La Superintendencia de Banca, Seguros y AFP (SBS) publicó un proyecto normativo con el que propone modificar el Reglamento de Gestión de Conducta de Mercado del Sistema Financiero para reforzar la información que las entidades financieras deben brindar a los usuarios cuando se producen interrupciones del servicio o incidentes tecnológicos y de ciberseguridad que afectan la prestación de servicios financieros. La iniciativa se encuentra actualmente en consulta pública.
Consultados por El Comercio, la SBS señaló que la propuesta parte de que, si bien las entidades supervisadas cuentan desde hace años con planes de continuidad operativa y protocolos de comunicación, el incremento en el uso de canales digitales ha elevado la exposición de los usuarios a eventos que afectan el acceso a los servicios financieros. En ese contexto, el regulador indicó que identificó la necesidad de precisar y estandarizar las obligaciones de información al usuario, desde la óptica de la conducta de mercado.
¡Gracias por suscribirte a Día 1!
Tu inscripción ha sido confirmada. Recibirás nuestro newsletter en tu correo electrónico. ¡Esperamos que disfrutes del contenido!
«,t.textContent=n,t.classList.replace(«cutter-nl__button–premium»,»cutter-nl__button–subscribed»)):(i.innerHTML=»
Lamentamos verte partir.
Tu suscripción ha sido cancelada y ya no recibirás más nuestro newsletter en tu correo electrónico. Si cambias de opinión, siempre serás bienvenido de nuevo.
¡Gracias por habernos acompañado!
«,t.textContent=s,t.classList.replace(«cutter-nl__button–subscribed»,»cutter-nl__button–premium»)),t.disabled=!1}),3e3):(window.tp.template.show({templateId:»OTFEJQDCHMFK»,displayMode:»modal»,showCloseButton:»true»}),setTimeout((()=>{t.disabled=!1,t.textContent=l}),3e3))}catch(e){console.log(«ERROR AL SUSCRIBIRSE O DESUSCRIBIRSE: «,e)}}))}else window.tp.pianoId.init({display:»modal»,loggedIn:function(e){const{firstName:t,lastName:s}=e.user||{}}}),t.addEventListener(«click»,(()=>{window.tp?.pianoId?.show({screen:»login»})}))}])}))}));const closeSubscribeModal=()=>{document.getElementById(«subscribe-modal»).innerHTML=»»};
Newsletter exclusivo para suscriptores
De acuerdo con la SBS, el proyecto amplía de manera explícita los supuestos en los que las entidades deben informar a los usuarios, incluyendo interrupciones de los canales de atención, incidentes de ciberseguridad significativos con impacto en los usuarios y eventos operativos que afecten saldos, líneas de crédito u otros aspectos relevantes del servicio. Para estos casos, la propuesta establece dos niveles de comunicación: una comunicación masiva en un plazo máximo de 24 horas desde que la entidad toma conocimiento del evento, y una comunicación directa al usuario dentro de los 10 días hábiles, en la que se debe informar sobre lo ocurrido y las acciones adoptadas.
La SBS también precisó que estas obligaciones se enmarcan en el enfoque de conducta de mercado, por lo que no regulan la gestión técnica del incidente, sino la forma en que las entidades deben informar a los usuarios sobre eventos que afectan su relación contractual. Asimismo, indicó que la supervisión del cumplimiento se realizará bajo un enfoque basado en riesgos, considerando información proveniente de reclamos, denuncias, monitoreo de medios y otros mecanismos, y que el incumplimiento puede dar lugar a medidas correctivas o sanciones, según la gravedad del caso.
Derecho digital
Erick Iriarte, especialista en derecho digital, consideró que la propuesta constituye un avance en materia de información al usuario, pero advirtió que aún existen aspectos que requieren mayor precisión, especialmente en su articulación con otras normas vigentes.
Uno de los puntos que identificó es la consistencia de los plazos, dado que tanto la normativa de protección de datos personales como el reglamento de ciberseguridad establecen plazos específicos para la notificación de incidentes considerados graves o críticos. “Las normas de ciberseguridad y de protección de datos son las matrices para este tipo de situaciones; si no se coordinan, se corre el riesgo de generar confusión”, señaló.
Iriarte también observó que la propuesta no delimita con claridad qué tipo de incidentes obligan a informar, pese a que no todos tienen el mismo impacto sobre los derechos del usuario. En su análisis, el enfoque termina acercándose más a la defensa del consumidor que a una regulación integral de la ciberseguridad. “No queda claro en qué casos corresponde informar y en cuáles no, especialmente cuando se cruza con la legislación de datos personales”, afirmó.
Otro aspecto que destacó Iriarte es el tratamiento de los incidentes originados en terceros, como proveedores de servicios en la nube. Aunque la afectación no sea atribuible directamente a la entidad financiera, señaló que el impacto sobre el usuario persiste. “El hecho de que el problema se origine en un tercero no elimina la necesidad de informar al cliente”, indicó, aunque remarcó que la regulación debería reconocer estos escenarios para evitar obligaciones de difícil cumplimiento.
Desde la perspectiva del usuario, añadió que la utilidad de la información no se agota en la notificación del incidente. En su opinión, una comunicación útil debería permitir conocer si el servicio está o no operativo, por cuánto tiempo se verá afectado y si existe una afectación a la información personal. “Decir que hubo un incidente no basta si el usuario no puede saber cómo le afecta”, sostuvo.
Impacto para la banca y los usuarios
Desde una mirada económica y de gestión, Enrique Castellanos, profesor de Economía y Finanzas de la Universidad del Pacífico, consideró que exigir este tipo de avisos puede tener un efecto positivo en la relación entre los bancos y sus clientes. A su juicio, la obligación de informar contribuye a una mayor transparencia y a que los usuarios tomen conciencia de que los servicios digitales también enfrentan riesgos. “Es una buena medida en la medida en que aumenta la transparencia y la toma de conciencia de los clientes de que pueden pasar estos problemas”, señaló.
Castellanos reconoció que la exigencia de informar podría implicar costos operativos adicionales para las entidades financieras, pero consideró que forman parte del contexto actual del negocio. “Al final es parte del costo de hacer negocio en estos tiempos; hay que estar informando constantemente a la clientela e invirtiendo en ciberseguridad para evitar problemas”, indicó. Desde su perspectiva, ese esfuerzo puede verse compensado si contribuye a fortalecer la confianza del usuario en el sistema financiero.
Desde la perspectiva del usuario financiero, Jorge Carrillo Acosta, profesor y experto en Finanzas de Pacífico Business School, consideró que la obligación de informar ante fallas tecnológicas o incidentes de ciberseguridad puede ser relevante para que los clientes estén alerta frente a posibles riesgos, como fraudes o consumos no reconocidos. En ese sentido, sostuvo que contar con información oportuna permite al usuario tomar precauciones adicionales cuando el servicio se ve afectado. “Es importante estar informado oportunamente para estar alerta de si hay alguna posibilidad de fraude o de un consumo no reconocido”, explicó.
Carrillo Acosta señaló además que la transparencia resulta clave, ya que ocultar o no comunicar este tipo de eventos puede generar problemas posteriores para los usuarios. A su juicio, informar de manera clara contribuye a una mejor relación entre las entidades financieras y sus clientes, aunque advirtió que el impacto final dependerá de cómo se comunique la información. “Si la comunicación se manda de forma alarmante, podría generar cierto nivel de preocupación; va a depender de cómo se comunique y cómo lo interprete el usuario”, indicó.
Mientras el proceso de consulta sigue abierto, el sector financiero aún no fija una posición pública. Desde la Asociación de Bancos del Perú (Asbanc) indicaron que el gremio se encuentra revisando la propuesta con sus agremiados para presentar comentarios. Señalaron que adelantar una opinión podría generar confusión respecto a la posición consensuada que será entregada al regulador.
