Αν πριν από 15 χρόνια η μεγαλύτερη ανησυχία των εποπτικών αρχών ήταν η χρεοκοπία μιας τράπεζας, σήμερα ο φόβος έχει μεταφερθεί στις ψηφιακές υποδομές πάνω στις οποίες στηρίζεται ολόκληρο το ευρωπαϊκό χρηματοπιστωτικό σύστημα. Ενα σοβαρό τεχνικό πρόβλημα σε έναν πάροχο cloud ή σε μια κρίσιμη πλατφόρμα πληρωμών μπορεί πλέον να επηρεάσει ταυτόχρονα δεκάδες τράπεζες σε πολλές χώρες της Ευρώπης, δημιουργώντας έναν νέο τύπο συστημικού κινδύνου.
Το 2025, που αποτελεί την πρώτη χρονιά που μετρήθηκαν συνολικά οι «ψηφιακοί κίνδυνοι» στην ευρωπαϊκή χρηματοπιστωτική αγορά, καταγράφηκαν 3.383 σοβαρά περιστατικά που σχετίζονται με τις τεχνολογικές και ψηφιακές υποδομές των χρηματοπιστωτικών οργανισμών, αριθμός που αντιστοιχεί σε περίπου 282 περιστατικά τον μήνα. Πρόκειται για την πρώτη πανευρωπαϊκή καταγραφή των σοβαρών ψηφιακών περιστατικών που πραγματοποίησαν οι τρεις ευρωπαϊκές εποπτικές αρχές –η European Banking Authority (EBA), η European Securities and Markets Authority (ESMA) και η European Insurance and Occupational Pensions Authority (EIOPA)– στο πλαίσιο του κανονισμού Digital Operational Resilience Act (DORA), που αποτελεί τον νέο ενιαίο ευρωπαϊκό κανονισμό για την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα.
Το πλέον ενδιαφέρον εύρημα είναι ότι οι μεγαλύτεροι κίνδυνοι δεν προέρχονται από τους χάκερ αλλά από τις ίδιες τις τεχνολογικές υποδομές. Παρά την αύξηση των κυβερνοεπιθέσεων διεθνώς, οι εποπτικές αρχές διαπιστώνουν ότι οι χρηματοπιστωτικοί οργανισμοί πλήττονται συχνότερα από τεχνικές δυσλειτουργίες, αποτυχίες συστημάτων και προβλήματα στις διαδικασίες λειτουργίας τους. Συγκεκριμένα:
• Το 51% των περιστατικών οφείλεται σε αστοχίες ή δυσλειτουργίες των πληροφοριακών συστημάτων.
• Το 27% σε εξωτερικά γεγονότα, όπως προβλήματα σε υποδομές ή υπηρεσίες τρίτων.
• Το 19% σε αστοχίες των εσωτερικών διαδικασιών λειτουργίας.
• Το 12% σε ανθρώπινα λάθη.
• Μόλις το 10% συνδέεται με κυβερνοεπιθέσεις.
Οι εποπτικές αρχές καταλήγουν ότι η ανθεκτικότητα των ψηφιακών υποδομών είναι σήμερα εξίσου σημαντική με την προστασία από τις κυβερνοεπιθέσεις.
Η έκθεση καταγράφει επίσης τη μεγάλη εξάρτηση του ευρωπαϊκού χρηματοπιστωτικού συστήματος από τρίτους τεχνολογικούς παρόχους. Σχεδόν το 30% των σοβαρών περιστατικών προήλθε από εξωτερικούς παρόχους υπηρεσιών ICT, γεγονός που αναδεικνύει τον κίνδυνο που δημιουργεί η αυξανόμενη χρήση υπηρεσιών cloud και outsourcing. Οι εποπτικές αρχές δεν κατονομάζουν συγκεκριμένες εταιρείες, ωστόσο είναι προφανές ότι η διαρκώς αυξανόμενη εξάρτηση από μεγάλους παρόχους cloud, όπως η Amazon Web Services, η Microsoft Azure και η Google Cloud, έχει μετατρέψει τις κοινές τεχνολογικές υποδομές σε κρίσιμο παράγοντα χρηματοπιστωτικής σταθερότητας. Ενα τεχνικό πρόβλημα σε έναν τέτοιο πάροχο δεν αφορά πλέον μία μόνο τράπεζα αλλά μπορεί να μεταδοθεί ταυτόχρονα σε μεγάλο αριθμό χρηματοπιστωτικών οργανισμών.
Η εικόνα αυτή αποτυπώνεται και στα στοιχεία για τη γεωγραφική διάσταση των περιστατικών. Περίπου το ένα τρίτο των σοβαρών συμβάντων είχε διασυνοριακό αντίκτυπο, επηρεάζοντας περισσότερες από μία χώρες της Ευρωπαϊκής Ενωσης, ενώ περίπου το 8% επηρέασε ταυτόχρονα περισσότερα από δέκα κράτη-μέλη. Πρόκειται για μια σημαντική μεταβολή στη φύση του κινδύνου. Στο παρελθόν, μια βλάβη αφορούσε κυρίως μια τράπεζα ή μια χώρα. Σήμερα, εξαιτίας των κοινών ψηφιακών υποδομών, ένα μόνο περιστατικό μπορεί να εξαπλωθεί σχεδόν ταυτόχρονα σε ολόκληρη την ευρωπαϊκή αγορά.
Η έκθεση σημειώνει ότι πάνω από τα τρία τέταρτα των περιστατικών προήλθαν από τον τραπεζικό τομέα και τις εταιρείες πληρωμών και ηλεκτρονικού χρήματος. Οι τράπεζες αντιπροσώπευαν περισσότερο από το 60% των περιστατικών και τα ιδρύματα πληρωμών περίπου το 16%. Οι ESAs διευκρινίζουν πάντως ότι αυτό δεν σημαίνει πως οι συγκεκριμένοι κλάδοι διαθέτουν ασθενέστερα πληροφοριακά συστήματα, αλλά ότι είναι οι περισσότερο ψηφιοποιημένοι, οι πλέον διασυνδεδεμένοι και εκείνοι που ήδη υπάγονταν σε αυστηρότερες υποχρεώσεις αναφοράς περιστατικών. Ενθαρρυντικό στοιχείο αποτελεί το γεγονός ότι περίπου δύο στα τρία σοβαρά περιστατικά προκάλεσαν μηδενική ή περιορισμένη διακοπή υπηρεσιών προς τους πελάτες. Σύμφωνα με τις εποπτικές αρχές, αυτό δείχνει ότι οι χρηματοπιστωτικοί οργανισμοί έχουν βελτιώσει σημαντικά τους μηχανισμούς έγκαιρης ανίχνευσης, απομόνωσης και αποκατάστασης των προβλημάτων, περιορίζοντας τις επιπτώσεις στις συναλλαγές και στην εξυπηρέτηση των πελατών.
Περίπου το ένα τρίτο των σοβαρών συμβάντων είχε διασυνοριακό αντίκτυπο, επηρεάζοντας περισσότερες από μία χώρες της Ε.Ε., ενώ περίπου το 8% επηρέασε ταυτόχρονα περισσότερα από δέκα κράτη-μέλη. Πρόκειται για μια σημαντική μεταβολή. Στο παρελθόν, μια βλάβη αφορούσε κυρίως μια τράπεζα ή μια χώρα. Σήμερα, ένα μόνο περιστατικό μπορεί να εξαπλωθεί σχεδόν ταυτόχρονα σε ολόκληρη την ευρωπαϊκή αγορά.
Το σημαντικότερο όμως μήνυμα της έκθεσης είναι ότι ο ψηφιακός κίνδυνος αποκτά πλέον σαφή συστημικά χαρακτηριστικά. Οι ευρωπαϊκές αρχές αντιμετωπίζουν πλέον την εξάρτηση από κοινές ψηφιακές υποδομές –cloud, data centers και πλατφόρμες πληρωμών– ως ζήτημα χρηματοπιστωτικής σταθερότητας, αντίστοιχης σημασίας με τον πιστωτικό κίνδυνο ή τον κίνδυνο ρευστότητας.
Ο κανονισμός DORA υποχρεώνει τράπεζες, ασφαλιστικές εταιρείες και παρόχους πληρωμών να αποδεικνύουν ότι μπορούν να συνεχίσουν να λειτουργούν ακόμη και όταν οι πληροφοριακές τους υποδομές δέχονται σοβαρό πλήγμα, είτε από κυβερνοεπιθέσεις είτε από τεχνικές βλάβες ή προβλήματα σε εξωτερικούς τεχνολογικούς παρόχους και έχει ήδη ενσωματωθεί στην καθημερινή εποπτεία των τραπεζών και των λοιπών χρηματοπιστωτικών οργανισμών. Οπως επισημαίνει και η ΤτΕ, οι εποπτευόμενες επιχειρήσεις υποχρεούνται πλέον να διαθέτουν ολοκληρωμένο σύστημα διαχείρισης των κινδύνων πληροφορικής, να πραγματοποιούν τακτικές δοκιμές ψηφιακής ανθεκτικότητας, να αξιολογούν την εξάρτησή τους από τρίτους παρόχους τεχνολογίας και να αναφέρουν άμεσα κάθε σοβαρό περιστατικό που σχετίζεται με τις πληροφοριακές τους υποδομές, ακολουθώντας συγκεκριμένες προθεσμίες και τυποποιημένες διαδικασίες. Η αρμόδια εποπτική αρχή μπορεί να επιβάλει στις τράπεζες διοικητικά πρόστιμα που μπορεί να φτάσουν έως και το 2% των ετήσιων κερδών τους (ή αντίστοιχα το 2% του ετήσιου συνολικού κύκλου εργασιών τους), καθώς και ποινικές κυρώσεις σε περιπτώσεις σοβαρών παραβιάσεων του κανονισμού.
Οι απαιτήσεις του DORA εκτείνονται σε ολόκληρο τον κύκλο ζωής των πληροφοριακών συστημάτων. Οι χρηματοπιστωτικοί οργανισμοί οφείλουν να εντοπίζουν και να καταγράφουν όλα τα κρίσιμα πληροφοριακά τους στοιχεία, να παρακολουθούν συνεχώς τη λειτουργία των συστημάτων τους, να μπορούν να ανιχνεύουν έγκαιρα ανωμαλίες και περιστατικά ασφαλείας, να διαθέτουν δοκιμασμένα σχέδια επιχειρησιακής συνέχειας και ανάκαμψης (Business Continuity και Disaster Recovery) και να διατηρούν πολιτικές δημιουργίας αντιγράφων ασφαλείας και αποκατάστασης των δεδομένων.
Ο κανονισμός DORA υποχρεώνει τράπεζες, ασφαλιστικές εταιρείες και παρόχους πληρωμών να αποδεικνύουν ότι μπορούν να συνεχίσουν να λειτουργούν ακόμη και όταν οι πληροφοριακές τους υποδομές δέχονται σοβαρό πλήγμα, είτε από κυβερνοεπιθέσεις είτε από τεχνικές βλάβες ή προβλήματα σε εξωτερικούς τεχνολογικούς παρόχους και έχει ήδη ενσωματωθεί στην καθημερινή εποπτεία των τραπεζών.
Οι εποπτικές αρχές δίνουν ιδιαίτερη έμφαση και στον κίνδυνο συγκέντρωσης (concentration risk) από τους τρίτους παρόχους ICT. Δηλαδή, δεν ενδιαφέρει μόνο αν ένας πάροχος είναι ασφαλής, αλλά και αν πάρα πολλές κρίσιμες λειτουργίες του τραπεζικού συστήματος εξαρτώνται από τον ίδιο πάροχο. Οι τράπεζες υποχρεώνονται πλέον να χαρτογραφούν όλες τις συμβάσεις τους με τρίτους παρόχους ICT, να αξιολογούν αυτόν τον κίνδυνο συγκέντρωσης και να προσαρμόζουν ανάλογα τις συμβάσεις τους. Αυτό σημαίνει ότι οι ευρωπαϊκές αρχές ανησυχούν για το cloud. Είναι ότι για πρώτη φορά ο κανονισμός μετατρέπει την εξάρτηση από λίγους μεγάλους παρόχους τεχνολογίας σε αντικείμενο χρηματοπιστωτικής εποπτείας, όπως ακριβώς συμβαίνει με τον πιστωτικό ή τον κίνδυνο ρευστότητας.

