Close

El caso REDSYS demuestra la urgente necesidad de implantar DORA

Los graves fallos acaecidos durante las últimas semanas en la pasarela de pago REDSYS, que han afectado tanto a los principales sistemas de pago bancarios como a otras plataformas de pago (por ejemplo, a Bizum) son, a nuestro juicio, una evidencia palpable de la urgente necesidad de garantizar la resiliencia operativa digital de las entidades financieras y, muy particularmente, de los bancos y de implantar cuanto antes los mecanismos de DORA. En esta entrada explicamos el porqué de nuestra afirmación.

A) El caso REDSYS: los fallos en los principales sistemas de pago bancarios y en otras plataformas de pago

Los medios de comunicación del pasado día 24 de noviembre daban noticia de que “El Banco de España abre expediente informativo a Redsys por un fallo técnico. Redsys, que ya registró incidencias el pasado sábado, sufrió en la noche del jueves una nueva caída que ha afectado a sistemas de pago bancarios y a Bizum (Expansión); “el Banco de España investiga a Redsys tras las dos caídas en los pagos digitales y con tarjeta. Reclama información a la plataforma de pagos tras las dos caídas del sistema sufridas esta semana, a la espera de abrir un expediente. El Banco de España investiga a la plataforma de pagos Redsys por las dos caídas de servicio que paralizaron el lunes y el jueves los sistemas de datáfonos y servicios on line de los principales bancos españoles. Según fuentes del supervisor bancario, aún no se ha abierto un expediente oficial, por lo que, de momento, sólo se ha requerido la información pertinente para aclarar lo sucedido. «Hemos solicitado información detallada a la compañía desde que se produjo el incidente del fin de semana pasado, de acuerdo con los marcos establecidos, y se está haciendo un seguimiento estrecho de las medidas que está tomando Redsys» (La Razón); “el Gobierno y el Banco de España piden explicaciones a Redsys sobre las dos caídas en menos de una semana (El Mundo); y “el Banco de España entra en el caso Redsys: requiere información y vigila las medidas de la empresa. La plataforma de pagos ha sufrido en menos de una semana dos caídas de sus sistemas que han dejado al país sin pagos con tarjeta ni digitales. Una nueva caída de Redsys deja a España sin pagos con tarjeta ni digitales (ABC).

Estos son los datos que conforman el supuesto de hecho del caso REDSYS. A continuación, abordamos las consecuencias regulatorias que, a nuestro modesto entender, debería tener tan grave incidente digital en un sector clave del mercado financiero, como es el de los servicios de pago.

B) La urgente necesidad de implantar los mecanismos de resiliencia operativa digital de las entidades financieras previstos en DORA

En este blog y fuera de él venimos insistiendo en la necesidad de garantizar la resiliencia operativa digital de las entidades financieras y, muy particularmente de los bancos ante los ciberataques cada vez más frecuentes y los fallos no intencionados de los propios sistemas digitales internos de los bancos y, lo que es más grave, de los sistemas digitales de terceros proveedores de servicios TIC cuyos fallos tienen importancia sistémica porque afectan a la práctica totalidad del sistema financiero que tiene subcontratados dichos servicios digitales (sirvan de ejemplo las últimas entradas de este blog en la materia del 30 y 31 de octubre pasado sobre “El Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA): Conferencias recientes impartidas sobre la materia”, en las que incluimos una nota bibliográfica final que puede ser útil para el lector interesado en profundizar en el conocimiento de este complejo Reglamento).

En estas entradas advertíamos que el día 17 de enero de 2025, las entidades financieras europeas deberán tener establecido un sistema sólido de la resiliencia operativa digital que cumpla los exigentes requisitos que establece el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (DORA). En efecto, DORA -que por su propia naturaleza de Reglamento de la UE será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro- será aplicable a partir del 17 de enero de 2025.

En cuanto a la cronología, complementábamos la observación precedente añadiendo que el artículo 41 de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI 2) establece que a más tardar el 17 de octubre de 2024, los Estados miembros adoptarán y publicarán las medidas necesarias para dar cumplimiento a lo establecido en la presente Directiva y aplicarán dichas disposiciones a partir del 18 de octubre de 2024.

Dando por reproducidas las observaciones precedentes, el caso REDSYS nos invita a destacar los tres aspectos siguientes -interrelacionados- de DORA:

a) En primer lugar, entre los elementos objetivos que integran la estructura de DORA identificábamos el riesgo, ofreciendo DORA un conjunto de definiciones de riesgos relevantes en el sector de las finanzas digitales como son el riesgo relacionado con las TIC de carácter endógeno o exógeno, esto es, derivado de terceros, el riesgo de concentración de TI y la ciberamenaza. Precisamos que DORA ordena la forma de gestión por las entidades financieras tanto del riesgo operativo digital endógeno que nace de sus propias actuaciones como del riesgo operativo digital exógeno derivado de las prestaciones de servicios TIC por parte de terceros proveedores de dichos sistemas TIC.

El caso REDSYS es un caso de actualización del riesgo operativo digital exógeno derivado de las prestaciones de servicios TIC por parte de terceros.

b) En segundo lugar, DORA presta una atención especial a la gestión por las entidades financieras del riesgo operativo digital exógeno derivado de terceros proveedores de sistemas TIC estableciendo sus principios fundamentales (responsabilidad y proporcionalidad) y su plasmación en los contratos que las entidades financieras celebran con proveedores terceros de servicios de TIC que se proyecta en las fases precontractual, contractual y postcontractual o de extinción de la relación obligacional.

c) En tercer lugar, dentro de la gestión prevención y solución de los incidentes operativos o de seguridad; DORA presta una especialísima atención a aquellos relacionados con los sistemas de pago que pueden ser calificados de normales (definidos como “un único suceso o una serie de sucesos interrelacionados no previstos por las entidades financieras a que se refiere el artículo 2, apartado 1, letras a) a d), estén o no relacionados con las TIC, que tiene repercusiones negativas en la confidencialidad, disponibilidad, integridad o autenticidad de los datos relacionados con los pagos o en los servicios relacionados con los pagos prestados por la entidad financiera”) o graves (definidos como “un incidente operativo o de seguridad relacionado con los pagos con graves repercusiones negativas en los servicios relacionados con los pagos prestados”).

Buena prueba de la relevancia que DORA da a los incidentes operativos o de seguridad relacionados con los sistemas de pago es la notificación obligatoria de los incidentes graves relacionados con las TIC por parte de las entidades financieras a las autoridades competentes porque tanto la notificación inicial a la autoridad competente pertinente como los informes intermedio y final incluirán toda la información necesaria para que dicha autoridad pueda determinar la importancia del incidente grave relacionado con las TIC y evaluar sus posibles efectos transfronterizos. Es pertinente advertir que, debido a su posición estratégica en el sistema financiero, los requisitos establecidos en el capítulo III del DORA se aplicarán a todos los incidentes operativos o de seguridad relacionados con los pagos cuando atañan a entidades de crédito, entidades de pago, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico; con independencia de su gravedad. En este sentido, el art.23 de DORA establece el régimen de los “incidentes operativos o de seguridad relacionados con los pagos que atañen a entidades de crédito, entidades de pago, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico” (en este punto, remitimos al lector a nuestro estudio sobre “DORA. La Ley europea de resiliencia operativa digital del sector financiero. Reglamento (UE) 2022/2554” publicado en La Ley Unión Europea, nº 113, abril 2023).

Por último, debemos añadir que “llueve sobre mojado” porque en la entrada de este blog de 30 de octubre pasado sobre “El Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA): Conferencias recientes impartidas sobre la materia” ya  constatamos lo siguiente: “nos parece interesante añadir que el reciente ciberataque a los sistemas de pago de billetes -mediante tarjetas de crédito- de una importante línea aérea (nos referimos al sufrido por Air Europa el pasado día 9 de octubre sobre el que el lector puede informarse cin detalle consultando el artículo de Ramón Muñoz publicado el 10 de octubre en la sección de Economía de El País titulado: “Air Europa sufre un ciberataque y pide a sus clientes que cancelen las tarjetas de crédito. La aerolínea afirma que el ‘hackeo’ está controlado y que no ha detectado ningún fraude por el momento”), muestra que se puede detectar un tercer tipo de riesgo operativo digital colateral que sin proceder de las propias entidades financieras ni de sus proveedores de servicios TIC; puede ocasionarles incidentes en el funcionamiento de sus servicios de pago que culminen en eventuales acciones de responsabilidad de los clientes perjudicados”.

C) Conclusión: las responsabilidades administrativas y civiles exigibles a las entidades financieras por los clientes perjudicados por los fallos en los sistemas digitales de pago

Nos parece oportuno poner punto final a este entrada reiterando que el día 17 de enero de 2025, las entidades financieras europeas deberán tener establecido un sistema sólido de la resiliencia operativadigital que cumpla los exigentes requisitos que establece el Reglamento (UE) 2022/2554 y advirtiendo que se trata de un plazo relativamente breve -dada la importancia de las nuevas medidas que deben adoptar los bancos, las aseguradoras, las empresas de servicios de inversión y, en general, cuantos intermediarios  financieros operen en nuestro país.

Ante incidentes digitales tan graves, por dañinos, como el caso REDSYS que acabamos de describir someramente, no está de más recordar que los bancos, las aseguradoras, las empresas de servicios de inversión y, en general, cuantos intermediarios  financieros operen en nuestro país que no adopten las medidas y cumplan los deberes que DORA, estarán en una situación de evidente riesgo de incidir, al menos, en dos tipos de responsabilidades: las administrativas que pueda exigirles la CNMV; y las civiles, que puede reclamarles todo cliente perjudicado (por ejemplo, por un ciberataque a sus cuentas bancarias sufrido a resultas de la omisión negligente por parte del banco en adoptar las medidas exigidas por DORA).

El caso REDSYS es un ejemplo paradigmático del razonamiento tan perfectamente lógico como diabólico, al tiempo que falaz al que aludíamos en la entrada de esta blog del pasado 31 de octubre de 2023 conforme al cual el demandante podría sustentar su demanda de daños y perjuicios sobre el razonamiento siguiente: si el banco X hubiera implementado un sistema sólido de resiliencia operativa digital ajustado a DORA, no se hubiera producido el incidente dañoso. Ergo, el fallo de sus sistemas de pagos derivado del mal funcionamiento del tercer proveedor de servicios TIC es prueba evidente de que el banco X no tenía implementado un sistema sólido de resiliencia operativa digital ajustado a DORA. Y dicho incumplimiento implicaría, por regla general, un grado de culpa cualificada, por tener origen profesional.