Bank ingin risiko liabilitas diperjelas dalam aturan perbankan terbuka CFPB

Para bankir menyatakan kekhawatiran bahwa aturan perbankan terbuka yang diusulkan Biro Perlindungan Keuangan Konsumen tidak cukup jelas tentang apakah bank atau penyedia layanan pihak ketiga akan bertanggung jawab atas pelanggaran data atau transaksi penipuan, dan khawatir mereka akan dipaksa untuk mengganti kerugian konsumen atas kesalahan yang bukan kesalahan mereka.

Ketika lembaga keuangan bersiap untuk menerapkan CFPB aturan perbankan terbuka, yang diharapkan akan selesai pada bulan Oktoberbank-bank tengah berupaya memahami cara mengelola risiko pihak ketiga, sebuah tugas berat di tengah ekosistem yang dibanjiri data dan industri pemula yang tengah berkembang yang menyebut diri mereka sebagai penyedia teknologi finansial.

CFPB diharapkan dapat menyelesaikan proposal perbankan terbuka 1033 pada bulan Oktober, memberikan konsumen hak hukum untuk memberikan pihak ketiga akses ke data bank. Rencana biro tersebut — yang disahkan oleh bagian 1033 Undang-Undang Perlindungan Keuangan Konsumen tahun 2010 — akan mengharuskan bank untuk menyerahkan data sensitif mengenai transaksi di rekening giro, kartu prabayar, kartu kredit, dan dompet digital kepada pesaing.

Beberapa pakar berpendapat bahwa aturan 1033 akan memberdayakan bank komunitas dan perusahaan teknologi finansial untuk bersaing lebih baik dengan bank-bank besar dan mengubah cara konsumen menggunakan data keuangan pribadi mereka. Namun, kerangka waktu semakin sempit bagi bank untuk menyampaikan pesan mereka tentang kesulitan penerapan 1033.

“Akan sangat membantu jika industri mengetahui apa yang diharapkan terkait kewajiban dan bagaimana kewajiban tersebut akan dibagi, tetapi usulan tersebut tidak memuatnya,” kata Brian Fritzsche, wakil presiden dan penasihat umum asosiasi di Consumer Bankers Association. “Ini seperti menyerang target yang bergerak dengan mata tertutup.”

Sementara peralihan ke perbankan terbuka diharapkan dapat meningkatkan persaingan untuk produk dan layanan keuangan, bank-bank menyuarakan kekhawatiran tentang masalah-masalah tertentu dengan proposal CFPB yang menurut mereka perlu disempurnakan dalam aturan akhir. Bank-bank mengklaim bahwa tanggung jawab tidak ditangani dengan cukup spesifik untuk memastikan bahwa tanggung jawab tersebut dibagi secara adil dan umumnya “mengikuti data.” Sebagai penyedia data utama, bank-bank menginginkan CFPB untuk mengizinkan penyedia data menolak akses ke pihak ketiga dan agregator data berdasarkan masalah manajemen risiko.

“Jika ada pihak lain, apakah ada tanggung jawab antar pihak? Jika pengumpul data mengalami pelanggaran data, haruskah ada semacam tanggung jawab kepada penyedia data jika konsumen dirugikan?” tanya Fritzsche.

Bank tidak ingin bertanggung jawab atas insiden seperti pelanggaran data yang terjadi setelah data berada di luar kendali bank. Bank pada umumnya ingin setiap entitas bertanggung jawab atas — dan diharuskan mengganti kerugian entitas lain — yang diakibatkan oleh transaksi yang tidak sah, kerugian yang timbul dari pelanggaran data, atau masalah lainnya. Menetapkan tanggung jawab yang dibagi akan memberikan insentif kepada pihak ketiga untuk menerapkan dan memelihara program keamanan data yang kuat.

Bradley Wallace, direktur kepatuhan di prosesor inti CSI, mengatakan peraturan yang ada memperjelas bahwa bank bertanggung jawab untuk mengawasi pihak ketiga.

“Telah dijelaskan dalam panduan manajemen risiko pihak ketiga bahwa lembaga keuangan bertanggung jawab penuh atas data tersebut, dan satu-satunya cara untuk mengurangi risiko kewajiban adalah dengan melakukan uji tuntas yang kuat,” kata Wallace. Ia menyarankan perusahaan untuk meminta dewan direksi dan manajemen puncak meninjau panduan antar lembaga tentang risiko pihak ketiga.

Dalam panggilan kepatuhan triwulanan baru-baru ini dengan 400 perwakilan dari bank komunitas guna membahas aturan akhir CFPB 1033, Wallace mengatakan ia menemukan “kekurangan mencolok” pada bank-bank yang tidak memiliki proses manajemen risiko yang tepat.

Banyak bank komunitas kecil memiliki eksekutif yang memiliki “banyak jabatan berbeda,” katanya, dan mereka perlu memahami apa yang sedang terjadi di pasar, termasuk “mempelajari jargon” 1033. Itu termasuk mampu menjelaskan kepada dewan direksi tentang cara kerja aturan tersebut dan cara menerapkannya.

“Mereka harus mampu mendefinisikan apa itu API bagi manajemen, mitra bisnis dalam industri, dan kemudian memastikan bahwa mereka menyusun penilaian risiko yang kuat dan program uji tuntas vendor untuk mengajukan pertanyaan yang tepat kepada pihak ketiga,” kata Wallace.

Pembagian data pihak ketiga sudah banyak digunakan untuk berbagai aktivitas perbankan, termasuk membayar tagihan, mengirim uang, mendapatkan pinjaman, membayar pajak, dan berinvestasi. Namun, tidak semua metode dan sistem pembayaran memiliki aturan atau risiko tanggung jawab konsumen yang sama. Proposal 1033 CFPB membayangkan bahwa kerangka tanggung jawab saat ini harus serupa dengan peraturan yang menerapkan Undang-Undang Transfer Dana Elektronik dan Undang-Undang Kebenaran dalam Peminjaman. Biro tersebut juga merujuk dalam proposalnya pada kontrak bilateral antara perusahaan.

Namun Fritsche mengatakan bank menginginkan aturan tanggung jawab dan ganti rugi yang jelas untuk memastikan bahwa mereka tidak menanggung risiko atau biaya tambahan yang mungkin timbul ketika penyedia pihak ketiga gagal melindungi atau menyalahgunakan data setelah menerima instruksi konsumen.

Selain itu, bank menghadapi lebih dari sekadar tantangan teknis dalam memberikan data yang diminta oleh konsumen. Bank-bank terbesar, yang harus menerapkan 1033 dalam waktu enam bulan sejak aturan tersebut menjadi final, saat ini sedang dalam proses membangun sistem internal untuk secara otomatis memenuhi permintaan informasi.

Jim McCarthy, mantan pejabat CFPB dan ketua McCarthy-Hatch, sebuah firma risiko dan kepatuhan, mengatakan biro tersebut sudah menguji kesiapan bank dalam menyediakan data kepada konsumen. McCarthy mengatakan ia memiliki teori tentang bagaimana CFPB menggunakan keluhan konsumen untuk memastikan bahwa bank menanggapi permintaan data.

Awal tahun ini, CFPB menambahkan dua poin data ke formulir penerimaan pengaduan nonpubliknya, menanyakan kepada konsumen apakah mereka meminta informasi dari bank mereka dan apakah mereka menerima semua data tepat waktu.

“Mereka memanfaatkan permintaan persyaratan informasi untuk menentukan kesiapan bank untuk 1033,” kata McCarthy. “Jika mereka menemukan bahwa bank tidak memiliki kemampuan untuk mengidentifikasi dan menanggapi permintaan informasi, itu akan menjadi contoh peningkatan yang sangat besar yang diperlukan bagi bank, terutama bank (terbesar), untuk menerapkan 1033.”

McCarthy, yang perusahaannya meneliti komunikasi konsumen dengan masing-masing bank, mengatakan bahwa ia menemukan bahwa masing-masing bank terkemuka memiliki “defisit besar dalam menanggapi permintaan informasi sesuai dengan pedoman peraturan tersebut.”

“Ini adalah masalah besar dan akan menjadi dorongan besar,” tambahnya.

Cakupan yang sangat besar dan kompleksitas teknologi dari peraturan tersebut telah menyebabkan CFPB membaginya menjadi setidaknya dua bagian sejauh ini. Pada bulan Juni, biro tersebut menyelesaikan sebagian dari aturan perbankan terbuka yang menetapkan kriteria untuk mengenali organisasi yang menetapkan standar teknologiBiro tersebut telah membuat rujukan dalam pemberitahuan dan agenda terpadu terhadap peraturan selanjutnya.

Bank dan beberapa agregator data telah meminta CFPB untuk memperpanjang jangka waktu dua tahun untuk mematuhi peraturan akhir tentang hak data keuangan pribadi.

Namun, sejauh ini, CFPB mengambil pendekatan bertahap untuk penerapannya. Bank dengan aset sedikitnya $500 miliar dan nonbank dengan aset sedikitnya $10 miliar harus mematuhi dalam waktu enam bulan. Bank dengan aset antara $50 miliar dan $500 miliar dan semua nonbank lainnya memiliki waktu satu tahun untuk mematuhi. Bank dengan aset $850 juta hingga $50 miliar memiliki waktu dua setengah tahun, sementara lembaga penyimpanan terkecil memiliki waktu empat tahun untuk mematuhi.

Kerangka waktu untuk penerapan aturan ini juga penting karena bank telah meminta CFPB untuk memulai aturan peserta yang lebih besar yang akan membawa agregator data terbesar di bawah pengawasan biro.

“Siapa yang akan memeriksa dan mengawasi entitas-entitas tersebut untuk memastikan mereka mematuhi peraturan?” tanya Fritzsche.

Wallace berpikir perbankan terbuka adalah kesempatan bagi bank komunitas untuk memberikan produk dan layanan yang lebih baik.

“Bank komunitas kini memiliki kemampuan untuk bersaing setara dengan perusahaan besar yang mengumpulkan data yang telah mereka simpan selama bertahun-tahun,” kata Wallace. “Saya pikir bank komunitas akan mendapatkan lebih banyak nasabah daripada yang akan mereka kehilangan dari perbankan terbuka yang merupakan pintu untuk memberi mereka teknologi dan informasi yang tepat tentang konsumen.”