Coumunicación "A" 7724 del BCRA: obligaciones de ciberseguridad y riesgos legales para entidades financieras

¿Qué es la Comunicación A 7724 del BCRA?

La Comunicación "A" 7724 del Banco Central de la República Argentina establece los requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información aplicables a entidades financieras y proveedores de servicios de pago en Argentina.

Esta normativa actualiza y consolida exigencias regulatorias vinculadas a:

• Gestión de riesgos tecnológicos

• Seguridad de la información

• Prevención de fraudes electrónicos

• Continuidad operativa

• Control de terceros y proveedores tecnológicos

No se trata de una recomendación técnica: es una obligación regulatoria con impacto jurídico directo.

¿Qué exige la Comunicación "A" 7724 en materia de ciberseguridad?

La norma impone un enfoque integral basado en gobernanza, control interno y gestión documentada del riesgo.

1. Gobernanza y responsabilidad

Las entidades deben:

• Contar con políticas formales de seguridad de la información

• Designar responsables específicos

• Integrar la gestión de riesgos tecnológicos al gobierno corporativo

• Implementar el modelo de líneas de defensa.

La alta dirección ya no puede desentenderse del riesgo tecnológico.

2.Gestión de incidentes y ciberataques

La Comunicación "A"  7724 obliga a:

• Detectar y registrar incidentes de seguridad

• Implementar planos de respuesta

• Documentar acciones correctivas

• Notificar cuando corresponda

3.Control de proveedores tecnológicos

La norma exige:

• Evaluación previa de riesgos en terceros

• Cláusulas contractuales de seguridad

• Monitoreo continuo de servicios tercerizados

• Identificación de activos críticos

Esto impacta directamente en contratos IT, fintech,  empresas  y otras organizaciones del sector que operan plataformas digitales.

Protección de canales digitales

Home banking, billeteras virtuales, transferencias electrónicas y sistemas digitales deben contar con robustas medidas de autenticación, monitoreo y prevención de fraude.

En un contexto de aumento de phishing y suplantación de identidad, el estándar regulatorio es más exigente.

Comunicación "A" 7724 y responsabilidad por fraude bancario

El incumplimiento de la gestión adecuada de riesgos tecnológicos puede derivar en:

• Sanciones del BCRA

• Observaciones regulatorias

• Responsabilidad civil frente a clientes

• Reclamos por daño patrimonial

• Daño reputacional

La tendencia jurisprudencial en Argentina muestra que cuando existe deficiencia en los controles de seguridad, la responsabilidad puede recaer en la entidad.  Incluso ya existen fallos judiciales condenando a Bancos en casos en los que se otorgaron préstamos personales, y no habían sido solicitados por el cliente del banco, si no que éstos fueron víctimas de suplantaciones de identidad, robo de credenciales u por otros incidentes.

La ciberseguridad dejó de ser un tema exclusivamente técnico: hoy es un eje central del cumplimiento normativo financiero.

¿A quién alcanza esta normativa?

• Bancos

• Entidades financieras

• Proveedores de servicios de pago

• Fintech

• Cooperativas de crédito

• Empresas que integran infraestructura crítica financiera

Cualquier organización bajo la supervisión del BCRA debe revisar su estructura de cumplimiento.

Conclusión:

La Comunicación "A" 7724 marca un cambio de paradigma en la regulación financiera argentina. Impone un modelo de gestión de riesgos tecnológicos estructurado, documentado y supervisado. Las organizaciones que no adaptan sus procesos enfrentan no solo riesgos técnicos, sino también riesgos regulatorios y legales .

En MZ Estudio Jurídico acompañamos a entidades financieras, cooperativas y empresas tecnológicas en la implementación de programas de cumplimiento en ciberseguridad y gestión de riesgos conforme a la normativa BCRA.

 Fuente:  https://www.bcra.gob.ar/Pdfs/comytexord/A7724.pdf

Ab. Marina Zalazar

Especialización en Compliance en Ciberseguridad y Data Privacy