La Comunicación “A” 8398 del BCRA no introduce una novedad técnica aislada, sino que consolida un proceso regulatorio de largo plazo mediante el cual los Proveedores de Servicios de Pago pasan a quedar alcanzados por estándares de tecnología y seguridad tradicionalmente exigidos a las entidades financieras. En este artículo, se analiza el recorrido normativo que llevó a esta decisión y sus implicancias desde una mirada de derecho bancario y cumplimiento regulatorio.

La Comunicación “A” 8398 del Banco Central de la República Argentina, dictada en febrero de 2026, amplió el alcance del Régimen de Requisitos Mínimos de Tecnología y Seguridad de la Información, incorporando como sujetos obligados a los Proveedores de Servicios de Pago (PSP) registrados ante el BCRA.

A partir de esta modificación, los PSP quedan alcanzados por el marco normativo contenido en el Texto Ordenado aprobado por la Comunicación “A” 7777, hasta entonces aplicable principalmente a entidades financieras, en materia de gobierno, gestión de riesgos tecnológicos, seguridad de la información, continuidad operativa y control de terceros.

Esta comunicación no puede leerse como un episodio aislado ni como una mera actualización técnica. En mi opinión, constituye la consolidación de un recorrido regulatorio progresivo, que comenzó hace más de dos décadas y que hoy alcanza, de manera directa, a los Proveedores de Servicios de Pago, en todas sus categorías,  como actores centrales del sistema financiero.

El mensaje del regulador es inequívoco: cuando la tecnología se vuelve infraestructura crítica, debe gobernarse, controlarse y supervisarse con estándares prudenciales, aun cuando no exista intermediación financiera tradicional.

Un recorrido normativo gradual, pero consistente

La creciente exigencia del BCRA en materia de tecnología y seguridad de la información responde a una lógica clara: la digitalización del sistema financiero incrementa exponencialmente los riesgos operativos, tecnológicos y de ciberseguridad, y estos riesgos, cuando se materializan, ya no impactan solo en una entidad, sino en todo el sistema.

El punto de partida puede rastrearse en regulaciones tempranas, como la Comunicación “A” 3198, que durante años abordó la tecnología desde una óptica predominantemente operativa y de control ex post. Con el tiempo, este enfoque resultó insuficiente frente a la complejidad de los sistemas y la externalización creciente de funciones críticas.

El verdadero cambio de paradigma se produjo cuando el BCRA comenzó a exigir un abordaje integral del riesgo tecnológico, desplazando el foco desde los controles meramente técnicos hacia el gobierno corporativo. A partir de entonces, la normativa incorporó la intervención activa del Directorio en materia de tecnología y seguridad de la información, la gestión integral de los riesgos asociados —ya no limitada a aspectos operativos— y la consagración de una responsabilidad indelegable, que subsiste incluso frente a esquemas de tercerización de funciones críticas.

Esta evolución encontró su punto de maduración en la Comunicación “A” 7724 (2023), luego sistematizada en el Texto Ordenado de Requisitos Mínimos de Tecnología y Seguridad de la Información, aprobado por la Comunicación “A” 7777. Allí, el regulador abandona definitivamente la lógica de checklist y adopta un enfoque basado en riesgos, proporcionalidad y criticidad.

De la banca a los PSP: una extensión inevitable

Hasta ahora, este régimen se aplicaba de manera plena a las entidades financieras. Sin embargo, el crecimiento del sistema de pagos digitales generó un fenómeno imposible de ignorar: una parte sustancial de las transacciones diarias pasó a canalizarse por infraestructuras no bancarias, altamente tecnológicas y, en muchos casos, intensivamente tercerizadas.

La Comunicación “A” 8398 da el paso que faltaba: alinear el perímetro regulatorio con la realidad funcional del mercado. No se trata de asimilar jurídicamente a los PSP con los bancos, sino de aplicar los mismos estándares de control allí donde el riesgo sistémico lo justifica.

Desde esta perspectiva, el regulador no “endurece” la normativa: la vuelve coherente.

El verdadero foco: gobierno, no tecnología

La extensión del régimen de tecnología y seguridad de la información a los PSP introduce, en los hechos, un estándar de accountability propio del derecho bancario. La exigencia ya no se satisface con áreas técnicas competentes o proveedores eficientes, sino con una clara asignación de responsabilidades dentro de la estructura societaria.

Desde esta perspectiva, la normativa refuerza de manera explícita principios clásicos de gobierno corporativo, tales como la responsabilidad indelegable del órgano de administración en la gestión de los riesgos relevantes, la adecuada segregación de funciones entre áreas operativas y de control, la independencia de las funciones de auditoría y control interno, y la necesidad de asegurar la trazabilidad de las decisiones relevantes, de modo de permitir su adecuada supervisión y rendición de cuentas frente al regulador.

El mensaje subyacente es claro: un modelo de negocio que depende de la tecnología, pero no la gobierna, es regulatoriamente inviable. En el nuevo esquema, la tercerización no diluye responsabilidades, ni la innovación justifica vacíos de control. El riesgo tecnológico se gestiona —y se responde— a nivel de gobierno.

Plazo de adecuación y expectativas regulatorias

La Comunicación “A” 8398 establece un plazo de 180 días corridos, con vencimiento el 4 de agosto de 2026. Actualmente, nos encontramos transitando este período de adecuación, donde los sujetos obligados pueden estar encontrándose con trabas para su adecuación e implementación.

En este sentido, el BCRA no espera una implementación perfecta ni homogénea, pero sí exige evidencia de avance concreto en el proceso de adecuación, particularmente en lo que respecta a la identificación seria de brechas, la priorización de acciones en función de la criticidad y el nivel de riesgo, la definición de un plan de implementación formal y debidamente aprobado, y la generación de documentación respaldatoria que permita acreditar tanto la gestión realizada como las decisiones adoptadas.

La experiencia previa en procesos de supervisión demuestra que la autoridad monetaria no sanciona la mera existencia de riesgos, sino la inacción, la falta de conciencia y la ausencia de gestión efectiva de los mismos.

Reflexión final: cumplimiento como componente del diseño

La incorporación de los PSP al régimen de tecnología y seguridad de la información confirma una tendencia que ya no admite discusión: la convergencia regulatoria entre banca y fintech en todo aquello que resulta estructural para el sistema financiero.

Desde mi experiencia de muchos años trabajando en el ámbito del derecho bancario y el cumplimiento regulatorio, he visto cómo estos procesos de cambio —aunque desafiantes— son también los que impulsan una mayor madurez institucional. En ese sentido, la evolución normativa no solo impone nuevas exigencias, sino que abre la puerta a estructuras más sólidas, gobiernos más profesionales y modelos de negocio más sostenibles.

Para muchas empresas tecnológicas, este escenario supondrá un cambio cultural significativo, que exigirá repensar estructuras, procesos y responsabilidades. No obstante, también abre una oportunidad concreta para elevar los estándares de gobierno corporativo, fortalecer la confianza del mercado y consolidar un rol estable y sostenible dentro del sistema financiero. La convergencia entre banca y fintech no se define por la obtención de licencias, sino por la adopción de estándares claros de gobierno y rendición de cuentas. Allí donde la tecnología sustenta servicios críticos, el derecho bancario recupera un papel central: ordenar, asignar responsabilidades y exigir accountability.

Desde una mirada de cumplimiento regulatorio, el mensaje resulta inequívoco: la innovación no excluye el control, ni la velocidad reemplaza al gobierno. En este nuevo paradigma, la tecnología no solo debe ser eficiente; debe poder explicarse, gobernarse y auditarse conforme a estándares prudenciales.