El Banco Central de la República Argentina dictó la Comunicación “A” 8280 📄, mediante la cual se introducen modificaciones relevantes a los Lineamientos para la Respuesta y Recuperación ante Ciberincidentes (RRCI).
Sujetos alcanzados 🏛️
Las obligaciones previstas en esta norma resultan de cumplimiento obligatorio para:
• Entidades financieras reguladas por el BCRA ,
• Proveedores de servicios de pago (PSP) registrados nte el BCRA (anteriormente las RRCI aplicaban solo a PSP que ofrecen cuentas de pago),
• Infraestructuras del mercado financiero que operen como sistemas de pago de importancia sistémica.
Las organizaciones alcanzadas deberán analizar la implementación de los lineamientos conforme a su tamaño, complejidad y riesgos ⚖️, dejando constancia escrita de los fundamentos adoptados, que deberán estar disponibles ante requerimiento de la SEFYC.
Notificación obligatoria de ciberincidentes 🚨
Se incorpora una nueva sección al texto ordenado (Sección 3) que obliga a notificar incidentes que afecten:
• La prestación normal de servicios al cliente,
• La ejecución de transacciones en horarios determinados,
• El intercambio de información con otros sujetos obligados,
• La confidencialidad o integridad de los datos personales o financieros.
También deberán notificarse los incidentes originados en terceros o en la cadena de proveedores cuando afecten la operatoria del sujeto obligado o la información de sus clientes.
Categorización y plazos 📊🕒
Los incidentes deberán clasificarse en:
• Críticos: afectan la disponibilidad de fondos, comprometen funciones clave en esquemas de pago o impactan a otros participantes.
• Importantes: implican interrupciones parciales, activación de planes de contingencia o pérdida/divulgación de datos sensibles.
• No relevantes: no requieren notificación si no afectan la operatoria ni a los clientes.
Plazos para notificar 📅
• Inicial: dentro de la primera hora desde ocurrido o detectado .
• Subsiguientes: mientras el incidente esté activo , con actualizaciones frecuentes .
• Cierre: dentro de los cinco (5) días corridos desde la resolución , con información detallada sobre causa raíz, impactos, medidas adoptadas y planes de prevención.
La notificación debe enviarse al correo específico del BCRA 📧, respetando el formato técnico exigido por la norma.
Próximos pasos 🧭
Los PSP (salvo las PSP que ofrezcan cuentas de pago) cuentan con un plazo de 60 días hábiles desde la publicación para adecuarse a las nuevas exigencias ⏳. Este plazo vence el 10/10/25 .