La BCE sanctionne ABANCA pour défaut de déclaration d’un cyberincident dans le délai prescrit

La Banque centrale européenne (BCE) a imposé une sanction administrative de 3 145 000 euros à ABANCA Corporación Bancaria, S.A. (ABANCA) pour avoir délibérément omis de déclarer un cyber-incident important à la BCE dans le délai de deux heures prescrit dans le cadre de déclaration des cyber-incidents, entré en vigueur en 2017. En février 2019, ABANCA a été la cible d’une cyberattaque lors de laquelle ses systèmes informatiques ont été infectés par un logiciel malveillant.

ABANCA a réagi en suspendant temporairement les services bancaires par Internet et par téléphone mobile, les services de distributeurs automatiques de billets et les services de paiement SWIFT, entre autres mesures. Alors qu’elle avait connaissance de son obligation de déclaration et de l’importance du cyberincident dès le 26 février 2019, la banque a soumis le rapport requis sur cet incident 46 heures après le délai prescrit.

Cette omission de la banque a entravé la capacité de la BCE à évaluer correctement la situation prudentielle d’ABANCA et à réagir en temps voulu aux menaces potentielles pesant sur d’autres banques, ce qui aurait pu avoir des conséquences sur la réputation et la stabilité du secteur bancaire dans son ensemble.