Close

Ciberseguridad jurídico-financiera: I Encuentro de Académicos sobre ciberseguridad y Derecho organizado por el INCIBE en León los días 4 y 5 de abril de 2024

Durante los pasados días 4 y 5 de abril de 2024 se celebró en la ciudad de León, sede del Instituto Nacional de Ciberseguridad (INCIBE), el I Encuentro de Académicos sobre ciberseguridad y Derecho, en el que quien suscribe tuvo el honor de participar dentro del  Tercer Coloquio sobre las “Obligaciones de las empresas, seguridad en las relaciones Financieras” celebrada en la mañana del 5 de abril de 2024. El extraordinario interés de la materia y la transcendencia de que el INCIBE -con la participación de la Universidad de León, liderada por la Catedrática de Derecho Administrativo y queridísima amiga, Mercedes Fuertes– haya tenido el buen gusto de interesarse por conocer las opiniones de los juristas en la materia nos incita a ofrecer a los lectores de este blog una breve síntesis de nuestra intervención. 

Características de la regulación de la ciberseguridad jurídico-financiera: Importancia, complejidad y actualidad

Comencé mi exposición destacando las tres características definitorias de la materia que son:

a) Su importancia, medida en términos del impacto sociológico creciente de los intentos ciberestafas financieras. En este sentido, la prensa reciente nos daba cuenta de que “las ciberestafas ya son el segundo delito más denunciado: nadie está a salvo de caer en la trampa. La mitad de los españoles ha sido víctima de un intento de fraude online, según el CIS. Los especialistas señalan la responsabilidad las grandes plataformas digitales” (El País,10 de marzo de 2024, Jordi Pérez Colomé).

b) Su complejidad regulatoria geométrica porque a las dificultades propias de la regulación de la ciberseguridad se sumen las consustanciales de la normativa financiera, de las que este mismo blog ofrece pruebas frecuentes y abundantes.

c) Su actualidad, de la que ofrece dos magníficos ejemplos sendas noticias recientes:

c.1) La que refiere que el Parlamento Europeo, a finales del mes de marzo, ha ratificado el acuerdo político sobre la propuesta de Reglamento de Ciberresiliencia (CRA) que tiene como objetivo garantizar que los productos con elementos digitales sean seguros de usar, resistentes a las amenazas cibernéticas y proporcionen suficiente información sobre sus propiedades de seguridad. Recordamos que la CRA pretende mejorar el nivel de ciberseguridad de los productos digitales en beneficio de los consumidores y empresas de la Unión Europea al introducir requisitos de ciberseguridad obligatorios para todos los equipos y programas informáticos. En este sentido, la normativa obligará a los fabricantes a proporcionar a los consumidores las actualizaciones de seguridad que resulten oportunas incluso años después de la fecha de compra. Estas obligaciones se traducen en que los operadores de la cadena de valor (fabricantes, importadores, distribuidores y, en su caso, representantes autorizados) deberán garantizar que los productos con elementos digitales comercializados en la UE sean más seguros; se garantice la ciberseguridad de los productos con elementos digitales durante todo su ciclo de vida; los consumidores estén debidamente informados sobre la ciberseguridad de los productos que compran y utilizan (véase la noticia de Albert Agustino y Pablo Tena, “El Reglamento de Ciberresiliencia, a punto de su adopción”, Blog de Propiedad Intelectual y Tecnologías, “Recta final para una de las normativas de ciberseguridad que mayor impacto tendrán en los productos con elementos digitales comercializados en Europa”, 28 de marzo de 2024).

c.2) La que hoy, lunes 8 de abril de 2024,  dice que “la banca se agarra a la negligencia de los clientes para no pagar en causas de ‘phishing’. Este tipo de fraudes son los que más quejas generan contra las entidades financieras. En 2022 se presentaron 34.146 reclamaciones contra la banca, el cuarto valor más alto en la última década” (véase, Daniel Caballero, ABC, Economía, pág.29)

Preguntas pertinentes sobre la regulación de la ciberseguridad jurídico-financiera

Una vez introducido el tema, estructuré mi intervención atendiendo a las preguntas sugeridas por el moderador de la Mesa, Juan Delfín Peláez Álvarez, Responsable Sector Estratégico Financiero y TIC (INCIBE-CERT) por estimarlas oportunas y pertinentes.

1. ¿Cuáles son las principales obligaciones legales que deben cumplir las empresas en materia de ciberseguridad en el ámbito financiero?

En general, las entidades financieras deben ser autorizadas por el Estado y para ello deben cumplir condiciones de acceso y de ejercicio de su actividad financiera específica. Así, los bancos deben cumplir los requisitos de la LOSSEC de 2014, las aseguradoras deben cumplir los requisitos de la LOSSEAR de 2015 y las empresas de servicios de inversión deben cumplir los requisitos de la LMVSI de 2023.Tanto las condiciones de acceso como las de ejercicio a su actividad financiera específica establecen requisitos organizativos entre los que tiene una importancia creciente la estructura de resiliencia operativa digital sólida.

En particular, las entidades financieras deberán adaptarse al Reglamento DORA desde el 17 de enero de 2025. Aproveche la ocasión y la magnífica exposición realizada esa misma mañana por el magistrado del Tribunal Superior de Justicia del Principado de Asturias, Dr. José Ramón Chaves, en el Cuarto coloquio sobre “Ciberseguridad en el sector público (carencias, inaplicación del ENS, administraciones locales con pocos recursos…)” para ubicar a DORA en el contexto general de la normativa de la UE sobre la ciberseguridad, partiendo de la base de que la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo incluye, dentro de los “sectores, subsectores y categorías de entidades” críticas enumeradas en su anexo a dos entidades del mercado financiero que son:

a) En su apartado 3, la “Banca (…) Las entidades de crédito tal como se definen en el artículo 4, punto 1, del Reglamento (UE) n.o 575/2013”.

b) En su apartado 4, las “Infraestructuras de los mercados financieros (…) Los gestores de los centros de negociación tal como se definen en el artículo 4, punto 24, de la Directiva 2014/65/UE (…) Las entidades de contrapartida central (ECC) tal como se definen en el artículo 2, punto 1, del Reglamento (UE) n.o 648/2012”.

Lo anterior lleva a incluir a dichas entidades e infraestructuras financieras dentro del ámbito de aplicación de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).

Para un mayor detalle sobre DORA, nos remitimos a la respuesta a la pregunta 2.

Para ilustrar a los asistentes sobre estos aspectos, indique los enlaces de las siguientes entradas de este blog El Blog de Alberto J. Tapia Hermida:

Finanzas digitales (Fintech): Ciberseguridad y resiliencia operativa digital del sector financiero en la UE

El caso REDSYS demuestra la urgente necesidad de implantar DORA

2. ¿Cómo pueden las empresas adaptarse eficazmente a la evolución constante de las ciberamenazas y las regulaciones legales en materia de ciberseguridad del sector financiero?

La respuesta a esta segunda pregunta tomó como base el hecho de que faltaban 9 meses y 12 días para que las entidades financieras tengan que aplicar, desde el 17 de enero de 2025, el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) 1060/2009, (UE) 648/2012, (UE) 600/2014, (UE) 909/2014 y (UE) 2016/1011 (DOUE del 27.12.2022, pág. L 333/1 y ss.); conocido como Ley de Resiliencia Operativa Digital (Digital Operational Resilience Act)  e identificado en el mercado financiero internacional por su acrónimo anglosajón DORA que tendrá una relevancia inminente en el desarrollo futuro de la regulación de los mercados financieros en Europa. Ante la manifiesta imposibilidad de ofrecer a los asistentes una exposición pormenorizada del DORA, nos limitamos a dibujar una síntesis telegráfica de su contenido en los siguientes términos:

a) El Reglamento DORA es una disposición cuantitativamente voluminosa (con 106 considerandos y 64 artículos que ocupan 79 hojas del DOUE) y cualitativamente compleja, que emplea técnicas regulatorias novedosas como las pruebas de resiliencia operativa digital.

b) DORA establece requisitos uniformes relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos empresariales de las entidades financieras en dos ámbitos: El ámbito interno referido a los requisitos internos o reflexivos que resultan aplicables a las propias entidades financieras en relación con la gestión del riesgo en el ámbito de las tecnologías de la información y la comunicación (TIC) El ámbito externo, referido a los requisitos externos o transitivos que resultan aplicables a las entidades financieras en relación con los proveedores terceros de servicios de TIC y los supervisores.

c) DORA completa el sistema de gestión del riesgo de las entidades financieras -hasta ahora basado exclusivamente en el capital- añadiendo reglas para las capacidades de protección, detección, contención, recuperación y reparación frente a incidentes relacionados con las TIC.

d) La estructura de DORA está integrada por sus elementos subjetivos y objetivos. En cuanto se refiere a sus elementos subjetivos, como su propio nombre indica, el ámbito del Reglamento (UE) 2022/2554 (DORA) es el sector financiero, lo que se traduce en que los sujetos sometidos a sus disposiciones son las entidades financieras diferenciando entre las incluidas y las excluidas. Atendiendo al criterio del sector del mercado financiero en el que operan de forma preferente, podemos distinguir cuatro clases de entidades financieras a las que se les aplicará el DORA: Las entidades del mercado bancario (p.ej. las entidades de crédito), las entidades del mercado de valores (p.ej. las empresas de servicios de inversión), las entidades del mercado de seguros (p.ej. las empresas de seguros y de reaseguros y las entidades transversales a los tres sectores del mercado financiero (p.ej. las agencias de calificación crediticia).

e) Los elementos objetivos que integran la estructura de DORA son el riesgo, ofreciendo DORA un conjunto de definiciones de riesgos relevantes en el sector de las finanzas digitales como son el riesgo relacionado con las TIC de carácter endógeno o exógeno, esto es, derivado de terceros, el riesgo de concentración de TI y la ciberamenaza; el incidente, ofreciendo DORA un conjunto de definiciones de incidentes relevantes en el sector de las finanzas digitales que, en función de su gravedad y de su relación con los pagos, pueden clasificarse en las siguientes categorías:  Incidentes comunes relacionados con las TIC que pueden ser normaleso graves e incidentes operativos o de seguridad relacionados con los pagos que también pueden ser normales o graves. Además, en esta fase actual o de siniestralidad podemos incluir el ciberataque. Y la resiliencia operativa digital entendida como la propiedad definitoria del sistema que diseña DORA.

f) El funcionamiento del sistema de resiliencia operativa digital (ROD) diseñado por DORA opera en una secuencia trifásica que parte de la gestión del riesgo operativo digital, sique con la prevención de incidentes mediante la resiliencia y acaba con la solución de los incidentes que sin duda acaecerán, a pesar de las medidas preventivas que se adopten. 

g) En la primera fase de gestión del riesgo operativo digital, las entidades financieras deben tener establecido un sistema global de gestión de riesgos, del que formará parte el subsistema de gestión del riesgo operativo digital (ROD), que reposa sobre un documento básico cual es el marco de gestión del riesgo relacionado con las TIC que debe reunir los requisitos de calidad exigidos por el DORA y ser gestionado eficientemente por el órgano de dirección de la entidad financiera. Ello requiere que las entidades financieras adopten las medidas siguientes: El establecimiento de un marco de gestión del riesgo operativo digital relacionado con las TIC que reúna los requisitos de calidad (adecuación, fiabilidad, capacidad y resiliencia) y de cantidad o contenido (estrategias, políticas, procedimientos, y protocolos y herramientas); la gobernanza y control del marco interno de gestión del ROD por el órgano de dirección de la entidad financiera; y la ejecución del marco de gestión del ROD mediante un proceso que consta de las fases siguientes: protección y prevención, detección de actividades anómalas, respuesta y recuperación, aprendizaje y evolución y comunicación.

h) La segunda fase de prevención de los incidentes operativos digitales descansa sobre las pruebas de resiliencia operativa digital que deben ajustarse a los programas de pruebas que deben cumplir dos tipos de requisitos: Los requisitos objetivos de las pruebas normales y avanzadas y los requisitos subjetivos de los probadores externos e internos.

i) La tercera fase de la solución de los incidentes operativos digitales se ordena en las siguientes actividades que deben realizar las entidades financieras: La detección de los incidentes operativos digitales; la clasificación de los incidentes operativos digitales y de las ciberamenazas; y la notificación de los incidentes operativos digitales y de las ciberamenazas a las autoridades competentes con un distinto alcance: La notificación obligatoria de los incidentes graves relacionados con las TIC y la notificación voluntaria de las ciberamenazas importantes.

j) DORA presta una atención especial a la gestión por las entidades financieras del riesgo operativo digital exógeno derivado de terceros estableciendo sus principios fundamentales (responsabilidad y proporcionalidad) y su plasmación en los contratos que las entidades financieras celebran con proveedores terceros de servicios de TIC que se proyecta en las fases precontractual, contractual y postcontractual o de extinción de la relación obligacional.

k)  El sistema de gestión del riesgo relacionado con las TICque establece DORA se cierra con su supervisión pública y la eventual sanción de sus infracciones por parte de las entidades financieras.

l) La supervisión del sistema de gestión del riesgo relacionado con las TICque establece DORA puede ser de dos tipos: En primer lugar, la supervisión privada por las propias entidades financieras o autosupervisión. En segundo lugar, la supervisión pública por las autoridades competentes se organiza en tres niveles: el de las Autoridades Europeas de Supervisión, a través del Comité Mixto, el del Foro de Supervisión y el del supervisor designado para cada proveedor tercero esencial de servicios de TIC quien tendrá atribuidas las tareas y las facultades de requerimiento,  de información y de inspección, sobre las entidades supervisadas radicadas dentro y fuera de la UE.

m) El régimen sancionador que establece DORA descansa sobre una relación jurídica de responsabilidad administrativa que se desarrolla en las tres fases siguientes: La supervisión, porque las autoridades competentes dispondrán de todas las facultades de supervisión, investigación y sanción necesarias para cumplir con sus obligaciones; la infracción, porque los Estados miembros de la UE deberán establecer normas que prevean sanciones administrativas y medidas correctoras adecuadas en caso de infracción del DORA y garantizarán su aplicación efectiva; y la sanción, porquelos Estados miembros de la UE deberán conferir a las autoridades competentes la facultad de aplicar las sanciones administrativas o medidas correctoras en caso de infracción del DORA para garantizar que las entidades financieras sigan cumpliendo los requisitos legales.

Para ilustrar a los asistentes sobre estos aspectos, indique los enlaces de las siguientes entradas de este blog El Blog de Alberto J. Tapia Hermida:

El Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA): Conferencias recientes impartidas sobre la materia ante su entrada en vigor el 17 de enero de 2025 (1)

El Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA): Conferencias recientes impartidas sobre la materia ante su entrada en vigor el 17 de enero de 2025 (2)

The 20 basic principles of the European Digital Operational Resilience of the Financial Sector Act (DORA)

DORA llega a España: La nueva Ley de los Mercados de Valores y de los Servicios de Inversión adapta el régimen de las empresas de servicios de inversión al Reglamento de la UE sobre la resiliencia operativa digital en el sector financiero (DORA)

DORA. Ley Europea de Resiliencia Operativa Digital del Sector Financiero. Reglamento (UE) 2022/2554 (1): Aspectos generales

DORA. Ley Europea de Resiliencia Operativa Digital del sector financiero. Reglamento (UE) 2022/2554 (2): Estructura

DORA. Ley Europea de Resiliencia Operativa Digital del sector financiero. Reglamento (UE) 2022/2554 (3): Funcionamiento

DORA. Ley Europea de Resiliencia Operativa Digital del sector financiero. Reglamento (UE) 2022/2554 (3): Funcionamiento (2)

3. ¿Qué papel juegan las nuevas tecnologías, como la inteligencia artificial, y el blockchain, en la mejora de la ciberseguridad seguridad en las relaciones financieras?

Centramos la respuesta a esta tercera pregunta en torno al Código de Buen Gobierno de la Ciberseguridad (CBGC) elaborado por el seno del Foro Nacional de Ciberseguridad y difundido por la CNMV el pasado día 13 de julio de 2023, del que dimos noticia en este blog, haciendo especial referencia a los dos aspectos siguientes:

a) La proyección del CBGC en la gobernanza societaria y en la diligencia debida empresarial en materia de sostenibilidad

Desde la perspectiva de la normativa mercantil de las sociedades de capital resulta particularmente relevante el impacto que puede tener este CBGC como parte del modelo de gobernanza societaria y de la diligencia debida empresarial en materia de sostenibilidad. En este último sentido, no en vano la Introducción a este CBGC señala: “A nivel nacional, el nuevo Esquema Nacional de Ciberseguridad, recogido en el Real Decreto 311/2021, menciona explícitamente la necesidad de seguir una dinámica de mejora continua y adaptativa de la ciberseguridad, que es parte cada vez más relevante del modelo de sostenibilidad del país, debido al impacto que puede generar, no solamente en la propia organización, sino también en sus empleados, proveedores, clientes y grupos de interés que puedan verse afectados por las actividades de la organización. Así mismo, el Real Decreto 43/20212 exige el nombramiento de un responsable de la seguridad de la información en las organizaciones que reporte directamente a la alta dirección y que mantenga la debida independencia respecto de los responsables de las redes y los sistemas de información”.

Sobre estas relaciones entre ciberseguridad y sostenibilidad en el ámbito empresarial es interesante tomar en consideración laPropuesta de Directiva sobre diligencia debida de las empresas en materia de sostenibilidad (Propuesta de Directiva del Parlamento Europeo y del Consejo sobre diligencia debida de las empresas en materia de sostenibilidad y por la que se modifica la Directiva (UE) 2019/1937 Bruselas 23.2.2022 / Ref. COM(2022) 71 final, 2022/0051 (COD), {SEC(2022) 95 final a la que nos referimos en la entrada de este blog de 31 de octubre de 2022 sobre “La diligencia debida empresarial en materia de sostenibilidad. La Propuesta de Directiva de 23 de febrero de 2022”).  

b) La proyección del CBGC en el mercado financiero

La CNMV aclara que: “aunque el Código no es un documento de la CNMV ni constituye una recomendación de la CNMV a las sociedades cotizadas, dado el interés que puede tener para ellas y el creciente nivel de riesgo de ciberataques, la CNMV difunde este nuevo código y contribuye a su conocimiento entre las cotizadas y entidades supervisadas” (ver la aclaración de la Nota de prensa de la CNMV de 13 de julio de 2023 sobre el “Nuevo Código de Buen Gobierno de la Ciberseguridad”).

Para ilustrar a los asistentes sobre estos aspectos, indique los enlaces de las siguientes entradas de este blog El Blog de Alberto J. Tapia Hermida:

Código de Buen Gobierno de la Ciberseguridad elaborado por el Foro Nacional de Ciberseguridad y difundido por la CNMV

Inteligencia Artificial Segura: Declaración Internacional de Bletchley de 1 de noviembre de 2023 sobre la Seguridad de la Inteligencia Artificial. Síntomas preocupantes de especulación y burbuja inversora

El Código de Conducta de la Inteligencia Artificial (CCIA) del G-7

Inteligencia Artificial Responsable. Dos documentos relevantes para su regulación: El Informe Hiroshima sobre la Inteligencia Artificial Generativa y el Proyecto internacional de principios rectores para las organizaciones que desarrollan sistemas avanzados de Inteligencia Artificial

La “tormenta perfecta” del fraude con criptoactivos: Alerta de la CNMV sobre ofrecimientos telefónicos fraudulentos de criptomonedas en su nombre

4. ¿Cuáles son los principales desafíos y preocupaciones éticas en torno al uso de la biometría en el ámbito financiero?

Centramos nuestra respuesta en un sector del mercado financiero, cual es el mercado asegurador porque la gestión y el riesgo del cálculo biométrico constituye la materia prima del seguro de personas y en particular del seguro de vida.

Por lo tanto, resulta esencial garantizar que las aseguradoras gestionan adecuadamente los datos biométricos de los asegurados desde dos puntos de vista:

a) Para garantizar la protección de los datos personales.

b) Para evitar los sesgos por sexo, raza u otros motivos.

Para ilustrar a los asistentes sobre estos aspectos, indique los enlaces de las siguientes entradas de este blog El Blog de Alberto J. Tapia Hermida:

Tecnoseguros (Insurtech) en Europa. Directrices de la Autoridad Europea de Seguros y Pensiones para la Jubilación (AESPJ/EIOPA) sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones (TIC) aplicables desde el 1 de julio de 2021

Riesgos y paradojas de los tecnoseguros (insurtech)

Novedades regulatorias en el mercado asegurador de la UE durante el COVID. Ciberseguridad de los seguros. Directrices de EIOPA sobre gobernanza y seguridad de la tecnología de la información y las comunicaciones de 8 de octubre de 2020

5. ¿Cómo pueden las organizaciones concienciar y formar a sus empleados y clientes para reconocer y evitar ciberataques de tipo phishing?

En general, las entidades financieras son responsables de que sus administradores, directivos y empleados tengan los conocimientos y experiencia adecuados en el ámbito financiero, que comprenden la formación en materia digital. Para lo anterior deben establecer mecanismos y unidades de compliance.

En particular, las entidades financieras deben establecer sistemas para reconocer y evitar ciberataques de tipo phishing.

Para ilustrar a los asistentes sobre estos aspectos, indique los enlaces de las siguientes entradas de este blog El Blog de Alberto J. Tapia Hermida:

Ciberseguridad institucional: “phishing” del dominio de la CNMV en época de la pandemia del COVID 19

Ciberseguridad institucional: “phishing” del dominio de la CNMV

6. ¿Cuáles son las consecuencias más significativas de una brecha de datos para una empresa en el sector financiero, tanto en términos de reputación como de responsabilidad legal?

Las brechas de datos y los siniestros de ciberseguridad implican para las entidades financieras tres consecuencias negativas principales:

a) El daño reputacional que es especialmente relevante en el sector financiero (no en vano los bancos se llaman entidades de crédito).

b) El daño competencial porque en el sector financiero los datos de la clientela constituyen el activo más valioso para competir.

c) La responsabilidad civil profesional porque a las entidades financieras se les aplica el principio del qui prodest, esto es, ¿a quién beneficia? Porque los tribunales obligan a pagar a los bancos las pérdidas sufridas por sus clientes derivadas de ciberataques partiendo de la base de que son los bancos quienes se benefician del negocio financiero.

Para ilustrar a los asistentes sobre estos aspectos, indique los enlaces de las siguientes entradas de este blog El Blog de Alberto J. Tapia Hermida:

Ciberseguridad financiera, responsabilidad civil y seguro: Ponencia en el Congreso jurídico del ICA de Málaga el 29 de octubre de 2021

FINTECH, ciberseguridad, manipulaciones de dominios de internet,  “pishing” y responsabilidad bancaria: Jurisprudencia civil y penal reciente

Captura de los datos de un cliente (“phishing”), cargos fraudulentos en su cuenta bancaria y responsabilidad del banco por los daños causados: decisiones judiciales recientes y relevantes