyítéseket nyújthat ideiglenesen a Regulatory Sandbox-ba
belépőknek (egyedi elbírálás alapján történik, legfeljebb 12
hónapig).
 Lásd: https://www.mnb.hu/innovation-hub/regulatory-sandbox
REGULATORY SANDBOX

forrás: MNB 2017

A FINTECH INNOVÁCIÓKRA VONATKOZÓ SZABÁLYOZÓI KÖRNYEZET

Forrás: MNB 2017

FINTECH SZEMPONTBÓL FONTOS UNIÓS JOGSZABÁLYOK
 Innováció eredményeképp kialakult, FinTech szempontokat is figyelembe vevő szabályozást ad például
➢ a PSD és az E-money irányelv,
➢ az e két jogszabályt módosító PSD2
➢ és az AMLD2,
➢ illetve a GDPR.
 Ezek mellett viszont a pénzügyi piacokat érintő egyéb szabályozások sem lesznek figyelmen kívül
hagyhatóak egy átfogó FinTech szabályozási stratégia megalkotásakor: a CRD IV/CRR, Solvency II, AIFMD,
UCITS IV, MiFID II, EMIR, MAD/MAR, PRIIP, CCD, stb., mind felülvizsgálatra szorulhatnak a fenti célok
mentén.
 Az Európai Bizottság FinTech Akcióterv néven közleményt adott ki, amely szerint az olyan innovatív
megoldások, mint például a digitális azonosítás, felhő alapú szolgáltatások, big data analízis, mesterséges
intelligencia, blokklánc és az elosztott főkönyvi technológiák megváltoztatják a pénzügyi piacot és a
különböző szolgáltatásokhoz való hozzáférést, ideértve a finanszírozáshoz való hozzáférést is.
FINTECH SZEMPONTBÓL FONTOS UNIÓS JOGSZABÁLYOK

A pénzforgalmi szolgáltatásokról szóló irányelv felülvizsgálata (PSD2)

 A PSD2 keretében célul tűzte ki a jogalkotó, hogy egyfelől folytassa a biztonságos
elektronikus fizetések belső piacának a fejlesztését, másfelől a fogyasztók számára
szélesebb szolgáltatási kört tegyen elérhetővé.

 Az új irányelv következtében lehetővé válik az ügyfelek számára az, hogy a számlavezető

intézményüktől eltérő számlainformációs szolgáltatók számára biztosítsanak egyfelől
hozzáférést a számlaadataikhoz, másfelől akár fizetési megbízásokat adhassanak a
számlavezetőtől eltérő fizetéskezdeményezési szolgáltatónak.

 Ezáltal például lehetőség nyílik egy ügyfél fogyasztási szokásainak, valamint kockázatossági
és eladósodottsági szintjének átfogó elemzésére.
FINTECH SZEMPONTBÓL FONTOS UNIÓS JOGSZABÁLYOK

A pénzforgalmi szolgáltatásokról szóló irányelv felülvizsgálata (PSD2)

 Ez azt jelenti, hogy az irányelv megnyitotta a fizetési szolgáltatások piacát nem banki
szereplők előtt (open banking).
 Az irányelv a bankoknak előírta, hogy az irányelvben meghatározott feltételek mellett
harmadik feles szolgáltatóknak (FinTech cégeknek) biztosítsanak nyílt szabványokon
alapuló interfészen keresztül hozzáférést (nyílt API-kon keresztül) a felhasználók fizetési
számlájához (pl. az ügyfelek egyes banki adataihoz, tranzakciót indíthatnak). Az adatok
segítségével ezek a szolgáltatók felépíthetik saját szolgáltatásaikat.
 Két szolgáltatási kategóriát vezetett be az irányelv:
➢ számlainformációs szolgáltatás (AIS – Account Information Service)
➢ és fizetés-kezdeményezési szolgáltatás (PIS – Payment Initiation Service).
FINTECH SZEMPONTBÓL FONTOS UNIÓS JOGSZABÁLYOK

▪ AISP, azaz a számlainformációs szolgáltatók:

➢ A különböző bankoknál vezetett fizetési számláink adatait (egyenleg, tranzakciók) online módon
összesítik és elemzik, mely információkhoz a számlavezető pénzforgalmi szolgáltató online
interfészén keresztül lehet hozzáférni. Ezekre az elemzésekre alapozva segítik jövőbeli pénzügyi
döntéseinket, ajánlanak anyagi helyzetünkhöz illeszkedő szolgáltatásokat, termékeket.

▪ PISP, azaz fizetés-kezdeményezési szolgáltatók:

➢ Azok a szolgáltatók tartoznak ebbe a kategóriába, amelyek fogyasztói felhatalmazással a
fogyasztó helyett, annak bankszámlájáról intézik a fizetési megbízásokat.

▪ A PSD2 alapján alapszabály, hogy az AISP és a PISP szolgáltató azon túl, hogy megszerzi a tagállami
bankfelügyeletnél a regisztrációt/engedélyt a kiszolgálandó ügyfél explicit felhatalmazását is meg kell
szereznie, illetve minden tranzakció előtt a bank felé ezt bizonyítania kell.
FINTECH SZEMPONTBÓL FONTOS UNIÓS JOGSZABÁLYOK

A pénzforgalmi szolgáltatásokról szóló irányelv felülvizsgálata (PSD2)

 Az irányelv ügyfél-azonosítás terén is új lehetőséget teremt, mivel a számlavezető pénzforgalmi
szolgáltatók ügyfél-azonosítási szolgáltatását az irányelv alapján igénybe vehetik a
fizetéskezdeményezési szolgáltatók is.
 Ennek köszönhetően bevezette az erős ügyfél-hitelesítés alkalmazását, abban az esetben, amikor az
ügyfél online fér hozzá a fizetési számlájához, vagy elektronikus fizetési műveletet kezdeményez,
vagy a műveleteket távoli csatornán keresztül hajtja végre, ami fizetéssel kapcsolatos csalásokra és
más visszaélésekre adhat módot.
 Továbbá 2-faktoros tranzakció jóváhagyásra (például a felhasználó által ismert jelszóval, a
mobiltelefonra kapott jelkóddal, biometrikus azonosítással) van szükség.
FINTECH SZEMPONTBÓL FONTOS UNIÓS JOGSZABÁLYOK

Általános Adatvédelmi Rendelet (GDPR)

 A szolgáltatók személyes adatok kezelésére csak a szolgáltatást igénybe vevő GDPR szerinti
hozzájárulása esetén jogosultak.
 A hozzájárulást az egyes ügyekre vonatkozóan, más ügyektől egyértelműen
megkülönböztethető módon kell kérni világos és egyszerű nyelvezettel. Azérintettet
tájékoztatni kell arról, hogy (i) ki, (ii) mennyi ideig és (iii) mire fogja használni a személyes
adatot.
 A hozzájárulás formai követelményével kapcsolatban a GDPR előírja, hogy annak legalább a
megerősítést félreérthetetlenül kifejező cselekedetnek kell lennie. Ebbe a kategóriába tartozik
az az eset is, amikor egy internetes honlapon az érintett bejelöl egy erre vonatkozó négyzetet,
ugyanakkor a hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül
hozzájárulásnak.
FINTECH SZEMPONTBÓL FONTOS UNIÓS JOGSZABÁLYOK

Általános Adatvédelmi Rendelet (GDPR)

Az ügyfél jogosult:
 visszavonni hozzájárulását;
 jogosult korlátozni a személyes adatainak kezelését;
 joga van az adatainak törlését kezdeményezni; és
 az adatkezelő köteles az adatok hordozhatóságát biztosítani.
 Ha utóbb meggondolja magát az érintett, bármikor jogosult visszavonni hozzájárulását, és ennek lehetőségéről
az adatkezelőnek előzetesen tájékoztatnia kell az ügyfelet.
 A törléshez vagy más néven a felejtéshez való jogazt jelenti, hogy az érintett kérelmezheti, hogy az adatkezelő
késedelem nélkül törölje az adatait, míg az adatkezelő a törvényi feltételek fennállása esetén köteles ezt
megtenni.

 Az érintett arra is jogosult, hogy az adatkezelő rendelkezésére bocsátott összes személyes adatát megkapja
géppel olvasható formátumban, és továbbítsa egy másik adatkezelőnek.
FINTECH SZEMPONTBÓL FONTOS UNIÓS JOGSZABÁLYOK

Általános Adatvédelmi Rendelet (GDPR)

 A PSD2 szabályoz adatbiztonsági részletkérdéseket, a liberalizált piac adatvédelmi keretrendszerét
azonban a GDPR határozza meg, szigorú előírások és súlyos szankciók útján biztosítva, hogy a
személyes adatok lehetőleg ne sérüljenek.

 A GDPR-nak való uniós szintű megfelelés kényszere a mesterséges intelligencia alapú megoldások
fejlesztése irányába terelheti a FinTech vállalkozásokat és a pénzügyi intézményeket.
 A pénzügyi intézményeknél rejlő óriási, személyes és üzleti szempontból releváns egyéb adatok
(„Big Data”) hatékony feldolgozása, jogszerű kezelése pedig a GDPR tükrében jelentős kihívást jelent
az intézmények számára.
 Innovatív megoldások nélkül megbirkózni ezzel a feladattal idő- és költségigényes, továbbá jelentős
az emberi hibafaktor negatív hatása is.
A FINTECH INNOVÁCIÓK HAZAI SZABÁLYOZÁSA

 A FinTech jelenség szabályozása Magyarországon jelenleg nem jogalkotási, hanem pénzügyi felügyeleti szinten történik a
Magyar Nemzeti Bank (MNB) révén.
 Az MNB-nek a FinTech innovációkat érintő jogi aktusai az alábbiak:
➢ 47/2018. (XII. 17.) MNB rendelet a regulatory sandboxról;
➢ 45/2018. (XII. 17.) MNB rendelet az auditált hírközlési eszköz útján végzett ügyfél-átvilágításról;
➢ az MNB 10/2019. (IV. 15.) számú ajánlása a befektetési szolgáltatások nyújtása során az ún. robottanácsadásra vonatkozó
felügyeleti elvárásokról;
➢ az MNB 4/2019. (IV. 1.) számú ajánlása az ún. a közösségi és publikus felhőszolgáltatások igénybevételéről;
➢ az MNB 14/2019. (VII. 3.) számú ajánlása a tartalékmechanizmus alóli mentesség igénybevételének feltételeiről;
➢ valamint egy Vezetői körlevél az elektronikus úton megkötött írásbeli szerződésekről, megtett írásbeli jognyilatkozatokról
(www.mnb.hu/letoltes/ejognyil-korlevel.pdf).
➢ A PSD2 irányelvet érintően az MNB ún. Q&A (kérdések és válaszok) formájában hozta nyilvánosságra álláspontját a
jogszabályi elvárásokról (https://www.mnb.hu/penzforgalom/psd2-gyakori-kerdesek-es-valaszok).
AZ ÚJ KIHÍVÁSOK
AZ ÚJ KIHÍVÁSOK
AZ ÚJ KIHÍVÁSOK
AZ ÚJ KIHÍVÁSOK
Mesterséges
intelligencia
 MESTERSÉGES INTELLIGENCIA RENDELETTERVEZET

 A tervezet négy MI kategóriát állít fel. Az első kategória a tiltott MI-k kategóriája.
 Ezek az alábbiak:
1. A bűnüldözési célú, valós idejű, biometrikus azonosítás (kivételt engedő) tiltása közterületen,
2. a tudatalatti manipuláció,
3. a (Kínában használthoz hasonló) társadalmi pontrendszer jogellenességének rögzítése mellett
4. külön védelem vonatkozna a sérülékeny csoportokra, például a gyermekekre és a fogyatékkal élőkre
5. az arcképek tömeges lekérdezésén alapuló adatbázisok kialakítása (pl. Clearview)
6. az érzelemfelismerés a munkahelyeken és az oktatási intézményekben
7. a prediktív rendészeti szoftverek tilalma, amelyek személyes tulajdonságok alapján értékelik az egyén
kockázatát a jövőbeli bűncselekmények elkövetésére
 MESTERSÉGES INTELLIGENCIA RENDELETTERVEZET

 Nagy kockázatúnak akkor minősül egy MI, ha vagy biztonsági komponense egy egyébként is szorosan szabályozott
termékcsoportnak (ezeket a II. melléklet sorolja fel a játékoktól a vízi járműveken keresztül az orvosi
műszerekig), vagy „saját jogon” képvisel kockázatokat, különösen azért, mert olyan területen tevékenykedik, amely az
ember egészségét, biztonságát, alapvető jogokait érinti.
 Ez utóbbi lista nyolc területen kéttucatnyi konkrét alkalmazást sorol fel, olyanokat, mint például a természetes személyek
biometrikus azonosítását, kritikus infrastruktúrák (közlekedés, gáz, víz-, villanyellátás) vezérlését végző MI-k, és még
néhány, különösen az amerikai szakirodalomból ismert területeken „tevékenykedő” MI (így a munkaerő felvétel,
egyetemi felvétel, hitelbírálat és a bírói munkához adott tanácsok területén működő alkalmazások).
 A magas kockázatú területek közé tartozik az oktatás, a foglalkoztatás, a kritikus infrastruktúra, a közszolgáltatások, a
bűnüldözés, a határellenőrzés és az igazságszolgáltatás, de csak akkor, ha az alapvető jogokat jelentős kockázat fenyegeti.
 A magas kockázatú besorolás alól kivételt képeznek a szűk körű eljárási feladatok, az egyszerű előkészítő feladatok, a
korábban elvégzett emberi tevékenységek eredményeinek javítása, valamint az emberi értékelést nem helyettesítő
döntések vagy kiugró értékek felderítése.
 Az MI-rendszer azonban mindig magas kockázatúnak minősül, ha az MI-rendszer természetes személyek profilalkotását
végzi.
 MESTERSÉGES INTELLIGENCIA RENDELETTERVEZET

 A nagy kockázatú mesterséges intelligenciával szemben támasztott követelmények a következők:

• A nagy kockázatú MI-ket mindig kockázatértékelési rendszerekkel együtt kell működtetni.
• A nagy kockázatú MI-ket megfelelő adatmenedzsment (data governance) rendszerekkel együtt kell működtetni. A tanító,
validáló és tesztelő adatoknak „tisztának” kell lenni.
• A nagy kockázatú MI-khez részletes dokumentációt kell csatolni.
• A nagy kockázatú MI-khez az eseményeket naplózó rendszereket kell társítani.
• A nagy kockázatú MI-knek átláthatóan kell működniük.
• A nagy kockázatú MI-k felett mindig meg kell maradnia az emberi felügyeletnek és beavatkozási lehetőségnek.
• A nagy kockázatú MI-knek meg kell felelnie a pontosság, a robosztusság és a kiberbiztonság követelményeinek.
• Emberi jogi hatásvizsgálat elvégzése.
 MESTERSÉGES INTELLIGENCIA RENDELETTERVEZET

 Az egyéb, nem magas kockázatú, korlátozott mesterséges intelligenciával rendelkező

rendszerek csak bizonyos különleges esetekben tartoznak az átláthatósági
kötelezettségek hatálya alá.
 Például a felhasználók tájékoztatását, amikor chatrobottal lépnek kapcsolatba, vagy
amikor egy mesterséges intelligenciával működő rendszer deepfake tartalmat gyárt,
valamint bizonyos érzelemfelismerő és biometrikus kategorizáló rendszereket hoz
létre.
 Egyéb kockázati szintbe be nem sorolt esetekben a rendelettervezet a magatartási
kódexek elfogadását támogatja, az önszabályozási mechanizmusok bevezetését
(például fordításra, spam szűrésre használt MI esetén stb.).
 MESTERSÉGES INTELLIGENCIA A PÉNZÜGYI TERÜLETEN

 Ügyfélminősítés, hitelbírálat
 Személyre szabott pénzügyi szolgáltatások
 Csalások felderítése, megelőzése
 Szerződések átvizsgálása, jogi átvilágítás
KIBERBŰNÖZÉS ÉS KIBERBIZTONSÁG
KIBERBIZTONSÁG

NIS 2 irányelv – 2023. január 16-án hatályba lépett.

• Információbiztonság
• Alapvető szolgáltatásokat nyújtó szereplők
• Digitális szolgáltatók (online piacterek, keresőszolgáltatások, felhőalapú
számítástechnikai megoldások)
• Megfelelő és arányos műszaki és szervezési intézkedéseket kell tenniük a
működésük során általuk használt hálózati és információs rendszerek
biztonságát fenyegető kockázatok kezelése érdekében
• Nemzeti Kibervédelmi Intézet látja el az eseménykezelési feladatot
• Adatvédelmi és Információbiztonsági Szabályzat
• Üzletfolytonossági terv
KIBERBIZTONSÁG

NIS 2 irányelv – 2023. január 16-án hatályba lépett.

50 fő munkavállalói létszám feletti vagy 3,9 milliárd

forint (10 millió euró) éves árbevétel feletti,
meghatározott szektorban tevékenykedő cégek
érintettek.
KIBERBIZTONSÁG

A NIS2 irányelv kulcsfontosságú követelményei alapján a teendők a következők:

A hálózati és információs rendszereket érintő kockázatok azonosítása és értékelése
Megfelelő biztonsági intézkedések végrehajtása az azonosított kockázatok csökkentése
érdekében
Incidenskezelési eljárások kidolgozása és végrehajtása
Az üzletmenet folytonosságának és rugalmasságának biztosítása a szervezet egészén belül
Folyamatos felügyeleti folyamatok kialakítása a támadások észlelésére és az azokra való
reagálásra
E követelmények betartása alapvető fontosságú a NIS2-irányelvnek való megfelelés
biztosításához és a kiberfenyegetésekkel kapcsolatos kockázatok mérsékléséhez.
KIBERBIZTONSÁG
KIBERBIZTONSÁG

DORA rendelet
• 2023. január 16-án hatályba lépett a DORA rendelet, amely
biztosítja a pénzügyi szektor kibertámadásokkal szembeni
nagyobb ellenállóképességét. Megfelelőségi határidő 2025.
január 17.
• A rendelet harmonizálja és szigorítja a pénzügyi szektor
informatikai biztonsági szabályait, hogy súlyos működési
zavarok esetén is reziliens tudjon maradni.
KIBERBIZTONSÁG

DORA rendelet
• A DORA két különálló részből állna:
➢ Az első a pénzügyi intézményekre,
➢ míg a második a pénzügyi intézmények számára harmadik
félként technológiai szolgáltatásokat biztosító vállalatokra
fókuszál.
• Figyelembe veszi egy pénzügyi intézmény méretét,
tevékenységeit, valamint üzleti profilját, és ezeknek
megfelelően határozza meg, milyen informatikai
kockázatkezelés elvárásoknak kell megfelelni
KIBERBIZTONSÁG

DORA rendelet
A rendelet kötelezően alkalmazandó összesen 20-féle pénzügyi
szervezetre és nekik IT szolgáltatást nyújtó külső szolgáltatókra,
függetlenül attól, hogy kiszervezés keretében, vagy egyéb módon nyújtják
ezen szolgáltatásaikat.
A célzott külső szolgáltatók közé tartoznak mindazok,
akik felhőszolgáltatást, szoftverfejlesztési, support, digitális
szolgáltatást, adatszolgáltatást (adatelemzés, adatközpont, automata
döntéshozatal, adatkezelés) nyújtanak a pénzügyi szervezeteknek, nem
terjed ki azonban a rendelet hatálya a hardver beszállítókra és az
elektronikus hírközlési szolgáltatókra (telefon, internet szolgáltatók).
KIBERBIZTONSÁG

DORA rendelet
• ICT Kockázatkezelés és irányítás
• Incidensreagálás és jelentéstétel
• Reziliencia tesztelés
• Külső szolgáltatók kockázatkezelése
• Az ICT Kockázatkezelés és Irányítás Követelményei
• Incidensreagálás és jelentéstételi követelmények
KIBERBIZTONSÁG

DORA rendelet
Annak érdekében, hogy a pénzügyi szervezetek biztosítsák az operatív
reziliencia képességét, rendszeres reziliencia tesztelést ír elő. Ez a
tesztelés alapvető fontosságú a szervezet védelmi intézkedéseinek
értékeléséhez és javításához.

A pénzügyi szervezeteknek évente alapvető teszteket, mint például

sebezhetőségi értékeléseket és forgatókönyv-alapú tesztelést, kell
végezniük. Ezek a tesztek segítenek azonosítani a rendszerekben és
folyamatokban rejlő lehetséges gyengeségeket, lehetővé téve a
proaktív intézkedések megtételét.
KIBERBIZTONSÁG

DORA rendelet
A DORA technikai szabványait jelenleg az Európai Felügyeleti Hatóságok
(EBA, ESMA és EIOPA) fejlesztik.
Ezek a szabványok biztosítják a megfelelőséghez szükséges útmutatást és
specifikációkat.
A pénzügyi szervezeteknek és az ICT szolgáltatóknak szorosan nyomon kell
követniük ezeknek a szabványoknak a fejlesztését, mivel ezek alkotják majd
működési ellenállóképességi kereteik alapját.
A technikai szabványok véglegesítésére 2024-ben kerül sor, elegendő időt
biztosítva a szervezetek számára a követelmények megismerésére és a
szükséges módosítások elvégzésére.
KIBERBIZTONSÁG

DORA rendelet
• A DORA rendelet végrehajtási időszakának végeztével a
végrehajtási felelősségeket az egyes EU tagállamok
illetékes hatóságai látják el. Ezek a hatóságok jogosultak
biztosítani a DORA szabályok betartását, biztonsági
intézkedések, orvosló intézkedések kérésével és
büntetések kiszabásával a nem megfelelőség esetén.
 KIBERBIZTONSÁG

Adatvédelmi incidens: „a biztonság olyan sérülése, amely a továbbított,

tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes
megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy
az azokhoz való jogosulatlan hozzáférést eredményezi.”

Az adatvédelmi incidenst haladéktalanul, de legfeljebb az észlelését követő

72 órán belül kell bejelenteni az illetékes felügyeleti hatóságnak
(Magyarországon ilyen ügyekben a NAIH jár el).

A GDPR egyik legjelentősebb újítása az egységes adatvédelmi bírság

bevezetése minden tagállamban, amelynek mértéke mindenhol azonos, és
jelentősen magasabb a korábbi bírságösszegeknél.
 KIBERBIZTONSÁG

Az ügyfelek által látogatott honlapok üzemeltetőinek a fokozott biztonsági

intézkedések betartása kiemelten fontos.

A NAIH erről elvi éllel a következőket határozta meg: „Az interneten nyilvánosan
elérhető és (adott esetben nagyszámú) ügyfelek által is látogatható weboldalak
kapcsán az esetleges sérülékenységekre való felkészültség fokozottan elvárható a
fenntartók részéről. Ez a tudomány és technológia állása és a megvalósítás költségei
szempontjából nem okozhatna az Ügyfélnek sem jelen esetben különösebb gondot,
figyelemmel a piacon elfoglalt pozíciójára is. A weboldal és minden más interneten
elérhető rendszer rendszeres sérülékenységvizsgálatának előírásáról az Ügyfél is
intézkedett az incidens után, elismerve ennek szükségességét.”
(NAIH/2020/1160/10.).

Önmagában nem elégséges, ha az adatkezelő vagy adatfeldolgozó mindenre

kiterjedő szabályzattal rendelkezik, ha a benne foglalt elvek és előírások a
gyakorlatban nem valósulnak meg.