Esta entrada completa la que en el día de ayer publicamos con el mismo título, añadiendo en esta las consecuencias que, en forma de eventuales responsabilidades administrativas y civiles podrán tener para las entidades financieras (bancos, aseguradoras y empresas de servicios de inversión ) la ausencia de un sistema sólido de la resiliencia operativa digital que cumpla los exigentes requisitos que establece DORA a partir del día 17 de enero de 2025.
IV. LA ADAPTACIÓN DEL RÉGIMEN SANCIONADOR DE DORA POR LA LEY DE LOS MERCADOS DE VALORES Y DE LOS SERVICIOS DE INVERSIÓN
En el epígrafe precedente hemos visto que la quinta fase del sistema de gestión del riesgo relacionado con las TICque establece DORA reside en la sanción de los incumplimientos por las entidades financieras de las múltiples obligaciones que les impone de DORA.
Pues bien en relación con estas eventuales responsabilidades administrativas, resulta particularmente oportuno traer a colación la adaptación del régimen sancionador de DORA por nuestra nueva Ley de los mercados de valores y de los servicios de inversión (aspecto sobre el que el lector de esta blog puede consultar la entrada de 13 de abril de 2023 titulada “DORA llega a España: La nueva Ley de los Mercados de Valores y de los Servicios de Inversión adapta el régimen de las empresas de servicios de inversión al Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA)”).
En efecto, la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión (LMVSI) ha adaptado el régimen de las empresas de servicios de inversión -entre otras normas europeas- al Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA). Cuando examinamos la forma en la que la LMVSI incorpora DORA, debemos tener en cuenta que, el tratarse de un Reglamento de la UE, resultará directamente aplicable en todos los Estados miembros y no precisará de trasposición en sentido estricto. Esta es la razón para que la incorporación se limite al régimen sancionador.
Interesa recordar al lector de este blog que uno de los ejes cardinales de la nueva LMVSI incide en la solvencia de los intermediarios típicos del mercado de instrumentos financieros que son las empresas de servicios de inversión y afecta, entre otros aspectos, a su resiliencia operativa digital. En este sentido, la LMVSI -tal y como señala el epígrafe II de su Preámbulo- transpone la Directiva por la que se modifican las Directivas 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 y (UE) 2016/2341. Esta Directiva acompaña al Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) 1060/2009, (UE) 648/2012, (UE) 600/2014, (UE) 909/2014 y (UE) 2016/1011 (DORA). Para alcanzar los objetivos establecidos en dicho Reglamento, se modifican varias Directivas, como por ejemplo la Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, para incluir disposiciones relativas a la continuidad y regularidad de la prestación de servicios y la realización de actividades de inversión, a la resiliencia y la suficiente capacidad de los sistemas de negociación, a los mecanismos efectivos de continuidad de las actividades y a la gestión de riesgos.
En particular, la adaptación al DORA del régimen sancionador aplicable a las empresas de servicios de inversión se proyecta, en concreto, en dos apartados:
a) La tipificación de sus incumplimientos como infracciones muy graves o graves: En este sentido, el artículo 308 de la LMVSI ofrece el elenco de “infracciones por incumplimiento de las obligaciones establecidas en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011”. La complejidad del elenco de infracciones tipificadas recomienda ofrecer una clasificación en torno a los tres momentos fundamentales en los que opera el funcionamiento de DORA que, como hemos visto, son:
a.1) La gestión del ROD: Podemos referir a este aspecto los incumplimientos siguientes:
a.1.1) Las infracciones muy graves consistentes en los incumplimientos por las entidades financieras de las obligaciones recogidas en los siguientes artículos del DORA: a) El artículo 5 sobre gobernanza y organización en caso de ausencia o grave deficiencia de un marco interno de gobernanza y control que garantice una gestión eficaz y prudente de todos los riesgos de las tecnologías digitales o de la información y la comunicación. b) El artículo 6 sobre el marco de gestión del riesgo de tecnologías digitales o de la información y la comunicación en caso de ausencia o grave deficiencia de un marco de gestión del riesgo sólido, completo y bien documentado”.
a.1.2) Las infracciones graves consistentes en que los incumplimientos por las entidades financieras de las obligaciones recogidas en los siguientes artículos del DORA: “a) Los artículos citados en el apartado primero en caso de inadecuación de los marcos, sistemas, protocolos, herramientas y procesos. b) El artículo 8 en caso de falta de identificación, clasificación y documentación adecuada de todas las funciones empresariales relacionadas con las tecnologías digitales o de la información y la comunicación, así como una falta de identificación de forma continua de todas las fuentes de riesgo derivadas de las tecnologías digitales o de la información y la comunicación”.
a.2) La prevención de IOD: Podemos referir a este aspecto los incumplimientos siguientes:
a.2.1) Las infracciones muy graves consistentes en los incumplimientos por las entidades financieras de las obligaciones recogidas en los siguientes artículos del DORA: “c) El artículo 7 sobre sistemas, protocolos y herramientas de tecnologías digitales o de la información y la comunicación en caso de falta de actualización que los haga inoperativos”.
a.2.2) Las infracciones graves consistentes en los incumplimientos por las entidades financieras de las obligaciones recogidas en los siguientes artículos del DORA: ”c) El artículo 9 en caso de falta de control continuo del funcionamiento de los sistemas y herramientas de tecnologías digitales o de la información y la comunicación. d) El artículo 10 en caso de ausencia de mecanismos para detectar rápidamente las actividades anómalas”.
a.3) La solución de los Incidentes operativos digitales (IOD): Podemos referir a este aspecto los incumplimientos siguientes:
a.3.1) Las infracciones muy graves consistentes en los incumplimientos por las entidades financieras de las obligaciones recogidas en los siguientes artículos del DORA: d) El artículo 17 sobre procesos de gestión de incidentes relacionados con las tecnologías digitales o de la información y la comunicación en caso de ausencia o grave deficiencia del proceso. e) El artículo 19 sobre la notificación de los incidentes graves relacionados con las tecnologías digitales o de la información y la comunicación”.
a.3.2) Las infracciones graves consistentes en los incumplimientos por las entidades financieras de las obligaciones recogidas en los siguientes artículos del DORA: “e) El artículo 11 en caso de falta de una política de continuidad de las actividades de tecnologías digitales o de la información y la comunicación. f) El artículo 14 en caso de falta de un plan de comunicación que permita la divulgación responsable de incidentes relacionados con las tecnologías digitales o de la información y la comunicación o vulnerabilidades importantes a clientes y contrapartes, así como al público, según proceda”.
b) El régimen de las sanciones imponibles: En este sentido, el artículo 324 de la LMVSI establece el “régimen aplicable a los incumplimientos del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011” de forma paralela al art.308, esto es, distinguiendo la sanciones correspondientes a los dos tipos de infracciones de tal manera que:
b.1) En el caso de incumplimientos de las obligaciones o prohibiciones previstas en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del que constituyan una infracción muy grave, la multa que se impondrá será:
b.1.1) Si el infractor es una persona jurídica, su importe será de hasta la mayor de las siguientes cantidades: 1.º 5.000.000 de euros. 2.º El cinco por ciento del volumen de negocios anual total de la persona jurídica según las últimas cuentas disponibles aprobadas por el órgano de administración. 3.º El quíntuplo del importe de los beneficios obtenidos o de las pérdidas evitadas mediante la infracción, en el caso de que puedan determinarse.
b.1.2) Si el infractor es una persona física, su importe será de hasta la mayor de las siguientes cantidades: 1.º 1.000.000 de euros. 2.º El quíntuplo del importe de los beneficios obtenidos o de las pérdidas evitadas mediante la infracción, en el caso de que puedan determinarse.
b.2) En el caso de incumplimientos de las obligaciones o prohibiciones previstas en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, que constituyan infracción grave, la multa que se impondrá será:
b.2.1) Si el infractor es una persona jurídica, su importe será de hasta la mayor de las siguientes cantidades: 1.º 2.500 000 de euros. 2.º El tres por ciento del volumen de negocios anual total de la persona jurídica según las últimas cuentas disponibles aprobadas por el órgano de administración. 3.º El doble del importe de los beneficios obtenidos o de las pérdidas evitadas mediante la infracción, en el caso de que puedan determinarse.
b.2.2) Si el infractor es una persona física, su importe será de hasta la mayor de las siguientes cantidades: 1.º 500.000 euros. 2.º El doble del importe de los beneficios obtenidos o de las pérdidas evitadas mediante la infracción, en el caso de que puedan determinarse.
El artículo 324 de la LMVSI añade que “sin perjuicio de las sanciones descritas en los apartados anteriores, la CNMV también podrá imponer las sanciones que sean de aplicación de entre las contempladas en los artículos 312 y 313 de esta ley, y en concreto en los apartados 5, 6, 7, 9, 10 y 13 del artículo 312”. Y que “le será garantizado a la CNMV el acceso a cualquier documento o a los datos bajo cualquier forma que considere pertinentes para el ejercicio de sus funciones”.
V. REFLEXIÓN FINAL SOBRE LAS RESPONSABILIDADES CIVILES EN LAS QUE PODRÁN INCURRIR LAS ENTIDADES FINANCIERAS POR IMCUMPLIMIENTOS DE DORA
En la primera parte de la entrada de ayer advertíamos que los bancos, las aseguradoras, las empresas de servicios de inversión y, en general, los intermediarios financieros que, a 17 de enero de 2025, no adoptasen las medidas o incumplieran los deberes que les impone DORA, estarán en una situación de evidente riesgo de incidir, al menos, en dos tipos de responsabilidades: las administrativas que pueda exigirles la CNMV y a las que nos hemos referido en el epígrafe anterior; y las civiles, que puede reclamarles -en sede de responsabilidad contractual ex art.1101 y concordantes del Código Civil- todo cliente perjudicado (por ejemplo, por un ciberataque a sus cuentas bancarias sufrido a resultas de la omisión negligente por parte del banco en adoptar las medidas exigidas por DORA) o -en sede de responsabilidad extracontractual ex art.1902 y concordantes del Código Civil- un tercero que acredite haber sufrido un daño a resultas de tales incumplimientos.
Se puede dar, en estos litigios un razonamiento tan perfectamente lógico como diabólico porque el demandante podría sustentar su demanda de daños y perjuicios sobre el razonamiento siguiente: si el banco X hubiera implementado un sistema sólido de resiliencia operativa digital ajustado a DORA, no se hubiera producido el incidente dañoso. Ergo, el ciberataque a sus cuentas bancarias que tuvo éxito en forma de daño patrimonial es prueba evidente de que el banco X no tenía implementado un sistema sólido de resiliencia operativa digital ajustado a DORA. Y dicho incumplimiento implicaría, por regla general, un grado de culpa cualificada, por tener origen profesional.
Debemos advertir que este raciocinio puede ocultar una falacia desde el momento en el que hemos visto que DORA contempla la posibilidad del acaecimiento de IOD desde el momento que la tercera fase del funcionamiento de DORA busca la solución de los incidentes operativos digitales (IOD) que exige su detección, su clasificación y la notificación de los incidentes operativos digitales y de las ciberamenazas por parte de las entidades financieras a las autoridades competentes.
De lo anterior podemos concluir que, a partir del 17 de enero de 2025, el establecimiento por los intermediarios financieros de un sistema sólido de resiliencia operativa digital ajustado a DORA resultará esencial para que pueda operar como “puerto seguro” que podrá operar como circunstancia eximente o, cuando menos, atenuante frente a las eventuales reclamaciones de responsabilidades administrativas que pueda exigirles la CNMV; o civiles, que puede reclamarles todo cliente perjudicado.
El caso del ciberataque a la línea aérea del que dábamos cuenta en la entrada de ayer, con sus efectos colaterales sobre las tarjetas de crédito de sus clientes gestionadas -no lo olvidemos- por la red bancaria; servir de advertencia para que todas las entidades financieras establezcan un sistema sólido de resiliencia operativa digital ajustado a DORA lo antes posible.
Nota bibliográfica: el lector interesado en profundizar en el conocimiento de esta materia y, especialmente, en el DORA puede consultar:
Las entradas que publicamos en este blog los días 6,7,9 y 10 de febrero de este año con el título común de “DORA. Ley Europea de Resiliencia Operativa Digital del Sector Financiero. Reglamento (UE) 2022/2554”; la entrada del 17 de marzo pasado, dedicada a dar cuenta de “La nueva Ley de los Mercados de Valores y de los Servicios de Inversión: aprobación del Proyecto de Ley por los Plenos del Congreso y del Senado (2): Aspectos generales y ejes cardinales” y la de 13 de abril de 2023 “DORA llega a España: La nueva Ley de los Mercados de Valores y de los Servicios de Inversión adapta el régimen de las empresas de servicios de inversión al Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA)”.
También puede consultar nuestros estudios sobre “DORA. La Ley europea de resiliencia operativa digital del sector financiero. Reglamento (UE) 2022/2554” en La Ley Unión Europea, nº 113, abril 2023; “Los 20 principios básicos de la ley europea de resiliencia Operativa Digital del Sector Financiero (DORA)”, publicado en el Diario La Ley, n.º 10262, Sección Tribuna, 5 de abril de 2023; y la “Supervisión y sanción de la resiliencia operativa digital del sector financiero en Europa. Reglamento (UE) 2022/2554. DORA”, publicado en la Revista Iberoamericana del Mercados de Valores (RIMV) n.º 68 (2023), pp. 24-32.