הרפורמה החשובה, שפותחת את השוק לתחרות ומייעלת את השירותים הפיננסים עבורנו, מאפשרת עתה ליותר יותר חברות פינטק להיכנס לשוק ולהציע שירותים מתקדמים לאזרחים. עם זאת, היא גם מעמידה את אותן חברות בסכנות שונות, וחושפת אותן לתביעות וחקירות רגלטוריות שונות.
מה בפועל קובע חוק שירות מידע פיננסי?
- כחלק מרפורמת "הבנקאות הפתוחה" נחקק חוק שירות מידע פיננסי, שנכנס לתוקפו ביוני 2022.
- החוק מסדיר בין היתר את חובת הרישיון לחברות הרוצות להציג מידע פיננסי ללקוחות על ידי התחברות מקוונות למוסדות פיננסים באמצעות ממשקי API.
- מאפשר לבעל רישיון להציע ללקוחות שירותים שונים. לדוגמה, ריכוז מידע פיננסי ממקורות מידע פיננסי, השוואת עלויות, העברת מידע לגופים פיננסים לשם קבלת הצעות להתקשרות עבור הלקוח לשירותים פיננסיים ועוד.
- החוק קובע שעל בעל רישיון לערוך ביטוח ו/או להפקיד פקדון על סך של 500,000 שקל ומעלה, על מנת שיכסה מקרים של מעשה או מחדל רשלני כלפי הלקוח.
לפי הרשות היקף הביטוח ו/או הפיקדון יקבעו לפי הפרמטרים הבאים
- סוג הפעילות של בעל הרישיון.
- האם בעל הרישיון מספק רק שירות מידע או גם שירותים נוספים כגון: שירותי תשלום או שירות בתשלום.
- מספר הלקוחות של בעל הרישיון.
- מספר החשבונות מהם אסף בעל הרישיון מידע פיננסי.
מה היא אחריותו של בעל הרישיון כלפי לקוחותיו, ואיזה ביטוח הוא המתאים לכיסוי אחריותו?
לא מדובר בפעם ראשונה שהמחוקק הישראלי דורש מבעל רישיון כלשהו, לערוך בטוחה לכיסוי חבות בגין מעשה רשלני. פרקטיקה דומה נדרשת היום גם מיועצי, משווקי ומנהלי השקעות. עם זאת, החוקים הקיימים מסדירים מעשי רשלנות שונים, כגון: מצגים, ייעוץ וניהול רשלניים. השאלה היא מה קורה לגבי ביטוח הנוגע לרשלנות, עקב שימוש במערכות טכנולוגיות ואף אירועי סייבר?
במקרה זה קיימת לקונה, כאשר החוק אינו קובע מה הוא הביטוח שעל בעל הרישיון לערוך ואילו כיסויים עליו לוודא שהביטוח מכסה. כדי לענות על שאלה זו, ננסה לבחון מה החובות שמוטלות מכוח החוק בישראל ומה המצב החוקי במדינות אחרות.
אחריות מכוח החוק
החוק קובע שורה של חובות שיש לנותן שירות, ביניהן: חובת אמון, זהירות, סודיות. בנוסף גם קובע שעל בעל רישיון לשפות ולפצות את הלקוח, בגין פגם במידע המוצג ואף פגם באבטחת המידע, שהוביל לחשיפה של מידע עליו או פגם במהימנות המידע. כמו כן, חלק מתנאי קבלת הרישיון שהוא שלבעל הרישיון יש אמצעים לניהול סיכונים, לרבות ניהול סיכוני סייבר.
מה קורה בחו"ל?
בשנת 2018, נכנסה לתוקפה על ידי האיחוד האירופי הדירקטיבה האירופאית השנייה בדבר שירותי תשלום (PSD2). הדירקטיבה היא חלק מהאסדרה הבינלאומית של שירותי תשלום. בדומה לישראל היא קובעת חובת ביטוח לנותני שירותי מידע פיננסי. בשונה מהוראת הרשות לניירות ערך אצלנו, הרשות הבנקאות האירופאית (EBA) הוציאה קווים מנחים מפורטים, הקובעים כיצד יש לקבוע את גובה הביטוח, אך גם אלו כיסויים על הביטוח לכלול.
עפ"י ה-EBA על בעלי רישיון נותני שירות מידע פיננסי (Account Information Services), לערוך ביטוח אחריות מקצועית, אך על הביטוח לכלול כיסוי גם מפני תביעות הנובעות מגישה בלתי מורשית ו/או זדונית למידע של הלקוחות, במילים אחרות כיסוי לתביעות גם בגין אירועי סייבר.
לפי המחוקק הישראלי ודברי החיזוק שמגיעים מהרגולטור האירופאי, על מנת לדאוג לכיסוי מתאים לפי דין, על בעל הרישיון לדאוג שהביטוח יכלול גם כיסוי פוזיטיבי לתביעות, שיכולות להגיע אליו כתוצאה מאירועי סייבר.
אז איזה ביטוח עונה על דרישות החוק?
למעשה הביטוח שעל בעלי הרישיון לערוך הוא ביטוח אחריות מקצועית, שכולל כיסוי לכשל טכנולוגי – Technology Errors and Omissions Insurance. כיום ביטוח כזה קיים תחת ביטוח אחריות מקצועית לחברות הייטק.
העניין הוא שביטוח זה, לרוב, כולל רק כיסוי בגין תביעות שיוגשו כנגד החברה בגין כשלים טכנולוגיים, כגון: באג בתוכנה, הפרת חוזה, שיבושים , הפרות קניין רוחני.
כשלרוב הביטוח יכלול חריג הקשור לאירועי סייבר. ניתן לבקש מחברת הביטוח בחלק מן המקרים להרחיב את הפוליסה, שתכלול כיסוי לתביעות הנובעות מאירוע בתוספת תשלום. לחלופין, כיום באירופה קיימים ביטוחים ייעודיים בהתאם לדירקטיבה.
לדעתנו, טוב תעשה הרשות לניירות ערך, שתבהיר לבעלי הרישיון מה סטנדרט הכיסוי הנדרש מבעלי רישיון בהתאם לחוק, ובפרט תדגיש את הצורך שהביטוח יכסה גם תביעות הנובעות מאירועי סייבר, שהלקוחות של בעלי הרישיון יוכלו להיפרע מבעלי הרישיון במקרה הצורך.
לשיטתנו, על מנת לעמוד בדרישות הרגולציה על בעלי רישיון לדאוג לביטוח אחריות מקצועית, הכולל כיסוי לכשלים טכנולוגים, אך גם כיסוי לתביעות הנובעות מאירועי סייבר וכולל גישה בלתי מורשית למידע.
ביטוחים נוספים שעל בעלי רישיון לקחת בחשבון
עד כאן, דנו בנושא הביטוח, שהינו חובה עפ"י הדין. אך לאור הפיקוח הרגולטורי והחשיפה של בעלי רישיון אלה, יהיה מומלץ לשקול ביטוחים נוספים. כגון: כיסוי הוצאות משפט עבור חקירות רגולטוריות, ביטוח לדירקטורים ונושאי משרה, שעליהם ניתן להשית אחריות אישית מכוח החוק. וכן, לאור החשיפה של החברות לאירוע סייבר ועלייה הדרמטית במספר אירועי הסייבר בשנים האחרונות, לדאוג לביטוח סייבר מלא שיכלול גם כיסוי לנזקי החברה עצמה, בגין אירועי סייבר כגון כופר, הוצאות דיווח, אנשי פורנזיקה ועוד.
עם התפתחות הטכנולוגיה אנחנו עדים לסיכונים החדשים שמקבלים ביטוי גם מבחינה רגולטורית, ועל כן היום לחברות שמעניקות שירותים באופן טכנולוגי להיות מודעות לסיכונים אלה, ולבחון את אפשרות העברתם באמצעות ביטוח מתאים.
חוק זה הינו הראשון מבין 2 חוקים כחלק מרפורמת הבנקאות הפתוחה. כשהבא אחריו צפוי להיות חוק התשלום, שיכלול חובות נוספות ובעלי הרישיון יצטרכו להסדיר ביטוח בהתאם.
פוליסת הביטוח הייעודית של LAMDA לבנקאות פתוחה, מוכרת על ידי הרשות לני"ע בישראל, כחלופה לבטוחה בעת תהליך קבלת רישיון בנקאות פתוחה.