17.10.2025 - 21:40
|
Actualització: 17.10.2025 - 21:41
Bloomberg · Evelina Youcefi
Fa més de dues dècades que Marcus Murray es dedica a investigar els punts febles de les institucions financeres. Com a fundador de Truesec, una de les empreses de ciberseguretat més importants de Suècia, Murray ha ajudat a bancs de tot el nord d’Europa a protegir-se de possibles atacs informàtics. No obstant això, als clients els preocupa una amenaça d’una altra mena: atacs perpetrats per estats no pas amb l’objectiu de robar diners o extorsionar, sinó simplement de desfermar el caos a còpia de desactivar els sistemes bancaris o bé menystenir la confiança del públic en l’estabilitat del sistema bancari.
Als governs nòrdics i bàltics els preocupa la possibilitat que Rússia perpetri dins les seves frontereres “atacs híbrids”, el terme amb què es coneixen les tàctiques –de baix nivell, però amb potencial disruptiu alt– destinades a interrompre el funcionament d’infrastructures i serveis públics per a desfermar el caos social. Un dels grans blancs del sabotatge i els ciberatacs vinculats a Rússia han estat les empreses privades de tot Europa, i els bancs, en particular, sovint es troben a primera línia de foc.
“El sistema bancari és una àrea prioritària per als russos”, diu Murray. “Són perfectament conscients del mal que [un atac bancari] pot infligir en una societat”.
Per a Suècia –una societat on l’efectiu és com més va menys comú, i en què un 90% de les transaccions comercials són electròniques–, el sector bancari representa un focus de vulnerabilitat important. A mesura que el govern suec augmenta la despesa en defensa i adverteix els ciutadans que es preparin per a un possible desastre o conflicte, el Riksbank –el banc central del país– ha començat a estrènyer els vincles amb els bancs comercials per reforçar-ne els protocols de seguretat i garantir la disponibilitat de l’efectiu i el funcionament dels pagaments electrònics, fins i tot en cas que les xarxes de comunicacions caiguin.
“Els suecs donen per descomptada la possibilitat de pagar sense problemes amb targetes i en línia, i assumeixen que aquests sistemes sempre funcionaran”, explica Maria Lundstrom, responsable de contingències del Riksbank. “Els suecs depenen dels pagaments [electrònics] en pràcticament tots els aspectes de la seva vida: per comprar menjar, combustible o medicaments, per cobrar el sou o rebre prestacions socials. Si el sistema [de pagaments electrònics] cau, les conseqüències seran immediates i greus”, diu.
El banc central ha identificat els punts febles del sistema de pagaments electrònics i ha elaborat plans de contingència basats en dues hipòtesis principals: ciberatacs a gran escala i apagades, tant de la xarxa elèctrica com de la xarxa de telecomunicacions.
No cal que un ciberatac sigui especialment sofisticat per a causar grans disrupcions socials i econòmiques. A l’abril, el BankID –el servei d’autenticació digital d’identitat emprat per milions de suecs, i una de les grans potes del sistema de pagaments digitals del país– va ser objecte d’un atac distribuït de denegació de servei, o DDoS, en què el perpetrador prova de saturar un sistema a còpia d’enviar-hi una allau sol·licituds, desactivant-lo o alentint-ne el funcionament fins a deixar-lo inoperant. El resultat fou la interrupció durant unes quantes hores del sistema, cosa que impedí a milions de suecs d’enviar o rebre diners per mitjà de l’aplicació de transferències instantànies Swish, i d’accedir als serveis de banca en línia i més serveis vinculats al BankID.
“L’analogia seria una llarga cua de gent davant la porta d’una botiga tancada. L’interior de la botiga està intacte, i tots els productes són al seu lloc, però els clients no poden entrar-hi”, explica Lundstrom.
La guerra híbrida pot combinar ciberatacs amb operacions psicològiques. Dies abans que Rússia envaís Ucraïna, els ucraïnesos van rebre una allau de missatges de text que afirmaven que els seus dipòsits bancaris havien estat buidats. Paral·lelament, els bancs van rebre una onada de ciberatacs que impediren a milions de persones d’accedir als seus comptes bancaris. “La gent provava d’iniciar la sessió, veia que no podia, i pensava: ‘Potser els meus diners han desaparegut'”, recorda Murray. “Així és com es crea la por i es trenca la confiança del públic: sense aquesta confiança, els bancs senzillament no poden funcionar.”
Les conseqüències d’aquesta mena d’atacs, diu, poden ser ràpides i brutals. En aquest sentit, Murray explica que un director executiu d’un banc li digué que el seu banc “senzillament no podria sobreviure” a una interrupció de servei de més tres dies, atesos els problemes legals que se’n derivarien.
Aquests darrers anys, diu Murray, els bancs –tant a Suècia com a la resta d’Europa– han començat a reforçar els seus sistemes de ciberdefensa per preparar-se per a possibles atacs. Una nova llei en fase de revisió al parlament suec, que entraria en vigor l’any vinent en cas que s’aprovés, atorgaria al Riskbank el deure legal de gestionar les interrupcions en els sistemes de pagaments i les “crisis operatives” en tot el sector financer. La institució, diu Lundstrom, ja ha fet constar el seu suport a la proposta. “Hem deixat clar que acollim aquesta responsabilitat amb satisfacció”, diu.
La pròxima gran iniciativa del Riksbank en matèria de ciberseguretat cerca de protegir el funcionament del sistema financer en cas d’una caiguda generalitzada de les xarxes de telecomunicacions. El projecte estrella és un sistema de targetes offline que continuarien funcionant fins i tot en cas d’una caiguda de la xarxa. Pràcticament tots els pagaments a Suècia –incloent-hi les transaccions amb targeta crèdit, les transferències amb Swish, els inicis de sessió amb BankID i fins i tot les retirades d’efectiu en caixers automàtics– requereixen connexió a internet, cosa que significa que una interrupció de la xarxa de telecomunicacions causaria grans afectacions en l’economia sueca.
“La dependència de l’electricitat i les xarxes de telecomunicacions és elevada”, diu Lundstrom, del Riksbank. “Com més llarga sigui la interrupció, més greus en seran les conseqüències.”
La proliferació dels pagaments electrònics a Suècia ha convertit el país en un cas de llibre dels riscs que significa prescindir gairebé del tot de l’efectiu. Impulsada per una onada de robatoris bancaris als anys noranta i accelerat per l’auge del BankID com a forma predeterminada de pagament i de verificació d’identitat, la transició als pagaments digitals ha fet que la majoria dels suecs depenguin exclusivament dels seus telèfons i targetes a l’hora de moure diners o fer pagaments.
Però la comoditat dels pagaments electrònics ha despertat pors noves: l’any 2022, tan sols un 8% dels suecs deia que utilitzava diners en efectiu en la seva darrera compra, i l’escassetat de caixers automàtics –Suècia és un dels països amb menys caixers automàtics per càpita d’Europa– no ha fet sinó reforçat els incentius per a abandonar l’efectiu. Qualsevol interrupció del sistema de pagaments, sigui per un ciberatac o per un error tècnic, podria paralitzar la vida quotidiana. La preocupació per la dependència dels pagaments digitals augmentà al gener, quan el primer ministre Ulf Kristersson advertí als seus conciutadans que Suècia i els seus veïns s’enfrontaven a atacs híbrids duts a terme no pas amb míssils o soldats, sinó “amb ordinadors, diners, campanyes desinformació i actes de sabotatge”.
Un fulletó informatiu distribuït pel govern suec als seus ciutadans, titulat “En cas de crisi o de guerra”, aconsella els ciutadans que guardin a casa prou diners en efectiu per a subsistir durant una setmana, pel cap baix.
La nova iniciativa del Riksbank en matèria de ciberseguretat persegueix l’objectiu d’assegurar que, en cas d’una caiguda de les xarxes de telecomunicacions, els terminals de pagament puguin continuar processant transaccions a escala local durant una setmana, a tot estirar. Tanmateix, aquest sistema de pagaments d’emergència es limitaria a productes bàsics, com ara, els aliments i els medicaments. “No volem que la gent aprofiti l’avinentesa per sortir a comprar un televisor nou”, diu Lundstrom.
Les transaccions fora de línia quedarien limitades i restringides per codis comercials: els pagaments electrònics continuarien funcionant en supermercats, farmàcies i benzineres, però no pas en botigues de roba ni d’electrònica.
Així i tot, Nilervall adverteix que la següent fase de desenvolupament del sistema de ciberseguretat representarà un envit encara més gran. Atès que els consumidors més joves tendeixen a deixar més la targeta a casa –prop d’un terç dels pagaments a les botigues sueques s’efectuen avui amb telèfons mòbils o rellotges intel·ligents–, permetre el funcionament offline d’aquests sistemes de pagament de nova generació digitals probablement resultarà més car, atès que requerirà l’ús de sistemes de seguretat nous i la col·laboració d’Apple, Samsung i més fabricants de telèfons intel·ligents.
“Serà un envit més gran, tant tècnicament com financerament”, diu Nilervall. “Però si volem estar preparats per a qualsevol amenaça, cal que ens hi posem ara.”
- Subscribe to The Washington Post
- Podeu llegir més reportatges del Washington Post publicats en català a VilaWeb
