El Gobierno endurece la normativa para evitar episodios como la caída de Redsys 

• Exigirá a todos los operadores que intervienen en los pagos gestionar riesgos tecnológicos
• El Banco de España supervisará que cumplen con requerimientos que ya obligan a la banca

El Gobierno endurece la normativa para evitar una repetición de problemas como los ocasionados con la caída de Redsys que dejó inoperativos los cajeros automáticos e impidió pagar con tarjetas y Bizum. Aprovechando la “ley ómnibus” con las medidas anticrisis, modifica la regulación para extender a todos los operadores que intervienen en las transacciones de pagos parte de las obligaciones que impondrá un reglamento europeo al conjunto del sistema financiero para garantizar su resiliencia frente a los riesgos tecnológicos y cibernéticos.

El real decreto ley aprobado por el Consejo de Ministros establece, en particular, que todos (entidades financieras o tecnológicas) deberán i deberán identificar y gestionar todas las fuentes de riesgo relacionadas con las tecnologías de la información y comunicación (TIC).

A tal efecto, las entidades deberán implementar las medidas necesarias y el Banco de España dispondrá de todas las facultades que prevé la normativa aplicable para llevar a cabo la supervisión del cumplimiento de estas obligaciones y sancionar en caso de incumplimiento.

El nuevo nuevo Reglamento Europeo de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) que entrará en vigor en 2025 obliga a todas las entidades financieras (bancos, aseguradoras, gestoras, entidades de pagos, etc.) a realizar una gestión activa de los riesgos tecnológicos. En virtud del mismo deberán evaluar sus potenciales vulnerabilidades y exigirá a las entidades evidencias de que han realizado tal cometido, mantienen un control permanente sobre ellas y disponen además de planes de contingencias para resolverlas.

Su entrada en vigor supondrá un cambio, incluso, en la gerencia ya que responsabiliza a las cúpulas de las entidades y a sus consejos de administración de la gestión de estos riesgos y de que la tarea permea hasta el último rincón de la organización y negocios afectados. Para gestionar el riesgo digital, las entidades deberán establecer controles en toda la cadena operativa y de suministro, incluyendo a sus proveedores de servicios y las subcontratas.

La normativa europea exige, en la práctica, a las entidades financieras que garanticen que pueden soportar, remediar y recuperarse de cualquier incidencia o problema tecnológico, incluida la caída de sistemas o proveedores o un ataque exterior contra sus sistemas, comunicaciones e información. La intención es evitar y prevenir que ocurra o, en caso, de materializarse limitar el perjuicio.

Economía lleva la ley del sector financiero a otros operadores

La normativa adoptada ahora por el Gobierno va dirigida a otros agentes (financieros o tecnológicos) que intervienen en los pagos y no estaría obligados directamente por el reglamento DORA, y lo hace aprovechado la posibilidad que abre precisamente dicha citada regulación europea a los estados miembros.

Las medidas contenidas en el real decreto ley obligarán, según su redactado, a “los operadores de sistemas de pago, los operadores de esquemas de pago, los operadores de acuerdos de pago electrónico, los procesadores de pagos y otros proveedores de servicios tecnológicos o técnicos que presten servicios en España”. Deberán cumplir, en concreto, con las obligaciones establecidas en el capítulo II del Reglamento DORA, relativo a los citados riesgos relacionadas con las tecnologías de la información y comunicación (TIC).

“En la actualidad, los operadores de sistemas, esquemas o acuerdos de pago, los procesadores de pagos y otros proveedores de servicios técnicos en el sistema de pagos en sentido amplio no están obligados directamente por ninguna previsión legal que garantice su óptima gestión de las nuevas tecnologías de información y de la comunicación. Tampoco quedan sujetos directamente a la supervisión, inspección o sanción de ninguna autoridad nacional”, explica el real decreto ley aprobado por el Consejo de Ministros.

En su exposición de motivos relata que enmienda esta situación porque, “de no tomarse estas medidas con carácter urgente, la confianza de los ciudadanos en el sistema de pagos podría verse comprometida, lo cual tendría consecuencias indeseadas para nuestra economía y nuestra sociedad”.

Persigue, de acuerdo a su explicaciones, “garantizar que los flujos de liquidez entre los distintos agentes económicos pueden trasladarse e intercambiarse entre ellos sin fallos ni demoras indebidas, contribuyendo así al desarrollo económico y la generación de riqueza” y “garantizar el bienestar de las personas, que interactúan permanentemente con el sistema de pagos, con mayor o menor intensidad, en sus distintas facetas de trabajadores, emprendedores, consumidores o clientes”.