Ecoley

La ciberseguridad llega a los tribunales y se convierte en una nueva obligación

  • Un banco demanda a su proveedor 'fintech' por carencias de seguridad
  • "Esto es ya un riesgo de negocio", apunta Francisco Pérez Bes
Foto: Archivo. eE

La ciberseguridad ya no es solo un sistema para evitar los ataques de los ciberdelincuentes a las empresas. La seguridad de los sistemas empieza a ser un asunto tan importante que las compañías comienzan a pedir a sus proveedores las máximas garantías, y están dispuestas a llegar hasta los tribunales si consideran que su falta de sistemas de seguridad pone en riesgo a sus clientes, a la empresa o a sus negocios. Nace así una nueva responsabilidad.

En Estados Unidos se han planteado ya los primeros procedimientos judiciales donde la ciberseguridad es la protagonista. En mayo, un juez federal obligó a Capital One a reportar un incidente de seguridad de uno de sus proveedores. El asunto ha dado lugar a una demanda colectiva derivada de una fuga de información masiva.

Así es cómo la entidad Credit Union demanda Fiserv, una de las mayores compañías de fintech del mundo, por su falta de compromiso con las obligaciones de ciberseguridad. Este proceso se convierte así en una prueba de concepto para las obligaciones legales a las que están sujetas las grandes firmas financieras a la hora de proteger los datos y la información de clientes.

La demandante de este caso argumenta que la fintech en lugar de abordar los problemas actualizando su seguridad, continuó utilizando sistemas y soluciones obsoletas aún después de que se le reportaran vulnerabilidades identificadas en aquellas. Esta es una de las cuestiones más controvertidas en el sector de las empresas cuando se trata de la seguridad de su información.

De hecho, la demandante afirma que la plataforma que dicho proveedor ofrecía estaba "tan llena de vulnerabilidades que expuso a la entidad financiera a posibles robos de datos y suplantaciones de identidad".

Fuerte indemnización

Además, el banco acusa a la empresa proveedora de servicios fintech de utilizar como argumento publicitario, en su página web, el de ofrecer a sus clientes una protección amplia contra ciberamenazas cuando, a juicio de Credit Union, esto no es así.

La entidad bancaria reclama una indemnización por, entre otras, incumplimiento de contrato y apropiación de secretos empresariales. El juez del caso, en una instancia previa, ya había desestimado las acusaciones por negligencia y competencia desleal.

"La ciberseguridad hace tiempo que ha dejado de ser un riesgo tecnológico para convertirse en un riesgo de negocio", apunta Francisco Pérez Bes, socio de Ecix Group y exsecretario general del Incibe 

Tal y como apuntan los expertos a nivel jurídico, este asunto abre la reflexión sobre la importancia que tiene, para las entidades del sector financiero, que la ciberseguridad y la confianza son una prioridad. Y que la falta de medidas técnicas y organizativas, dirigidas a proteger la seguridad de la información por parte de los proveedores tecnológicos puede provocar incuantificables pérdidas económicas, así como un daño reputacional irreparable.

Francisco Pérez Bes, antiguo secretario general del Instituto Nacional de Ciberseguridad (Incibe) y actual socio de Derecho digital en Ecix Group, destaca que "la ciberseguridad hace tiempo que ha dejado de ser un riesgo tecnológico para convertirse en un riesgo de negocio, donde la toma de decisiones adecuadas en materia de ciberseguridad es exigible a los administradores de la compañía, pues garantizar la continuidad de negocio es su responsabilidad". En España, matiza, "al sector financiero le resulta de aplicación normativa europea sobre protección de sistemas y redes de información, y sobre protección de datos, que obliga a estas instituciones a implementar medidas técnicas y organizativas eficaces para evitar ciberataques o, en su defecto, minimizar su impacto.

Riesgo en proveedores

Pero, aunque los bancos invierten mucho en garantizar su ciberseguridad, en muchas ocasiones el riesgo está en los proveedores, que son empresas más pequeñas cuyo nivel de protección no siempre es el adecuado. De ahí que sea fundamental para cualquier empresa contar con lo que denominamos third party compliance".

Pérez Bes añade que "la Comisión Europea está en fase de aprobación de una nueva Directiva que permitiría a los consumidores afectados por una fuga de datos, presentar demandas colectivas y exigir indemnizaciones contra la empresa hackeada cuando esta no hubiera implantado medidas de ciberseguridad eficaces que garanticen una custodia diligente de la información".

Y, por otra parte, Francisco Pérez Bes añade, además, que "la Directiva europea de whistleblowing también exige que las grandes empresas habiliten un canal interno de denuncias a través del cual los propios empleados puedan denunciar brechas de seguridad o fallos de los sistemas".

comentariosforum1WhatsAppWhatsAppFacebookFacebookTwitterTwitterLinkedinlinkedin
FacebookTwitterlinkedin
forum Comentarios 1
Deja tu comentario
elEconomista no se hace responsable de las opiniones expresadas en los comentarios y los mismos no constituyen la opinión de elEconomista. No obstante, elEconomista no tiene obligación de controlar la utilización de éstos por los usuarios y no garantiza que se haga un uso diligente o prudente de los mismos. Tampoco tiene la obligación de verificar y no verifica la identidad de los usuarios, ni la veracidad, vigencia, exhaustividad y/o autenticidad de los datos que los usuarios proporcionan y excluye cualquier responsabilidad por los daños y perjuicios de toda naturaleza que pudieran deberse a la utilización de los mismos o que puedan deberse a la ilicitud, carácter lesivo, falta de veracidad, vigencia, exhaustividad y/o autenticidad de la información proporcionada.

Los burdeles del sistema.
A Favor
En Contra

Eso lo resolvió el PP con un martillo y un borrado masivo de los ordenadores de Bárcena y que se sepa, la justicia española lo ha dado por bueno.

¿Por qué se complican la vida las gentes?. Este precedente te permite machacar y destruir discos duros para ocultar información sensible y comprometida. ¿Le aplicaran el mismo rasero a Iglesias?. ¡NO!, porque no son discos duros con información personal delictiva, son tarjetas de teléfono con información personal. ¿Cuál es la diferencia?.

Puntuación -2
#1