En los últimos meses, se ha advertido una creciente preocupación en la industria financiera y de pagos con respecto al aumento de las situaciones de fraude como consecuencia natural de la expansión en el uso de herramientas y medios de pago electrónicos.

Durante 2021 y 2022, el BCRA estableció algunas medidas tendientes a fortalecer las protecciones de seguridad en billeteras digitales bancarias y no-bancarias (por ejemplo, mediante las Comunicaciones “A” 7328 y 7463), e incluso a nivel sectorial, en septiembre del año pasado, se alcanzó un acuerdo inédito entre las distintas asociaciones de entidades financieras y la Cámara Argentina Fintech para mejorar la seguridad de los usuarios.

Si bien hasta ahora estas medidas y acuerdos dejaban cierto margen para su implementación operativa, este año comienzan a verse algunas precisiones con respecto al tipo de medidas y tecnologías concretas de protección que se espera sean adoptadas por las diferentes entidades.

Así, por ejemplo, el pasado 30 de enero, la Comisión de Medios de Pago (CIMPRA) publicó su Boletín 533, donde se ejemplifican buenas prácticas internacionales para la implementación de medidas de seguridad y autenticación “fuertes” de cliente (Strong Customer Authentication), que es un estándar requerido por el regulador para diversos supuestos. Estas recomendaciones están dirigidas principalmente a los participantes de esquemas de transferencias inmediatas.

Asimismo, el pasado 10 de marzo, mediante la Comunicación “A” 7724, el BCRA reformuló sus normas sobre “Requisitos Mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información”, que solían establecer las medidas de seguridad que las entidades financieras (y sus prestadores de servicios tercerizados) debían adoptar para sus canales electrónicos. Si bien la nueva versión de estas normas mantiene gran parte de las medidas técnicas que regían anteriormente, se fortalece ampliamente la estructura de gobernanza de los sistemas de información.

Lo interesante de esta nueva Comunicación es que parece haber sido redactada para aplicar tanto a entidades financieras como para entidades no-financieras (ahora refiere a “entidades” a secas), pero en su lista de sujetos obligados únicamente incluyó a las entidades financieras. Esto hace presagiar, sin embargo, que tal vez en un futuro no muy lejano estas mismas reglas acaben aplicando también para entidades no-financieras, continuando con la tendencia que viene adoptando el BCRA en los últimos años de “nivelar” el juego regulatorio entre bancos y compañías no-bancarias.