El Banco Central Europeo (BCE) ha sancionado a Abanca con 3,15 millones de euros por no notificar un ciberataque en el plazo de dos horas y hacerlo dos días después.
«A pesar de ser consciente de su obligación de informar, y de la importancia del incidente (…) el banco presentó el informe requerido 46 horas después de la fecha límite prescrita». Este es el argumento que ha dado el BCE para imponer la multa de más de 3 millones de euros a Abanca.
Los hechos se remontan a 2019, cuando la entidad bancaria sufrió un ciberataque a sus sistemas informático infectándolos con malware. Como respuesta, Abanca suspendió todos los servicios bancarios online y móvil, así como los servicios a través de cajeros y pagos a través de Swift.
Un ciberataque del que tuvo conocimiento el 26 de febrero de ese año, pero no informó del mismo hasta transcurridos dos días. Las normas del BCE establecen que los bancos europeos deben informar si sufren un ciberataque en un plazo máximo de dos horas después de tener conocimiento de que se haya producido, cosa que no sucedió en este caso.
En consecuencia, «la omisión del banco afectó a la capacidad del BCE de valorar apropiadamente la situación prudencial de Abanca y de reaccionar a tiempo a otras posibles amenazas a otros bancos». Así lo apunta el comunicado remitido por el Eurobanco que destaca que esto podría haber tenido consecuencial en la reputación y la estabilidad del sector bancario en su conjunto.
No obstante, también reconocen que la entidad bancaria atajó con rapidez el incidente y no hubo mayores consecuencias, por lo que la multa se circunscribe únicamente al hecho de no haber informado en el tiempo estipulado.
El BCE determina el incidente como grave
Desde Abanca también han querido dejar claro que no tuvieron ninguna intención de ocultar este ciberataque y que la multa no tiene relación con su manera de gestionar el incidente ni con sus sistemas de seguridad. Asimismo, destaca que no hubo ningún tipo de pérdidas económicas ni de datos que afectaran a los clientes.
La entidad bancaria sopesa presentar un recurso ante el Tribunal de Justicia de la Unión Europeo. Pero, por el momento, deberá afrontar el pago de esta sanción cuyo montante se ha fijado a partir de la escala del BCE y que lo ha determinado como grave. Una escala que va desde el nivel de gravedad leve, a moderadamente grave, grave, muy grave, y extremadamente grave.
Estos niveles se establecen a partir de los desencadenantes y una serie de umbrales, entre ellos el daño a la reputación, el impacto financiero, o la activación de procedimientos de gestión de crisis, entre otros.