Finanssialan ja huijareidentaistelu elintilasta siirtyy tekoälymaailmaan
Finanssi-, pankki- ja rahoitusvalvonnassa korostuvat tällä hetkellä kyberturvallisuuteen, tekoälyyn, maksuvälitykseen ja erilaisiin huijauksiin liittyvät teemat.
Finanssialaa koskevan sääntelyn vaatimukset tulevat valtaosiltaan EU-tasolta, mutta sen toteutumista valvotaan lähinnä kansallisesti. Suomessa tehtävä kuuluu Finanssivalvonnalle, jota koskeva laki määrittelee valvontaelimen tehtävät ja toimivaltuudet. Viranomaisessa työskentelee noin 260 henkeä.
”Valvonnassa arvioidaan, onko valvottavien toiminta kestävällä pohjalla. Valvonta perustuu valvottavien tekemiin raportteihin ja säännöllisiin tarkastuksiin”, Finanssivalvonnan johtaja Tero Kurenmaa sanoo.
Tekoälyn käyttö valvonnan kohteeksi
Johtava asiantuntija Mia Talvasto valmistelee tekoälyn käytön valvonnan alkamista. Hän kertoo, että vuonna 2024 voimaan tullut tekoälyasetus on luotu edistämään tekoälyn kehittämistä ja käyttöä Euroopassa.
”Valmistaudumme vastaamaan tekoälyasetuksen vaatimuksiin. Eräs alustava toimenpide oli tekemämme tekoälyn käyttöä koskeva kyselytutkimus”, Talvasto sanoo. Tulos oli, että kyselyyn vastanneista toimijoista 88 prosenttia käyttää tekoälyratkaisuja tai ainakin suunnittelee niiden käyttöä kahden vuoden sisällä.
Tekoälyä käytetään sisäisissä prosesseissa ja jonkin verran myös asiakasrajapinnassa. Käyttötapoja ovat enimmäkseen käännökset, yhteenvetojen tekeminen, tekstisisällön generointi, sisäiset prosessit, ohjelmistokoodaus ja järjestelmäkehitys. ”Suurissa yhtiöissä tekoäly on pantu tukemaan myös markkinointia ja myyntiä”, Talvasto toteaa.
Vastaajista 51 prosenttia on laatinut tekoälystrategian, 82 prosenttia käyttösäännöt ja 63 prosenttia eettiset säännöt. Yhteistä on, että lähivuosina toimijoiden investoinnit tekoälyyn tulevat kasvamaan.
Suuririskisimmät järjestelmät
Finanssialalla tietyt tekoälyjärjestelmät ovat muita suuririskisempiä, kuten vaikkapa tiettyjä lakisääteisiä vakuutuksia koskevat järjestelmät, joilla arvioidaan luonnollisten henkilöiden oikeutta julkisen avun etuuksiin ja palveluihin. Riskejä kahlitsemaan ollaan luomassa kansallista lainsäädäntöä valvonnasta, jonka on määrä tulla voimaan loppuvuodesta 2025.
”Samaan riskiryhmään kuuluvat luottokelpoisuuden arviointi tai luottopisteytyksen määrittely sekä sairaus- ja henkivakuutuksia koskeva riskiarviointi”, Talvasto kertoo.
Jos ihminen on mukana päätöksenteossa, niin järjestelmän riski on pienempi kuin pelkästään tekoälypohjaisessa toiminnassa. ”Jos käyttäjä räätälöi järjestelmää, niin sen riskiluokka nousee, jolloin sitä kuuluu käsitellä kuin suuririskistä toimintaa”, Talvasto sanoo.
Hyvän hallintomallin ja hyvien käytänteiden luominen on tekoälymallien valvonnan kannalta tärkein ja ensimmäiseksi toteutettava asia. ”Valvottavista yrityksistä yli 80 prosenttia onkin jo luonut toiminnalle käyttösäännöt”, Talvasto tiivistää.
DORA-asetus ja digitaalinen häiriönsietokyky
Finanssivalvonnan Maksupalvelut ja järjestelmävalvonta -toimisto valvoo finanssiyhteisöjen digitaalisten järjestelmien riskejä. Valvontaa tehdään myös yhdessä Euroopan keskuspankin kanssa, joka vastaa näiden riskien valvonnasta isoimmissa pankeissa.
Toimistopäällikkö Jussi Terho kertoo, että finanssialan digitaalista häiriönsietokykyä koskeva EU:n DORA-asetus (Digital Operational Resiliency Act, asetus finanssialan digitaalisesta häiriönsietokyvystä), jonka soveltaminen alkoi 17.1.2025, parantaa finanssisektorin suojatumista häiriöiltä ja kyberuhkilta. Valvottavien yhtiöiden ylin hallintoelin on vastuussa riskienhallintaan tarvittavan hallintomallin rakentamisesta ja toiminnasta.
DORA tuo uusia vaatimuksia ja yhtenäiset säännöt koko Euroopan unionin alueelle. ”Säännöt koskevat myös kolmansia osapuolia, jotka toimivat ICT-palveluntarjoajina finanssiyhteisöille”, Terho avaa. Vaatimuksia on muun muassa ICT-häiriöiden havaitsemis- ja hallinnointiprosessille ja raportoinnille.
”On tunnistettava häiriön laajuus ja miten moneen asiakkaaseen se vaikuttaa. Laajavaikutteisista häiriöistä, esimerkiksi palvelunestohyökkäyksistä, tulee raportoida neljän tunnin kuluessa”, Terho kertoo.
Asetus sääntelee myös kyberuhkien vapaaehtoista ilmoittamista ja tietojen jakamista. ”Digitaalisen häiriönsietokyvyn jatkuvaa testausta varten finanssiyhteisöjen on luotava erilaisista arvioinneista ja menetelmistä koostuva testausohjelma. Uhkaperusteinen tunkeutumistestaus merkittävissä finanssiyhteisöissä on tehtävä kolmen vuoden välein”, Terho sanoo.
Rahasiirroille nopeutta ja lisäturvaa
Lokakuun 9. päivänä astui kokonaisuudessaan voimaan EU:n pikamaksuasetus (Instant Payments Regulation). Kaikkien euroalueen pankkien on kyettävä vastaanottamaan ja lähettämään pikasiirtoja sekä soveltamaan asetuksen muita vaatimuksia.
”Suurin muutos on se, että euromääräisten pikasiirtojen tulee onnistua euromaissa kymmenessä sekunnissa vuorokaudenajasta riippumatta vuoden jokaisena päivänä ja maksunsaajan nimen ja tilinumeron tulee vastata toisiaan”, kertoo vanhempi asiantuntija Kaisa Tukiainen.
Maksun saajan tarkastamisella halutaan estää maksun välittyminen väärälle henkilölle tai yrityksille. Tilinumeron ja nimen täsmäytys antaa lisäturvaa ja voi estää virheellisiä tai vilpillisiä siirtoja. ”Näin vähennetään petoksia, joissa pankin asiakasta huijataan lähettämään maksu väärälle tilille. Toisaalta maksujen nopea siirtyminen voi vaikeuttaa petosten tunnistamista ja estämistä, koska rahat siirtyvät entistä nopeammin”, Tukiainen pohtii.
Turvakontrolleja käyttöön
Finanssivalvonta edellyttää pankeilta, että asiakas voi itse asettaa maksu- tai päiväkohtaisen euromääräisen rajan pikamaksuille uuden pikamaksuasetuksen mukaisesti. Lisäksi suositellaan, että myös normaaleissa tilisiirroissa maksuille tarjottaisiin sekä maksu- että päiväkohtaisia turvarajoja.
”Mikäli henkilöasiakas ei itse ole asettanut rajoja, niin pankki voisi tehdä tämän omasta aloitteestaan riskiperusteisesti. Turvarajan muuttaminen edellyttäisi asiakkaalta vahvaa tunnistautumista”, Tukiainen korostaa.
Turvakontrolleja pankeilla on käytössä jo ennestään, esimerkiksi korttimaksuille. Useat luottolaitokset mahdollistavat maa- tai aluekohtaisten turvarajojen asettamisen myös tilipohjaisille maksuille. Tilipohjaisten maksujen turvaamiseksi on kehitetty muitakin kontrolleja, kuten esimerkiksi viiveet uusien tunnistussovellusten asentamisen yhteydessä.
”Lisävahvistusta voidaan pyytää esimerkiksi maksuissa, joissa pankin monitorointi epäilee petollista maksua”, Tukiainen kertoo.
Monitoroinnissa kehitettävää
”Tilisiirtojen petosmonitoroinnissa on kehitettävää. Asiakkaiden aikaisempaan käyttäytymiseen perustuvia tekijöitä tulisi hyödyntää monitoroinnissa nykyistä monipuolisemmin”, Tukiainen linjaa.
Monitorointi voisi kattaa esimerkiksi asiakkaan aikaisempaa maksuhistoriaa, maksun suuruutta, tapahtuma-aikaa, maksukanavaa, maksun vastaanottajaa tai maksajan poikkeavaa sijaintipaikkaa.
”Tällä hetkellä monitoroinnissa havaitut poikkeamat eivät välttämättä johda tapahtuman estämiseen”, Tukiainen harmittelee.
Lainsäädännöllisiä haasteita
Luottolaitokset ovat lisänneet petoksiin liittyvää tiedotusta ja petostorjunnan resursseja sekä panostaneet henkilökunnan koulutukseen. Kansallisella tasolla Finanssivalvonta on tunnistanut lainsäädännön haasteita, jotka rajoittavat petosten torjunnan kannalta tärkeää tiedonvaihtoa. ”Viranomaisten kanssa keskustelemme tiedonvaihdon esteiden poistamisesta ja siitä, voisiko lainsäädännöllisiä muutoksia nopeuttaa”, Tukiainen kuvaa.
Uusia keinoja petostorjuntaan
EU-tasolla luonnosvaiheessa on kolmas maksupalveludirektiivi (Payment Services Directive, PSD3) ja maksupalveluasetus (Payment Services Regulation, PSR). Ne tuovat uusia keinoja petostorjuntaan. Uuden direktiivin arvioidaan tulevan voimaan vuonna 2027/2028.
PSD3 sääntelee muun muassa sitä, mitä petostorjunnan toimenpiteitä maksupalveluntarjoajalta edellytetään. Toisin sanoen direktiivi velvoittaa maksupalvelujen tarjoajia kehittämään oman maksamisensa turvallisuutta. ”Direktiiviluonnos sisältää myös maksuvälineiden ja maksutapahtumien estämistä, monitorointimekanismeja ja petostietojen jakamista koskevaa säätelyä”, Tukiainen mainitsee.
Teksti: Matti Valli
Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 6/2025.