Documento sin título

BANCA DEBE REFORZAR VERIFICACIÓN DE IDENTIDAD DE SUS CLIENTES

La pandemia aceleró el uso de canales digitales en el sector financiero. Sin embargo, ese crecimiento también ha implicado mayores riesgos para la seguridad informática.

En ese contexto, la Superintendencia de Banca, Seguros y AFP (SBS) aprobó un nuevo reglamento para la gestión de la seguridad de la información y ciberseguridad que, en su mayor parte, entrará en vigor el próximo 1 de julio.

Tres regímenes

A partir de esa fecha las entidades financieras, compañías de seguros, AFP y otras empresas del sector deberán tener un sistema de gestión de la información y de ciberseguridad aprobada por su directorio.

"Es un buen reglamento, bastante específico. Además, establece tres regímenes de acuerdo al tamaño y riesgo de las empresas financieras", sostuvo Luis Ernesto Marín, asociado principal del Estudio Echecopar. El sistema de gestión de seguridad de la información y ciberseguridad comprende tres regímenes que van de mayor a menor exigencia: simplificado, general y reforzado.

"En un régimen reforzado se incluirá a empresas con un riesgo de concentración de mercado más alto, ahí entonces pide tener un estándar de diligencia mayor" señaló Marín.

Autenticación

La norma también obliga a las entidades financieras a reforzar la verificación de sus clientes que usen canales digitales. Así, en la afiliación digital (a través de la plataforma web o el aplicativo móvil) a un servicio o producto financiero, las empresas deben tomar medidas necesarias para reducir el riesgo de suplantación de identidad, lo cual incluye dos factores independientes y de diferentes categorías de autenticación de los usuarios.

Los factores de autenticación son los mecanismos empleados para verificar la identidad de un cliente y corresponden a tres categorías: algo que el usuario solo conoce (clave), algo que solo el usuario posee (token) y algo que el usuario es, lo que incluye sus características biométricas.

Además, se reforzará la seguridad de algunas operaciones por canales digitales, como los pagos y transferencias. Para estas, las entidades financieras deben implementar al menos dos factores de autenticación distintos. "Algunos bancos ya tienen una doble autenticación, pero otros no", dijo Martín.

Si las medidas para verificar la identidad son vulnerables por el cibercrimen tendrán que ser cambiadas, añadió.

Las disposiciones de autenticación regirán desde el 01 de julio del 2022. Asimismo, las entidades financieras deben reportar a la SBS en cuanto adviertan un incidente de ciberseguridad que represente un impacto adverso significativo.

Publicado en Gestión, 24 de febrero del 2021.