Insights»Bancos, Finanzas y Fintech-Telecomunicaciones, Medios y Tecnología (TMT) & Datos Personales

CIBERSEGURIDAD – MAYORES EXIGENCIAS PARA ENTIDADES FINANCIERAS Y PROVEEDORES DE SERVICIOS DE PAGO 🔐

El 5/2/26 la Comunicación “A” 8398 del BCRA modificó integralmente sus normas sobre "Requisitos Mínimos para la Gestión y Control de los Riesgos de Tecnología y Seguridad de la Información" (“Requisitos Mínimos”) y "Expansión de Entidades Financieras" (“Normas Expansión”), con el objetivo de mejorar la planificación estratégica de la ciberseguridad, la prevención del fraude y la ciberresiliencia. 🛡️

por Gustavo A. Bethular, Hernán D. Camarero, Lisandro Frene, Juan Pablo M. Cardinal, Eduardo Bellocq, Tomás Cárrega y Juan Aberg Cobo

En primer lugar, el BCRA incorporó a los proveedores de servicios de pago (“PSP”) inscriptos en el Registro de PSP del BCRA como sujetos obligados por los Requisitos Mínimos y les impuso un plazo de 180 días corridos para la implementación (es decir, hasta el 4/8/26). 

Los Requisitos Mínimos deben ser cumplidos tanto por las entidades financieras y los PSP registrados ante el BCRA como por aquellos terceros a los cuales les hubieran delegado procesos, servicios o actividades vinculadas con los procesos de tecnología y seguridad de la información. 

Los principales cambios introducidos por el BCRA son: 📌
i. Se establece una regulación más exhaustiva de las normas de los Requisitos Mínimos aplicables a la gestión de relación con las terceras partes. 🤝

Los principales cambios introducidos en los Requisitos Mínimos son: 

Se obliga a encuadrar los servicios en una taxonomía específica. 
Dentro de esta taxonomía se mencionan los siguientes servicios: 

a. Procesamiento de datos en infraestructuras tradicionales. 
b. Infraestructura y procesamiento en modalidad Infrastructure as a Service (IaaS). ☁️
c. Soluciones en modalidad Platform as a Service (PaaS). 
d. Soluciones en modalidad Software as a Service (SaaS). 
e. Administración y gestión de datos. 🗄️
f. Control de acceso a la infraestructura, a los sistemas y a los datos. 🔐
g. Operaciones de seguridad (incluye SOC). 
h. Gestión de ciberincidentes (en cualquiera de sus etapas). 🚨
i. Actividades de back-office con soporte tecnológico. 
j. Administración de pagos. 💳
k. Gestión de las comunicaciones y redes. 
l. Desarrollo, soporte y mantenimiento. 
m. Gestión de copias de respaldo. 
n. Otros servicios considerados críticos. ⚠️

Se establecen mayores exigencias para tercerización de servicios intra-grupo en el exterior. Al respecto, se exige una certificación escrita del supervisor del país de origen que declare no solo que no objeta la tercerización, sino que el prestador adhiere a los “Principios básicos para una supervisión bancaria eficaz” divulgados por el Comité de Supervisión Bancaria de Basilea y a normas internacionales contra el lavado de activos (FATF-GAFI). 

Se exige evaluar de escenarios de finalización planificada o forzada y establecer planes para mitigar la interrupción, incluyendo la recuperación de códigos fuente y documentación de sistemas. 🔄
Con respecto a subcontratistas: a) se refuerza la trazabilidad, debiendo identificarse a cada subcontratista y su ubicación geográfica en la notificación previa. Además, los subcontratistas deben asumir formalmente el compromiso de permitir el acceso de auditoría al BCRA. 

Se incorporan nuevas cláusulas mínimas obligatorias en los contratos, como los mecanismos para la eliminación de datos una vez extinguida la relación y procedimientos coordinados de gestión de ciberincidentes. 

ii. Con respecto a las Normas Expansión, el BCRA simplificó la estructura y adecuó los requisitos documentales para la tercerización de servicios. ⚙️
Los principales cambios introducidos a las Normas Expansión son: 

Anteriormente, la norma contenía apartados específicos para la descentralización en infraestructura propia o de la casa matriz. La nueva norma se enfoca en el uso de instalaciones e infraestructura de terceros. 

Al igual que en la anterior versión, se establece que la documentación para comunicar la tercerización debe enviarse en formato pdf pero la nueva norma es más taxativa sobre la modalidad de envío electrónico e incluye la obligación del representante legal de presentar una DDJJ dejando constancia de que los archivos son copia fiel de los originales que la entidad conserva. 📄

Se reforzó la obligación contractual de que el tercero permita el acceso físico irrestricto de los agentes de la SEFYC a sus instalaciones cuando sea necesario para funciones de supervisión. 

Se mantiene, pero se redefinió la lista de documentos que deben permanecer en Argentina, incluyendo explícitamente los legajos de deudores y los documentos que respalden garantías y financiaciones. 🇦🇷

Contacto

Gustavo A. Bethular Hernán D. Camarero Lisandro Frene Juan Pablo M. Cardinal Eduardo Bellocq Tomás Cárrega Juan Aberg Cobo
Ver todos los Insights

Seguí nuestras
novedades

Suscribite a nuestro newsletter y recibí todas las noticias legales en tu bandeja de entrada