La Superintendencia de Banca, Seguros y AFP (SBS) del Perú ha planteado una propuesta normativa para que las entidades del sistema financiero especialmente los bancos informen de manera oportuna y clara a sus clientes sobre fallas tecnológicas, interrupciones de servicio y ciberataques que puedan afectar la disponibilidad, integridad o confidencialidad de los sistemas y datos de los usuarios. Esta iniciativa responde a un contexto de creciente digitalización financiera y de amenazas cibernéticas, y busca fortalecer la protección del usuario financiero, la gestión de riesgos operativos y la confianza en la infraestructura digital bancaria. El presente artículo analiza la propuesta de la SBS, su soporte jurídico, sus potenciales efectos sobre la protección del consumidor y la regulación financiera, así como desafíos prácticos y consecuencias para la seguridad cibernética del sector.
1. Introducción y contexto
En las últimas décadas, la digitalización de servicios financieros se ha intensificado, incorporando plataformas de banca en línea, aplicaciones móviles, pagos electrónicos y soluciones fintech. Esta transformación tecnológica, si bien ha ampliado el acceso y la eficiencia, ha incrementado la exposición a fallas operativas y ciberataques que pueden afectar a clientes y a la estabilidad del sistema. Casos de interrupciones de sistemas bancarios y ataques exitosos han puesto en evidencia la necesidad de mecanismos de transparencia y rendición de cuentas por parte de las instituciones financieras.
En este contexto, la SBS ha propuesto que los bancos informen a los usuarios afectados y, en ciertos casos, a la opinión pública, sobre incidencias tecnológicas relevantes y brechas de seguridad que puedan implicar riesgos para los usuarios sea por pérdidas, acceso no autorizado o interrupción de servicios. Esta tendencia no es aislada: organismos internacionales y supervisores financieros han enfatizado la necesidad de gestión de riesgos tecnológicos y ciberseguridad con altos estándares de transparencia para fortalecer la resiliencia del sector.
2. Marco regulatorio y fundamentos de la propuesta
2.1 Autoridad de supervisión de la SBS
La SBS ejerce la supervisión y regulación prudencial del sistema financiero, con competencia para establecer normas sobre gestión de riesgos operativos, lo cual incluye riesgos tecnológicos, de continuidad del negocio y de ciberseguridad. Esto se sustenta en la Ley Nº 26702 (Ley de Supervisión Bancaria) y normas complementarias que facultan a la SBS a dictar lineamientos para el fortalecimiento institucional de los bancos y entidades supervisadas.
2.2 Propuesta para la notificación de fallas y ciberataques
La iniciativa de la SBS plantea que los bancos deben:
- Informar de manera oportuna a usuarios afectados por fallas tecnológicas o brechas cibernéticas que impacten sus operaciones, fondos o datos personales.
- Definir criterios de materialidad para determinar qué tipo de incidentes requieren comunicación formal.
- Establecer mecanismos de comunicación claros, accesibles y verificables (notificaciones electrónicas, anuncios en portales web oficiales, alertas in‑app).
- Coordinar con la SBS la comunicación de incidentes que puedan tener impacto sistémico o riesgo acumulado para otros participantes del mercado.
3. Objetivos de la medida y beneficios esperados
3.1 Protección al usuario financiero
El objetivo central de la propuesta es fortalecer la protección del consumidor. Los usuarios tienen derecho a recibir información clara cuando sus servicios financieros se ven afectados, incluyendo explicaciones sobre la causa, alcance, medidas paliativas y estimación de restitución o reembolso de fondos en caso de pérdida atribuible a fallas o ataques.
Esta transparencia puede reducir la incertidumbre, mitigar daños derivados de información insuficiente y brindar seguridad jurídica al usuario, en consonancia con principios de buena fe, previsibilidad y transparencia en la relación contractual entre bancos y clientes.
3.2 Gestión de riesgos y resiliencia institucional
Al exigir informes formales de incidentes operativos y de seguridad, la SBS facilitaría un seguimiento más riguroso de los patrones de fallas y ciberataques en el sistema, posibilitando la elaboración de estadísticas, indicadores de riesgo agregados y mejores prácticas de gestión. Esto puede traducirse en un mejor enfoque de prevención y respuesta ante incidentes.
3.3 Confianza en la infraestructura digital
La incertidumbre sobre la capacidad de respuesta de bancos ante fallas o brechas de seguridad puede erosionar la confianza del público en la banca digital. Un marco de responsabilidad y transparencia puede fortalecer la confianza del público en los servicios electrónicos, lo que a su vez favorece la adopción de canales digitales y la inclusión financiera.
4. Desafíos y consideraciones críticas
4.1 Definición de criterios y materialidad
Un reto central de la propuesta es la determinación de umbrales materialidad para la obligación de informar públicamente. No todos los incidentes tecnológicos o ciberataques tienen el mismo impacto: la norma debe distinguir entre fallas menores (p. ej., interrupciones breves y localizadas) y aquellas con impacto significativo en fondos o datos de clientes.
La definición técnica de materialidad requiere criterios claros—por ejemplo, número de usuarios afectados, monto de fondos implicados, duración de la interrupción— que permitan armonizar las obligaciones de reporte.
4.2 Seguridad y gestión de incidentes
Informar públicamente sobre fallas o ataques puede, paradójicamente, exponer vulnerabilidades si no se gestiona cuidadosamente la comunicación. Las entidades deben articular estrategias de notificación responsable que no comprometan mecanismos de mitigación ni incentiven a actores maliciosos a explotar debilidades.
4.3 Cargas operativas y confidencialidad
El requerimiento de informar a usuarios y autoridades implica cargas administrativas operativas para los bancos. Asimismo, se debe salvaguardar la confidencialidad de investigaciones forenses, evitando revelar información sensible que pueda obstaculizar la respuesta técnica para contener incidentes o restaurar sistemas.
4.4 Coordinación regulatoria e internacional
La propuesta de la SBS debe articularse con normas internacionales de gestión de riesgos tecnológicos del sector financiero como las del Basel Committee on Banking Supervision y el GAFI/FATF sobre ciberriesgos, así como con estándares de protección de datos personales, para evitar conflictos normativos o cargas regulatorias desalineadas con prácticas globales.
5. Efectos potenciales en el sistema financiero
5.1 Reforzamiento de prácticas de gobernanza
La transparencia requerida puede incentivar mejores prácticas de gobernanza de riesgos tecnológicos, que incluyan políticas, procedimientos y controles más robustos, así como unidades dedicadas a respuesta a incidentes y seguridad de la información.
5.2 Evolución de las expectativas del consumidor
Los usuarios pueden desarrollar expectativas de mayor transparencia y anticipación, lo cual puede influir en la competencia entre bancos con base no solo en tasas y servicios, sino también en calidad de gestión de riesgos y comunicaciones claras ante fallas.
5.3 Supervisión y monitoreo
La SBS obtendría mayor capacidad de monitoreo agregado de incidentes, permitiendo evaluaciones comparativas, identificación reiterada de vulnerabilidades sistémicas y, eventualmente, recomendaciones sectoriales o disciplinarias.
6. Conclusión
La propuesta de la Superintendencia de Banca, Seguros y AFP (SBS) de exigir a los bancos que informen a sus clientes sobre fallas tecnológicas y ciberataques representa una evolución en la regulación prudencial y de protección del usuario financiero en el Perú. Está motivada por la creciente digitalización de servicios financieros y la necesidad de fortalecer la confianza, la transparencia y la gestión de riesgos tecnológicos en un entorno de amenazas cibernéticas persistentes.
Si bien la iniciativa apunta a mejorar la protección del consumidor y la resiliencia del sistema, su eficacia dependerá de una definición adecuada de criterios de materialidad, de mecanismos de notificación responsable y de articulación con marcos internacionales de ciberseguridad y protección de datos. Asimismo, los bancos deberán fortalecer sus capacidades técnicas y operativas para cumplir con las exigencias de reporte sin comprometer la seguridad de la infraestructura o la eficacia de las respuestas a incidentes.
De implementarse con criterios claros, esta reforma podría constituirse en un precedente regulatorio significativo en la región para la gestión de fallas tecnológicas y ciberataques, promoviendo una relación más sólida entre las instituciones financieras y los usuarios en un mundo cada vez más digitalizado.
Leave a comment