El BCE sanciona a Abanca con 3,15 millones de euros por un incidente cibernético grave

El Banco Central Europeo (BCE) ha impuesto a la entidad financiera gallega Abanca una sanción administrativa de 3,15 millones de euros por no haber comunicado un incidente cibernético significativo en el plazo estipulado.

El BCE informó de la sanción a Abanca, al considerar que el banco no informó «a sabiendas» de un incidente de 2019 dentro de las dos horas posteriores a la detección del mismo, lo que consideró un hecho «grave».

Según indica el Banco Central Europeo, en febrero de 2019 Abanca fue objeto de un ciberataque con software malicioso que infectó sus sistemas informáticos.

De acuerdo con la información del BCE, Abanca respondió al ataque suspendiendo temporalmente los servicios de banca móvil e Internet, los servicios de cajeros automáticos y los servicios de pago SWIFT, entre otras medidas.

«A pesar de ser consciente de su obligación de informar y de la importancia del incidente cibernético, el banco presentó el informe requerido sobre el incidente 46 horas después de la fecha límite establecida», asegura el BCE, que considera que esta «omisión» por parte del banco gallego «obstaculizó la capacidad» de la institución europea «para evaluar adecuadamente la situación prudencial de Abanca y reaccionar de manera oportuna ante posibles amenazas a otros bancos».

Para el BCE, esa falta de diligencia de Abanca «podría haber tenido consecuencias potenciales sobre la reputación y la estabilidad del sector bancario en su conjunto».

La sanción a Abanca, tal y como apunta el banco central, se debe «únicamente al incumplimiento» de su obligación de informar del incidente, ya que la entidad gallega «atendió» con rapidez «los efectos del ciber incidente en el momento en que ocurrió».

El BCE aplicó su guía sobre el método para fijar sanciones administrativas y consideró la negligencia de Abanca como grave, el tercer nivel de los cinco de la escala que contempla la entidad europea.

En un comunicado, Abanca precisa sus clientes «no sufrieron pérdidas económicas ni de información» como consecuencia del ciberataque, y recuerda que la sanción «se refiere exclusivamente a los tiempos de comunicación del incidente» al BCE y «no tiene que ver ni con la manera en que el banco gestionó» el caso, «ni con sus sistemas de seguridad».

Además, advierte de que «el BCE reconoce que Abanca no tuvo intención de ocultar el incidente de ciberseguridad y constata la colaboración de la entidad en el proceso».

La decisión del BCE es recurrible ante el Tribunal de Justicia de la Unión Europea y Abanca está «analizando la posibilidad» de presentar el correspondiente recurso.