El BCE multa con 3,1 millones a Abanca por no informar a tiempo de un ciberataque
El caso se remonta a un episodio vivido en 2019 El banco gallego aclara que no sufrieron pérdidas económicas ni de información
El Banco Central Europeo (BCE) multado con 3,145 millones de euros a Abanca por no haber informado en los plazos establecidos de que había sufrido un ciberataque. De acuerdo con las normas del supervisor, los bancos deben informar de los ciberataques en un plazo máximo de dos horas tras tener conocimiento de que se han producido.
En concreto, Abanca fue objetivo de un ciberataque a sus sistemas informáticos en febrero de 2019 que provocó que se infectaran con un 'software' malicioso. En respuesta, Abanca suspendió todos los servicios bancarios de Internet y móvil, así como los servicios en cajeros y los servicios de pagos vía Swift. La entidad tuvo conocimiento de este incidente el 26 de febrero de 2019, pero no remitió el informe del incidente hasta que pasaron 46 horas de la fecha límite.
"La omisión del banco afectó a la capacidad del BCE de valorar apropiadamente la situación prudencial de Abanca y de reaccionar a tiempo a otras posibles amenazas a otros bancos, lo que podría haber tenido consecuencias potenciales en la reputación y la estabilidad del sector bancario en su conjunto", ha indicado el BCE en un comunicado.
No obstante, la rama de supervisión bancaria del BCE ha reconocido que Abanca atajó rápidamente los efectos del incidente, por lo que la multa únicamente refleja que se rompiera la obligación de informar en un plazo de dos horas. El BCE ha subrayado que esta multa no contempla ninguna valoración de la solidez de los sistemas informáticos de Abanca.
De hecho, en un comunicado difundido tras conocerse la multa, Abanca incide en que la sanción no tiene que ver ni con la manera en que el banco gestionó el incidente, ni con sus sistemas de seguridad, ni con los efectos sobre los clientes, "que no sufrieron pérdidas económicas ni de información". Además, explica que el BCE reconoce que Abanca no tuvo intención de ocultar el incidente de ciberseguridad y constata la colaboración de la entidad durante el proceso.
La entidad que preside Juan Carlos Escotet está analizando la posibilidad de presentar un recurso ante Tribunal General de Luxemburgo en relación con la sanción del BCE.