Congreso jurídico de la Agoogacía Malagueña organizado por el ICA de Málaga
Con la entrada de hoy completamos la serie de tres que hemos publicado esta semana sobre las novedades regulatorias en algunos aspectos de la regulación de la digitalización financiera en la UE que han afectado a la ciberresiliencia operativa digital del sector financiero, a la inteligencia artifical y la responsabilidad civil, que de ella puede derivar y a las omnipresentes y peligrosas criptomonedas. Todo ello con ocasión del 16º Congreso jurídico de la Agoogacía Malagueña que organiza el ICA de Málaga y se celebra en la bellísima capital andaluza los días de hoy y mañana, fecha en la que tendré el honor y el placer de participar con una ponencia sobre la «Ciberseguridad y la responsabilidad civil.»
Tres documentos básicos sobre la ciberseguridad y la resiliencia operativa digital del sector financiero en la UE
En las dos últimas entradas de este blog dedicadas a las finanzas digitales, hemos hecho referencia a sendas Resoluciones del Parlamento Europeo que comparten alusiones al tema esencial de la ciberseguridad y la resiliencia operativa digital del sector financiero en la UE. Se trata de los documentos siguientes:
a) En primer lugar, la Resolución del Parlamento Europeo, de 8 de octubre de 2020, sobre las “Finanzas digitales: riesgos emergentes en los criptoactivos — Retos en materia de regulación y supervisión en el ámbito de los servicios, las instituciones y los mercados financieros” (Resolución del Parlamento Europeo, de 8 de octubre de 2020 con recomendaciones destinadas a la Comisión sobre finanzas digitales: riesgos emergentes en los criptoactivos — Retos en materia de regulación y supervisión en el ámbito de los servicios, las instituciones y los mercados financieros (P9 TA(2020)0265, (2020/2034(INL) (2021/C 395/10) (en delante, citada como RPE 06.10.2020).
b) En segundo lugar, la Resolución del Parlamento Europeo, de 20 de octubre de 2020, sobre el “Régimen de responsabilidad civil en materia de inteligencia artificial” (Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un régimen de responsabilidad civil en materia de inteligencia artificial (DOUE de 6.10.2021, pág. C 404/107 y ss., 2020/2014(INL)) (2021/C 404/05). (en adelante, citada como RPE 20.10.2020)
A estas dos Resoluciones del Parlamento Europeo, se une el Dictamen del Banco Central Europeo de 4 de junio de 2021 sobre la resiliencia operativa digital del sector financiero (Dictamen del Banco Central Europeo de 4 de junio de 2021 acerca de una propuesta de reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero; publicado en el DOUE del pasado 26.8.2021 (pág. C 343/1 y ss. CON/2021/20) (en adelante citado como DBCE 04.06.2021).
La importancia que va adquiriendo este aspecto de la ciberseguridad y la resiliencia operativa digital al paso que se incrementa el desarrollo de la digitalización del sector financiero en la UE (sobre la que se pueden ver las entradas de este blog de 11 de y de 21 mayo de 2021 sobre la “Resiliencia operativa digital del sector financiero y Estrategia de Finanzas Digitales en la UE: Dictámenes del Comité Económico y Social Europeo “ y sobre “La espiral del riesgo y la resiliencia digitales en Europa: El Consejo de la UE prorroga hasta el 18 de mayo de 2022 la Decisión (PESC) 2029/979”, respectivamente) recomienda que concentremos nuestra atención en este aspecto.
Y ello es lo que haremos seguidamente ofreciendo una estructura racional de las referencias desordenadas que hacen al tema los tres documentos de las Instituciones de la UE. Para ello, en un proceso que va de lo general a lo particular, trataremos de los aspectos implícitos en el objetivo de la ciberseguridad del sector financiero en sentido amplio que pasa por tres fases: la primera trata de las propiedades de la ciberseguridad y la ciberresiliencia del sector financiero; la segunda se ocupa de los aspectos técnicos de la gestión de riesgos de las TIC en el sector financiero y de la resiliencia operativa digital del sector financiero; y la tercera fase culmina la consecuencia de la responsabilidad civil del operador de los sistemas de IA
a) La primera fase de las propiedades de la ciberseguridad y la ciberresiliencia del sector financiero
a.1) La ciberseguridad
Sobre esta materia incide la RPE 08.0.2020 que menciona como antecedente “el documento de asesoramiento conjunto de las Autoridades Europeas de Supervisión presentado a la Comisión el 10 de abril de 2019 en relación con los costes y beneficios del desarrollo de un marco coherente para la realización de pruebas en materia de ciberresiliencia dirigido a los principales participantes del mercado e infraestructuras del conjunto del sector financiero de la Unión” y donde el Parlamento Europeo considera al respecto que “la ciberresiliencia es parte integrante del trabajo sobre la resiliencia operativa de las entidades financieras que llevan a cabo las autoridades a escala mundial” (AG).
Incide también el DBCE 04.06.2021 que, entre sus “Observaciones generales» (las negritas son nuestras) “acoge con satisfacción el reglamento propuesto, que pretende mejorar la ciberseguridad y la resiliencia operativa del sector financiero. En particular, el BCE celebra el propósito del reglamento propuesto de eliminar obstáculos al mercado interior de servicios financieros y mejorar su establecimiento y funcionamiento armonizando las normas aplicables en el ámbito de la gestión del riesgo de las tecnologías de la información y la comunicación (TIC), la presentación de informes, las pruebas y el riesgo de terceros relacionado con las TIC. El BCE celebra también el propósito del reglamento propuesto de simplificar y armonizar, evitando duplicidades, los requisitos regulatorios o expectativas de supervisión a que actualmente están sujetas según el derecho de la Unión las entidades financieras. El BCE celebra que se incentive a las entidades financieras a que compartan voluntariamente entre sí información sobre ciberamenazas para mejorar y reforzar su situación en materia de ciberresiliencia. El propio BCE ha contribuido a la iniciativa del mercado para el intercambio de información sobre ciberamenazas (Cyber threat Intelligence Information Sharing Initiative (CIISI-EU)) y pone el proyecto a disposición de quien quiera desarrollar y fomentar la iniciativa”.
a.2) La ciberresiliencia del sector financiero
La RPE 08.0.2020 se ocupa, en particular, de (las negritas son nuestras): “Visto el documento de asesoramiento conjunto de las Autoridades Europeas “un enfoque común de la ciberresiliencia del sector financiero” y, en ella, el Parlamento Europeo “43. Señala que, la creciente digitalización de los servicios financieros, así como la externalización a proveedores externos de soluciones informáticas o de mantenimiento, por ejemplo, proveedores de servicios en la nube, puede ayudar, en particular, a las empresas emergentes a innovar y a obtener acceso a tecnología que de otro modo no tendrían; advierte, sin embargo, de que la exposición de entidades y mercados financieros a perturbaciones causadas por fallos internos, ataques externos o como consecuencia de dificultades financieras es cada vez más pronunciada y, por ello, es necesario evaluar exhaustivamente los riesgos operativos en este panorama cambiante; considera, por tanto, que los objetivos por los que se deben regir las propuestas legislativas en este sentido deben ser la seguridad, la resiliencia y la eficiencia; 44.Toma nota de que, si bien el coste total de los incidentes de ciberseguridad es especialmente difícil de establecer, la industria calcula que oscila entre los 45.000 y los 654.000 millones de dólares estadounidenses para la economía mundial en 2018; 48.Pide a la Comisión que proponga cambios legislativos en el ámbito de las TIC y los requisitos de ciberseguridad para el sector financiero de la Unión, teniendo en cuenta las normas internacionales, a fin de poder corregir las incoherencias, las lagunas y los vacíos que se detecten en la legislación pertinente; pide a la Comisión, en este sentido, que se plantee la necesidad de realizar un examen de supervisión de los proveedores de TIC, teniendo en cuenta los riesgos de concentración y de contagios que puede plantear una dependencia excesiva por parte del sector de los servicios financieros de un pequeño número de proveedores de TIC y de computación en la nube; 49.Considera que estos cambios deben centrarse en cuatro ámbitos clave: a) modernización de la gobernanza y la gestión de riesgos relativas a las TIC, y cumplimiento de las normas internacionales; b) armonización de las normas de notificación sobre incidentes informáticos; c) un marco común para los ensayos de penetración y resiliencia operativa en todos los sectores financieros; d) supervisión de proveedores terceros de TIC esenciales y normas mínimas para dichos proveedores”,
b) La segunda fase de los aspectos técnicos de la gestión de riesgos de las TIC en el sector financiero y de la resiliencia operativa digital del sector financiero
b.1) La gestión de riesgos de las TIC en el sector financiero
La RPE 08.0.2020 señala los siguientes antecedentes a este respecto (las negritas son nuestras): “Visto el documento de asesoramiento conjunto de las Autoridades Europeas de Supervisión presentado a la Comisión Europea el 10 de abril de 2019 en relación con la necesidad de introducir mejoras legislativas respecto a los requisitos de gestión de los riesgos de las TIC en el sector financiero de la Unión”; “Vistas las Directrices en materia de TIC y gestión de riesgos de seguridad, de 29 de noviembre de 2019, de la Autoridad Bancaria Europea”. Y, en sus Considerandos, el Parlamento Europeo dice: “Considerando que la aplicación de nuevas tecnologías en el sector financiero puede acarrear nuevos riesgos que es conveniente regular y vigilar a fin de garantizar la estabilidad financiera, la integridad del mercado interior y la protección de los consumidores” (AB); “Considerando que el vigente código normativo de la Unión para los servicios financieros adopta un enfoque fragmentario de la cuestión de las disposiciones relativas al riesgo operativo” (AE); “Considerando que los riesgos relativos a las TIC y a la seguridad a que se enfrenta el sector financiero, junto a su nivel de integración en el ámbito de la Unión, justifican acciones concretas y más avanzadas que se basen en la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (18), pero vayan más allá” (AF).
En su RPE 20.10.2020 el Parlamento Europeo (las negritas son nuestras): “Visto el documento de asesoramiento conjunto de las Autoridades Europeas “7.Observa que todas las actividades, dispositivos o procesos físicos o virtuales gobernados por sistemas de IA pueden ser técnicamente la causa directa o indirecta de un daño o un perjuicio, pero casi siempre son el resultado de que alguien ha construido o desplegado los sistemas o interferido en ellos; observa, a este respecto, que no es necesario atribuir personalidad jurídica a los sistemas de IA; opina que la opacidad, la conectividad y la autonomía de los sistemas de IA podrían dificultar o incluso imposibilitar en la práctica la trazabilidad de acciones perjudiciales específicas de los sistemas de IA hasta una intervención humana específica o decisiones de diseño; recuerda que, de conformidad con conceptos de responsabilidad civil ampliamente aceptados, se puede eludir, no obstante, este obstáculo haciendo responsables a las diferentes personas de toda la cadena de valor que crean, mantienen o controlan el riesgo asociado al sistema de IA”.
El DBCE 04.06.2021 se refiere específicamente a este aspecto cuando dice ((las negritas son nuestras): “4.1.1. El BCE celebra que el reglamento propuesto establezca un marco sólido y completo de gestión del riesgo de TIC que incorpora las directrices sobre ciberresiliencia de CPMI-IOSCO y sigue de cerca las mejores prácticas, incluidas las expectativas de vigilancia sobre ciberresiliencia para las infraestructuras del mercado financiero. 4.1.2. El BCE respalda que las entidades financieras deban llevar a cabo una evaluación del riesgo cada vez que se produzca un «cambio importante» en la infraestructura de las redes y los sistemas de información. Sin embargo, el reglamento propuesto no define qué es un «cambio importante», dando así pie a interpretaciones divergentes de las entidades financieras que no son deseables y que pueden en definitiva obstaculizar los fines armonizadores del reglamento propuesto. Para una mayor seguridad jurídica, convendría que los órganos legislativos de la Unión consideraran la posibilidad de incorporar al reglamento propuesto una definición de «cambio importante». 4.1.3. El BCE apoya en general que las entidades financieras que no sean microempresas deban informar a las autoridades competentes de los costes y pérdidas causados por perturbaciones de las TIC e incidentes relacionados con las TIC. Sin embargo, para garantizar la eficacia general del sistema y no agobiar a las autoridades competentes y a las entidades financieras con un número excesivo de notificaciones, convendría que los órganos legislativos de la Unión examinaran la posibilidad de introducir umbrales adecuados, posiblemente de carácter cuantitativo. 4.1.4. El BCE toma nota de la facultad de las entidades financieras, previa aprobación de las autoridades competentes, de delegar las tareas de verificación del cumplimiento de los requisitos de gestión del riesgo de TIC en empresas externas o de su mismo grupo. Al mismo tiempo, es importante que los órganos legislativos de la Unión aclaren cómo se concede la aprobación de las autoridades competentes cuando una determinada entidad financiera esté sujeta a varias, como es el caso de las entidades de crédito, los proveedores de servicios de criptoactivos o los proveedores de servicios de pago. Finalmente, en cuanto a la identificación y clasificación que corresponde efectuar a las entidades financieras según el reglamento propuesto, el BCE considera que sería prudente, a efectos de la clasificación de los activos, que el reglamento propuesto también exigiera a las entidades financieras que tuvieran en cuenta si esos activos son esenciales (es decir, si respaldan funciones esenciales)”.
b.2) La resiliencia operativa digital del sector financiero
El DBCE 04.06.2021 se refiere específicamente a dos aspectos específicos de la resiliencia operativa digital del sector financiero en los siguientes apartados:
b.2.1) Notificación de incidentes
En concreto, el DBCE 04.06.2021 dice (las negritas son nuestras): “El reglamento propuesto dispone que, cuando reciban una notificación, las autoridades competentes acusen recibo de esta y proporcionen con la mayor celeridad posible todos los comentarios o la orientación que sean necesarios a la entidad financiera, en particular para estudiar medidas correctoras al nivel de la entidad o formas de minimizar las repercusiones negativas en los diversos sectores. Esto significa que las autoridades competentes deben contribuir activamente a gestionar y corregir los incidentes, al mismo tiempo que evalúan la respuesta de una entidad supervisada a los incidentes graves. El BCE subraya que debe quedar claro que la responsabilidad y el control de las medidas correctoras y de las consecuencias del incidente corresponden exclusivamente a la entidad financiera interesada. Por eso, el BCE sugiere limitar los comentarios y la orientación a los de carácter prudencial de alto nivel. Proporcionar unos comentarios y una orientación más amplios requeriría contar con unos profesionales especializados y con grandes conocimientos técnicos de los que no suelen disponer las autoridades prudenciales”.
b.2.2) Riesgo de terceros relacionado con las TIC
Sobre este aspecto, el DBCE 04.06.2021 dice (las negritas son nuestras): “4.4.1. El BCE aplaude la introducción de un amplio conjunto de principios esenciales y un marco de vigilancia sólido para identificar y gestionar los riesgos de TIC relacionados con los proveedores terceros de servicios de TIC, pertenezcan o no al mismo grupo de entidades financieras. No obstante, para lograr una identificación y gestión eficaz del riesgo de TIC, es importante entre otras cosas identificar y clasificar correctamente a los proveedores terceros esenciales de servicios de TIC. Sobre este particular, aunque celebra la introducción de actos delegados que completen los criterios aplicables con fines de clasificación, el BCE considera que debe ser consultado antes de que esos actos delegados se adopten” (…) “4.4.4. Por último, exigir a las autoridades competentes que hagan un seguimiento de las recomendaciones del supervisor principal podría no ser eficaz, pues es posible que dichas autoridades no tengan una visión integral de los riesgos planteados por cada proveedor tercero esencial de servicios de TIC. Además, puede que las autoridades competentes tengan que tomar medidas contra las entidades financieras que supervisan si los proveedores terceros esenciales no siguen las recomendaciones formuladas. Conforme al reglamento propuesto, las autoridades competentes pueden exigir a las entidades financieras que supervisan que suspendan temporalmente el servicio prestado por el proveedor tercero esencial o que pongan fin a los acuerdos contractuales en vigor con dicho proveedor. Es difícil traducir en acciones concretas el proceso de seguimiento previsto. En particular, no está claro que una entidad financiera supervisada esté en condiciones de suspender o rescindir un contrato con un proveedor tercero esencial de servicios de TIC si este es un proveedor importante de esa entidad financiera, o si la suspensión o rescisión puede acarrear a esta costes y compensaciones, contractuales o de otra índole. Además, esta solución no contribuye a la convergencia de la supervisión, pues las autoridades competentes pueden interpretar una misma recomendación de manera diferente, lo cual, en última instancia, podría obstaculizar el objetivo de armonizar la vigilancia del riesgo de terceros relacionado con las TIC al nivel de la Unión. En virtud de lo expuesto, convendría que los órganos legislativos de la Unión consideraran la posibilidad de otorgar a los supervisores legales unos poderes ejecutivos especiales, frente a los proveedores terceros esenciales de servicios de TIC, que tuvieran en cuenta los límites establecidos por la doctrina Meroni según los mitiga en parte el Tribunal de Justicia en su sentencia sobre el asunto AEVM”.
c) La tercera fase de la consecuencia de la responsabilidad civil del operador de los sistemas de IA
En su RPE 20.10.2020 el Parlamento Europeo (las negritas son nuestras): “11.Opina que las normas en materia de responsabilidad civil que afecten al operador deben cubrir todas las operaciones de los sistemas de IA, independientemente de dónde se lleve a cabo la operación y de que esta sea física o virtual; observa que las operaciones en espacios públicos que exponen a muchas personas a un riesgo constituyen, sin embargo, casos que requieren una consideración más profunda; considera que a menudo las víctimas potenciales de daños o perjuicios no son conscientes de la operación y no suelen disponer de derechos a reclamar por responsabilidad contractual contra el operador; señala que, si se produce un daño o perjuicio, esas personas solo tendrían una pretensión por responsabilidad subjetiva y podrían tener dificultades para demostrar la culpa del operador del sistema de IA, por lo que podrían fracasar las correspondientes demandas por responsabilidad civil”.