Bancos deberán alertar sobre ataques a cuentas de sus usuarios en 24 horas tras aumento de interrupciones e incidentes de ciberseguridad

La Superintendencia de Banca, Seguros y AFP (SBS) presentó un proyecto normativo para modificar los reglamentos de conducta de mercado y de comisiones y gastos del sistema financiero. La iniciativa busca reforzar la protección de los usuarios mediante mayores exigencias de transparencia, comunicación oportuna y mejores prácticas en la oferta de productos y servicios.

La propuesta incorpora lineamientos para que las entidades desarrollen y comercialicen sus productos considerando el público objetivo y la experiencia del usuario. También establece requisitos para la contratación a través de canales digitales, con el fin de garantizar información clara, visible y de fácil acceso.

Comunicación obligatoria ante incidentes

El proyecto dispone que las entidades informen a los usuarios sobre eventos que puedan afectarlos, como interrupciones en los canales de atención, incidentes de ciberseguridad con impacto en clientes y hechos que generen perjuicios en saldos de cuentas o líneas de crédito.

Esta comunicación deberá realizarse por medios de difusión masiva dentro de las 24 horas desde que la empresa tome conocimiento del evento, según criterios definidos por cada entidad financiera.

Avisos directos y plazos para otros eventos

Para eventos distintos a las interrupciones en los canales de atención, se establece la obligación de comunicar directamente a los usuarios dentro de los 10 días hábiles posteriores a que la empresa identifique una posible afectación.

El aviso deberá incluir información sobre lo ocurrido y las acciones adoptadas por la entidad financiera para atender la situación.

Nuevas reglas en pagos de obligaciones

En las operaciones de pago de deudas, incluso cuando se realicen en una entidad distinta a la del crédito, la empresa que recibe el pago deberá informar previamente, a través del canal utilizado, el concepto y el monto de los cargos aplicables, de corresponder.

Asimismo, se precisa que la entidad titular del crédito no podrá cobrar comisiones cuando el pago se efectúe mediante sus propios canales.

Constancias gratuitas y consulta pública

La SBS propone establecer la obligación de emitir o poner a disposición, sin costo, la constancia de regularización de deudas en mora. Este documento deberá entregarse a solicitud del usuario en un plazo máximo de siete días hábiles.

El proyecto normativo permanecerá en consulta pública durante 30 días e incluye otras disposiciones vinculadas a la protección del usuario financiero.

El hackeo de Interbank: el caso ciberseguridad bancaria más sonado en Perú

En octubre de 2024, Interbank confirmó que sufrió un incidente de seguridad informática que terminó con la exposición de información sensible de millones de sus clientes en foros de la llamada dark web, tras una intrusión de un tercero en sus sistemas.

El actor que publicó los datos usó el seudónimo “kzoldyck” y aseguró haber accedido a aproximadamente 3 millones de registros, que incluían nombres, documentos de identidad, direcciones, correos electrónicos, números de teléfono, datos de tarjetas y credenciales de acceso, entre otros. El banco reconoció la filtración y explicó que se trató de un ataque que vulneró su infraestructura digital.

El intercambio entre el atacante y la entidad financiera incluyó una tentativa de extorsión, en la que el ciberdelincuente exigió un pago para no divulgar la información. Interbank optó por no acceder a esa petición y semanas después de las negociaciones la data fue efectivamente publicada en un sitio especializado en fugas de datos.

Tras la difusión de la información, tanto autoridades como el propio banco tomaron medidas para gestionar la situación. Interbank aseguró que los depósitos y productos financieros continuaron protegidos, aunque muchos clientes experimentaron inquietud por la seguridad de sus datos personales. La Fiscalía en Ciberdelincuencia de Lima inició diligencias para identificar a los responsables del acceso no autorizado a los sistemas.