La ciberseguridad se ha convertido en una prioridad para el sector financiero y las autoridades. El regulador europeo quiere que todas las entidades (bancos, aseguradoras, gestoras, entidades de pagos, etc.) vuelquen sus recursos técnicos y humanos para gestionar los riesgos tecnológicos, implementando procesos, procedimientos y políticas que garanticen su óptima y segura disponibilidad.
La UE fijó las obligaciones al sector en el Reglamento de Resiliencia Operativa Digital (Dora) que entró en vigor el 16 de enero de 2023, pero dejó a las entidades un periodo de dos años para adaptarse y que puedan cumplir los requisitos. La norma se aplicará, por tanto, a partir de este próximo viernes día 17 y lleva parejo un fuerte régimen de sanciones en caso de infracciones, con penalizaciones millonarias.
El Gobierno homogeneizó las infracciones para todos los operadores (banca, valores y seguros) en el anteproyecto de ley de digitalización y modernización del sector financiero que aprobó en diciembre y donde fija el régimen punitivo para todas las entidades, salvo para la banca, que se regirán por su normativa específica.
Multas de hasta 10 millones
Un banco que cometa una infracción tipificada como muy grave en el Reglamento Dora se expone a multas de hasta el 10% del volumen de negocios neto anual o de hasta 10 millones si la primera cifra fuera inferior e, incluso, a la revocación de la autorización para operar. Sería la mitad en infracciones graves, y del 1% o un millón en casos leves. Directivos y consejeros podrían encarar multas individuales de hasta 5 millones con los incumplimientos más graves, con el riesgo de ser suspendidos en el cargo.
Para las firmas de seguros y valores, el nuevo régimen que introduce el anteproyecto fija para los casos de infracciones muy graves la mayor de las siguientes penalizaciones: 5 millones de euros, el equivalente al 5% de su cifra neta de negocio o del "quíntuplo de los beneficios obtenidos o de las pérdidas evitadas mediante la infracción, en el caso de que puedan determinarse". Si el infractor es una persona que hubiese ejercido cargos de administración o dirección en la entidad, encajaría la mayor penalización entre ese mismo quíntuplo de beneficios o pérdidas o un millón de euros.
En caso de infracciones graves las alternativas en las penalizaciones caen a 2,5 millones, el 3% del volumen anual de negocio y el doble de esas ganancias o pérdidas en caso de entidades, y esta última variable o 500.000 euros para directivos.
La normativa aprobada por el Gobierno deja además espacio para que los supervisores (Banco de España, CNMV y Dirección General de Seguros) apliquen otras medidas o medias adicionales en caso necesario.
La regulación Dora aborda la ciberseguridad con una visión integral, comprendiendo tanto el sector financiero en su conjunto, como toda la cadena de valor tecnológica como las organizaciones en su integridad. La responsabilidad última de gestionar adecuadamente la eleva a la cúpula y al consejo de administración, pero exige adoptar políticas y procedimientos que permean a gran parte de las organizaciones y negocio.
Las infracciones más significativas se derivarían, por ejemplo, de una grave deficiencia en el marco interno de gobernanza y control que garantice una gestión eficaz y prudente de todos los riesgos de las tecnologías digitales o de la información y la comunicación, por un marco de gestión de riesgo que no sea sólido, completo y bien documentado o por no establecer las adecuadas herramientas, sistemas o protocolos o no actualizarlos de manera adecuada.