För bara tio år sedan var digital suveränitet knappt ens ett begrepp i bankvärlden.
Det var definitivt inget som diskuterades i styrelserum och sällan ens över en kopp kaffe. Fokus låg på annat: globalisering, effektivisering och kostnadsoptimering.
Resultatet blev en miljö av komplexa beroenden – från europeiska banker som driver sina tjänster hos amerikanska hyperscalers till leverantörernas beroende av halvledare från Taiwan. Taiwan är i sin tur beroende av litografisystem från Nederländerna, som bygger på avancerad optik från Tyskland.
Det var effektivt, rationellt och det fungerade – tills det inte gjorde det längre. Pandemin blottlade sårbarheterna i globala leveranskedjor. Geopolitiska förändringar har också gjort kontroll över data, teknik och drift till en strategisk kärnfråga för banksektorn.
I dag vill finansiella institutioner inte längre bara optimera – de vill ha kontroll. I vissa fall handlar det om strategiska vägval, i andra om regulatoriska krav. När banker betraktas som samhällskritisk infrastruktur förändras spelplanen.
Det vi nu ser är ett tydligt skifte: från globalisering som norm till regionalisering och lokalisering där det är möjligt. Det här är ingen snabb omställning. Bankernas tekniklandskap är djupt sammanflätade med leverantörer, partners och kunder, och förändring tar tid.
Mer än bara data – vad digital suveränitet faktiskt innebär
Digital suveränitet reduceras ofta till en fråga om var data lagras. Men det är en förenkling.
I praktiken handlar det om något betydligt större: förmågan att kontrollera allt från data och applikationer till infrastruktur och drift. Och kanske ännu viktigare: att inte vara beroende av andra aktörer.
För banker innebär det ett förändrat risklandskap. Det handlar inte bara om tekniska beroenden, utan också om juridiska och geopolitiska sådana. Vad händer när en kritisk leverantör omfattas av ett annat lands lagstiftning? Vad händer när driftstörningar uppstår utanför den egna kontrollen?
Det är här digital suveränitet blir konkret och affärskritisk. I praktiken består det av flera lager.
Det börjar med datasuveränitet , var data lagras och vilken jurisdiktion den omfattas av. Därefter kommer teknisk suveränitet: vilka standarder och teknologier som används och hur öppna och kontrollerbara de är. Nästa nivå är operativ suveränitet: vem som faktiskt driver, förvaltar och har tillgång till systemen. Slutligen finns verifierbar suveränitet: möjligheten att granska och säkerställa att systemen fungerar som avsett, utan dolda beroenden eller risker.
Open source som strategiskt verktyg
I det här sammanhanget får open source en ny roll – som ett strategiskt verktyg för kontroll.
Proprietär mjukvara styrs av de företag som utvecklar och distribuerar den, vilket innebär att kunderna har mycket begränsad kontroll över de programvaror de använder. Användare kan påverka funktionaliteten genom olika konfigurationsmöjligheter, men de kan inte förändra själva programvaran genom att modifiera koden. De kan heller inte fullt ut förstå hur programvaran fungerar – eller identifiera potentiella buggar och andra problem – genom att läsa källkoden.
Även om många företag inom proprietär mjukvara verkar internationellt och följer lokala regelverk genom dotterbolag, innebär deras interna styrning ofta att de måste rätta sig efter regler och governance från moderbolagets hemland.
Ett tydligt exempel är den amerikanska lagen U.S. Cloud Act (Clarifying Lawful Overseas Use of Data Act), som antogs 2018 och fått stor betydelse för bankers datahantering och dataöverföring.
Lagen ger amerikanska myndigheter rätt att kräva att USA-baserade teknikföretag lämnar ut elektronisk data – även om informationen lagras utanför USA. Det har fått många banker att se över hur kunddata lagras och överförs för att uppfylla regelverk som GDPR och Indiens DPDP Act.
Open source förändrar perspektivet. Med öppen källkod följer fyra grundläggande friheter: att använda, studera, modifiera och dela. Det eliminerar inte risker, men ökar kontrollen. Transparensen gör det möjligt att granska kod, förstå funktionalitet och identifiera sårbarheter.
Två egenskaper blir särskilt viktiga ur ett suveränitetsperspektiv: autonomi och transparens.
Hybrid multicloud – ett svar på koncentrationsrisk
En annan realitet är koncentrationen på marknaden för molninfrastruktur. Tre aktörer kontrollerar nästan två tredjedelar av den globala marknaden. Det är effektivt – men det innebär också en koncentration av risk.
Det är ingen slump att regulatorer har börjat adressera detta genom regelverk som DORA inom EU och PRA:s riktlinjer i Storbritannien.
Bankernas svar? Hybrid multicloud. Genom att kombinera flera molnleverantörer med egen infrastruktur skapas flexibilitet och valfrihet. Det minskar inlåsningseffekter och gör det möjligt att balansera innovation med kontroll.
När AI möter suveränitet
Digital suveränitet är nu en strategisk fråga – och den blir allt mer komplex i takt med AI:s framväxt.
Armin Warda, Global FSI Architect & EMEA FSI Technology Lead på Red Hat
Generativa AI-modeller, särskilt stora språkmodeller, öppnar upp för nya möjligheter – men också nya risker. För banker handlar det om tre centrala frågor:
- Transparens – hur fungerar modellen och vilken data har den tränats på?
- Kontroll – vem kan påverka eller stänga ner tjänsten?
- Data – var finns kunddatan och vem har tillgång till den?
I vissa fall räcker inte avtalsmässiga garantier. Då krävs teknisk kontroll – att modeller körs nära datan, inom den egna infrastrukturen eller under strikt kontrollerade former.
Vägen framåt: flexibilitet som konkurrensfördel
Det finns ingen enkel lösning på suveränitetsutmaningen. Och det finns ingen väg tillbaka till den fullt globaliserade modell som en gång framstod som självklar.
Det som nu växer fram är istället en ny arkitektur, där hybridmoln, open source och modulära AI-lösningar samverkar. En arkitektur som gör det möjligt att anpassa sig i takt med att regelverk, geopolitiska förutsättningar och tekniska krav förändras.
För banker handlar det i slutändan om en sak: att behålla handlingsfriheten. I en värld där beroenden blivit allt tydligare är flexibilitet inte längre bara en teknisk fråga. Det är en fråga om kontroll.
Av: Héctor Arias, Global Lead for Retail Banking, och Armin Warda, Global FSI Architect & EMEA FSI Technology Lead på Red Hat
