El riesgo cibernético y la seguridad de los datos siguen siendo, con diferencia, los factores más destacados del riesgo operativo para los bancos a medida que continúa la transformación digital, según señala el último informe de evaluación de riesgos de la Autoridad Bancaria Europea (EBA), que alerta del constante incremento en el porcentaje de entidades que reconocen haber sido víctimas de ciberataques exitosos.
En su informe, la EBA apunta que la suma de avances tecnológicos, junto con una mayor sofisticación de las TIC, así como la creciente dependencia de las soluciones digitales, además de las crecientes capacidades de los ciberdelincuentes, que podrían encontrar incluso más apoyo en la IA, "han dado lugar a una mayor exposición a riesgos para los bancos", incluida la vulnerabilidad a sofisticados ataques de ciberseguridad.
En este sentido, el 38% de los encuestados en el informe de la EBA también señalan las fallos de las tecnologías de la información como el principal factor del riesgo operativo, puesto que estos fallos TIC y los incidentes cibernéticos pueden afectar las capacidades operativas de las entidades financieras para proporcionar funciones y servicios críticos e importantes, "lo que en última instancia podría afectar la estabilidad financiera".
La institución liderada por el español José Manuel Campa avisa de que un síntoma de la materialización de riesgos elevados es que más de la mitad de los bancos señalaron en sus respuestas que habían sido víctimas de al menos un ciberataque exitoso en la segunda mitad de 2023.
En este sentido, el porcentaje de bancos que han sido víctimas de hasta diez ciberataques exitosos "aumentó constantemente desde 2022", hasta el 48% en la actualidad, mientras que el porcentaje de bancos que fueron víctimas de más de 10 ciberataques se mantuvo estable.
Asimismo, si bien el volumen y la frecuencia de los ciberataques como tales son incesantemente altos, un porcentaje cada vez mayor de bancos (27% en comparación con el 11% hace un año) se enfrentaron al menos a un ataque exitoso que resultó en un incidente importante real relacionado con las TIC.
"Estas cifras indican que el alcance, la sofisticación y el impacto de los ciberataques exitosos en todo el sistema bancario han aumentado aún más a pesar de mayores inversiones en infraestructuras de seguridad de TIC", resume la EBA.
Por otro lado, los datos disponibles también indican una alta frecuencia continua de incidentes cibernéticos que afectan al sector financiero.
A este respecto, recuerda que el Fondo Monetario Internacional (FMI) advierte que las instituciones financieras están excepcionalmente expuestas al riesgo cibernético y el riesgo de pérdidas extremas por incidentes cibernéticos está aumentando, con una estimación de unos 2.500 millones de dólares (2.326 millones de euros) para 2023, cuadruplicando la estimación de 2017.
De este modo, la EBA considera que la alta vulnerabilidad a los ciberataques pone de relieve la relevancia de acometer mayores inversiones en TIC y en seguridad relacionada, sobre todo a medida que la digitalización y el uso de las TIC se expande.
"Es necesario un mayor esfuerzo por parte de los bancos para gestionar y abordar los riesgos de seguridad de las TIC", asegura, recordando que, en respuesta al creciente riesgo de ciberataques y amenazas, la Ley de Resiliencia Operativa Digital (DORA) se aplicará a partir de 2025, con el objetivo de establecer un marco integral sobre resiliencia operativa digital para las entidades financieras de la UE.
BLANQUEO.
Por otro lado, el informe de riesgos de la EBA reconoce que el elevado número de casos de blanqueo de capitales y financiación del terrorismo que involucran a bancos europeos en los últimos años "ha causado un daño sustancial a la reputación del sistema bancario" y socava la integridad del sector bancario de la UE/EEE.
De tal manera, el pasado abril se adoptó con la aprobación del Parlamento Europeo un paquete legislativo integral para abordar estos riesgos y fortalecer el marco jurídico e institucional de la UE en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo.
Al mismo tiempo, la propia EBA ha seguido abordando los riesgos relacionados con el lavado de dinero y la financiación del terrorismo a través de regulaciones, incluidas directrices sobre políticas, procedimientos y controles internos para garantizar la implementación de medidas restrictivas nacionales y de la UE, así como sobre la información que acompaña a las transferencias de criptoactivos y fondos.
Sin embargo, los resultados de la evaluación sugieren que los bancos parecen atribuir una importancia cada vez menor al riesgo de blanqueo y financiación del terrorismo, con un 13% de acuerdo en que es el principal impulsor del riesgo operativo, frente al 18% en otoño de 2023.
De su lado, los riesgos relacionados con la implementación de medidas restrictivas en relación con la guerra en Ucrania siguen siendo una prioridad para los bancos y e informe apunta que los riesgos relacionados con las transacciones de los clientes recibidas o enviadas a jurisdicciones sujetas a sanciones internacionales siguen siendo el riesgo de delitos financieros más relevante para los bancos, aunque con una tendencia a la baja.