Hoy viernes, 17 de enero, ha comenzado la obligatoriedad para las empresas del sector financiero de cumplir con el reglamento DORA (Digital Operational Resilience Act). La Ley afecta a 20 tipos diferentes de entidades financieras, desde entidades bancarias a compañías de seguros, gestoras de fondos o sociedades de valores, entre otras, y proveedores de servicios TIC a terceros. El objetivo es reforzar la seguridad informática de estas entidades y garantizar que el sector financiero europeo sea capaz de mantener su resistencia en caso de interrupción grave de las operaciones.
Esta es la última de las legislaciones a las que tiene que hacer frente el sector financiero, que se suma a los importantes desafíos a los que se enfrenta esta industria en Europa, como la creciente adopción de métodos de pago digitales, los pagos instantáneos en SEPA y el incremento en el uso de la IA y la IA Generativa para poder hacer frente a todos ellos y que supone un reto en sí mismo, según el análisis de Ricardo Ferreira, CISO para EMEA de Fortinet.
El impulso de los pagos instantáneos
La demanda de pagos instantáneos ha crecido en los últimos cinco años y con ella el desarrollo de una moderna infraestructura mundial para poder soportarlos. Este desarrollo, impulsado por la demanda de los consumidores, los cambios normativos e iniciativas como la SEPA (Zona Única de Pagos en Euros) en la Unión Europea generan una serie de retos para los bancos y otras instituciones financieras. Estas organizaciones deben estar preparadas para gestionar un volumen creciente de pagos de forma eficaz, rentable y segura. En la UE, se prevé que entre 2023 y 2028, el volumen de pagos instantáneos crezca un 50% anualmente, de unos 3.000 millones a casi 30.000 millones en 2028.
Para hacer frente a esa demanda, los bancos deben desplegar soluciones de IA escalables sin comprometer la seguridad. A partir de este mes de enero, los bancos europeos y los cubiertos por la SEPA deberán cumplir nuevos requisitos para recibir pagos instantáneos y, a partir del 9 de octubre de este mismo año, enviar transferencias en 10 segundos.
Para alcanzar estos objetivos se necesitará una base tecnológica segura y moderna, pero muchas instituciones financieras de toda Europa aún no están preparadas, defiende Ferreira. Según el World Payments de Capgemini para 2025, sólo el 7% de los bancos europeos están muy preparados desde el punto de vista tecnológico y la mayoría (76%) tiene una preparación media.
«Está claro que cuanto antes logren las organizaciones una alta preparación empresarial y tecnológica, mayores serán sus ventajas en el mercado», explica el experto de Fortinet.
La necesidad de alcanzar la ciber resiliencia: aumento de los ciberataques
Sea cual sea el tipo de infraestructura de pagos, los bancos deben asegurarse de que esos sistemas no sólo sean rápidos, eficientes y seguros, sino también ciberresistentes. El número de ciberataques en todo el mundo sigue creciendo, y las instituciones financieras se encuentran entre los principales objetivos, representando alrededor de una quinta parte de todos los ciberincidentes.
ENISA informa de un aumento significativo de incidentes en la UE en la primera mitad de 2024 en comparación con el segundo semestre de 2023. La denegación de servicio (DoS) y el ransomware dominan los ataques, con cerca del 74% de los incidentes. Esto significa que la ciberresiliencia y la ciberseguridad deben ser prioritarias para los proveedores de servicios de pago de pago construyan su infraestructura informática para pagos instantáneos.
La ciberdelincuencia sigue siendo el mayor riesgo para los bancos, según el 82% de los directores de riesgos europeos de los bancos encuestados por EY en 2024, recuerda Ferreira. El BCE ha establecido normas claras de información y expectativas en torno a la ciberseguridad ciberseguridad para las entidades financieras con DORA y NIS2.
La IA está transformando la detección del fraude
La IA es un pilar fundamental en el abordaje de esas estrategias. El Índice Evident AI de octubre de 2024 puntúa a los grandes bancos según sus niveles de talento en IA, innovación, liderazgo y actividades. Los bancos europeos están emergiendo como líderes en la adopción de la IA. El índice Evident incluye a UBS (puesto 6), HSBC (puesto 7), BNP Paribas (puesto 12) y BBVA (puesto 13). A medida que estas organizaciones aumentan su uso de la IA, tendrán que gestionar los riesgos y retos en torno a los centros de datos de los que dependen para soportar estas aplicaciones.
Más que ningún otro sector, la banca se verá “profundamente impactada” por GenAI, defiende el experto. Para 2030, se espera que el sector invierta 84 990 millones de dólares en GenAI -una tasa de crecimiento anual compuesto del 55,55%-. Los principales casos de uso serán la experiencia del cliente, evaluación de riesgos y detección de fraudes regulatorios, automatización del procesamiento de documentos y productos financieros personalizados.
«La expansión de la IA en el sector bancario puede reforzar la capacidad de combatir el fraude y otras amenazas para los pagos, pero al mismo tiempo los malos la pueden utilizar para lanzar más tipos de ciberataques a gran escala -como comprometer el correo electrónico corporativo-. Esto significa que los proveedores de servicios de pago deben trabajar continuamente para mejorar tanto sus capacidades de detección como de prevención, en muchos casos utilizando la IA para apoyar estas tareas», explican en Fortinet.
Los bancos que adoptan la IA también deben asegurarse de mantener una infraestructura segura para respaldar dichas aplicaciones, ya estén alojadas en sus propios centros de datos o en la nube. Esto incluye proteger la seguridad de los datos de los clientes al entrenar modelos de IA y cumplir con los requisitos locales y regionales en materia de privacidad y soberanía de datos, apostilla Ferreira.
Por Funds Society, Madrid
