Πρώτη έκθεση DORA: 3.383 σοβαρά ψηφιακά περιστατικά στον ευρωπαϊκό χρηματοοικονομικό κλάδο το 2025
Ακολουθήστε μας στο Linkedin και συνδεθείτε με άλλους επαγγελματίες του κλάδου
Οι Ευρωπαϊκές Εποπτικές Αρχές (EBA, EIOPA και ESMA) δημοσίευσαν στις 3 Ιουνίου 2026 την πρώτη ετήσια έκθεσή τους για τα σοβαρά περιστατικά που σχετίζονται με τεχνολογίες πληροφορικής και επικοινωνιών (ICT) στον χρηματοοικονομικό τομέα της Ευρωπαϊκής Ένωσης. Η έκθεση, που εκπονήθηκε στο πλαίσιο του Κανονισμού DORA (Digital Operational Resilience Act), αποτελεί ορόσημο για την εποπτεία των ψηφιακών κινδύνων στον κλάδο, ενώ τα ευρήματά της αφορούν άμεσα και τις ασφαλιστικές εταιρείες.
Τι είναι ο DORA και γιατί μας αφορά
Ο κανονισμός DORA τέθηκε σε ισχύ στις 17 Ιανουαρίου 2025 και υποχρεώνει ολόκληρο το χρηματοοικονομικό σύστημα της ΕΕ, συμπεριλαμβανομένων ασφαλιστικών εταιρειών, τραπεζών, επενδυτικών εταιρειών και παρόχων υπηρεσιών πληρωμών, να αναφέρουν στις αρμόδιες εποπτικές αρχές κάθε σοβαρό περιστατικό που διαταράσσει τα ψηφιακά τους συστήματα. Πρόκειται για ένα ενιαίο ευρωπαϊκό πλαίσιο που για πρώτη φορά φέρνει στο φως, με αριθμούς και στοιχεία, την πραγματική κλίμακα των ψηφιακών κινδύνων που αντιμετωπίζει ο κλάδος.
3.383 σοβαρά περιστατικά σε έναν χρόνο
Συνολικά, καταγράφηκαν 3.383 σοβαρά περιστατικά κατά τη διάρκεια του 2025, με μέσο όρο 282 περιστατικών ανά μήνα, αναλογία που αντιστοιχεί σε 0,18 περιστατικά ανά χρηματοοικονομική οντότητα που υπόκειται στον DORA.
Η πλειονότητα των περιστατικών εντοπίστηκε στον τραπεζικό τομέα (πάνω από 60%) και στον τομέα των πληρωμών (16%). Ο ασφαλιστικός κλάδος παρουσιάζει σαφώς χαμηλότερη συχνότητα, γεγονός που αποδίδεται στον λιγότερο «ψηφιοποιημένο» χαρακτήρα των υπηρεσιών σε σύγκριση με τις τράπεζες και τους παρόχους πληρωμών, οι οποίοι λειτουργούν εντατικά μέσω ψηφιακών καναλιών κάθε στιγμή της ημέρας.
Ο κίνδυνος δεν σταματά στα σύνορα
Ένα από τα πιο ανησυχητικά ευρήματα της έκθεσης είναι ο διασυνοριακός χαρακτήρας πολλών περιστατικών. Περίπου το ένα τρίτο των σοβαρών περιστατικών είχε διασυνοριακό αντίκτυπο, δηλαδή οι επιπτώσεις τους επεκτάθηκαν πέρα από τη χώρα στην οποία αναφέρθηκαν, ενώ στο 8% των περιπτώσεων επηρεάστηκαν πάνω από 10 κράτη μέλη. Αυτό αναδεικνύει την ευπάθεια ενός ολοένα πιο διασυνδεδεμένου χρηματοοικονομικού συστήματος, όπου μια αστοχία σε έναν πάροχο τεχνολογίας μπορεί να «μεταφερθεί» σε δεκάδες εταιρείες ταυτόχρονα.
Τι προκαλεί τα περιστατικά: τεχνικές αστοχίες και τρίτοι πάροχοι
Το 51% των σοβαρών περιστατικών οφείλεται σε τεχνικές αστοχίες συστημάτων, ενώ εξωτερικά γεγονότα αντιπροσωπεύουν το 27% και τα περιστατικά σχετιζόμενα με πληρωμές το 18%.
Ιδιαίτερης σημασίας είναι η εξάρτηση από τρίτους παρόχους τεχνολογίας. Σχεδόν το ένα τρίτο των σοβαρών περιστατικών προκλήθηκε από αστοχία τρίτου παρόχου ICT υπηρεσιών, γεγονός που αναδεικνύει ότι οι εξαρτήσεις από εξωτερικούς παρόχους αποτελούν κρίσιμο σημείο εποπτικής προσοχής.
Οι κυβερνοεπιθέσεις: σπανιότερες αλλά όχι λιγότερο επικίνδυνες
Τα περιστατικά κυβερνοασφάλειας αντιπροσώπευσαν μόλις το 10% του συνόλου, γεγονός που υποδηλώνει ότι τα υφιστάμενα μέτρα ασφαλείας ήταν σε μεγάλο βαθμό αποτελεσματικά. Ωστόσο, οι αρχές προειδοποιούν ότι αυτό δεν είναι λόγος εφησυχασμού. Η ταχεία εξέλιξη εξαιρετικά ισχυρών εργαλείων τεχνητής νοημοσύνης ενδέχεται να αλλάξει το τοπίο απειλών, γι’ αυτό οι εταιρείες πρέπει να διατηρήσουν τα υψηλότερα πρότυπα κυβερνοασφάλειας.
Στα κυβερνοπεριστατικά που καταγράφηκαν, κυριάρχησαν δύο τύποι επιθέσεων: επιθέσεις άρνησης υπηρεσίας (DDoS, 33%) και εξαγωγή ή παραποίηση δεδομένων, συμπεριλαμβανομένης της κλοπής ταυτότητας (31%). Οι επιθέσεις ransomware εντοπίστηκαν κυρίως στον ασφαλιστικό κλάδο, γεγονός που εξηγείται από τον μεγάλο όγκο ευαίσθητων δεδομένων υγείας και οικονομικών στοιχείων που διαχειρίζονται οι ασφαλιστικές εταιρείες.
Δύο γεγονότα που συγκλόνισαν την Ευρώπη
Η έκθεση εξετάζει αναλυτικά δύο μεγάλα περιστατικά που δημιούργησαν αιχμές στα καταγεγραμμένα συμβάντα κατά τη διάρκεια του 2025.
Στις 27 Φεβρουαρίου 2025, τα συστήματα TARGET Services (T2 και T2S) ήταν μη διαθέσιμα για περίπου 10 και 8 ώρες αντίστοιχα, προκαλώντας αναστολή του διακανονισμού τίτλων, πληρωμών και μεταφοράς ρευστότητας. Η αιτία ήταν μια εξαιρετικά σπάνια βλάβη υλικού σε βασικό στοιχείο του συστήματος αποθήκευσης, που δεν είχε παρατηρηθεί ποτέ ξανά παγκοσμίως σε παρόμοια συστήματα.
Λίγους μήνες αργότερα, στις 28 Απριλίου 2025, το ισπανικό ηλεκτρικό δίκτυο παρουσίασε ολοκληρωτική διακοπή που επηρέασε και την Πορτογαλία για περίπου 10 ώρες. Παρότι τα κέντρα δεδομένων των μεγάλων τραπεζών και ασφαλιστικών εταιρειών συνέχισαν να λειτουργούν χάρη σε γεννήτριες ανάγκης, ο όγκος των συναλλαγών μειώθηκε σημαντικά λόγω διακοπής λειτουργίας καταστημάτων και τηλεπικοινωνιακών παρόχων.
Περιορισμένος ο αντίκτυπος στους καταναλωτές
Παρά τον μεγάλο αριθμό περιστατικών, η επίπτωσή τους στους καταναλωτές ήταν σχετικά περιορισμένη. Στα δύο τρίτα των σοβαρών περιστατικών, ο αντίκτυπος στους πελάτες και τις συναλλαγές ήταν μηδενικός ή ελάχιστος, γεγονός που υποδηλώνει ότι η έγκαιρη ανίχνευση και τα αποτελεσματικά μέτρα αντιμετώπισης περιόρισαν αποτελεσματικά τις επιπτώσεις.
Τι σημαίνει όλο αυτό για τον ασφαλιστικό κλάδο
Η δημοσίευση αυτής της έκθεσης σηματοδοτεί μια νέα εποχή διαφάνειας για τους ψηφιακούς κινδύνους στον χρηματοοικονομικό τομέα. Για τον ασφαλιστικό κλάδο, τα ευρήματα αναδεικνύουν δύο κρίσιμες προκλήσεις: την ευπάθεια απέναντι σε επιθέσεις ransomware λόγω του ευαίσθητου χαρακτήρα των δεδομένων που διαχειρίζεται, και την ανάγκη αυστηρότερης διαχείρισης των κινδύνων που απορρέουν από εξωτερικούς παρόχους τεχνολογίας.
Οι Ευρωπαϊκές Εποπτικές Αρχές θα συνεχίσουν να παρακολουθούν και να αναλύουν τα σοβαρά περιστατικά, παρέχοντας πρόσθετες κατευθύνσεις στις αρμόδιες αρχές με στόχο τη μεγαλύτερη εποπτική σύγκλιση και τη βελτίωση των πρακτικών αναφοράς.
