A las doce treinta horas del 28 de abril de 2.025 España entera dejó de ser “digital” y volvió a ser análogica.
Como diría un procesalista, es público y notorio que ese día la práctica totalidad de las infraestructuras informáticas, públicas y privadas, dejaron de funcionar a resultas de la suspensión del suministro de la red eléctrica de la Península ibérica.
El Producto Interior Bruto de España se estima en 1,5 Billones de euros. Calculen y dividan entre 365 días el eventual impacto económico derivado de la paralización total de la actividad económica. Solo hace falta imaginar el número de transacciones electrónicas de pago -mediante TPV- paralizadas en el momento del apagón, para calcular las dimensiones de esta catástrofe.
Son muchas las especulaciones sobre el origen de esta contingencia. Supongamos, a efectos puramente hipotéticos, que la falla o grieta del sistema obedeciese a un problema del informático, endógeno o exógeno que afectase a la Red. No vamos a especular. Ya hay técnicos para dar esa respuesta. Nos limitaremos a dar una respuesta a la pregunta: ¿los sistemas informáticos que protegen “el sistema” están y deben estar reforzados?.
Más allá de la experiencia, individual o empresarial, que pueda revivir todo damnificado, no podemos afirmar que las contingencias informáticas no estuvieran previstas por el legislador, especialmente, el legislador comunitario que cuenta con resortes para estas contingencias. Desgraciadamente, previsibilidad no implica inevitabilidad.
Dicho esto, ya hace tiempo que forman parte de nuestro Derecho Positivo un conjunto de normas, de origen comunitario, destinadas precisamente a evitar, o cuanto menos aminorar, las consecuencias jurídico-económicas de una eventual alteración de las infraestructuras críticas que, literalmente, pueden poner patas arriba a un país o un continente:
-La Ley 8/2011 de 28 de abril, que establece medidas para la protección de las infraestructuras críticas. En el Anexo de la citada Ley se definen como “sectores críticos”, el “transporte”, y la RED ELECTRICA ESPAÑOLA,
-La Ley 36/2015 de 28 de septiembre Seguridad Nacional, que considera a la “ciberseguridad” como un ámbito de especial interés de la Seguridad Nacional, y crea un organismos público encargado de la ciberseguridad en nuestro país.
-La Directiva UE 2016/1148 (Directiva NIS) ordena implementar medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
La Directiva 2016/1148 , objeto de trasposición por medio del Real Decreto-Ley 12/2018 de 7 de septiembre, que señala expresamente la necesidad de tener en cuenta un marco integral de protección el “Esquema Nacional de Seguridad” (ENS) a la hora de establecer medidas de seguridad de las redes y sistemas de información.
Tantos las Directivas como la normativa nacional prevén expresamente la creación de un sistema reforzado de protección y salvaguardia de la integridad de los sistemas informáticos.
El legislador nacional ha traspuesto estas normas comunitarias y ha obligado (cosa distinta es la correspondiente dotación presupuestaria y su ejecución) a tomar cartas en el asunto a los poderes públicos.
A priori, un sistema informático encargado de la salvaguardia de sistemas críticos debe ser capaz de prever, a base de cortafuegos, el acceso no autorizado a los mismos. Los requerimientos técnicos previos, las exigencias de salvaguardia y las auditorías periódicas constituyen, además, una exigencia insoslayable por el legislador comunitario.
Es más, con independencia de tales accesos, una infraestructura crítica debe estar técnicamente preparada- medidas de copia de seguridad, sistemas de apagado preventivo, duplicidad o sistemas alternativos- para minimizar las consecuencias de una suspensión inesperada del servicio.
En teoría, los contratistas privados que liciten la prestación servicios públicos que involucren a sistemas críticos deben contar con todo un protocolo de seguridad e integridad de sus sistemas informáticos. Resulta obvio que los propios poderes públicos deben desarrollar los mejores esfuerzos (también presupuestarios) para salvaguardar la integridad de tales sistemas y velar por el mantenimiento de las mismas.
Existe asimismo una paradoja- ciertamente lacerante- que se ha evidenciado en estas situaciones.
Desde las instituciones comunitarias y por motivos plenamente legítimos (prevención de blanqueo de capitales y del terrorismo) se ha venido sometiendo a un estrecho control las transacciones y operaciones económicas que impliquen el uso de efectivo. La Ley 10/2.010 de 28 de abril de prevención de blanqueo de capitales y el Reglamento 2024/1624 de 31 de mayo ponen enfasis en la vigilancia de operaciones sospechosas.
Hasta aquí nada que objetar.
España, uno de los países punteros en este cometido, ha reducido a mil euros el importe máximo permitido en el pago efectivo. Otros países europeos mantienen este umbral en importes sustancialmente superiores (a diez mil euros). Y no faltan “oráculos tributarios” españoles que proponen eliminar, de raíz, las operaciones que impliquen el manejo de efectivo.
El problema, que debe mover a nuestras autoridades nacionales a una serena reflexión, es que conforme se reduce hasta la mínima el uso de dinero en efectivo la dependencia bancaria-electrónica-digital (todas ellas dependientes del mantenimiento de un sistema eléctrico que da soporte al hardware) lleva a situaciones realmente críticas en este contexto.
Y la última derivada del apagón de abril del 2.025: la eventual indemnizabilidad de los daños materiales causados.
A resultas de la reciente pandemia se alzaron voces que apuntaban a una depuración de responsabilidades patrimoniales de las Administraciones Públicas denunciando una gestión manifiestamente mejorable de la crisis.
La Sala Tercera del Tribunal Supremo en su Sentencia de 31 de octubre de 2.023 avaló la gestión del Gobierno de la Nación en la pandemia bajo la tesis del riesgo derivado de fuerza mayor o circunstancias excepcionales.
Conscientes de la inoperabilidad de esta vía algunos damnificados echaron manos de sus pólizas y recurrieron a sus seguros privados. En algunas sentencias los Tribunales civiles acogieron la tesis de los particulares con la simple lectura de las pólizas. En otros casos, interpretaron extensivamente el concepto de fuerza mayor y rechazaron las pretensiones de indemnización.
No nos corresponde resucitar ahora este debate jurídico pues los planteamientos siguen siendo los mismos.
Sea como fuere, no podemos afirmar que esta vaya a ser la última calamidad.
Desde Navas Cusí contamos con los profesionales especializados en las diferentes áreas del Derecho (de Derecho Bancario, de Derecho Comunitario, de Derecho Administrativo, de Derecho Procesal y de ciberseguridad ante estafas informáticas) que pueden resultar de utilidad a los ciudadanos ante estas situaciones críticas.
