Ciberseguridad bancaria en Argentina: requisitos del BCRA
El Banco Central de la República Argentina (BCRA) establece los requisitos de ciberseguridad que deben cumplir los bancos, fintechs y billeteras digitales que operan en el país. Las Comunicaciones "A" 8401/2026 y 8280/2025 definen las obligaciones vigentes en materia de gestión de riesgos tecnológicos, autenticación y respuesta a incidentes. El incumplimiento expone a las entidades a sanciones del regulador y a riesgos operativos significativos.
Comunicación BCRA "A" 8401/2026: gestión de riesgos y antifraude
La Comunicación "A" 8401/2026 actualiza los requisitos mínimos para la gestión de riesgos de tecnología e información en entidades financieras reguladas por el BCRA. Sus ejes principales son:
- Autenticación multifactor (MFA) obligatoria para billeteras digitales y servicios de pago electrónico: las entidades deben implementar mecanismos robustos que combinen al menos dos factores de verificación para autorizar operaciones de alto riesgo.
- Gestión de riesgos tecnológicos: las entidades deben contar con marcos formales de identificación, evaluación y tratamiento de riesgos asociados a sus sistemas de información.
- Planificación estratégica de ciberseguridad: se exige que la alta dirección apruebe y supervise un plan de ciberseguridad alineado con el perfil de riesgo de la entidad.
- Medidas contra fraude en servicios digitales: controles técnicos preventivos para reducir el riesgo de fraude en canales digitales, incluyendo monitoreo de transacciones y alertas automatizadas.
Implementar estas exigencias requiere una gestión de vulnerabilidades continua que permita detectar y corregir debilidades antes de que sean explotadas por actores maliciosos.
Comunicación BCRA "A" 8280/2025: respuesta a incidentes cibernéticos
La Comunicación "A" 8280/2025 establece las guías de respuesta a incidentes cibernéticos para entidades supervisadas por el BCRA. Los puntos clave son:
- Notificación obligatoria de incidentes que afecten el servicio normal de la entidad, comprometan la integridad o confidencialidad de la información, o impacten la disponibilidad de los sistemas.
- Alcance extendido a terceros vinculados: los incidentes que afecten a proveedores tecnológicos o prestadores de servicios contratados por la entidad también deben reportarse si impactan a la propia entidad regulada.
- Plazos de notificación definidos: las entidades deben notificar al BCRA dentro de los plazos establecidos, lo que implica contar con procedimientos internos de detección y escalamiento ágiles.
Para cumplir con estos requisitos, las entidades financieras necesitan capacidades de detección de vulnerabilidades que les permitan identificar incidentes con rapidez y activar los planes de respuesta antes de que el impacto se amplíe.
Alineación con recomendaciones internacionales BIS y FSB
Las Comunicaciones del BCRA se alinean con las recomendaciones del Banco de Pagos Internacionales (BIS) y el Consejo de Estabilidad Financiera (FSB), que desde 2023 han enfatizado la necesidad de marcos robustos de ciberresiliencia en el sector financiero global. Esta alineación con estándares internacionales es relevante para entidades con operaciones transfronterizas o que forman parte de grupos financieros internacionales.
El NIST Cybersecurity Framework es una referencia complementaria reconocida tanto por el BCRA como por los organismos internacionales, y sirve de base para estructurar los programas de seguridad en entidades financieras.
Qué significa para bancos, fintechs y billeteras digitales
Las obligaciones del BCRA aplican a todo el ecosistema financiero regulado: bancos comerciales, entidades financieras no bancarias, empresas de pagos, fintechs y operadores de billeteras digitales. El alcance práctico incluye:
- Implementar autenticación multifactor en los canales digitales.
- Desarrollar y mantener planes de respuesta a incidentes actualizados y probados.
- Establecer procesos de notificación interna que permitan cumplir los plazos de reporte al BCRA.
- Extender los controles de seguridad a proveedores críticos y terceros vinculados.
- Realizar pruebas de penetración periódicas para validar la efectividad de los controles implementados.
Una cultura organizacional orientada a la seguridad es la base sobre la que se construyen estos controles técnicos. Sin formación y concientización del personal, las medidas técnicas son insuficientes.
¿Tu banco, fintech o billetera digital necesita alinear sus controles con las Comunicaciones del BCRA? En WhiteJaguars acompañamos a entidades financieras argentinas en la implementación de programas de ciberseguridad que cumplen con las exigencias regulatorias del BCRA. También te recomendamos conocer el marco de protección de datos personales bajo la LPDP Nº 25.326, que complementa los requisitos de seguridad del BCRA.