Recibe los análisis más provocadores del Boletín Oficial. No es una newsletter, es un manifiesto diario.
Nos tomamos en serio tu privacidad. No compartiremos tu información.
El Banco Central obliga a entidades financieras y proveedores de servicios de pago a reportar ciberincidentes críticos y graves en tiempo récord, buscando blindar el sistema financiero ante la creciente amenaza digital.
El Banco Central de la República Argentina (BCRA) ha lanzado una nueva normativa que sacude los cimientos de la ciberseguridad en el sector financiero. A través de la Comunicación “A” 8280/2025, se actualizan y endurecen los 'Lineamientos para la Respuesta y Recuperación ante Ciberincidentes (RRCI)', haciendo obligatoria la notificación de incidentes que pongan en jaque la estabilidad o la información de los clientes.
La medida sustituye los puntos 1.1 y 1.2 del texto ordenado y, lo más crucial, incorpora una nueva Sección 3 dedicada exclusivamente a la notificación de ciberincidentes. Ahora, entidades financieras, proveedores de servicios de pago (PSP) registrados y sistemas de pago de importancia sistémica están obligados a informar al BCRA sobre cualquier incidente que afecte la normal prestación de servicios a clientes o ponga en riesgo la disponibilidad, integridad y/o confidencialidad de la información. Esto incluye también los incidentes originados en terceros vinculados.
La normativa clasifica los incidentes en:
Aquí viene la parte que hará sudar a más de uno: la notificación inicial de incidentes importantes y críticos debe realizarse dentro de la primera hora de ocurrido o detectado. Luego, se exigen reportes subsiguientes con actualizaciones frecuentes hasta la resolución, y un reporte de cierre dentro de los 5 días corridos posteriores. Todo, vía correo electrónico a audext.incidente@bcra.gob.ar con un formato estricto.
Para las entidades financieras y PSP, implica una presión enorme para fortalecer sus sistemas de detección, respuesta y reporte. La carga administrativa y la necesidad de ciberresiliencia se disparan. Para los ciudadanos comunes, la medida busca brindar mayor seguridad y confianza en la operatoria digital, al forzar a las instituciones a ser más transparentes y rápidas en la gestión de crisis cibernéticas. Aunque la regulación puede parecer intervencionista, el objetivo final es proteger el ecosistema financiero en su conjunto de amenazas cada vez más sofisticadas. Los PSP, excluidos los que ofrecen cuentas de pago, tienen 60 días hábiles para implementar estos lineamientos. ¡El reloj ya está corriendo!
18 de febrero de 2026
18 de febrero de 2026
12 de febrero de 2026
