DORA: Naast AI, instant payments en cyberaanvallen de nieuwe horde voor de financiële sector
Financiële dienstverleners moeten sinds 17 januari voldoen aan de eisen van de Digital Operational Resilience Act (DORA). Deze verordening is van toepassing op twintig soorten financiële instellingen, waaronder banken, verzekeraars, beleggingsondernemingen, pensioenfondsen en externe IT-dienstverleners die deze instellingen bedienen.
Het doel van DORA is om de informatiebeveiliging van financiële dienstverleners op te voeren en te waarborgen dat de financiële sector in de Europese Unie zijn veerkracht weet te behouden in het geval van een ingrijpende verstoring van bedrijfsprocessen.
Dit is de laatste in een reeks wetten waarmee de financiële sector te maken krijgt. Tegelijkertijd staat de sector voor belangrijke uitdagingen, zoals het toenemende gebruik van digitale betalingsmethoden, instantoverschrijvingen via SEPA, en de opkomst van AI en generatieve AI (GenAI). Het voldoen aan de eisen van DORA vormt daarbij op zichzelf al een uitdaging.
De opmars van instantoverschrijvingen
De vraag naar instantoverschrijvingen is de afgelopen vijf jaar toegenomen. Dit ging gepaard met de ontwikkeling van een moderne wereldwijde infrastructuur voor de ondersteuning van dit betaalverkeer. Dit alles werd in gang gezet door de vraag van consumenten, wijzigingen van de regelgeving en EU-initiatieven zoals de Single Euro Payments Area (SEPA): één Europese betaalmarkt voor giraal betalen in euro's.
Het stelt banken en andere financiële instellingen voor diverse uitdagingen. Zij moeten ervoor zorgen dat zij in staat zijn om het toenemende aantal betalingen efficiënt, kosteneffectief en veilig af te handelen.
Naar verwachting zal er tussen 2023 en 2028 sprake zijn van een jaarlijkse toename van 50% van het aantal instantoverschrijvingen in de EU, van circa 3.000 miljoen tot bijna 30.000 miljoen in 2028. Om aan deze vraag tegemoet te kunnen komen moeten banken schaalbare AI-oplossingen inzetten zonder concessies te doen aan de beveiliging.
Daarnaast moeten banken in de EU en banken waarop SEPA van toepassing is vanaf januari van dit jaar voldoen aan nieuwe eisen voor de ontvangst van instantoverschrijvingen. Zo moeten ze vanaf 9 oktober 2025 overschrijvingen binnen 10 seconden versturen.
Voor het realiseren van deze doelstellingen is een veilige en moderne technologische infrastructuur nodig. Veel Europese financiële instellingen zijn hier echter nog niet op voorbereid. Volgens het World Payments Report 2025 van Capgemini is slechts 7% van alle Europese banken hier afdoende op voorbereid vanuit technologisch oogpunt. De meerderheid (76%) scoort gemiddeld qua voorbereiding.
Het is duidelijk dat hoe sneller organisaties zich vanuit zakelijk en technologisch opzicht voorbereiden, hoe groter hun concurrentievoordeel zal zijn.
De noodzaak van cyberweerbaarheid: cyberaanvallen groeien in aantal
Om welk type betalingsinfrastructuur het ook gaat, banken moeten ervoor zorgen dat hun systemen niet alleen snel, efficiënt en veilig zijn, maar ook cyberveerkrachtig. Wereldwijd blijft het aantal cyberaanvallen groeien, en financiële instellingen behoren tot de voornaamste doelwitten. Zij waren goed voor rond een vijfde van alle beveiligingsincidenten.
ENISA wijst op een forse toename van het aantal beveiligingsincidenten in de eerste helft van 2024 ten opzichte van de tweede helft van 2023. DDoS-aanvallen en ransomware-aanvallen voerden de lijst aan met circa 74% van alle incidenten.
Dat betekent dat leveranciers van betalingsdiensten prioriteit moeten toekennen aan cybersecurity en cyberveerkracht bij de ontwikkeling van hun ICT-infrastructuur voor instantoverschrijvingen.
Cybercriminaliteit blijft het grootste risico voor banken volgens 82% van alle risk managers van banken in de EU die EY in 2024 ondervraagde. De Europese Centrale Bank heeft met DORA en NIS2 duidelijke normen en verwachtingen gesteld ten aanzien van de IT-beveiliging van financiële instellingen.
AI verandert de regels van het spel op het gebied van fraudedetectie
AI vormt een basispijler van deze nieuwe strategieën. De Evident AI-index van oktober 2024 deelt banken in op hun AI-talent, innovatievermogen, leiderschap en transparantie van hun AI-activiteiten. Europese banken blijken zich als leiders in het gebruik van AI te ontpoppen. De ranglijst omvat UBS (6e plaats), HSBC (7e plaats), BNP Paribas (12e plaats) en BBVA (13e plaats).
Naarmate financiële instellingen hun gebruik van AI opvoeren zullen zij de risico’s en uitdagingen moeten beheren rond de datacenters die zij voor de ondersteuning van AI-applicaties inzetten.
De bancaire sector zal meer dan elke andere sector een “aanzienlijke invloed” ondervinden van GenAI. De sector zal in 2030 naar verwachting 84.990 miljoen dollar in GenAI investeren. Dit komt neer op een jaarlijkse samengestelde groei van 55,55%.
De belangrijkste toepassingsscenario’s voor GenAI zijn de customer experience, risicobeoordeling, fraudedetectie, geautomatiseerde verwerking van documenten en op maat toegesneden financiële producten.
Deze uitgebreide inzet van AI kan de capaciteit van de bancaire sector voor de bestrijding van fraude en andere bedreigingen voor het betalingsverkeer versterken.
Cybercriminelen kunnen echter eveneens gebruikmaken van AI doen om een breder scala aan cyberaanvallen op grotere schaal uit te voeren, zoals het hacken of besmetten van zakelijke e-mailaccounts. Leveranciers van betalingsdiensten zullen hun detectie- en preventiemechanismen dus voortdurend moeten verbeteren en daarvoor vaak een beroep doen op AI.
Banken die AI inzetten moeten een veilige infrastructuur waarborgen voor de ondersteuning van deze applicaties, of die nu in hun eigen datacenter of in de cloud worden gehost. Ze moeten onder meer de data van cliënten veilig houden tijdens het trainen van AI-modellen en voldoen aan de lokale richtlijnen met betrekking tot privacy en datasoevereiniteit.
Een artikel van Fortinet. Meer weten? Klik hier voor meer informatie.
