El Banco Central Europeo (BCE), que ya en 2015 realizó inspecciones in situ para comprobar cómo las grandes entidades financieras abordan los ciberrriesgos y que exige a éstas un plan de prevención frente a los ataques cibernéticos y otro de actuación una vez que éstos se han producido, ha decidido dar un paso más.

Pondrá en marcha pruebas de resistencia (stress-test, en la jerga del sector financiero) para comprobar el nivel de defensa de los bancos europeos contra los ataques. Y para verificar si los bancos están haciendo de una forma periódica test de intrusión en sus sistemas informáticos.

Esta iniciativa responde a la preocupación de la Unión Europea ante el espectacular crecimiento de los ataques cibernéticos, y pretende verificar el grado de seguridad de los sistemas informáticos de los bancos. Se pretende hacer un ejercicio que refleje el nivel de defensa de las entidades financieras contra diferentes tipos de ciberataques, y que muestre las vulnerabilidades de éstas.

A Europa le preocupa tanto el incremento de los ciberataques como, sobre todo, el creciente nivel de sofisticación de las bandas organizadas de delincuentes cibernéticos. La voz de alarma se generalizó por toda la Unión Europea a partir de febrero de 2016, cuando unos hackers consiguieron entrar en los sistemas del Banco Central de Bangladesh y robar 81 millones de dólares a través de Swift, la red financiera global utilidada por más de 11.000 entidades financieras de todo el mundo para canalizar transferencias de dinero.

Desde entonces, son frecuentes las advertencias de los reguladores y de los supervisores a los bancos para que incrementen el nivel de seguridad de sus sistemas informáticos y para que hagan más frecuentes las revisiones de los mecanismos de protección de éstos.

Guía de recuperación cibernética

En julio de 2016, el Banco de Pagos Internacionales de Basilea (BIS, por sus siglas en inglés) y la Organización Internacional de Comisiones de Valores (Iosco) elaboraron una ‘Guía para la capacidad de recuperación cibernética de las infraestructuras del mercado financiero’.

La primera guía internacional sobre la seguridad en Internet del sistema financiero considera que ésta  es “esencial para mantener y promover la estabilidad financiera y el crecimiento económico”. Por ello, los ciberriesgos deben despertar la atención del comité ejecutivo de cada banco, que tiene que redoblar sus esfuerzos para desarrollar la estrategia más adecuada de defensa antes esas amenazas.

Al mismo tiempo, el informe considera «primordial» que los bancos sean capaces de reanudar operaciones rápidamente y de forma segura después de haber sufrido un ciberataque. Para lo que cada entidad financiera tendrá que realizar pruebas rigurosas e inculcar una cultura de concienciación de los riesgos cibernéticos en todos los niveles de la organización.

En diciembre de 2016, la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) reconocía que los bancos “están luchando para demostrar su capacidad para hacer frente a la creciente amenaza de intrusos que obtienen acceso no autorizado a sus sistemas y datos críticos”.

La realización de unas pruebas de resistencia de los sistemas informáticos de cada entidad financiera a ataques cibernéticos por parte del BCE y del Mecanismo Único de Supervisión serviría sobre todo para sensibilizar aún más a los bancos sobre las ciberamenazas.

Pero no es la única medida que preparan la Comisión Europea y el BCE, ya que se está ultimando un sistema para el intercambio de información sobre amenazas cibernéticas a entidades financieras.

Directiva de Seguridad de Redes

La Directiva de Seguridad de Redes y Sistemas de Información, impulsasa por la Comisión Europea, está en vigor desde el 29 de julio de 2016. La norma incluye a la banca entre los servicios básicos esenciales, junto a la energía, el transporte, la salud, las tiendas online como Amazon, los motores de búsqueda como Google, y el almacenamiento de datos en Internet (‘cloud’ o nube).

A las empresas de estos sectores se les exigen medidas especiales para prevenir y responder a ataques cibernéticos, y la obligación de informar a las autoridades nacionales sobre éstos.

Cada Estado de la UE debe identificar los “operadores de servicios esenciales” en cada campo, crear un “grupo de cooperación” para el intercambio de información y de mejores prácticas en ciberseguridad, y un equipo de respuesta a incidentes de seguridad informática, especialmente si son transfronterizos y requieren respuestas coordinadas entre varios países.