Riesgo operacional y ciberresiliencia en la banca europea
Análisis OFT – 5 / 2024
Fecha: 12 noviembre 2024
Riesgo operacional en el sector bancario
El riesgo operacional en el sector bancario, referido a las eventuales pérdidas derivadas de fallos en los procesos internos, sistemas, personas o eventos externos, está cobrando relevancia en un contexto cada vez más digital y tecnológicamente avanzado. La transformación digital, si bien ofrece ventajas competitivas y mejoras en eficiencia, también expone a los bancos a nuevos tipos de amenazas, como el fraude digital y las vulnerabilidades de ciberseguridad. Las implicaciones de estos riesgos pueden ser graves, afectando la reputación, la confianza del cliente y la estabilidad financiera del banco, además de traer sanciones regulatorias y elevadas pérdidas económicas. Por ello, el sector bancario europeo en su conjunto ya está invirtiendo para desarrollar una robusta gestión de sus riesgos operacionales. Hoy en día, es clave que todas las entidades tengan diseñadas medidas de prevención, monitorización y un plan de acción de rápida ejecución ante eventos que puedan afectar a su operativa.
Principales determinantes del riesgo operacional a ojos del sector bancario europeo
La Autoridad Bancaria Europea (EBA, por sus siglas en inglés) hace un seguimiento continuado de cuáles son los principales determinantes, según los bancos europeos, del riesgo operacional. El gráfico 1 recoge el porcentaje de bancos europeos encuestados que consideran que los siguientes eventos tienen un impacto relevante en el riesgo operacional de las entidades bancarias. En el último cuestionario publicado (marzo de 2024), el riesgo cibernético y la seguridad de los datos aparece, con diferencia, como el principal determinante del riesgo operacional para los bancos europeos (77,6%). En total, cerca de 8 de cada 10 bancos europeos consideran que el riesgo cibernético es clave en el perfil de riesgo operacional de las entidades. Según la EBA, los avances tecnológicos, con una creciente sofisticación, una mayor dependencia de las soluciones digitales, pero también las crecientes capacidades de los ciberdelincuentes, pueden explicar por qué los bancos están cada vez más preocupados por estos incidentes. De manera relacionada, el 32,8% de los bancos encuestados también señalan los fallos derivados del uso de las tecnologías como un factor principal del riesgo operacional. Estos problemas tecnológicos pueden afectar a las capacidades operativas de las entidades financieras a la hora de proporcionar funciones y servicios críticos e importantes, lo que en última instancia podría afectar a la estabilidad financiera.
Gráfico 1. Determinantes del riesgo operacional (% de bancos europeos encuestados que responden afirmativamente). Marzo 2024.
Fuente: EBA Risk Assessment Questionnaire y elaboración propia.
¿En qué se materializa el riesgo operacional?
El gráfico 2 analiza los principales servicios que se ven afectados cuando se materializa el riesgo operacional medido por los millones de horas de indisponibilidad del servicio para los clientes afectados. Como puede observarse, según estos datos, para el conjunto del sector bancario europeo, el mayor impacto negativo se registra en las aplicaciones de banca electrónica y banca móvil, con 293 millones y 193 millones de horas de indisponibilidad de clientes, respectivamente. En un segundo plano aparecen otros servicios afectados como el uso de los cajeros automáticos (141 millones de horas), pagos en puntos de venta (124 millones de horas) y el comercio electrónico (108 millones de horas). Las interrupciones de estos servicios generan importantes implicaciones para el sector bancario. La indisponibilidad de servicios críticos como la banca móvil y digital afecta directamente la experiencia del cliente, generando insatisfacción y reduciendo la confianza en la entidad bancaria, lo que puede llevar a la pérdida de clientes en favor de competidores con mejores recursos operativos. Además, las interrupciones en cajeros automáticos, pagos en puntos de venta y comercio electrónico no solamente impactan en la comodidad del usuario final, sino también el flujo de transacciones diarias, generando pérdidas económicas tanto para el banco como para los comerciantes. En total, según las cifras aportadas por la EBA, el total de las pérdidas asociadas a los riesgos operacionales puede suponer entre el 1% y 1,5% del capital ordinario 1 (CET1, por sus siglas en inglés) de muchas entidades financieras europeas.
Gráfico 2. Tipo de servicio afectado por riesgos operacionales (millones de horas de los clientes afectados)
Fuente: EBA Risk Assessment Questionnaire y elaboración propia.
La llegada de DORA: enero de 2025
La normativa DORA (Digital Operational Resilience Act) pretende desempeñar un papel crucial en la gestión del riesgo operacional en la banca europea. Su objetivo es fortalecer la resiliencia operativa de las instituciones financieras frente a los crecientes riesgos digitales, exigiendo a las entidades bancarias y otros actores financieros que establezcan y mantengan sistemas robustos para prevenir, detectar, gestionar y recuperarse de incidentes cibernéticos y tecnológicos. El conjunto de normas establecidas por DORA, que entró en vigor el 16 de enero de 2023, será de obligado cumplimiento a partir del 17 de enero de 2025. A medida que se acerca esta fecha, los bancos europeos intensifican sus esfuerzos para cumplir con toda la normativa.