Ciberseguridad bancaria en Argentina: BCRA

  • Inicio
  • Blog
  • Ciberseguridad bancaria en Argentina: BCRA

Contenido

Ciberseguridad bancaria en Argentina: requisitos del BCRA

El Banco Central de la República Argentina (BCRA) establece los requisitos de ciberseguridad que deben cumplir los bancos, fintechs y billeteras digitales que operan en el país. Las Comunicaciones "A" 8401/2026 y 8280/2025 definen las obligaciones vigentes en materia de gestión de riesgos tecnológicos, autenticación y respuesta a incidentes. El incumplimiento expone a las entidades a sanciones del regulador y a riesgos operativos significativos.

Comunicación BCRA "A" 8401/2026: gestión de riesgos y antifraude

La Comunicación "A" 8401/2026 actualiza los requisitos mínimos para la gestión de riesgos de tecnología e información en entidades financieras reguladas por el BCRA. Sus ejes principales son:

  • Autenticación multifactor (MFA) obligatoria para billeteras digitales y servicios de pago electrónico: las entidades deben implementar mecanismos robustos que combinen al menos dos factores de verificación para autorizar operaciones de alto riesgo.
  • Gestión de riesgos tecnológicos: las entidades deben contar con marcos formales de identificación, evaluación y tratamiento de riesgos asociados a sus sistemas de información.
  • Planificación estratégica de ciberseguridad: se exige que la alta dirección apruebe y supervise un plan de ciberseguridad alineado con el perfil de riesgo de la entidad.
  • Medidas contra fraude en servicios digitales: controles técnicos preventivos para reducir el riesgo de fraude en canales digitales, incluyendo monitoreo de transacciones y alertas automatizadas.

Implementar estas exigencias requiere una gestión de vulnerabilidades continua que permita detectar y corregir debilidades antes de que sean explotadas por actores maliciosos.

Comunicación BCRA "A" 8280/2025: respuesta a incidentes cibernéticos

La Comunicación "A" 8280/2025 establece las guías de respuesta a incidentes cibernéticos para entidades supervisadas por el BCRA. Los puntos clave son:

  • Notificación obligatoria de incidentes que afecten el servicio normal de la entidad, comprometan la integridad o confidencialidad de la información, o impacten la disponibilidad de los sistemas.
  • Alcance extendido a terceros vinculados: los incidentes que afecten a proveedores tecnológicos o prestadores de servicios contratados por la entidad también deben reportarse si impactan a la propia entidad regulada.
  • Plazos de notificación definidos: las entidades deben notificar al BCRA dentro de los plazos establecidos, lo que implica contar con procedimientos internos de detección y escalamiento ágiles.

Para cumplir con estos requisitos, las entidades financieras necesitan capacidades de detección de vulnerabilidades que les permitan identificar incidentes con rapidez y activar los planes de respuesta antes de que el impacto se amplíe.

Alineación con recomendaciones internacionales BIS y FSB

Las Comunicaciones del BCRA se alinean con las recomendaciones del Banco de Pagos Internacionales (BIS) y el Consejo de Estabilidad Financiera (FSB), que desde 2023 han enfatizado la necesidad de marcos robustos de ciberresiliencia en el sector financiero global. Esta alineación con estándares internacionales es relevante para entidades con operaciones transfronterizas o que forman parte de grupos financieros internacionales.

El NIST Cybersecurity Framework es una referencia complementaria reconocida tanto por el BCRA como por los organismos internacionales, y sirve de base para estructurar los programas de seguridad en entidades financieras.

Qué significa para bancos, fintechs y billeteras digitales

Las obligaciones del BCRA aplican a todo el ecosistema financiero regulado: bancos comerciales, entidades financieras no bancarias, empresas de pagos, fintechs y operadores de billeteras digitales. El alcance práctico incluye:

  • Implementar autenticación multifactor en los canales digitales.
  • Desarrollar y mantener planes de respuesta a incidentes actualizados y probados.
  • Establecer procesos de notificación interna que permitan cumplir los plazos de reporte al BCRA.
  • Extender los controles de seguridad a proveedores críticos y terceros vinculados.
  • Realizar pruebas de penetración periódicas para validar la efectividad de los controles implementados.

Una cultura organizacional orientada a la seguridad es la base sobre la que se construyen estos controles técnicos. Sin formación y concientización del personal, las medidas técnicas son insuficientes.


¿Tu banco, fintech o billetera digital necesita alinear sus controles con las Comunicaciones del BCRA? En WhiteJaguars acompañamos a entidades financieras argentinas en la implementación de programas de ciberseguridad que cumplen con las exigencias regulatorias del BCRA. También te recomendamos conocer el marco de protección de datos personales bajo la LPDP Nº 25.326, que complementa los requisitos de seguridad del BCRA.

Publicado el

Mario Robles

CEO & Founder

Hacker Ético con más de 20 años de experiencia, creador de herramientas de ciberseguridad, ex-líder de OWASP Costa Rica y miembro activo de Cybersec Cluster y el capítulo de ciberseguridad de CAMTIC.

¿Necesitas ayuda?

Nuestro equipo de especialistas puede ayudarte a implementar las mejores prácticas de ciberseguridad en tu organización.

Consulta Gratuita

¿Necesitas proteger tu empresa?

Consulta Gratuita

También te podría interesar

Ley 21.663 Chile: marco de ciberseguridad

La Ley Nº 21.663 obliga a empresas en Chile a implementar SGSI, designar CISO y reportar incidentes a la ANCI. Qué exige esta ley y cómo cumplir.

Leer: Ley 21.663 Chile: marco de cibersegur...

BCP Paraguay: ciberseguridad y cloud banking

El BCP regula la ciberseguridad bancaria con Resolución 12/2021 y cloud computing para entidades financieras. Obligaciones mínimas para bancos en Paraguay.

Leer: BCP Paraguay: ciberseguridad y cloud ...

Ciberseguridad bancaria en Uruguay: BCU

El BCU regula la seguridad bancaria en Uruguay con estándares ISO/NIST. Conoce la Ley 18.331 y qué exige a bancos y fintechs uruguayos.

Leer: Ciberseguridad bancaria en Uruguay: BCU
Este sitio web utiliza cookies para mejorar su experiencia, puede consultar nuestra política de privacidad.