Socia de Vodanovic Legal
La transformación digital trae consigo nuevos retos para los supervisores financieros, vinculado a la protección al consumidor y la estabilidad e integridad del sistema financiero. En el cumplimiento de esta tarea, en el Perú, la Superintendencia de Banca, Seguros y AFP (SBS) decidió modernizar la regulación introduciendo -el año pasado- disposiciones claves en materia de ciberseguridad, autenticación de operaciones a través de los canales digitales y requisitos de seguridad en el uso de interfaces de programación de aplicaciones (APIS). Este último tiene especial relevancia en un contexto de “Open Finance”, cuya adopción hasta el momento es voluntaria, reflejándose en distintas iniciativas de las empresas.
En nuestro ecosistema financiero digital, compuesto por entidades financieras convencionales, fintech, bigtech, proveedores tech y entidades de supervisión, la ciberseguridad debe estar en su agenda prioritaria, pues permite cautelar la confianza del usuario, la seguridad en el uso de su información, a través, por ejemplo, de esquemas de autenticación para contrarrestar vulneraciones de seguridad o la protección de sus datos.
En las entidades del sistema financiero convencional, este tema está cubierto por la reciente regulación de la SBS; sin embargo, ¿qué ocurre con los agentes que están fuera del perímetro de la SBS y que prestan, a su vez, servicios financieros en un contexto de finanzas abiertas? Las entidades del sistema financiero son conscientes del riesgo reputacional que generan esquemas de colaboración con estos terceros y buscan mitigar los riesgos con cláusulas contractuales para sus proveedores no regulados, fijando estándares mínimos de ciberseguridad y autenticación de operaciones.
En Europa, por ejemplo, la Segunda Directiva de Pagos (PSD2) que rige a los países de la UE en un contexto de “Open Banking”, ha previsto una serie de deberes de ciberseguridad para los proveedores de servicios de iniciación de pagos, como el garantizar que las credenciales de seguridad personalizadas no sean accesibles a terceros distintos del usuario, el uso de canales seguros y eficientes, así como de factores de autenticación. Esto último, ha sido reforzado por la European Banking Authority (EBA) en sus recientes estándares técnicos sobre autenticación de clientes y comunicación segura bajo PSD2, donde enfatiza incluso la importancia del uso de factores de autenticación reforzados, tratándose de proveedores de servicios de pagos y regulando su excepción solo en determinados supuestos.
Todo lo anterior, sin duda, marca una tendencia muy clara en la regulación de servicios financieros, donde no solo la SBS tendrá un rol clave sino también otros organismos en el marco de sus competencias (BCR, MEF, Autoridad de Protección al Consumidor, Autoridad Nacional de Protección de Datos Personales).
Es fundamental que estos organismos, atendiendo a los objetivos regulatorios que cautelan (ciberseguridad, protección de datos, derechos de los consumidores), actúen de manera conjunta y coordinada para encauzar adecuadamente las actividades de los distintos agentes; más aún en un contexto como el peruano, donde se apunta muy pronto a implementar una política pública de masificación de las finanzas abiertas.