“Vamos a mejorar las barreras de entrada para evitar ciberataques, pero siempre hay alguien que pueda entrar. Por ello, vamos a mejorar todos los planes de restauración del servicio lo más rápido posible”. Así de claro lo dejó Mercedes Olano, directora general de Supervisión del Banco de España, en la presentación de la Memoria de Supervisión. Es decir, el organismo reconoce que los ciberataques no se pueden evitar y por eso, su prioridad ahora es trabajar con las entidades en la ciberresilencia. 

En los últimos años, los ciberataques y las incidencias han aumentado muchísimo. Mercedes Olano apuntó que el supervisor no supervisa, “sino que vigila que el sistema funcione”, como fue en el caso de Redsys (cuyo servicio dejó de funcionar algunas horas durante varios días seguidos). Así, explicó que ha habido interrupciones del servicio importantes y se han hecho actuaciones concretas sobre ello y recomendaciones. Este caso, añadió, “conecta con el nuevo concepto ciberresilencia”. 

Hasta ahora, el Banco de España estaba enfocado en la ciberseguridad, en intentar que no entren ataques. “Los hackers van a entrar, lo importante ahora mismo es tener sistemas de recuperación rápidos que me permitan devolver el servicio a su funcionalidad adecuada”, reiteró la directora general. En esto están trabajando con las entidades financieras y también en la aplicación de la normativa europea DORA que entrará en vigor en 2025, que es una regulación de la Unión Europea que tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, específicamente en relación con los riesgos relacionados con las tecnologías de la información y la comunicación (TIC).

Para ello, en el Banco de España cuenta con dos grupos de expertos: uno es el responsable de las inspecciones in situ y el otro se ocupa de materias más transversales como la realización de pruebas de estrés de ciberseguridad, la participación en grupos de trabajo internacionales y el apoyo a toda la Dirección General en estos temas. “Sin duda, se trata de un área de creciente relevancia como consecuencia de las nuevas competencias supervisoras en esta materia derivadas de la nueva normativa europea”, apunta en el texto. 

“Ataques va a haber, aquí lo importante es que migremos hacia un concepto que nos permita tener planes de recuperación ágiles y rápidos, que nos permita restablecer el servicio lo más rápido posible”, aseguró Mercedes Olano. 

La subgobernadora del Banco de España, Margarita Delgado, también hace referencia a ello en su entrevista en la Memoria de Supervisión que las entidades deben estar preparadas para detectar y subsanar en el menor tiempo posible los fallos en los sistemas que se hayan visto afectados por ciberincidentes. “No solo se trata de poner barreras, sino también de tener procedimientos que atenúen las consecuencias que las incidencias ocasionen en los procesos operativos”.

 “Hay muchísimas reclamaciones sobre el tema”, aseguró Olano. Y añadió que su objetivo es que las entidades ofrezcan una respuesta razonable. Porque muchas veces, estos incidentes o fallos pueden ser producidos por ciberataques o incidentes humanos, que son la mayoría. “La mayor parte de los problemas que tienen las entidades son ciberincidentes que se producen por la actualización de una aplicación, que el sistema es tan complejo que genera un gap y eso crea un parón de la actividad”, explicó 

Asimismo, desde el Banco de España también están viendo muchísimos más ciberataques y fraudes, en pagos con tarjetas, en cuentas fiscales, con el teléfono… Ante esta situación están impulsando con las entidades a que se comenten todos los incidentes para poder restaurar cuanto antes el servicio. El organismo espera que ese reporting mejore todavía más y así proporcionar información a las entidades, involucrarlas. 

El departamento está trabajando en esto. Hay que comprobar una serie de cuestiones. Comentan que muchas veces hay mal uso de las claves.  “Hay muchísimas reclamaciones sobre este tema. Intentamos que las entidades den una respuesta razonable y nos estamos fijando para admitir la reclamación si el cliente ha realizado la doble autenticación. Es la forma que tenemos de distinguir un fraude claro de un mal uso del producto financiero”, explicó. Ya que con esa doble verificación, el cliente podrá tener en su mano reclamar sobre este fraude. 

Según comentó Olano, las entidades dicen que hay mal uso de los productos financieros y por ello el departamento vigila, por ejemplo, si hay doble verificación. Es decir, la barrera para que se determine si la responsabilidad de la pérdida es del usuario o del banco gira en torno a si hubo autorización expresa (aunque sea mediante un engaño) del cliente o no. “La implementación de la autenticación reforzada, conforme a los requerimientos de la directiva de servicios de pago, ha supuesto un claro avance en la lucha contra el fraude en los pagos minoristas”.