El Banco Central Europeo (BCE) ha exigido a todas las entidades financieras de la Eurozona que supervisa directamente (entre ellos, los españoles Santander, CaixaBank, BBVA, Bankia, Sabadell, Popular, Bankinter, Ibercaja, Kutxabank, Unicaja, Abanca, Cajamar, Liberbank y BMN) un plan de prevención de ciberataques, y otro de actuación una vez esa amenaza cibernética se ha hecho realidad.

Los ciberriesgos son unos de los protagonistas destacados del plan del Mecanismo Único de Supervisión (MUR), del BCE, para este año. Ya en 2015, los inspectores del BCE realizaron exámenes in situ sobre la ciberseguridad de algunos de los grandes bancos europeos.

El objetivo de estas inspecciones es comprobar la capacidad de anticipación y de reacción de cada banco significativo de la Eurozona ante el ataque de un hacker. Y verificar que se hacen periódicamente test de intrusión en los sistemas informáticos de las entidades financieras.

En el plan de supervisión para este año, los inspectores del MUR se van a centrar en los planes de prevención que cada banco está desarrollando para protegerse de hipotéticos ataques a sus sistemas informáticos. Pero, sobre todo, exigen planes detallados sobre cuánto tiempo tardaría el banco en reaccionar a una intrusión de hackers o de bandas profesionales de ciberdelincuentes en sus sistemas operativos.

Desde la certeza de que nadie está seguro al 100%, el BCE quiere evitar situaciones como la sufrida por Google, al que un ataque a su sistema informático permitió aflorar claves y contraseñas, y mensajes de correo electrónico, de millones de usuarios, y también aplicaciones utilizadas por miles de empresas.

La creciente transformación digital de la banca dispara la importancia de los ciberriesgos. Ya no se trata solamente de falsificaciones de tarjetas de crédito, de usurpaciones de identidad de clientes para saquear sus cuentas bancarias o para solicitar falsos créditos, sino de ciberataques muy profesionalizados al centro neurálgico de una entidad financiera, que pueden resultar muy costosas no sólo en términos monetarios sino de reputación corporativa y de fuga de clientes.

Concretamente, el BCE está exigiendo programas que permitan comprobar el grado de resistencia de un banco, de sus sistemas informáticos y de custodia de datos, a un ciberataque.

Cumplir con esa exigencia del Mecanismo Único de Supervisión está exigiendo a las entidades cuantiosas inversiones en seguridad. Especialmente, en las áreas más vulnerables, como la banca digital.

Directiva de Seguridad de Redes

Esta exigencia del BCE tiene mucho que ver con la Directiva de Seguridad de Redes y Sistemas de Información que ultima la Comisión Europea. Esta norma, en proceso de elaboración, incluye a la banca entre los servicios básicos esenciales, junto a la energía, el transporte, la salud, las tiendas online como Amazon, los motores de búsqueda como Google, y el almacenamiento de datos en Internet (‘cloud’ o nube).

A las empresas de estos sectores se les exigirán medidas especiales para prevenir y responder a ataques cibernéticos, y la obligación de informar a las autoridades nacionales sobre éstos.

Cada Estado de la UE deberá identificar los “operadores de servicios esenciales” en cada campo, crear un “grupo de cooperación” para el intercambio de información y de mejores prácticas en ciberseguridad, y un equipo de respuesta a incidentes de seguridad informática, especialmente si son transfronterizos y requieren respuestas coordinadas entre varios países.