Finanssisektorin toimintaympäristö on ollut vuosia dynaaminen ja muuttuva. Talouden vaisu kasvu ja pitkään jatkuneet geopoliittiset jännitteet pitivät toimialan riskit edelleen kohonneina. Valvottaviemme vahva vakavaraisuus on tässä ympäristössä ensiarvoinen suojatekijä ja se säilyy valvontamme keskiössä.

Kyberturvallisuus yhä merkittävämpää

Geopoliittiset jännitteet yhdessä digitalisoitumisen ja tekoälyn tuomien muutosten kanssa nostavat kyberturvallisuuden yhä merkittävämmäksi osaksi valvontaamme.

Digitaalista häiriönsietokykyä varmistava asetus¹ pakottaa useat finanssialan toimijat testaamaan säännöllisesti kyberturvallisuuttaan ja palautumiskykyään kyberhäiriöistä. Uutta tässä on erityisesti se, että tämä asetus ulottuu myös finanssisektorille palveluita tarjoaviin IT-kumppaneihin.

Kertomusvuoden loppupuolella kyberturvallisuutta horjuttivat erityisesti valvottavaamme kohdistunut poikkeuksellisen laaja palvelunestohyökkäys sekä Itämerellä tapahtuneet kaapelirikot. Valvottavat raportoivat meille kyberhäiriöistä välittömästi ja antavat häiriöraportin myös tilanteen päätyttyä. Olemme tilanteen aikana tiiviissä yhteistyössä valvottavan kanssa, mutta annamme valvottavan keskittyä tilanteen korjaamiseen ja puutumme vasta tilanteen jälkeen mahdollisiin puutteisiin.

Vahvistamalla etukäteen resilienssiä minimoimme tällaisten hyökkäysten tai vahingoittamisten vaikutukset yhteiskunnallemme ja samalla heikennämme rikollisten keinojen tehoa.

Kyberturvallisuuden ja siihen liittyvän palautumiskyvyn tärkeys pätee kaikilla valvottavasektoreillamme. Testasimme kyberresilienssiä EKP:n johdolla pankkisektorilla viime vuonna, ja tänä vuonna laajennamme sen kansallisesti kattamaan myös muita valvottavasektoreita.

Huijarin työtä on vaikeutettava

Isoin haavoittuvuustekijä kyberturvallisuudessa on kuitenkin ihminen. Vuoden aikana havaitsimme erilaisten huijausten lisääntyneen. Jopa valvojan nimeä on käytetty huijausyrityksissä.

Virtuaalivaluuttojen yleistyminen lisää sijoitustyyppisiä huijauksia. Virtuaalivaluuttaa koskevan sääntelyn² voimaantulo on tuonut uusia rekisteröitymisvelvoitteita myös virtuaalivaluuttatoimijoille. Tämänkin jälkeen kryptovaroihin kohdistuvien sijoitusten kanssa on oltava vielä erityisen valpas, koska huijatuksi tulemisen jälkeen keinot tilanteen korjaamiseksi ovat yleensä vähissä.

Myös pankkien tulee ottaa enemmän vastuuta huijausten ehkäisemisessä tekemällä niistä mahdollisimman vaikeita huijareille. Pankkien ja muiden toimijoiden olisi tärkeää rakentaa palveluihinsa suojauksia huijauksia vastaan: esimerkiksi asiakkaan itse asettamat rajoitukset tilisiirtoihin ovat nykyisen lainsäädännön puitteissa mahdollisia.

Tärkeää on myös ihmisten opettaminen tunnistamaan huijaukset. Talousosaamiskeskuksen ja Suomen Pankin kanssa yhteisessä lukiolaisille suunnatussa tilaisuudessa kerroimme huijausten tunnistamisesta ja terveestä epäluuloisuudesta kohdattaessa ”hyviä tarjouksia”.

Tekoäly on hyvä työkalu vastuullisten toimijoiden käsissä. Sen käyttö lisääntyy, ja uusi tekoälyasetus tuo valvontaa myös tälle alueelle. Valitettavasti tekoäly tehostaa myös rikollisuutta ja tekee huijaukseen pyrkivien sisältöjen tuottamisesta yhä helpompaa.

Sidosryhmien luottamus antaa vahvan perustan työllemme

Syksyllä 2024 tekemämme sidosryhmätutkimus osoitti, että sidosryhmiemme ja erityisesti valvottaviemme luottamus meitä kohtaan on erinomaisella tasolla. Tämä antaa vahvan perustan valvonnallemme, koska vain luotettava valvoja voi lakisääteisen tehtävänsä mukaisesti turvata vakautta ja luottamusta valvomallaan finanssisektorilla.

Saimme myös hyvää palautetta siitä, että vuoropuhelu Finanssivalvonnan kanssa on toimivaa, toimintamme on ammattimaista ja kehittynyt parempaan suuntaan. Lähes 90 prosenttia vastaajista oli tyytyväisiä Finanssivalvonnan yhteydenpitoon ja vuorovaikutukseen, joka tutkimuksen mukaan nähdään asiantuntevana ja hyödyllisenä.

Strategiassamme vuosille 2023–2025 nostettiin painopisteeksi ennakoivuus ja ennakoitavuus. Näissä meillä on vielä kehitettävää, vaikka olemme jo matkalla oikeaan suuntaan.

Ennakoitava ja ennakoiva valvoja

Paljon on jo tehty. Olemme julkaisseet kolmena vuonna peräkkäin tulevan vuoden valvonnan painopisteemme, jotta valvottavakentällä tiedetään, mitä valvoja pitää erityisen tärkeänä. Myös valvottavakohtaisten valvontakalenterien käyttöä yhdenmukaistetaan.

Olemme jo pitkään julkaisseet keskeisiä tuloksia valvottavajoukkoa koskevista teema-arvioista, mutta tänä keväänä alamme julkaista tiivistelmiä yksittäisiä valvottavia koskevista tarkastuksista. Tämä tuo ennakoitavuutta koko valvottavasektorille, kun tietämys valvojan painotuksista kasvaa. Samalla valvonnan vaikuttavuus kasvaa, kun yksittäisen tarkastuksen havainnot voivat ohjata koko sektoria. Ennakoitavuuttamme parantaa myös aktiivinen viestintä ja valvottaville suunnatut tilaisuudet.

Olemme tehostaneet ennakoitavuuttamme esimerkiksi toimintaympäristöanalyysien avulla. Myös tekoäly tehostaa tiedon hyödyntämistä ja siten valvontaa. Käynnissä on useita tekoälyn käyttöön liittyviä hankkeita, jotka tähtäävät valvonnan kattavuuden ja laadun parantamiseen.

Valvottavan toiminnan luotettavuuden on säilyttävä toimintaympäristön muutoksissa

Ennakoivuus ja ennakoitavuus ovat avainasemassa myös siksi, että valvottavamme vastaavat itse toimintansa lainmukaisuudesta. Toisin kuin usein oletetaan, me emme hyväksy tai hylkää yksittäisiä valvottavan toimia. Sen sijaan valvomme, että valvottavan hallinto, riskienhallinta, prosessit ja osaaminen ovat sellaisella tasolla, joka varmistaa toiminnan lainmukaisuuden.

Tämän vuoksi hallinnon luotettavuus oli valvontamme painopiste viime vuonna ja on edelleen tänä vuonna. Se on kaiken takana ja varmistaa valvottavan toiminnan lainmukaisuuden ja luotettavuuden.

Toimintaympäristön epävarmuuden vuoksi valvontamme painopisteinä säilyvät edelleen varautuminen ennusteita epäsuotuisampaan kehitykseen sekä IT- ja kyberriskien hallinta. Sääntely ja ympäristökatastrofien yleistyminen pitävät myös kestävyyskysymykset valvontamme keskiössä: valvottavien pitää varautua näihin liittyviin riskeihin ja toisaalta antaa oikeaa ja sääntelynmukaista tietoa kestävyyskysymyksistä omassa toiminnassaan.

Toimintaympäristön muutokset, uusi sääntely ja esimerkiksi tekoälyn lisääntyminen tuovat muutoksia myös omaan toimintaamme. Kehitämme henkilöstömme osaamista näissä teemoissa. Vuoden lopulla toteutettu johtajuustutkimus kertoi, että henkilöstömme kokee tuen ammatilliselle kehittymiselle olevan hyvällä tasolla. Tämä on tärkeää, koska osaava henkilöstö on tärkein tekijä tuloksekkaan valvonnan varmistajana.

Kiitän koko henkilöstöä kuluneesta vuodesta.

Helsingissä 3.3.2025

Tero Kurenmaa

^{1 Digital Operational Resiliency Act, DORA.
2 Markets in Crypto-Assets Regulation, MiCA.}