El ser­vicio de Supervisión co­mienza el 1 de marzo a eva­luar la “idoneidad co­lec­tiva” de los ór­ganos de di­rec­ción

El BCE renueva su ofensiva para que los bancos mejoren su ciberseguridad

El Banco Central Europeo exi­girá in­cluir un ex­perto en la ma­teria en los con­sejos de cada banco

Claudia Buch, presidenta Consejo Supervisión BCE-
Claudia Buch, presidenta Consejo Supervisión BCE.

Preocupados por los ni­veles de ci­be­ra­ta­ques a las en­ti­dades fi­nan­cieras y clien­tes, los téc­nicos del Banco Central Europeo (BCE) vuelven a dar una vuelta de tuerca en el pro­ceso de cons­truir un sis­tema fi­nan­ciero blin­dado ante los ries­gos. Además de las ha­bi­tuales pre­cau­ciones sobre li­qui­dez, so­lidez de ba­lance o equi­li­brio de in­ver­siones en sus car­te­ras, la en­tidad que pre­side Christine Lagarde ha de hacer sus pro­pios equi­li­brios es­tra­té­gi­cos.

Mientras, por un lado, ultima el euro digital, por otro tiene que conseguir que los bancos del espacio común europeo estén preparados ante todo tipo de crisis, especialmente las que pueden provocarse en la red y los que vendrán con la utilización fraudulenta de la Inteligencia Artificial.

A partir del 1 de marzo próximo, el BCE evaluará “los conocimientos y la experiencia de los miembros del consejo en el área de riesgos de TIC y seguridad” y avisa a las entidades financieras europeas sobre “la importancia de contar con mecanismos de gobierno interno sólidos”. En paralelo, el banco emisor tiene en marcha una “prueba de resistencia a la ciberresiliencia” para abordar el riesgo cibernético entre las grandes entidades europeas.

De ahí que los responsables del BCE insistan en que el sector financiero europeo debe prepararse para el futuro. Es más, pasado el ‘periodo de gracia’ establecido, el próximo mes de octubre será de aplicación obligatoria en toda la UE la Directiva NIS2; que no es sino la actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS) aprobada por Bruselas en 2022 con el objetivo de crear un nivel común de ciberseguridad en todos los Estados miembros de la Unión Europea.

Para la presidenta del Consejo de Supervisión del BCE, Claudia Buch, "los bancos europeos están ahora mejor capitalizados, lo cual es una buena noticia. Pero todavía existen deficiencias en la gobernanza interna y los controles de riesgos y, en este nuevo entorno, es necesario abordarlas. En un panorama de riesgos que cambia rápidamente, es importante que tanto los riesgos financieros como los no financieros se gestionen de forma eficaz”.

Examen, el 1 de marzo

El banco emisor se ha fijado como prioridad para el periodo 2024-2026 asegurarse de que los bancos aborden los riesgos que se derivan de la progresiva digitalización los servicios bancarios mediante el creciente uso de las tecnologías de la información y la comunicación (TIC). Es más, el servicio de Supervisión del BCE ha constatado e identificado en los últimos años "deficiencias en el conocimiento y la experiencia colectiva de los órganos de dirección de los bancos supervisados en el área de TIC y riesgos de seguridad”. De ahí que, como primera medida el banco emisor haya decidido que los consejos de los bancos del Sistema Monetario Europeo (SME) deben tener “un entendimiento adecuado de la evolución y la importancia de dichos riesgos para tomar decisiones adecuadas y oportunas para gestionarlos”.

En concreto, la Supervisión del BCE llevará a cabo la “evaluación de idoneidad” de los consejos que deberán cumplir tres grandes condiciones (“expectativas” según el documento del supervisor bancario central):

Los consejeros y grandes directivos de banca, “incluidos los responsables de la gestión de riesgos, el cumplimiento y la auditoría”, deben tener un entendimiento suficiente de los riesgos de TIC y seguridad.

El consejo debe tener al menos un miembro no ejecutivo con conocimientos pertinentes y recientes, y experiencia en riesgos de TIC y seguridad. El BCE exigirá para ello una experiencia mínima de cinco años y avisa de que al evaluar el cumplimiento de esta exigencia “adoptará un enfoque basado en el riesgo” de cada entidad individualmente.

Y, quizá lo más llamativo de todo recomienda que “todos los miembros del órgano de dirección deberían recibir formación regular (al menos una vez al año) para asegurarse de que poseen conocimientos y habilidades suficientemente actualizados que les permitan comprender y evaluar el negocio de un banco y sus principales riesgos de TIC y seguridad”.

“Un problema es que los modelos de riesgo estándar a menudo no son los más adecuados para analizar nuevos riesgos. Los bancos deben trabajar con diferentes escenarios para garantizar que también seguirán siendo resilientes en circunstancias adversas. Por ejemplo, hemos revisado las superposiciones prudenciales y hemos descubierto que algunos bancos no tienen suficientemente en cuenta los nuevos riesgos en sus prácticas de provisiones. Por lo tanto, nuestros equipos de supervisión seguirán centrándose en las prácticas de aprovisionamiento, especialmente en relación con las carteras vulnerables”, insiste Buch.

Como suele suceder con las iniciativas del banco emisor con sede en Francfort, este es solo el primer paso de la nueva normativa que se espera, ya que la próxima normativa irá más allá. Se trata del Reglamento de Resiliencia Operativa Digital (DORA) aprobado por el Parlamento Europeo (EP) y el Consejo y dirigido a bancos, compañías de seguros y empresas de servicios de inversión.

Ciberataques a la banca

El auge de la Inteligencia Artificial alarma cada vez más a los responsables bancarios. Porque la ciberguerra no es solo cosa de políticos y militares en activo. Los fraudes y los intentos de robo se producen en todas partes del mundo y a todos los niveles.

De hecho, el Instituto Nacional de Ciberseguridad (Incibe) propiedad del Ministerio para la Transformación Digital y de la Función Pública, da cuenta de “ciberincidentes” importantes como el robo de información comercial y personal de clientes sufridos por el Banco de la Reserva de Nueva Zelanda (2015), el Banco Nacional de las Islas Caimán (2019) o más recientemente el ciberataque que sufrió en julio del año pasado por parte de piratas informáticos rusos, el Banco Europeo de Inversiones (BEI) presidido ahora por Nadia Calviño. Incluso el Banco Central de la Federación Rusa sufrió a principios de 2018 el robo de 6 millones de dólares a través del sistema de transferencias internacional SWIFT (acrónimo de Society for Worldwide Interbank Financial Telecommunication; literalmente, Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales).

Entidades como los chinos HSBC y ICBC, el australiano Commonwealth Bank, el estadounidense Capital One o el británico Lloyds han sufrido -entre otros muchos- ataques que se han saldado con filtraciones de datos de sus clientes, bloqueo de sus actividades (denegación de servicio a los clientes).

Mientras en España, los clientes de bancos como el BBVA, Sabadell, Unicaja, Banca March o la propia Correos reciben cada semana ataques de phising (suplantación de identidad), un método con el que los ciberdelincuentes intentan conseguir que comparta contraseñas, números de tarjeta de crédito, y otra información confidencial haciéndose pasar por una institución de confianza en un mensaje de correo electrónico, whatsapp o llamada telefónica.

Artículos relacionados