En el marco de la Ley 27739, la Comisión Nacional de Valores (CNV) tiene la facultad de regular la actividad de los Proveedores de Servicios de Activos Virtuales (PSAV), principalmente en lo que refiere a la protección de los usuarios, la seguridad de la información y la protección de datos personales. Estos son algunos de los principios fundamentales que también respaldan la implementación de medidas de ciberseguridad para garantizar la estabilidad, solvencia y transparencia del mercado.

En este marco, la CNV publicó la Resolución General 1058/2025 que establece nuevas exigencias de ciberseguridad para los PSAV.

Entre las normas de ciberseguridad establecidas en la Resolución, se destacan las siguientes:

• Sistemas Informáticos (artículo 12): los PSAV deberán poner a disposición de la CNV detalles de sus sistemas informáticos, los cuales deben garantizar los principios de protección, transparencia, no fragmentación y reducción de riesgos, y presentar un informe técnico sobre la seguridad del sistema, procedimientos de back-up y ante contingencias, y la inalterabilidad de la información. La Resolución destaca que la información no será de carácter público.
• Ciberseguridad (artículo 13): los PSAV deben implementar procedimientos para la gestión de riesgos de ciberseguridad, incluyendo, pero no limitados a: la protección y prevención frente a posibles riesgos, la identificación de riesgos mediante monitoreo y, finalmente, la implementación de procedimientos para la respuesta y recuperación del sistema en el caso de que se concreten dichos riesgos como, por ejemplo, en el caso de un ciberataque.
• Políticas de Seguridad de la Información (artículo 14): los PSAV deben contar con “Políticas de Seguridad de la Información” aprobadas por su órgano de administración, en donde se vean reflejados los controles implementados.
• Auditoría Anual de Sistemas (artículo 20): los sistemas informáticos utilizados por los PSAV para el ejercicio de sus actividades deberán contar con una auditoría anual de sistemas, que incluirá la evaluación de distintas capacidades de ciberseguridad (tanto de prevención como de recuperación) y deberá ser realizado por un idóneo informático, ya sea nacional o extranjero. Las conclusiones de la auditoría deberán incluirse en las actas del órgano de administración o libro especial que se habilite a tal efecto
• Responsable de Cumplimiento Regulatorio y Control Interno (artículo 21): se deberá designar a un Responsable de Cumplimiento Regulatorio y Control Interno, que estará encargado de controlar y evaluar el cumplimiento por parte del PSAV de las obligaciones establecidas en la Resolución. Asimismo, el órgano de administración o representantes legales de los PSAV deberán evaluar los antecedentes personales y profesionales de la persona designada a tal fin.   
• Alineamiento internacional de los mecanismos de gestión de riesgos (artículo 28): los PSAV deberán adoptar y actualizar sus políticas y mecanismos para la gestión de riesgos, alineándolas a las mejores prácticas internacionales y a los parámetros y requerimientos definidos por las autoridades competentes.

Por Diego Fernández, Gustavo P. Giay, Manuela Adrogué, Josefina Barbero, Felipe López Marsiglia, Lucía Carpinelli y Sofía Negri