De Amerikaanse toezichthouder heeft Evolve bank verplicht een serie verbeteringen door te voeren en IT hoort daar bij. Dit is een case die laat zien dat ook banken die draaischijf voor fintechs zijn op dat punt onverwacht veel te kort kunnen schieten.
Deze bank, uit de midwest, heeft zich gepositioneerd als een draaischijf voor fintechs. Achter die term gaat een hoop schuil, het kunnen hypotheekverstrekkers of verzekeraars, maar ook banken. In alle gevallen is het online-only business. Fysieke kantoren schuwt men, dat zijn te duur en ouderwets voor de klantengroepen die men aanspreekt.
Dat fysieke contact is echter best belangrijk en om dat te begrijpen hoef je zelf geen bankier te zijn. Je klanten de hand kunnen schudden, in de ogen kijken en samen de business doornemen heeft enorm veel voordelen. In het geval van financiële dienstverleners is er nog een wettelijk verplichte reden om te weten wie de klant is.
Evolve is op dat punt behoorlijk de mist in gegaan, de eigen activiteiten waren niet in lijn met de wettelijke verplichtingen om witwassen en dergelijke tegen te gaan. Dat kwam aan het licht toen een van de fintechs die klant was failliet ging. Door het faillissement kwam Evolve zelf in de problemen, de toezichthouder kwam polshoogte nemen en schrok van wat het aantrof.
Cease and Desist order
De bank heeft een “cease and desist order” gekregen en moet nu rapporteren welke maatregelen zijn genomen om de misstanden weg te werken en compliant te worden. De lijst is lang en bevat punten als het werven van voldoende en kundig personeel, het verplicht stellen van trainingen en het doornemen van alle bestaande klanten om aan de witwas wetgeving te voldoen.
Tot zover is dit iets waarbij het woord IT niet is gevallen, al zal de lezer begrijpen dat fraude en witwassen opsporen zonder IT onmogelijk is. Een van de redenen waarom de bank op dat punt zo te kort is geschoten is echter de IT. Dat blijkt uit een van de punten van de C&D order. Het bedrijf moet binnen 60 dagen een volledig overzicht geven van het complete IT landschap en de security maatregelen die het treft “to correct the information technology and information security deficiencies identified in the Reports of Examination”.
Als je dat zo leest was het personeelsbestand in alle opzichten ontoereikend. Daar bovenop komt dat de IT zeer waarschijnlijk gatenkaas was en deels niet bekend.
Je bent een bank en weet niet hoeveel IT je hebt, waar die staat en hoe de security geregeld is? Heel eigenaardig.
(persbericht – C&A order)