El BCE sanciona a Abanca con 3,15 millones por no notificar un ciberataque en el plazo de dos horas
El incidente se produjo en 2019 y la entidad no lo notificó al Eurobanco hasta dos días después
El BCE ha sancionado a Abanca con 3,15 millones de euros por no notificar un ciberataque que sufrió la entidad en las dos horas siguientes a la detección, que es el plazo establecido. El incidente se produjo en febrero de 2019: “A pesar de ser consciente de su obligación de informar y de la importancia del incidente cibernético ya el 26 de febrero de 2019, el banco presentó el informe requerido sobre el incidente 46 horas después de la fecha límite prescrita”, ha asegurado este viernes el Eurobanco en un comunicado. La entidad puede impugnar esta sanción ante el Tribunal de Justicia de la Unión Europea (TJUE), la cual ya está analizando, según fuentes del banco.
Abanca destaca que la multa se refiere exclusivamente a los tiempos de la comunicación. “No tiene que ver ni con la manera en que el banco gestionó el incidente, ni con sus sistemas de seguridad, ni con los efectos sobre los clientes (que no sufrieron pérdidas económicas ni de información)”, explican fuentes de la entidad.
Sin embargo, el Eurobanco critica en su nota la demora en la notificación, que no llegó hasta dos días después. “La omisión del banco obstaculizó la capacidad del BCE para evaluar adecuadamente la situación prudencial de Abanca y reaccionar a tiempo ante posibles amenazas a otros bancos, lo que podría haber tenido consecuencias potenciales para la reputación y la estabilidad del sector bancario en su conjunto”, apunta la institución.
El banco subraya que la sanción se circunscribe a la demora en la comunicación y que el BCE reconoce que “no tuvo intención de ocultar el incidente”. De hecho, el comunicado del organismo que dirige Christine Lagarde añade que “la entidad abordó con prontitud los efectos del ciberataque en el momento en que se produjo”. Según la nota, suspendió temporalmente los servicios de banca por internet y móvil, los servicios de cajeros automáticos y los servicios de pago SWIFT, entre otras medidas.
Esta multa no implica ninguna evaluación de la solidez de los sistemas informáticos existentes. Para determinar el montante de la sanción, el BCE la ha fijado como grave dentro de su escala, que incluye los niveles de gravedad leve, moderadamente grave, grave, muy grave y extremadamente grave. La clasificación se realiza en base a desencadenantes y umbrales específicos, incluidos el daño a la reputación, el impacto financiero o la activación de procedimientos de gestión de crisis, entre otros.
Sobre la firma
