La SBS modifica los reglamentos para la gestión de la continuidad del negocio y de infracciones y sanciones

El 10 de marzo se publicó la Resolución SBS N° 814-2025, que modifica los reglamentos para la gestión de la continuidad del negocio y, de infracciones y sanciones, con el objetivo de establecer medidas que reduzcan el impacto de las interrupciones de los canales digitales en los usuarios.

A continuación, se detallan las siguientes disposiciones de la Resolución:

Reglamento de Gestión de Continuidad del Negocio:

• Se establece que las disposiciones referidas al sistema general de gestión de la continuidad del negocio y los reportes de interrupción de operaciones son aplicables también a las Empresas de Créditos con autorización para operar con dinero electrónico, tarjetas de crédito o que brinden servicios de pagos interoperables.
• Se establece que las disposiciones referidas al sistema simplificado de gestión de la continuidad del negocio son aplicables también a las Empresas de Créditos. 
• En el caso de los productos pasivos, se modifica el tiempo máximo objetivo que se tiene para reanudar operaciones (TOR) de 4 horas a 3 horas en situaciones de contingencia que afecte a las empresas con concentración de mercado. 
• Se establece que las empresas bancarias, las financieras, las Cajas Municipales de Ahorro y Crédito (CMAC), la Caja Municipal de Crédito Popular (CMCP) y las Cajas Rurales de Ahorro y Crédito (CRAC) deben informar a la SBS la ocurrencia de los siguientes eventos:  

1. La suspensión en la entrega de productos y servicios priorizados durante un tiempo igual o mayor a 4 horas.
2. La interrupción en cualquiera de los canales de atención que se mantenga durante un periodo igual o mayor a 4 horas. En el caso de los canales presenciales, se debe considerar la indisponibilidad del 25% de los puntos de atención a nivel nacional. 

• La información sobre estos eventos debe ser remitida en un plazo máximo de 5 horas desde su inicio, siempre que ocurra entre las 07:00 am y las 04:00 pm. Si el incidente ocurre fuera de dicho horario, el reporte deberá realizarse a más tardar al inicio de la jornada hábil más próxima. 

• Se establece que las empresas con concentración de mercado deben informar a la SBS la ocurrencia de los siguientes eventos:

1. La suspensión en la entrega de productos y servicios priorizados por un tiempo igual o mayor a 1 hora. 
2. La interrupción en cualquiera de los canales de atención que se mantenga durante un periodo igual o mayor a 1 hora. En el caso de los canales presenciales se debe considerar la indisponibilidad del 25% de los puntos de atención a nivel nacional. 
3. La información sobre estos eventos debe ser remitida en un plazo máximo de 2 horas desde su inicio, siempre que ocurra entre las 07:00 am y las 04:00 pm. Si el incidente ocurre fuera de dicho horario, el reporte deberá realizarse a más tardar al inicio de la jornada hábil más próxima. 

• Se incorpora el Subcapítulo V con disposiciones adicionales aplicables a las empresas bancarias, las financieras, las CMAC, la CMCP, la CRAC y al Banco de la Nación. En este sentido, se establece que, como parte de la etapa de entendimiento de la organización, la empresa debe: 

1. Identificar los productos y servicios priorizados ofrecidos a través de canales digitales y establecer un TOR para cada uno de ellos.
2. Gestionar de forma específica y detallada los riesgos que puedan interrumpir las operaciones en sus canales digitales. Esta evaluación debe incluir la identificación de los componentes tecnológicos cuyo fallo pueden afectar significativamente la continuidad de los productos y servicios priorizados ofrecidos a través de dichos canales.
3. Establecer expresamente las características y condiciones normales bajo las cuales se ofrecen los productos y servicios priorizados en cada canal digital, las cuales deben ser aprobadas por el Directorio o Comité de Riesgos. Estas características deben ser definidas y monitoreadas por cada producto y servicio priorizado ofrecido a través de canales digitales.

• Se establece que la empresa debe implementar estrategias y planes para prevenir, mitigar el impacto y contener eventos que interrumpan prestación de productos y servicios priorizados a través de canales digitales, así como para restablecer dichos servicios dentro de los plazos y condiciones establecidos, debiéndose contemplar: 

1. Implementar un sistema de monitoreo para supervisar el funcionamiento de los canales digitales que ofrecen productos y servicios priorizados.
2. Implementar canales o esquemas de atención alternativos en caso de interrupción de los canales digitales a través de los que se ofrecen productos y/o servicios priorizados.
3. Como parte del plan de recuperación de los servicios de tecnología de información, la empresa debe desarrollar protocolos para atender fallas tecnológicas y las interrupciones resultantes en la provisión de productos y servicios priorizados en canales digitales, de modo que aseguren su restablecimiento a niveles normales en los TOR establecidos.
4. Como parte de los lineamientos de comunicación, la empresa debe desarrollar disposiciones que garanticen la comunicación oportuna de: i) incidentes o fallas significativas a los grupos de interés, incluidos los usuarios; y, ii) los canales alternativos disponibles para continuar realizando operaciones.

• Se establece que la empresa debe realizar anualmente pruebas para verificar la efectividad de las estrategias establecidas para garantizar la continuidad de los productos y servicios priorizados a través de canales digitales. 
• Se establece que la empresa debe mantener un registro centralizado de todos los eventos que hayan ocasionado la interrupción de la provisión de productos y servicios priorizados a través de canales digitales por un plazo mayor a 30 minutos, continuos o intermitentes. Este registro debe contener, como mínimo, los siguientes campos:

1. Fecha y hora de inicio del evento y del restablecimiento a operaciones normales.
2. Descripción del evento, la falla y sus causas.
3. Productos y servicios afectados.
4. Canales afectados.
5. Proveedores involucrados, de ser el caso.
6. Responsable de la gestión del incidente. 

• Se establece que los servicios de transferencias, pagos interoperables, pago de planillas empresariales y pago a proveedores, ofrecidos a través de los canales digitales (banca por internet, aplicativo móvil y billeteras digitales) deben contar con planes que faciliten su recuperación en un plazo no mayor a 3 horas para empresas con concentración de mercado y 5 horas para las demás empresas. Además, las entidades financieras deben comunicar oportunamente a los usuarios los canales alternativos a través de los cuales pueden realizar sus operaciones.
• Aquellas empresas que ofrezcan servicios de pagos interoperables a través de los canales digitales deben remitir a la SBS los siguientes Anexos:

1. Anexo 14 – Reporte Mensual de Mantenimientos Ejecutados. 
2. Anexo 15 – Reporte Mensual de Incidentes. 
3. Anexo 16 – Reporte de ANS-RTO. 
4. Anexo 17 – Reporte de Indicadores de Calidad de Servicios. 

• Con respecto a los Reportes CD-A y CD-B, estos deberán ser enviados por las empresas con concentración de mercado a más tardar el 15 de julio de 2025. 

Reglamento de Infracciones y Sanciones: 

• Se precisa la siguiente infracción grave común a las empresas: Incumplir los requerimientos o mandatos expresos realizados por esta Superintendencia que tengan incidencia en la situación financiera, resultados o solvencia de la empresa, con impacto en sus resultados o solvencia, menor o igual al 5% del patrimonio efectivo.
• Se incorporan tres infracciones graves aplicables a las empresas del sistema financiero y a las empresas de servicios complementarios y conexos: 

1. Presentar interrupción en el servicio de transferencias, pagos interoperables, para el pago de planillas empresariales o pago a proveedores a través de los canales digitales: banca por internet, aplicativos móviles y billeteras electrónicas, por más de tres (03) horas continuas o acumuladas entre las 6:00 am y las 10:00 pm, para empresas con concentración de mercado; y cinco (05) horas para las demás empresas. 
2. No evaluar los riesgos asociados con componentes tecnológicos, ya sea se encuentren bajo administración propia o de terceros, cuya falla podría afectar de forma significativa la continuidad de sus servicios u operaciones críticas; y/o no implementar, o implementar parcialmente, medidas para mitigar su ocurrencia o impacto.
3. Perder información asociada con operaciones en productos pasivos como consecuencia de un evento de interrupción. 

Cuadro Comparativo:

* * * * *

Esperamos que esta información sea de utilidad para usted. No dude en ponerse en contacto con nosotros si requiere asesoría al respecto: info@estudioosorio.com