La Comisión Nacional de Valores (CNV) ha emitido la Resolución General 1058/2025, regulando la actividad de los Proveedores de Servicios de Activos Virtuales (PSAV) en Argentina. Entre sus disposiciones, la norma impone estrictos requisitos de ciberseguridad para garantizar la integridad de los sistemas y la protección de los usuarios.

🔹 Ciberseguridad y gestión de riesgos

Los PSAV deberán adoptar un enfoque basado en riesgos, estableciendo políticas de seguridad de la información y procedimientos que incluyan:

·         Mecanismos internos para gestionar ciberriesgos y de salvaguarda de información e identificación de debilidades en sistemas informáticos.  

·         Sistemas informáticos que detecten potenciales incidentes e intentos de acceso no autorizado, los cuales deberán ser supervisados continuamente en tiempo real.

·         Medidas de control, como centros de seguridad de las operaciones, antivirus o sistemas de prevención de intrusos, y que como mínimo tengan especial énfasis en la protección de la información de los usuarios y detección de conductas anómalas del personal. 

·         Capacitación del personal del área de sistemas y/o ciberseguridad.

·         Evaluaciones periódicas y auditorías de seguridad, con foco en la ciberresilencia de la infraestructura.

·         Monitoreo continuo para detectar accesos no autorizados y mecanismos de respuesta ante incidentes y restauración de sistemas en caso de ciberincidentes.

🔹Protección de datos y custodia de activos

La infraestructura tecnológica debe garantizar la seguridad de la información mediante:

·         Uso de billeteras frías para almacenamiento seguro.

·         Implementación de multifirmas para transacciones con esquema de roles y controles de acceso.

·         Protocolos para evitar accesos no autorizados internos y externos a los Activos Virtuales de clientes. 

·         Distribución de llaves privadas en ambientes y dispositivos separados geográficamente. 

·         Utilización de listas blancas que incorporen direcciones únicas y específicas para transacciones salientes. 

Asimismo, las PSAV deberán garantizar la segregación entre fondos y activos virtuales propios, con los fondos y activos virtuales de sus clientes. 

🔹 Obligaciones y sanciones

El incumplimiento de estos requisitos puede derivar en sanciones, revocación del registro y bloqueo de plataformas en Argentina.

Además de ciberseguridad, la norma establece la obligación de poner a disposición de la CNV un detalle de los sistemas informáticos utilizados para el desarrollo de sus actividades, los que deberán garantizar la protección de clientes y los principios de equidad, eficiencia, transparencia, no fragmentación y reducción del riesgo sistémico. 

Finalmente, se incorporan obligaciones para los PSAV vinculadas a la prevención de lavado de activos y financiamiento del terrorismo, teniendo en consideración las recomendaciones del GAFI, que incluyen la inscripción obligatoria en un registro oficial, exigencias de patrimonio mínimo y presentación de informes a través de la Autopista de Información Financiera (AIF).