El contexto internacional
La creciente digitalización del sector financiero ha expuesto a las instituciones a riesgos tecnológicos cada vez más complejos y sistémicos. En las últimas dos décadas, el uso intensivo de tecnologías de la información y la comunicación (TIC) ha transformado profundamente los servicios financieros, incrementando la eficiencia y la innovación, pero también generando una fuerte dependencia de infraestructuras digitales y de proveedores tecnológicos externos. Esta dependencia ha convertido a las amenazas cibernéticas y fallas tecnológicas en riesgos sistémicos con potencial desestabilizador a nivel nacional, regional y global. Hemos visto un aumento en la frecuencia y sofisticación de incidentes de seguridad informática que afectan a empresas del sistema financiero.
El Comité de Basilea y el Financial Stability Board (FSB) han señalado áreas de oportunidad en la resiliencia operacional, promoviendo el desarrollo de lineamientos internacionales. En 2021, el Comité de Supervisión Bancaria de Basilea publicó los 'Principios para la resiliencia operativa', destacando la necesidad de un gobierno claro, pruebas de continuidad, gestión de terceros y una cultura de resiliencia. Por su parte, el FSB ha promovido una agenda global en ciberseguridad y resiliencia operacional digital, subrayando la importancia de la cooperación transfronteriza y el intercambio de información entre supervisores debido a la interdependencia tecnológica del sistema financiero.
El escenario peruano
La industria peruana sigue las tendencias globales de digitalización financiera y exposición a nuevos riesgos tecnológicos. En los últimos años, el ecosistema financiero peruano ha experimentado una transformación acelerada impulsada por la innovación digital. Esto se refleja en el crecimiento de nuevos productos y cambios importantes en el sistema financiero (Ver Gráfico IV.B.1). De acuerdo con los reportes recibidos, en los últimos dos años, las iniciativas significativas se incrementaron en 53% como resultado del dinamismo en las empresas para desarrollar, principalmente, proyectos que faciliten a los usuarios la contratación de nuevos productos financieros y de seguros, el uso de canales digitales y la mejora de sistemas informáticos e infraestructura tecnológica.
Gráfico IV.B.1 Nuevos productos/servicios y cambios importantes
Fuente: SBS.
Asimismo, luego de la pandemia por COVID-19 los canales no presenciales empezaron a tener un crecimiento exponencial, superando en importancia a los canales presenciales. De acuerdo con la Asociación de Bancos del Perú (Asbanc), el número de transacciones trimestrales realizadas a través de canales no presenciales aumentó más de 19 veces entre 2019 y 2024, mientras que, en el caso de canales presenciales, el número de transacciones se incrementó menos de dos veces en el mismo periodo (Ver Gráfico IV.B.2). Además, a diciembre de 2024 más del 80% de las operaciones bancarias, distintas a retiro de efectivo, se realizó a través de canales digitales, principalmente a través de banca móvil (34%) y billeteras digitales (40%).
Gráfico IV.B.2 Número de transacciones a través de canales presenciales y no presenciales
Fuente: ASBANC.
Este contexto propició la masificación de servicios financieros digitales como las billeteras digitales, impulsada por la interoperabilidad. Según el Banco Central de Reserva del Perú (BCRP), en marzo de 2024, el número de transferencias a través de billeteras digitales aumentó en 113%, respecto al mismo periodo del año anterior, siendo Yape el principal contribuyente. La conexión entre Yape y Plin, requerida regulatoriamente por el BCRP desde marzo de 2023, ha impulsado significativamente la adopción de estos métodos de pago, registrándose 61 millones de operaciones mensuales de interoperabilidad en Plin y 66 millones en Yape. Este rápido avance en la digitalización de los servicios financieros; sin embargo, también ha traído consigo una serie de desafíos en términos de seguridad y continuidad operativa.
Con el avance de la inclusión financiera, la dependencia de los servicios digitales para actividades cotidianas ha aumentado significativamente. Si bien estas soluciones permitieron ampliar la inclusión financiera y simplificar transacciones cotidianas, también generaron nuevos desafíos vinculados a la ciberseguridad, la protección de datos y la continuidad operativa de plataformas digitales críticas.
En este contexto, Perú no ha estado exento de incidentes de ciberseguridad reales. En los últimos años, se han registrado incidentes relacionados a intentos de accesos no autorizados, interrupciones de servicios digitales y fugas de información, tanto en entidades financieras como en proveedores tecnológicos. Estos eventos revelan la creciente exposición del ecosistema financiero a amenazas digitales, y resaltan la importancia de continuar fortaleciendo los marcos normativos para abordar los riesgos operacionales con un enfoque más preventivo, coordinado y actualizado.
La respuesta internacional
La Unión Europea promulgó el Reglamento DORA (Digital Operational Resilience Act) en 2022 para fortalecer la resiliencia digital del sistema financiero. DORA, parte del paquete de finanzas digitales de la Comisión Europea, busca asegurar que todas las entidades financieras sean capaces de resistir, responder y recuperarse ante disrupciones tecnológicas severas. Este reglamento, aplicable a bancos, aseguradoras, fondos de inversión, proveedores de pagos, empresas fintech y a ciertos proveedores tecnológicos considerados críticos para el sistema financiero, consolida y refuerza esfuerzos previos, estableciendo requisitos obligatorios en áreas clave como el gobierno TIC, la gestión de riesgos tecnológicos, la notificación de incidentes, las pruebas de resiliencia y la supervisión de terceros TIC esenciales. Asimismo, introduce también mecanismos de cooperación entre reguladores y establece un sistema armonizado de notificación de incidentes, fortaleciendo la capacidad de respuesta regional ante amenazas sistémicas.
En paralelo, organismos internacionales como el Comité de Basilea y el FSB han establecido lineamientos para una resiliencia operacional robusta a escala global. El Comité de Basilea promueve la implementación de los principios de resiliencia operativa desde 2021, los cuales establecen una arquitectura de gestión del riesgo operacional con foco en resiliencia, continuidad de negocios, ciberseguridad y manejo de terceros críticos. El FSB, por su parte, ha impulsado iniciativas para mejorar la respuesta coordinada a ciberincidentes y fortalecer la infraestructura crítica del sistema financiero global mediante el monitoreo de riesgos tecnológicos emergentes.
Reforzando la resiliencia del sistema peruano frente al nuevo contexto de digitalización
Perú ha venido fortaleciendo la gestión del riesgo operacional, que incluye la seguridad de la información y la continuidad del negocio, de los sistemas supervisados a través de un proceso de actualización normativa que se adapta al contexto. La gestión de la continuidad del negocio se regula en los sistemas supervisados del país, a través de normativa específica, desde 2009 (Circular N°G-139-2009). En 2020, se actualizó dicha normativa con la emisión del Reglamento para la Gestión de la Continuidad del Negocio, alineándola a estándares internacionales como ISO 22301 y la Guía de Buenas Prácticas del Business Continuity Institute.
De manera complementaria, desde 2014, la SBS lidera la ejecución de ejercicios como parte de un Programa Sectorial (Ver Gráfico IV.B.3), en la que participan empresas de los sistemas financiero y de seguros, así como entidades de gobierno. Esta iniciativa busca facilitar un espacio de prueba de estrategias sectoriales ante eventos de alta severidad. El más reciente, ejecutado en 2022, simuló un ciberataque a gran escala y convocó a 28 entidades del sistema financiero y asegurador, movilizando a más de 600 profesionales involucrados en la respuesta ante incidentes críticos.
Gráfico IV.B.3 Programa de Ejercicios Sectoriales de Continuidad del Negocio
Elaboración: Propia.
La relevancia del Programa de Ejercicios Sectoriales de Continuidad del Negocio quedó evidenciada en la capacidad de resiliencia demostrada por las empresas supervisadas frente a escenarios disruptivos sistémicos ocurridos en los últimos años. Así, algunas de las estrategias diseñadas y probadas por la industria, en el marco de los ejercicios de 2014 y 2017, fueron utilizadas en escenarios reales como el Fenómeno de El Niño (2017) y la Pandemia por COVID-19 (2020-2021), demostrando su efectividad y permitiendo que el sector financiero sea uno de los sistemas con más pronta recuperación a nivel nacional. En ese sentido, se tiene previsto continuar el Programa ejecutando un próximo Ejercicio, planificado para el 2026.
Adicionalmente, en 2021, la SBS reforzó el marco normativo de ciberseguridad con el Reglamento para la gestión de seguridad de la información y ciberseguridad, actualizando las exigencias para las entidades supervisadas en un contexto de creciente digitalización. Aunque la gestión de la seguridad de la información ya contaba con normativa específica desde 2009 (Resolución N°G-140-2009), este nuevo reglamento introdujo criterios más estrictos para la dicha gestión, desarrollando la obligación de contar con un programa de ciberseguridad, procesos de autenticación en canales digitales, y prácticas seguras en los servicios provistos por terceros. Se exige que las empresas identifiquen, detecten y respondan a amenazas y vulnerabilidades en el ciberespacio, así como en los diversos sistemas de información y tecnología relacionada. Estos lineamientos son más exigentes para las empresas de mayor tamaño y complejidad, siguiendo un criterio proporcional al riesgo. Además, respecto a la regulación sobre autenticación reforzada, se estableció requerimientos específicos para la autenticación en operaciones con tarjetas, a fin de proteger los datos de las transacciones y la información de tarjetas, alineándose con estándares internacionales como EMV 3D Secure y EMV tokenization.
Los recientes incidentes de interrupción y ciberseguridad en la industria evidenciaron la necesidad de mayores esfuerzos de regulación, supervisión y control. En 2025, la SBS publicó una actualización normativa enfocada en la resiliencia operativa de los canales digitales, en un primer movimiento para alinearse a lo establecido por DORA, el FSB y el Comité de Basilea. La actualización al Reglamento para la Gestión de la Continuidad del Negocio amplió las obligaciones de continuidad operativa, incluyendo medidas para asegurar la continuidad del negocio de los canales digitales; para los productos y servicios principales que se ofrezcan a través de ellos, las empresas deben implementar estrategias y planes para prevenir y mitigar el impacto de alguna interrupción, los cuales deben ser probados periódicamente con el fin de verificar su efectividad.
Asimismo, se establecen disposiciones específicas para fortalecer la resiliencia operacional de los canales digitales: banca móvil, banca por internet y billeteras digitales; a través de los cuales se realizan operaciones esenciales como transferencias bancarias, pago de planillas o proveedores y pagos interoperables. Se establecen tiempos máximos de recuperación para este tipo de servicios: no más de 3 horas para empresas con concentración de mercado y no más de 5 horas para las otras empresas del sistema financiero; no pudiendo interrumpirse por un periodo mayor a dichos tiempos entre las 6:00 am y 10:00 pm. Además, se requiere asegurar la comunicación oportuna a los usuarios sobre canales alternativos en caso de indisponibilidad.
También se incorporan disposiciones para que la Superintendencia de Banca, Seguros y AFP (SBS) conozca oportunamente los eventos de interrupción de operaciones, así como las condiciones de las operaciones a través de canales digitales. Así, se reducen los plazos para que las empresas reporten sus interrupciones. Desde marzo de 2025, las empresas con concentración de mercado deben reportar interrupciones de 1 hora en un plazo máximo de 2 horas, y las demás empresas deben reportar interrupciones de más de 4 horas en un plazo máximo de 5 horas. Además, las empresas que ofrezcan servicios prioritarios a través de los principales canales digitales deberán enviar reportes anuales sobre las características y condiciones de estos servicios.
Retos para el Perú
En el contexto actual, caracterizado por una creciente interdependencia tecnológica con actores internacionales —incluidos proveedores de servicios en la nube y plataformas globales—, adquiere relevancia la revisión y adaptación continua del enfoque regulatorio en materia de resiliencia digital. En este marco, la integración de buenas prácticas y estándares internacionales, así como la identificación de posibles espacios de coordinación con organismos reguladores a nivel nacional e internacional, contribuyen a fortalecer la comprensión y gestión de los riesgos asociados. A su vez, es importante el desarrollo de capacidades técnicas dentro de las entidades supervisadas, incluyendo el contar con una cultura de prevención, aprendizaje continuo y respuesta ágil ante incidentes tecnológicos, en línea con las mejores prácticas internacionales.
La Superintendencia reafirma su compromiso con la continuidad del negocio y la resiliencia operacional en el sector financiero, y seguirá trabajando de manera proactiva y colaborativa para que los nuevos desafíos que enfrenta la industria sean abordados de forma razonable y oportuna, sin poner en riesgo la estabilidad del sector y procurando que la digitalización de los servicios financieros continúe creciendo de manera responsable.
Este artículo se encuentra publicado en el Informe de Estabilidad del Sistema Financiero de mayo 2025, al cual se puede acceder a través del siguiente enlace: https://rebrand.ly/InformeEstabilidadSF2025.