$477 miljoen boetes voor non-compliant off-channel communicatie

Als banken en beleggingsadviseurs boetes krijgen opgelegd wegens non-compliant gedrag dan is er altijd een IT component in het verhaal. Dat is ook nu weer het geval bij de meer dan twee dozijn bedrijven in Amerika die door de toezichthouders zijn beboet. Voor de zoveelste keer blijken medewerkers off-channel communicatie – lees illegale – tools te gebruiken.

Illegale communicatie

illegale communicatie? Dan denkt de lezer mogelijk aan de cryptofoons die drugshandelaren en andere criminelen graag gebruiken. In dit geval gaat het om wat anders. De hele financiële sector is gebonden aan stapels regels. Een daarvan is dat elke communicatie moet worden opgeslagen. Daarmee kan in geval van een geschil worden aangetoond wat er is besproken.

Als bij het gebruik van een communicatie tool geen goedgekeurde kopie tot stand komt (die weer geaudit kan worden et cetera) dan is het gebruik van die tool voor de sector niet toegestaan, daarom wordt er ook over illegale communicatie gesproken.

Voorheen was het opslaan van communicatie makkelijk. Elke brief via carbonpapier had een doorslag en die ging in het dossier. Daarna bij de fax was een kopie snel gemaakt, bij e-mail bestaat een copy in de gemonitorde mailbox van de afzender.

Chat en apps

Toen kwamen chats en instant messaging apps, handig, laagdrempelig, maar een draak vanuit compliancy optiek, want er is geen image, kopie of back-up. Teams en Zoom, plus de rest, heeft dat probleem alleen maar groter gemaakt. Als de optie tot het maken van een kopie volgens een goedgekeurde methode als bestaat, wordt er te weinig gebruik van gemaakt.

Dat een deel van deze apps via privé toestellen wordt verstuurd snapt de lezer vast wel, net zo als dat daardoor de problematiek alleen maar groter wordt.

Boete tot $50 miljoen

Bij het laatste gezamenlijke optreden van de toezichthouders voor banken (SEC) en verzekeraars (CFTC) zijn er boetes tussen de $400.000 en $50 miljoen opgelegd aan bedrijven. Bij allen is vastgesteld dat deze foute communicatie voorkwam en dan ook op grotere schaal.

Volgens het SEC persbericht heeft het bestrijden van “off-channel communicatie” sinds 2021 geleid tot boetes van in totaal $3,2 miljard. Dat geeft aan wat de omvang van de misstanden moet zijn.

Link met IT

De link met IT zal de lezer zonder meer duidelijk zijn. Dit soort misstanden is alleen mogelijk als er geen IT policy.

Een dergelijke policy moet bevatten duidelijk regels over monitoring van devices, het al dan niet toestaan van privétoestellen op de werkvloer en natuurlijk BYOD. Dat laatste is volgens partijen die ITchannelPRO spreekt ook in Nederland over het hoogtepunt heen. De reden is hier, net als in Amerika, het gebrek aan controle en het inzicht dat BYOD een te groot veiligheidsrisico is.