BCRA exige nuevos protocolos ante ciberataques: qué deben hacer los bancos y fintechs

El Banco Central de la República Argentina (BCRA) aprobó nuevas medidas que obligan a entidades financieras y proveedores de servicios de pago a implementar protocolos específicos de respuesta y recuperación ante ciberataques. Las normas buscan minimizar los riesgos operativos y proteger tanto la información sensible como la disponibilidad de los servicios bancarios para los clientes.

Nuevas exigencias frente a ciberincidentes

A través de la Comunicación “A” 8280, publicada en el Boletín Oficial, el BCRA oficializó cambios en el texto ordenado de los “Lineamientos para la Respuesta y Recuperación ante Ciberincidentes” (RRCI), que ahora pasan a ser de cumplimiento obligatorio para bancos, fintechs y sistemas de pago de importancia sistémica.

El objetivo es actuar rápida y eficazmente ante cualquier incidente que pueda comprometer la prestación de servicios financieros o la confidencialidad de los datos. La norma abarca desde fallas en cajeros automáticos y aplicaciones móviles hasta filtraciones de información de clientes, ya sea por errores internos o ataques externos, incluidos aquellos originados en terceros proveedores.

Según el BCRA, estas medidas no solo buscan mitigar los impactos inmediatos de un ciberataque, sino también impulsar la "ciberresiliencia" de todo el sistema financiero. Es decir, su capacidad para resistir, adaptarse y recuperarse rápidamente ante eventos que puedan desestabilizarlo.

Qué deben hacer las entidades

Las entidades alcanzadas deberán seguir una serie de pasos detallados ante la ocurrencia de un incidente:

Notificación inicial: dentro de la primera hora de detectado, deben reportar el incidente a la Gerencia de Auditoría Externa de Sistemas del BCRA. Este reporte incluirá información preliminar como el tipo de afectación, servicios impactados, canales alterados, y datos de contacto responsables.

Reportes subsiguientes: mientras el incidente continúe activo, se deberán enviar actualizaciones frecuentes con el estado de situación y las acciones que se estén tomando para su resolución.

Reporte de cierre: una vez solucionado el problema, la entidad tendrá hasta cinco días corridos para enviar un informe final que incluya el análisis de la causa raíz, el volumen de clientes afectados, las medidas de mitigación implementadas y el plan de acción para evitar futuras recurrencias.

Todos los reportes deben enviarse por correo electrónico, respetando un formato estandarizado que permite al BCRA hacer un seguimiento riguroso y comparativo entre los distintos incidentes reportados.

Además, se establece que si el incidente se origina en un proveedor externo, como un servicio tecnológico tercerizado, también debe ser informado si impacta en la prestación de los servicios o compromete los datos.

Tipos de incidentes y su clasificación

La normativa divide los ciberincidentes en tres categorías según su gravedad:

Críticos: aquellos que impiden a los clientes acceder a sus fondos, afectan esquemas de pago o tienen un impacto sistémico. Requieren la mayor urgencia de respuesta.

Importantes: afectan parcialmente la operación o generan filtraciones de datos confidenciales, pero no interrumpen totalmente los servicios.

No relevantes: incidentes menores que no alteran la prestación normal de los servicios financieros. No requieren notificación al BCRA.

Este esquema busca priorizar los esfuerzos de respuesta según el grado de impacto, permitiendo una gestión más eficiente de los recursos de ciberseguridad.

Plazos y adecuación de los nuevos lineamientos

Los proveedores de servicios de pago que estén registrados ante el BCRA —excepto aquellos que ofrecen cuentas de pago— tendrán 60 días hábiles a partir de la publicación de la norma para adecuarse a estas nuevas disposiciones.

Además, las entidades deberán dejar constancia escrita de los criterios y fundamentos aplicados al implementar los lineamientos, y deberán poner esa documentación a disposición de la Superintendencia de Entidades Financieras y Cambiarias en caso de ser requerida.