Recibe los análisis más provocadores del Boletín Oficial. No es una newsletter, es un manifiesto diario.
Nos tomamos en serio tu privacidad. No compartiremos tu información.
El Banco Central endurece las normas de ciberseguridad para entidades financieras, proveedores de servicios de pago e infraestructuras del mercado. Ahora, los incidentes críticos deberán reportarse en una hora, buscando blindar la estabilidad financiera y proteger a los usuarios de la creciente amenaza digital.
El Banco Central de la República Argentina (BCRA) ha lanzado una nueva y contundente ofensiva en la guerra contra los ciberataques que azotan al sistema financiero. A través de la Comunicación "A" 8280/2025, se han adecuado y ampliado los Lineamientos para la Respuesta y Recuperación ante Ciberincidentes (RRCI), estableciendo un nuevo estándar de exigencia para entidades financieras, proveedores de servicios de pago (PSP) y las infraestructuras críticas del mercado.
La medida, que el BCRA considera una "buena práctica" pero que en su Sección 3 es de aplicación obligatoria, busca potenciar la ciberresiliencia del ecosistema financiero en su conjunto. ¿Qué significa esto en la práctica? Que cualquier incidente que afecte la normal prestación de servicios a clientes o ponga en riesgo la disponibilidad, integridad y/o confidencialidad de la información, deberá ser notificado de inmediato.
El punto más impactante es el plazo para el reporte: los incidentes críticos e importantes deben ser comunicados a la Gerencia de Auditoría Externa de Sistemas de la SEFYC dentro de la primera hora de detectados. Esto incluye desde la afectación de la disponibilidad de fondos de clientes hasta la pérdida o divulgación no autorizada de datos críticos.
Los PSP (excepto los que ofrecen cuentas de pago) tendrán 60 días hábiles para implementar estas nuevas directrices, una carrera contrarreloj para adaptarse a las exigencias que buscan evitar descalabros mayores. La normativa clasifica los incidentes en críticos, importantes y no relevantes, y detalla un formato de notificación exhaustivo, que abarca desde el código de entidad hasta el análisis de la causa raíz en el reporte de cierre. Esta es una señal clara de que el BCRA no tolerará la laxitud en un ámbito tan sensible como la seguridad digital de los ahorros y transacciones de millones de argentinos.
"La respuesta se refiere a las actividades que se inician en reacción a un ciberincidente detectado o reportado, mientras que la recuperación se encarga de las actividades que se ejecutan con el fin de restaurar los sistemas, servicios u operaciones que fueron perjudicados debido al ciberincidente."
Ciudadanos y empresas deben estar atentos, ya que la robustez del sistema financiero depende ahora más que nunca de esta vigilancia extrema y la rápida respuesta ante cualquier amenaza cibernética. La omisión o el retraso en la notificación podría tener consecuencias graves, no solo para las entidades, sino para la confianza de todos en el sistema.
18 de febrero de 2026
18 de febrero de 2026
15 de enero de 2026
