La ciberseguridad llega a los tribunales y se convierte en una nueva obligación
La ciberseguridad ya no es solo un sistema para evitar los ataques de los ciberdelincuentes a las empresas. La seguridad de los sistemas empieza a ser un asunto tan importante que las compañías comienzan a pedir a sus proveedores las máximas garantías, y están dispuestas a llegar hasta los tribunales si consideran que su falta de sistemas de seguridad pone en riesgo a sus clientes, a la empresa o a sus negocios. Nace así una nueva responsabilidad.
En Estados Unidos se han planteado ya los primeros procedimientos judiciales donde la ciberseguridad es la protagonista. En mayo, un juez federal obligó a Capital One a reportar un incidente de seguridad de uno de sus proveedores. El asunto ha dado lugar a una demanda colectiva derivada de una fuga de información masiva.
Así es cómo la entidad Credit Union demanda Fiserv, una de las mayores compañías de fintech del mundo, por su falta de compromiso con las obligaciones de ciberseguridad. Este proceso se convierte así en una prueba de concepto para las obligaciones legales a las que están sujetas las grandes firmas financieras a la hora de proteger los datos y la información de clientes.
La demandante de este caso argumenta que la fintech en lugar de abordar los problemas actualizando su seguridad, continuó utilizando sistemas y soluciones obsoletas aún después de que se le reportaran vulnerabilidades identificadas en aquellas. Esta es una de las cuestiones más controvertidas en el sector de las empresas cuando se trata de la seguridad de su información.
De hecho, la demandante afirma que la plataforma que dicho proveedor ofrecía estaba "tan llena de vulnerabilidades que expuso a la entidad financiera a posibles robos de datos y suplantaciones de identidad".
Fuerte indemnización
Además, el banco acusa a la empresa proveedora de servicios fintech de utilizar como argumento publicitario, en su página web, el de ofrecer a sus clientes una protección amplia contra ciberamenazas cuando, a juicio de Credit Union, esto no es así.
La entidad bancaria reclama una indemnización por, entre otras, incumplimiento de contrato y apropiación de secretos empresariales. El juez del caso, en una instancia previa, ya había desestimado las acusaciones por negligencia y competencia desleal.
"La ciberseguridad hace tiempo que ha dejado de ser un riesgo tecnológico para convertirse en un riesgo de negocio", apunta Francisco Pérez Bes, socio de Ecix Group y exsecretario general del Incibe
Tal y como apuntan los expertos a nivel jurídico, este asunto abre la reflexión sobre la importancia que tiene, para las entidades del sector financiero, que la ciberseguridad y la confianza son una prioridad. Y que la falta de medidas técnicas y organizativas, dirigidas a proteger la seguridad de la información por parte de los proveedores tecnológicos puede provocar incuantificables pérdidas económicas, así como un daño reputacional irreparable.
Francisco Pérez Bes, antiguo secretario general del Instituto Nacional de Ciberseguridad (Incibe) y actual socio de Derecho digital en Ecix Group, destaca que "la ciberseguridad hace tiempo que ha dejado de ser un riesgo tecnológico para convertirse en un riesgo de negocio, donde la toma de decisiones adecuadas en materia de ciberseguridad es exigible a los administradores de la compañía, pues garantizar la continuidad de negocio es su responsabilidad". En España, matiza, "al sector financiero le resulta de aplicación normativa europea sobre protección de sistemas y redes de información, y sobre protección de datos, que obliga a estas instituciones a implementar medidas técnicas y organizativas eficaces para evitar ciberataques o, en su defecto, minimizar su impacto.
Riesgo en proveedores
Pero, aunque los bancos invierten mucho en garantizar su ciberseguridad, en muchas ocasiones el riesgo está en los proveedores, que son empresas más pequeñas cuyo nivel de protección no siempre es el adecuado. De ahí que sea fundamental para cualquier empresa contar con lo que denominamos third party compliance".
Pérez Bes añade que "la Comisión Europea está en fase de aprobación de una nueva Directiva que permitiría a los consumidores afectados por una fuga de datos, presentar demandas colectivas y exigir indemnizaciones contra la empresa hackeada cuando esta no hubiera implantado medidas de ciberseguridad eficaces que garanticen una custodia diligente de la información".
Y, por otra parte, Francisco Pérez Bes añade, además, que "la Directiva europea de whistleblowing también exige que las grandes empresas habiliten un canal interno de denuncias a través del cual los propios empleados puedan denunciar brechas de seguridad o fallos de los sistemas".
Extraído de: