Banca pide al regulador precisar la información que exigirá en casos de ciberataques

Banca pide al regulador precisar la información que exigirá en casos de ciberataques

La circular publicada el viernes por la Superintendencia de Bancos e Instituciones Financieras (SBIF) generó sensaciones encontradas en la industria y fue uno de los temas que estuvo presente en las conversaciones de pasillo en la primera jornada del Chile Day.

‘Todas las medidas que vayan en pos de la seguridad de los clientes son bienvenidas’, destaca Segismundo Schulin-Zeuthen, presidente de la Asociación de Bancos (ABIF). Sin embargo, en la banca no quedó del todo claro el alcance de la circular, que apunta a que las instituciones que sufren ataques informáticos reporten los hechos al regulador y compartan la información a los demás bancos para evitar eventuales ‘contagios’ que pongan en riesgo al sistema. ‘Medidas bastante generales aún y hay que precisarlas.

Hay que priorizar qué información (se va a compartir) porque, por un lado, es un activo importante, y por otro, dado que hay miles de intentos diarios de ataque, la SBIF se va a llenar de información y la duda es qué va a hacer con esa información’, advierte Schulin-Zeuthen. El líder del gremio destaca las medidas que han tomado los bancos, como la creación de una Fuerza de Tarea Virtual —que opera desde 2017 con apoyo de expertos británicos— que operó, por ejemplo, ante el robo que sufrió el Banco de Chile en mayo. La inquietud de la industria ha sido planteada al superintendente Mario Farren:

‘No sabemos bien en qué está pensando la SBIF, pero le informamos cada vez que se junta esta Fuerza de Tarea Virtual y lo que está haciendo; no sé si quiere más información’. Según fuentes que están al tanto de estos diálogos, la idea de la SBIF es presionar a la industria a proponer cuáles son los datos que están disponibles a poner en común ante estos episodios. En general, el regulador está trabajando en tres líneas principales. La primera, es la obligatoriedad para la industria de reportar oportunamente cada vez que sufra lo que se denomina un ‘incidente’, es decir, cada vez que un ataque tiene éxito en sustraer información o dinero de los clientes o de la propia institución que es víctima; esto, con el objetivo de encender las alarmas de manera temprana en el sistema.

La segunda es informar la estadística general de cuántos ataques, exitosos o no, sufren. Esto, según la información que manejan las fuentes de la industria, tendría el objetivo de ir detectando cuáles son las áreas que van cobrando ‘favoritismo’ para los ciberdelincuentes. La tercera, que es la que más preocupa a la industria, es la información que deberán compartir con sus competidores en caso de sufrir un ciberataque. La idea sería ir precisándolo en un plazo no superior a tres meses, en diálogo con la banca. (El Mercurio)