Los incesantes avances tecnológicos abren un campo inmenso de posibilidades al negocio financiero con ventajas evidentes para los consumidores. Pero también una vulnerabilidad a las crecientes ciberamenazas y a los riesgos tecnológicos a la que busca poner coto el nuevo Reglamento Europeo de Resiliencia Operativa Digital (DORA, por sus siglas en inglés), que fija reglas a todos los operadores financieros (bancos, aseguradoras, gestoras, entidades de pago, etc) para encarar el desafío con la mejor prevención posible.
Y no sólo a las entidades financieras. Con DORA, el regulador pone foco además sobre sus proveedores TIC (tecnologías de la información y la comunicación) y aquellos que resulten catalogados como críticos o esenciales serán objeto de control por parte de los supervisores financieros, que les cursarán la correspondiente tasa por verificar que también cumplen con la normativa.
El reglamento establece en su artículo 43 que la EBA, ESMA e EIOPA -los supervisores europeos para la banca, firmas de inversión y seguros, respectivamente- vigilarán que los proveedores esenciales, sean o no tecnológicos, cuentan con "reglas, procedimientos, mecanismos y acuerdos integrales, sólidos y eficaces para gestionar el riesgo TIC que pueda representar para las entidades financieras".
Podrán, por vez primera, solicitarles información para comprobar su diligencia en dichas materias e, incluso, verificarla in situ con inspecciones asimilables a las que realizan en las entidades financieras. La tarifa, que nunca será inferior a los 50.000 euros al año, se fijará en función de los costes que asuman los organismo por tales tareas.
Esta medida supone, en la práctica, extender a las empresas tecnológicas el esquema vigente en la banca, a la que los supervisores también les giran una tasa para costear su operativa. Los expertos descartan, en cualquier caso, que este escrutinio y la tarifa vayan a resultar disuasorios y dejen de trabajar para entidades financieras. Más bien al contrario, infieren que podría otorgarles un reconocimiento que les abra más opciones. "Quizá para una compañía pequeñita, pero puede llegar a ocurrir que formar parte de ese "Club DORA" te dé acceso a ti a más contratos, como ocurría y sigue ocurriendo en varios sectores. Igual dentro de unos meses ser "DORA Compliance" te abre puertas", señala, Julio San José, managing director en Alvarez & Marsal de Global Cyber Risk Services.
La normativa, que entró en vigor en enero pasado aunque de forma progresiva en algunos ámbitos, carga el foco supervisor sobre los proveedores críticos o principales, pero aplica a toda la cadena tecnológica, sin excepciones. "Lo afortunado de DORA es que cualquier proveedor que utilice tecnología para comunicarse contigo está cubierto. Desde una teleco, al señor que te recarga las máquinas de vending y se conecta contigo. Puede no hacer una función esencial o que no es crítica, pero debes haberlo inventariado, evaluado y probado en el caso de crítico para tu entidad", indica San José.
Y es que DORA obligará a las entidades a tener un control perfectamente sistematizado de todos los proveedores y trabajar bajo las hipótesis de que los sistemas fallan, porque la normativa aplicará sobre toda su cadena operativa, elevando la responsabilidad última de que los riesgos se identifican y gestionan al consejo de administración. "DORA es un aglutinador de muchas exigencias que ya estaban. Lo más novedoso es que eleva la responsabilidad de la gestión de los riesgos al consejo y establece un cambio cultural. Hasta ahora la postura de seguridad que había era: esto, a nosotros, no nos pasa. Ahora, DORA dice: hágase a la idea de que le ha ocurrido y gestiónelo", explica San José. Esta visión obliga, en la práctica, a establecer los controles necesarios para detectar e identificar eventuales vulnerabilidades y a desplegar planes de contingencia para abordar y resolver los problemas si se declaran.
Una gran fortaleza de la normativa es que su adopción permea a todo el sector financiero. "Aunque se aplique el principio de proporcionalidad, porque no es lo mismo una compañía de 26 empleados que una de 260.000, con DORA el sistema financiero empieza a tener las mismas reglas. Para algunas entidades ha supuesto descubrir las famosas tres líneas de defensa y para otras empezar a fijar los criterios de quién hace qué y cuándo hace qué", agrega.
El Banco Central Europeo (BCE) llevan años expresando su inquietud por la externalización de determinados procesos, especialmente con los servicios de computación en la nube, con el argumento de que la dependencia de terceros también puede exponer a las entidades a riesgos en materia de ciberseguridad o interrupciones de la actividad. En los últimos años ha realizado estudios sectoriales e, incluso, inspecciones para conocer mejor la situación, y con DORA reforzará los controles.
Entre otros requerimientos, el reglamento exige a las entidades financieras inventariar los servicios que suministran todos sus proveedores TIC, verificar que cumplen los protocolos de seguridad y, en su caso, desligarse de los que no lo hagan. Para comprobar que se efectúa el ejercicio, el regulador ha impuesto a las entidades la tarea añadida de compendiar los acuerdos con los proveedores que suministren servicios tecnológicos para que los organismos supervisores dispongan de esos registros antes del próximo 30 de abril. Se espera que la primera designación de Proveedores Terceros Críticos esté lista para el segundo semestre de 2025.
