Tu banco ya no podrá guardar secretos sobre ciberataques: llega la ley europea que lo cambia todo

Tu banco ya no podrá guardar secretos sobre ciberataques: llega la ley europea que lo cambia todo

La Ley DORA (por sus siglas en inglés, Digital Operational Resilience Act) entra hoy en vigor en la Unión Europea, obligando a todo el sector financiero a reforzar su protección frente a ciberataques y estableciendo un marco común de respuesta ante incidentes digitales que afecten a los clientes.

Por qué es importante. Los ciberataques al sector financiero han crecido exponencialmente en los últimos años, poniendo en riesgo la operativa de bancos y aseguradoras... y también el dinero y los datos de sus clientes.

La situación actual. "Es un reglamento que entra en vigor después de dos años de período de adaptación, durante los cuales las entidades financieras han tenido que prepararse para cumplir todos sus requisitos", explica a Xataka Ingrid González, mánager en el área de derecho digital y protección de datos del despacho de abogados Ceca Magán.

Aunque la entrada en vigor fue hace dos años, el 16 de enero de 2023, se dio el habitual período de adaptación de dos años. Terminó ayer, así que hoy pasa a ser de plena aplicación.

Los ciberataques apuntan contra el IBEX 35: millones de datos de clientes de Iberdrola y el Santander se venden en la Dark Web
En Xataka
Los ciberataques apuntan contra el IBEX 35: millones de datos de clientes de Iberdrola y el Santander se venden en la Dark Web

El contexto. Los bancos y aseguradoras dependen por completo de sistemas informáticos para sus operaciones. Un ciberataque exitoso no solo paraliza sus servicios, también compromete el dinero, los datos personales y la información bancaria de sus clientes.

En detalle. La nueva normativa fija cuatro pilares:

  1. Obliga a las entidades financieras a reforzar sus sistemas de protección.
  2. Establece protocolos de notificación estrictos cuando se produce un incidente.
  3. Exige pruebas rutinarias de resistencia ante ataques.
  4. Impone controles sobre los proveedores tecnológicos externos.
Ingrid

Si bien el reglamento no especifica compensaciones directas en caso de ciberataque, sí establece un marco más protector.

"Dependerá de cuál sea la afección real por la que luego un ciudadano de a pie pueda iniciar un procedimiento por el que vea resarcidos los daños que ha podido sufrir", señala González.

La abogada detalla que, en caso de incidente, el cliente tendrá diferentes vías según el tipo de ataque sufrido: "Si estamos hablando de un incidente que afecta a datos personales, iremos a la normativa de protección de datos. Si afecta a criptoactivos, tendremos que ir a la regulación MICA. Si tiene un enfoque en el sector financiero tradicional, iremos a toda la normativa del sector financiero".

La Gen Z tiene que aprender algo que los más mayores ya saben: el banco nunca nos pedirá contraseñas por WhatsApp
En Xataka
La Gen Z tiene que aprender algo que los más mayores ya saben: el banco nunca nos pedirá contraseñas por WhatsApp

Entre líneas. La nueva ley no establece un sistema único de compensaciones, pero sí obliga a las entidades a ser mucho más transparentes cuando sufran un ataque.

"Es un reglamento que establece una norma de máximos. La directriz está indicada a lo que se debe hacer, no tanto a lo que pasa en caso de que no se cumpla", aclara González, quien subraya que el marco de sanciones es "muy amplio" e incluye desde sanciones administrativas hasta "reclamaciones civiles" por parte de los afectados.

¿Qué significa esto en la práctica? El reglamento exige a los bancos:

  • Informar a sus clientes "sin demora indebida" cuando sufran un ciberataque que afecte a sus intereses financieros.
  • Mantener un registro detallado de todos los incidentes, que podrá ser usado luego como prueba en posibles reclamaciones.
  • Comunicar a las autoridades cualquier incidente grave en un plazo que se establecerá en los próximos meses.

Profundiza. La normativa no solo afecta a bancos tradicionales, sino a todo el sector financiero: desde aseguradoras hasta plataformas de inversión, pasando por empresas de criptomonedas.

Según un informe de la JERS (Junta Europea de Riesgo Sistémico) que cita el reglamento, un solo ciberataque exitoso puede propagarse rápidamente desde cualquiera de las aproximadamente 22.000 entidades financieras de la Unión hacia todo el sistema financiero.

Punto de inflexión. Es la primera vez que Europa establece un marco común tan concreto para proteger al sector financiero –y por extensión, a sus clientes– de las amenazas digitales. Y además, establece un sistema de sanciones para las entidades que no lo cumplan.

En Xataka | Poco a poco y en silencio, Madrid se está llenando de cámaras IA diseñadas para una cosa: reconocerte la cara

Imagen destacada | Eduardo Soares en Unsplash

-
La noticia Tu banco ya no podrá guardar secretos sobre ciberataques: llega la ley europea que lo cambia todo fue publicada originalmente en Xataka por Javier Lacort .




Fuente: Xataka
Enlace: Tu banco ya no podrá guardar secretos sobre ciberataques: llega la ley europea que lo cambia todo

Comentarios

Publicar un comentario