Bank service

FinTechs may be subject to the law on banking services companies, without even knowing it

As the relationships between traditional banks and financial technology firms (“fintechs”) become more complex and interconnected, closer regulatory scrutiny of these relationships is a certainty. The Bank Service Company Act (“BSCA”), an old law that is receiving renewed attention, provides a means for US federal banking agencies to learn about certain relationships between banks and fintechs . Indeed, the BSCA obliges banks to notify their banking regulators of contracts and relationships with technology service providers and other companies that provide them with services. However, it does not oblige banks to notify their service providers that they have been so identified. As a result, many fintechs and other banking service providers may be completely in the dark about their status under the BSCA and their potential exposure under federal banking laws and regulations.

Fintechs providing services to banks should prioritize the need to better understand the BSCA and, at the very least, they should ask their banking clients whether they have been identified as a service provider under the BSCA in any notification or other communication to a banking regulator. .

What is the Banking Services Companies Act?

Section 7(c) of the BSCA requires depository institutions to notify, in writing, their respective federal banking agency of contracts and relationships with technology service providers (“TSPs”), including major payment platforms and cloud service providers, and other companies that provide certain services. Services covered by the BSCA include sorting and posting checks and deposits, calculating and posting interest, preparing and sending checks or statements, and other office functions, maintenance books, accounting, statistics or the like such as data processing, online banking and mobile services. banking services. The notice can be provided in several ways, but the FDIC has an optional option form to assist banks in their compliance.

Significantly, Article 7(c) of the BSCA subjects the performance of a service provider’s services to “regulation and scrutiny”.[danslamêmemesurequesicesservicesétaientfournisparl’institutiondépositaireelle-mêmeEnconséquencelaBSCAafournilabaselégalepourlesexamensréglementairesdesTSPEnpratiquelesagencesbancairescoordonnentleursupervisiondesTSPparlebiaisduFederalFinancialInstitutionsExaminationCouncil(«FFIEC»)dontlesmembrescomprennentlaRéservefédéralelaFDICl’OCClaNCUAetleCFPBLaFFIECadéveloppédespratiquesconcernantlesprestatairesdeserviceseffectivementexaminéslafréquencedesexamensetl’étenduedelasupervisionUnexamenseconcentresurlesservicesfournisetlesprincipauxcontrôlestechnologiquesetopérationnelsetpeutidentifierdiversesfaiblessesdeconformitéquinécessitentdesmesurescorrectivesoucorrectivesUnexamensetermineparunenoteattribuéeounotequidétermineledegréd’attentiondesupervisionnécessairepourlefournisseurdeservicesparticulier

Pourquoi est-ce un problème maintenant ?

Les régulateurs bancaires s’inquiètent depuis longtemps des risques découlant de l’externalisation par les banques de certains services à des prestataires tiers et de la nécessité de solides pratiques de gestion des risques, tant au niveau de la banque que du prestataire tiers et en ce qui concerne la manière dont ils interagir. Récemment, les régulateurs ont entrepris des efforts pour mettre à jour les directives existantes afin de promouvoir la cohérence entre les directives des agences sur la gestion des risques de tiers, et ont également publié des directives spécifiquement pour aider les banques communautaires à faire preuve de diligence raisonnable sur les relations potentielles avec les fintechs.

La continuité des activités et la planification des interventions en cas d’incident sont des domaines qui suscitent des préoccupations accrues en matière de supervision. Selon la FDIC, les examinateurs ont observé que certains contrats TSP n’exigent pas que le fournisseur de services maintienne un plan de continuité des activités, établisse des normes de reprise ou définisse des recours contractuels, et dans certains cas, ils ne traitent pas suffisamment les responsabilités d’un TSP en matière d’incident de sécurité. Les contrats à long terme et les contrats qui se renouvellent automatiquement peuvent être, comme le dit la FDIC, plus à risque de «lacunes de couverture».

Pour faire face au risque que les données et les systèmes des banques soient affectés par des cyberattaques et des activités criminelles connexes, les agences bancaires fédérales ont récemment proposé une règle qui exigerait qu’une banque fournisse à son principal organisme de réglementation bancaire fédéral une notification rapide de tout incident de sécurité informatique qui atteint le niveau d’un incident de notification (la « règle proposée »). La notification serait généralement requise dès que possible et au plus tard 36 heures après que la banque estime, de bonne foi, que l’incident s’est produit. La proposition de règle imposerait également une obligation de déclaration distincte aux « prestataires de services bancaires », qui sont définis comme incluant les sociétés de services bancaires et les autres personnes fournissant des services aux banques qui sont assujetties à la BSCA. Un prestataire de services bancaires serait tenu d’informer au moins deux personnes chez chaque client bancaire concerné immédiatement après avoir subi un incident de sécurité informatique dont il estime de bonne foi qu’il pourrait perturber, dégrader ou entraver la fourniture des services soumis au BSCA pendant quatre ou plusieurs heures.

Pourquoi les Fintechs devraient-elles s’en soucier ?

Les Fintechs qui fournissent des services aux banques devraient se soucier de leur statut en vertu de la BSCA, car elles peuvent être soumises à la réglementation et à l’examen des agences bancaires fédérales et peuvent éventuellement être soumises à des obligations de notification d’incident informatique, en supposant que la proposition de règle discutée ci-dessus soit finalisée. Les régulateurs ont indiqué qu’ils appliqueraient l’exigence de notification des prestataires de services bancaires « directement contre les prestataires de services bancaires » et ne citeraient pas une banque parce qu’un prestataire de services ne se conforme pas à l’exigence de notification. Bien que la règle proposée reste en suspens, il s’agit d’une reconnaissance de la façon dont les banques sont devenues “de plus en plus dépendantes des prestataires de services bancaires pour fournir des produits et services essentiels liés à la technologie” et du potentiel d’impacts négatifs sur les banques lorsqu’il y a des incidents de sécurité informatique à ceux-ci. fournisseurs. Cela suggère également que les régulateurs pourraient être plus enclins à imposer d’autres obligations de conformité positive aux prestataires de services bancaires à l’avenir.

Que devraient faire les Fintechs ?

Les Fintechs qui fournissent des services aux banques doivent faire trois choses :

  • Confirmer le statut sous le BSCA – Les Fintechs devraient demander à leurs clients bancaires s’ils ont été identifiés comme prestataires de services bancaires dans tout avis ou autre communication à un régulateur bancaire. Alors que la BSCA oblige les banques à notifier à leurs régulateurs bancaires les contrats et les relations avec les prestataires de services, elle n’oblige pas les banques à informer leurs prestataires de services qu’un avis a été donné. En effet, certaines fintechs pourraient être surprises d’apprendre qu’elles ont été désignées comme prestataire de services bancaires au titre du BSCA. Selon les circonstances, les fintechs devraient envisager de demander une certification ou une autre confirmation à leurs clients bancaires quant à savoir si un avis a été ou n’a pas été fait. Les pratiques parmi les banques en ce qui concerne les avis BSCA ne sont pas cohérentes (en effet, certaines banques peuvent même ne pas connaître l’obligation de notification),[9] and regulators acknowledged in comments accompanying the proposed rule that they “do not have data on the number of banking service providers” that would be affected by the computer incident notification requirement.
  • Review trade agreements and supplier processes for BSCA notifications – Fintechs should review existing commercial agreements and associated processes to ensure that there is a mechanism to obtain information from their banking clients on matters relating to BSCA. This may require the incorporation of provisions obliging the bank to notify the fintech of a BSCA notification made to its banking regulator. Additionally, fintechs may wish to require the bank to notify its regulator when the contract or relationship has been terminated.
  • Review trade agreements to adapt to new regulatory requirements – Assuming the rule proposal discussed above is adopted, fintechs should assess whether their existing commercial agreements with banks contain adequate information and reporting clauses. For example, the proposed rule requires that at least two persons from each affected banking customer be notified by a banking service provider immediately upon the occurrence of certain events. To avoid confusion or ambiguity, a fintech may require specific contractual language specifying data subjects and contact information as well as the timing of certain communications. Additionally, business agreements may need to be reviewed to ensure that the fintech receives timely information from a bank customer on a variety of other matters that may be critical to fintech regulatory compliance.