El BCE sanciona con 3,1 millones a Abanca por no informar a tiempo de un ciberataque
La entidad aclara que la sanción no tiene que ver ni con la manera en que el banco gestionó el incidente, ni con sus sistemas de seguridad, ni con los efectos sobre los clientes, que no sufrieron pérdidas económicas ni de información
Oficina de Abanca
El Banco Central Europeo ha decidido sancionar con 3,145 millones de euros a Abanca por no haber informado en los plazos establecidos de que había sufrido un ciberataque, según ha informado la autoridad supervisora en un comunicado este viernes.
De acuerdo con las normas del BCE, los bancos deben informar de los ciberataques en un plazo máximo de dos horas tras tener conocimiento de que se han producido.
En concreto, Abanca fue objetivo de un ciberataque a sus sistemas informáticos en febrero de 2019 que provocó que se infectaran con un ‘software’ malicioso. En respuesta, Abanca suspendió todos los servicios bancarios de Internet y móvil, así como los servicios en cajeros y los servicios de pagos vía Swift.
Abanca tuvo conocimiento de este incidente el 26 de febrero de 2019, pero no remitió el informe del incidente hasta que pasaron 46 horas de la fecha límite.
«La omisión del banco afectó a la capacidad del BCE de valorar apropiadamente la situación prudencial de Abanca y de reaccionar a tiempo a otras posibles amenazas a otros bancos, lo que podría haber tenido consecuencias potenciales en la reputación y la estabilidad del sector bancario en su conjunto», ha indicado el BCE.
No obstante, la rama de supervisión bancaria del BCE ha reconocido que Abanca atajó rápidamente los efectos del incidente, por lo que la multa únicamente refleja que se rompiera la obligación de informar en un plazo de dos horas. El BCE ha subrayado que esta multa no contempla ninguna valoración de la solidez de los sistemas informáticos de Abanca. La entidad española tiene la opción de recurrir esta sanción ante el Tribunal de Justicia de la Unión Europea.
Versión de Abanca
Según ha explicado la entidad, “la sanción se refiere exclusivamente a los tiempos de la comunicación del incidente por parte de Abanca al BCE».
«La sanción no tiene que ver ni con la manera en que el banco gestionó el incidente, ni con sus sistemas de seguridad, ni con los efectos sobre los clientes (que no sufrieron pérdidas económicas ni de información)», explican desde la compañía.
El BCE reconoce que «Abanca no tuvo intención de ocultar el incidente de ciberseguridad y constata la colaboración de la entidad durante el proceso». Con todo ello, Abanca está analizando la posibilidad de presentar un recurso ante Tribunal General de Luxemburgo en relación con la sanción del BCE.
