Risker

Det är svårt att i förväg förutse vilka effekter en e-krona kan komma att innebära för samhället. Enligt Hansson (2012, s. 12-14) benämns risk som en oönskad företeelse och att det inte med säkerhet går att säga om en negativ händelse kan komma att inträffa eller inte. Författaren menar att vanligtvis finns en önskan om att mäta risken av den oönskade företeelsen, vilket görs genom kvantitativa mätetal som sannolikhet. Risker som nödvändigtvis inte är oönskade utan där det finns en kunskapsbrist, benämns istället som en osäkerhet. Dessa är svåra att mäta och uppskatta i siffror genom sannolikhet, av den anledningen att för lite kunskap finns om osäkerheter (Hansson, 2012, s. 18).

Nämnvärt är att det finns en skillnad mellan den allmänna definitionen av risk och risker kopplat till finansiella verksamheter. Kuritzkes (2002, s. 48) menar att risker för banker ofta definieras som volatilitet i inkomsterna, vilket kan medföra kostnader. För att undvika sådana ekonomiska förluster behöver kapital hållas tillgängligt (Kuritzkes, 2002, s. 48). Inom finansiella institutioner är även osäkerhet en risk. Övrig riskhantering omfattar främst marknadsrisker, likviditetsrisker, operationella risker, ränterisker samt kreditrisker för banker (Bessis, 2015, s. 7).

Forskningsstudien kommer däremot enbart att behandla de risker som kan tänkas ha en stark koppling till e-kronan, vilka är operationell risk, cyberrisk, ryktesrisk,

likviditetsrisk, samt bank run.

3.5.1 Operationell risk

Definitionen av operationell risk är enligt Basel kommittén: “the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk”

(BIS, 2011, s. 3). Den operationella risken är ett växande område inom riskhantering och vissa menar att det är den viktigaste risken som banker just nu står inför (Hull, 2018, s. 515-516)

Att identifiera dessa risker kan vara svårt för affärsbanker, med anledning av att riskerna kan beskrivas och kategoriseras på flera olika sätt. Dock kan kategoriseringen baseras på tre olika kriterier, nämligen orsaker till operationella misslyckanden, resultatet från en förlust och de legala och bokföringsmässiga formerna av indirekta förluster (Qhen et al., 2008, s. 148).

Den operationella risken kan bero systemfel i informationssystemen (Bessis, 2015, s. 4).

Med anledning av förekomsten av dessa felfunktioner har en allt viktigare typ av operationell risk för finansiella institutioner växt fram, nämligen de risker som är förenade med cyberattacker.

Vid en implementering av e-kronan blir den operationella risken, precis som för övriga affärsbanker, viktig för Riksbanken. E-kronan skulle innebära ett avancerat system som

31 skiljer sig från affärsbankerna, med anledning av att e-kronan planerar att använda sig av en fristående infrastruktur. Systemet kan också anses vara en direkt måltavla för cyberattacker i terrorsyfte. Informationssystemet kommer även att innehålla känslig information om bankkunder. Man bör därför säkerställa att hanteringen av

personuppgifter efterföljs i enlighet med GDPR, för att Riksbanken inte ska riskera i ett förlorat förtroende.

3.5.2 Cyberrisk

Sociala medier har under många år använts av hackare, vilka är personer som saboterar datorsystem och nätverk, för att inbringa olagliga vinster, även inom bankindustrin.

Genom att hackare exempelvis har lyckats lista ut banktjänstemäns lösenord på sociala medier har de erhållit en tillräcklig information om dessa individer för att kunna utföra illegala aktiviteter som spamattacker, det vill säga massutskick av oönskad e-post, samt identitetsstöld och nätfiske, vilka är två olika typer av bedrägerier. Sådana cyberattacker har genererat flera miljarder dollar åt kriminella organisationer (Ulsch, 2014, s. 114-115).

Cybersäkerhet innebär förmågan att kontrollera tillgängligheten av nätverkssystem och informationen som de innehåller. Bayuk (et al., 2012, s. 1-3) benämner cybersäkerheter som “a general methods of using people, process, and technology to prevent, detect, and recover from damage to confidentiality, integrity, and availability of information in cyberspace.” För att skydda sig mot cyberattacker menar författaren att det handlar om förberedelser och att ha en väl utformad strategi (Bayuk et al., 2012, s. 1-3).

Trots att banker använder sig av avancerade system för att skydda sig mot cyberattacker idag, blir dessa attacker allt mer avancerade och svåra att förhindra. Även den ökande användningen av internet och datorsystem skapar större risker för cyberbedrägerier (Hull, 2018, s. 515-516). Den stora ökningen av cyberrisker har även skapat

regulatoriskt problem för bankerna. I en situation där exempelvis konfidentiell data förloras medför stora kostnader för banker. Att följa regleringar gällande

konfidentialitet är därutöver svårt i och med att dessa förändras kontinuerligt (Hull, 2018, s. 637).

Strategier i förebyggande syfte mot cyberattacker är viktiga. Dessa strategier påverkas i sin tur av tekniska faktorer och vilken kunskapsnivå som finns inom området hos den hotade aktören (Edwards et al., 2017, s. 2825). För att estimera risken för cyberattacker kan riskanalyser skapas för att därefter analyseras, vilka baseras på olika scenarion av cyberhot som kan tänkas uppstå. Därefter görs försök att sätta upp det skydd som behövs för att förebygga dessa tänkbara hot. Dessa scenarion kan på förhand vara svåra att förutse, varför man inte alltid kan förhindra attackerna (Samid, 2015, s. 71).

Forskning påvisar att en av de största utmaningarna för staten är hur de ska hantera säkerheten för nationens infrastruktur, där infrastrukturens informationsteknologi anses vara den mest kritiska utmaningen (Ögut et al., 2011, s. 507). Företag skyddar känslig information genom olika typer av teknologier och datorsystem. Ytterst små skillnader finns mellan dessa säkerhetssystem som dessutom ofta är sammankopplade med varandra, vilket gör att de flesta företag är känsliga för ungefär samma hot, något som leder till korrelerade risker. Vissa företag använder även publika nätverk på internet som hackare drar fördelar av för att på ett lättare sätt ta sig in i företagets

säkerhetssystem (Ögut et al., 2011, s. 497).

32 Om inte säkerheten är tillräcklig kan cyberattacker vara en stor risk mot CBDC och dess infrastruktur. Detta var fallet mot Bangladeshs centralbank, där ett skadligt program installerades och omkring 80 miljoner dollar överfördes och försvann (Panetta, 2018, s.

30). Den stora utmaningen för Riksbanken blir därför att identifiera och förbereda sig inför scenarion som kan tänkas vara en risk för e-kronasystemets infrastruktur. Utifrån dessa behöver de utforma strategier som förebygger att dessa scenarion inträffar, för att undvika samma fallgrop som Bangladesh.

3.5.3 Ryktesrisk

Vid incidenter i bankers infrastruktur resulterar det vanligtvis i en stor uppmärksamhet från media, vilket därmed innebär en stor risk kopplat till företagets rykte, även kallad reputational risk (ECB, 2012, s. 45). Ryktesrisk är en kategori inom affärsrisker för banker (Hull, 2018, s. 587), och anses inte tillhöra en av de risker som banker har störst fokus kring. Ryktesrisker är dock av intresse för den aktuella forskningsstudien

eftersom rykte och förtroende är enormt viktigt för banker att upprätthålla, i och med att det har en inverkan på den operationella risken. I ett scenario där individer förlorar sitt förtroende för banken uppstår oroligheter. Frågan blir därför ifall individer är benägna att stanna kvar eller om de istället väljer ett annat inlåningsinstitut (ECB, 2012, s. 45).

Därmed blir Riksbankens rykte viktigt att upprätthålla och något som kan komma att påverkas beroende på utfallet av implementeringen. Om e-kronan skulle anses vara ett osäkert betalningsalternativ eller om ett fel i e-kronasystemet uppstår kan det resultera i ett reducerat förtroende för Riksbanken.

3.5.4 Likviditetsrisk

Basel kommittén definierar likviditet som “the ability of a bank to fund increases in assets and meet obligations as they come due, without incurring unacceptable losses”

(BIS, 2008, s. 1). Likviditetsrisk innebär i den bemärkelsen därför risken för att banker hamnar i en likviditetsbrist (Bessis, 2015, s. 17).

Alla slumpartade faktorer som påverkar kassaflödet bidrar till en likviditetsrisk. Banker skapar likviditet genom att sälja tillgångar, ta kortsiktiga lån eller låna från stabila tillgångar, både från säkra och osäkra tillgångar. Lånen kommer bland annat från bankkunders insättningar (Bessis, 2015, s. 32-33). Av kunders totala inlåning utgör majoriteten en stabil och orörlig inlåning, vilken är mycket viktig för banker att inneha.

För dessa är det möjligt att upprätta ett avskrivningsschema för att identifiera eventuella likviditetsbrister. Den andra delen av inlåningen som inte anses vara stabil utan istället mer volatil anses däremot var en kortfristig skuld (Bessis, 2015, s. 39). I en situation där en bank innehar en för stor andel kortfristiga skulder i jämförelse med den stabila inlåningen begränsas istället bankens utlåningsmöjligheter (Finansinspektionen, 2013, s.

25).

Vid en implementering av e-kronan skulle det innebära ett ytterligare

betalningsalternativ på marknaden och beroende på utformning skulle det även kunna medföra ett ytterligare alternativ för inlåning. Detta kan komma att innebära att affärsbankerna får konkurrens vad gäller deras inlåning. Beroende på hur stor genomslagskraft e-kronan får vid en introducering riskerar därför affärsbankerna att förlora en del av sin inlåning, vilket i sin tur kan leda till en likviditetsbrist.

33 3.5.5 Bank run

Bank runs, så kallade uttagsanstormningar, är en typ av likviditetsrisk och uppstår enligt Diamond och Dybvig (1983, s. 401) då flera bankkunder är rädda att banken ska

försättas i konkurs och väljer därför att ta ut sin inlåning hos banken, vilket kan innebära en likviditetsbrist. När stora uttag sker plötsligt, innebär det att banken måste konvertera stora delar av sina tillgångar till likvida medel. Beroende på bankkundernas benägenhet att ta ut sina pengar, kan en sådan situation uppfattas som panikartad för banken (Chen & Hasan, 2008, s. 545). Fastän alla bankkunder inte tar ut sin inlåning måste ändå en stor andel tillgångar göras likvida i och med att dessa likviderade tillgångar säljs med en förlust (Diamond & Dybvig, 1983, s. 417).

En risk för bank runs kan finnas för affärsbankerna beroende på hur stor efterfrågan e-kronan får vid en implementering. Om e-kronan anses vara ett mer attraktivt alternativ för inlåning, eller om en misstro föreligger för affärsbankerna kan det resultera i bank runs när stora volymer inlåning istället flyttas till Riksbanken.