CNPIC y sector financiero: BCE, Banco de España y la práctica real

El sector financiero español opera bajo una arquitectura de supervisión que mezcla dos lógicas que rara vez se hablan, la lógica prudencial del Banco Central Europeo y del Banco de España, y la lógica de protección de infraestructuras críticas que coordina el CNPIC. La consecuencia práctica de esa convivencia es que un banco grande, cuando piensa en riesgo físico, no responde a un único interlocutor, sino a una superposición de regímenes que cada uno ordena lo mismo con vocabulario distinto.

Quien observa el sector desde fuera tiende a verlo como un mundo de ciberseguridad, identidad digital y resiliencia operativa de sistemas. La parte física, la del edificio, el centro de proceso de datos, la sucursal, el cajero y la sala de servidores, queda en un segundo plano. La realidad de los responsables de seguridad de las entidades es la contraria. El perímetro físico de un banco sigue siendo el primer eslabón de la cadena de resiliencia, y todo lo que falle en ese eslabón se traslada después a los planes de continuidad que el supervisor exige.

La superposición de marcos que define al sector

La entidad financiera española vive bajo cuatro capas regulatorias que se solapan. La primera es la supervisión prudencial directa del Banco Central Europeo sobre las entidades significativas, en el marco del Mecanismo Único de Supervisión. La segunda es la supervisión nacional del Banco de España sobre las entidades menos significativas y sobre aspectos no transferidos. La tercera es la regulación de mercados, MiFID II y su transposición, que afecta a la operativa, a la custodia de información y al registro de comunicaciones, con implicaciones físicas que no son evidentes a primera vista. La cuarta es el marco de protección de infraestructuras críticas, donde el CNPIC, dentro del Ministerio del Interior, designa operadores críticos en el sector financiero y exige planes de seguridad del operador y planes de protección específicos.

La práctica de los grandes bancos consiste en construir un único cuadro de mandos que satisfaga las cuatro capas sin duplicar trabajo. Esto suena sencillo en una presentación de comité y resulta complicado en la operación diaria. Un plan de seguridad del operador que cumple los requisitos del CNPIC no encaja, sin trabajo de traducción, en un informe de resiliencia operativa que pida el supervisor europeo. Un registro de incidentes físicos relevantes para la continuidad de servicio no comparte taxonomía con un registro de incidentes operativos según DORA. Y cuando llega un ejercicio de inspección, sea del Banco de España, del Mecanismo Único de Supervisión o de la propia secretaría de Estado de Seguridad a través del CNPIC, la entidad necesita presentar la misma realidad con tres semánticas distintas.

Aquí es donde el fabricante de tecnología de seguridad encuentra su sitio. Una plataforma que genera evidencia estructurada, con marcas de tiempo verificables, con cadena de custodia documentada y con esquemas exportables hacia más de un marco regulatorio, ahorra al operador financiero cantidades de trabajo administrativo que en las entidades grandes equivalen a equipos completos. El valor no está sólo en la cámara, en el sensor o en el robot. Está en la capa de información que rodea al dispositivo y que permite reutilizar la misma evidencia en cuatro lenguajes diferentes.

Lo que DORA cambió, y lo que no cambió

El Reglamento sobre la Resiliencia Operativa Digital, conocido como DORA, entró en aplicación plena en enero de 2025 y ha reorganizado la forma en que las entidades financieras europeas piensan en su exposición a fallos operativos. La narrativa pública del reglamento se concentra en lo digital, en la gestión del riesgo de terceros tecnológicos, en las pruebas de resiliencia y en la notificación de incidentes graves. Esa lectura es correcta pero incompleta. DORA exige a las entidades una visión integral del riesgo operativo, y dentro de esa visión integral cabe, con todo su peso, el riesgo físico que afecta a la disponibilidad de los sistemas.

Un centro de proceso de datos no es un activo digital, es un edificio con cerramientos, accesos, sistemas de detección y vigilancia perimetral. Una oficina central que aloja la sala de operaciones de mercados no es una abstracción, es un espacio con control de acceso, con grabación de imagen y con presencia de personal. Cuando DORA pide pruebas de continuidad, pide pruebas que incluyen la dimensión física, aunque el reglamento no use ese vocabulario. La entidad que separa artificialmente lo físico de lo digital en sus pruebas de resiliencia entrega al supervisor un trabajo incompleto, y el supervisor lo nota.

Lo que no cambió con DORA es la lógica del CNPIC. Los planes de protección específicos siguen exigiendo análisis de riesgos físicos, medidas organizativas, medidas técnicas y planes de respuesta ante incidentes deliberados. La diferencia es que ahora las entidades tienen que conectar esos planes con la narrativa de resiliencia operativa que DORA introduce. Quien lo hace bien gana eficiencia de cumplimiento. Quien mantiene dos universos paralelos paga dos veces y, además, expone inconsistencias cuando los inspectores cruzan documentos.

El argumento práctico para el responsable de seguridad de una entidad significativa es que cualquier inversión en tecnología de seguridad física tiene que justificarse hoy en dos planos. El primero, el plano clásico del CNPIC, sigue vivo. El segundo, el plano de DORA, requiere que la inversión se documente en términos de contribución a la resiliencia operativa. La pregunta del comité de inversión deja de ser cuántos incidentes evita esta cámara, y pasa a ser cuántos minutos de indisponibilidad reduce este sistema en el peor escenario plausible. Es una pregunta más exigente, y también más útil.

La práctica del Banco de España en seguridad física

El Banco de España no publica detalladas listas de incidentes físicos del sector, y por buenas razones. La información granular sobre vulnerabilidades de infraestructura financiera no se publica, se comparte por canales restringidos entre supervisor, operadores y autoridades de seguridad. La práctica observable, sin embargo, permite identificar patrones. El Banco de España coordina con el CNPIC en el ámbito del sector financiero designado como crítico, participa en ejercicios de simulación, recibe notificaciones de incidentes que afectan a la continuidad de servicios esenciales y, en su papel de banco central nacional dentro del Eurosistema, está integrado en cadenas de respuesta que trascienden la frontera española.

Lo que el Banco de España hace en la práctica, y que rara vez se discute en foros públicos, es presionar a las entidades supervisadas para que profesionalicen su función de seguridad física al mismo nivel que la función de ciberseguridad. Durante años, en muchas entidades, la seguridad física quedó como una función de servicios generales, dependiente de áreas administrativas, con presupuestos comparativamente modestos y con perfiles profesionales orientados a la gestión de proveedores de vigilancia. La función de ciberseguridad, en cambio, creció en autoridad, en presupuesto y en visibilidad ante el consejo. Esa asimetría está corrigiéndose, y el supervisor no es ajeno a la corrección.

Las entidades que mejor han entendido esta evolución han fusionado funciones, creando direcciones de seguridad integral con autoridad transversal sobre lo físico, lo lógico y lo de personas. Han incorporado perfiles que entienden los dos lenguajes, el de la sala de servidores y el del cuarto de control, el de la matriz de riesgos prudenciales y el de la matriz de amenazas físicas. Y han invertido en tecnología que permite que ambos mundos compartan datos, alertas y procedimientos. El fabricante que entrega sólo hardware se queda en la capa de servicios generales. El fabricante que entrega plataformas con interoperabilidad documentada entra en la conversación con la dirección de seguridad integral.

Incidentes físicos relevantes y el silencio que los rodea

El sector financiero, por su naturaleza, no publica sus incidentes físicos con detalle. La razón es razonable, la divulgación detallada de un asalto a una sucursal, de un ataque a un cajero o de un incidente en un centro de proceso de datos puede facilitar la imitación. Lo que sí se publica, y lo que las entidades comparten entre ellas a través de foros sectoriales, son patrones agregados. Esos patrones, en los últimos años, muestran tres tendencias que vale la pena nombrar.

La primera tendencia es la profesionalización del atacante físico. Los ataques a cajeros automáticos con explosivos, los asaltos coordinados a oficinas con sistemas de bloqueo de comunicaciones, los intentos de acceso a centros de proceso de datos con credenciales de proveedores comprometidos, todos ellos muestran un nivel de planificación que dista de la delincuencia oportunista. La segunda tendencia es la hibridación entre lo físico y lo digital. Un ataque que empieza con una intrusión física a un centro técnico para instalar dispositivos de captura puede continuar después como un ataque lógico durante semanas. La tercera tendencia es la presión sobre proveedores. Los atacantes apuntan cada vez más a los terceros que tienen acceso a las instalaciones financieras, porque saben que esos terceros suelen tener controles menos estrictos que los del propio banco.

Estas tres tendencias se reflejan en los informes de INCIBE y, en lo que afecta a entidades designadas como críticas, en las comunicaciones del CNPIC. La AEPD, por su parte, recuerda con frecuencia que los datos personales tratados en entornos físicos comprometidos generan obligaciones de notificación que no desaparecen porque el incidente haya sido en una sala de servidores en lugar de en un sistema en la nube. La consecuencia para las entidades es que un incidente físico bien gestionado requiere coordinación inmediata con al menos tres interlocutores distintos, y esa coordinación tiene que estar ensayada antes, no improvisada después.

Quién supervisa qué, en términos operativos

La pregunta de quién supervisa al sector financiero en materia de seguridad física no tiene una respuesta breve. En el plano prudencial, el Banco Central Europeo supervisa directamente a las entidades significativas españolas, y lo hace con equipos conjuntos en los que participa el Banco de España. La resiliencia operativa, dentro de la que se sitúa la seguridad física, forma parte de esa supervisión. En el plano de mercados, la Comisión Nacional del Mercado de Valores supervisa aspectos operativos de las entidades que prestan servicios de inversión, y MiFID II le da competencia sobre la integridad de los registros y de los sistemas, lo que incluye la integridad física de los entornos donde esos registros se generan y custodian.

En el plano de infraestructuras críticas, el CNPIC, bajo la Secretaría de Estado de Seguridad, designa operadores críticos en el sector financiero, aprueba sus planes de seguridad del operador y supervisa los planes de protección específicos. Esa supervisión es menos visible públicamente que la prudencial, pero es real y tiene consecuencias prácticas. Una entidad designada como operador crítico tiene obligaciones documentales, organizativas y técnicas que se inspeccionan, y cuyo incumplimiento conlleva sanciones administrativas además del riesgo reputacional de figurar como entidad con planes inadecuados.

En el plano de protección de datos, la AEPD supervisa el tratamiento de datos personales, y lo hace también cuando el tratamiento se ve afectado por incidentes físicos. En el plano de ciberseguridad, INCIBE coordina la respuesta a incidentes de empresas y, en lo que afecta a administraciones e infraestructuras críticas, el CCN-CERT entra en la cadena de respuesta. ENISA, en el plano europeo, fija marcos de referencia que las autoridades nacionales adoptan o adaptan. Y el sector asegurador, a través de Unespa y de la práctica de los aseguradores individuales, ejerce una forma de supervisión privada, condicionando las primas y las coberturas a la calidad de los controles físicos documentados.

La consecuencia, para el responsable de seguridad de una entidad, es que la función no puede gestionarse como una relación bilateral con un único supervisor. Es una función que rinde cuentas, en momentos distintos y con vocabularios distintos, a una constelación de interlocutores. La tecnología que se incorpora a esta función tiene que generar evidencia útil para todos ellos, no sólo para el que más visita.

Lo que permanece

El sector financiero español opera, en materia de seguridad física, bajo una arquitectura de supervisión múltiple que no va a simplificarse. El responsable de seguridad de una entidad significativa convive con el Banco Central Europeo, con el Banco de España, con la Comisión Nacional del Mercado de Valores, con el CNPIC, con INCIBE, con el CCN-CERT, con la AEPD y con su propio sector asegurador. Cada uno habla un dialecto del mismo problema. La función de seguridad que prospera es la que aprende a traducir entre dialectos sin perder el contenido, y la que invierte en plataformas tecnológicas que producen evidencia reutilizable en cada uno de ellos.

Lo que permanece, por debajo de la regulación, es la realidad operativa. Un centro de proceso de datos sin perímetro físico controlado es una vulnerabilidad. Una sucursal sin sistemas de vigilancia integrados con la respuesta es un riesgo. Una sala de servidores sin trazabilidad de accesos es un problema esperando a manifestarse. Estas verdades no cambian con el reglamento que esté de moda, y son las que el fabricante de tecnología de seguridad reconoce primero, antes de hablar de cumplimiento. Como señalo en el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad", la sustancia precede a la documentación, y los sistemas que duran son los que se construyeron para durar, no los que se construyeron para pasar una inspección.

Para los directivos de seguridad que reconocen su situación en este artículo, hay tres caminos disponibles. Una conversación confidencial de sesenta minutos, sin compromiso, para ordenar la lectura del propio mapa regulatorio y operativo. Una auditoría de tres a cinco días sobre un perímetro definido, con entregables verificables que pueden usarse dentro o fuera de cualquier relación posterior. Y un piloto de noventa días en un emplazamiento concreto, con métricas de éxito acordadas antes del inicio, que produce datos suficientes para fundamentar una decisión de escalado. Los tres caminos están descritos con precisión y los tres respetan la confidencialidad que el sector exige.

Preguntas frecuentes

¿Qué es BdE?

El Banco de España, abreviado como BdE, es el banco central nacional español integrado en el Eurosistema. Supervisa directamente a las entidades de crédito menos significativas y participa, junto al Banco Central Europeo, en la supervisión de las entidades significativas a través del Mecanismo Único de Supervisión. En materia de resiliencia operativa, incluida la dimensión física, coordina con el CNPIC para las entidades designadas como operadores críticos. Su autoridad se ejerce a través de inspecciones, requerimientos documentales y participación en ejercicios sectoriales, y se complementa con la del supervisor europeo.

¿Cómo coordinan los bancos?

La coordinación se articula en varios niveles. Internamente, las entidades integran las funciones de seguridad física, ciberseguridad y continuidad de negocio bajo direcciones de seguridad integral. Sectorialmente, participan en foros de intercambio de información sobre amenazas, gestionados por asociaciones bancarias y por canales de confianza con el CCN-CERT y con INCIBE. Regulatoriamente, mantienen interlocución continua con el Banco de España, con el CNPIC para las entidades críticas y con la AEPD en lo relativo a incidentes con impacto en datos personales. La coordinación efectiva requiere plataformas tecnológicas que generen evidencia reutilizable en cada uno de estos canales.

¿Qué incidentes físicos ocurrieron?

El sector no divulga incidentes con detalle, pero los patrones agregados muestran tres tendencias. Primero, profesionalización de ataques contra cajeros automáticos, con uso de explosivos y herramientas industriales. Segundo, hibridación física y digital, donde un acceso físico no autorizado a un centro técnico precede a un ataque lógico posterior. Tercero, presión sobre la cadena de proveedores con acceso a instalaciones financieras, aprovechando que sus controles suelen ser menos estrictos. Estas tendencias se reflejan en informes agregados de INCIBE y en comunicaciones reservadas del CNPIC a operadores críticos, y orientan las inversiones recientes del sector.

¿Quién supervisa?

La supervisión es múltiple y simultánea. El Banco Central Europeo y el Banco de España, en el plano prudencial y de resiliencia operativa según DORA. La Comisión Nacional del Mercado de Valores, en aspectos operativos vinculados a MiFID II. El CNPIC, dentro del Ministerio del Interior, sobre las entidades designadas como operadores críticos. La AEPD, cuando hay tratamiento de datos personales afectado. INCIBE y CCN-CERT, en la respuesta a incidentes con dimensión cibernética. ENISA, en el plano europeo de referencia. Y el sector asegurador, condicionando primas a la calidad de los controles. Una función de seguridad madura responde a todos ellos sin duplicar trabajo.