Comunicación “A” 8398 – BCRA

En este sentido, la regulación establece lineamientos específicos en materia de gestión de riesgos tecnológicos y de seguridad de la información, así como respecto de la tercerización de procesos, servicios y actividades tecnológicas, tanto a nivel local como en el exterior. Asimismo, refuerza el control sobre la relación con terceras partes y subcontratistas, imponiendo mayores exigencias contractuales, de control, auditoría y continuidad operativa, e incorpora la obligación de notificación previa al BCRA en los casos de tercerización de servicios críticos.

Entre las principales modificaciones, se destaca la incorporación formal de los PSP inscriptos en el Registro del BCRA como sujetos obligados, otorgándoles un plazo de 180 días corridos desde la sanción de la norma para su implementación. Adicionalmente, se reemplaza íntegramente la Sección 10, estableciendo un nuevo régimen integral de tercerizaciones que define de manera expresa los conceptos de tercera parte, subcontratación y servicios críticos, entendidos estos últimos como aquellos esenciales para el funcionamiento continuo del sistema financiero, de la entidad y para el cumplimiento de sus obligaciones legales y regulatorias. En este marco, se prohíbe expresamente la tercerización de procesos, servicios o actividades con terceros que realicen funciones de auditoría interna y/o externa.

El nuevo régimen impone, entre otras obligaciones, la realización de evaluaciones de riesgos debidamente documentadas, la aprobación de las tercerizaciones por las máximas autoridades de la entidad, la confección de un catálogo de servicios tercerizados, y la implementación de planes de continuidad operativa y planes de salida.

Asimismo, se establece la obligación de notificación previa al BCRA cuando se tercericen servicios críticos, la cual deberá realizarse con una antelación mínima de 60 días corridos ante la SEFyC. Dicha notificación deberá incluir información detallada, tales como el tipo de servicio involucrado (IaaS, PaaS, SaaS, pagos, SOC, backups, entre otros), la ubicación geográfica del proveedor, la existencia de subcontrataciones, los contratos aplicables y los planes de continuidad. 

La norma también introduce un fuerte foco en las subcontrataciones, aclarando que el proveedor principal continúa siendo plenamente responsable por los servicios prestados. Las subcontrataciones deberán ser informadas, permitir la auditoría por parte del BCRA y ajustarse al marco legal y regulatorio argentino.

En materia de auditoría, control y supervisión, se refuerzan las exigencias mediante la obligatoriedad de auditorías internas sobre los servicios tercerizados, cuya periodicidad deberá definirse en función del nivel de riesgo y criticidad. Asimismo, los informes de auditoría externa deberán encontrarse disponibles en todo momento para la SEFyC. El BCRA, por su parte, se reserva la facultad de auditar directamente a los proveedores, incluso cuando se encuentren en el exterior, siendo los costos de dichas inspecciones a cargo de la entidad.

Desde una perspectiva práctica, el nuevo régimen implica para los PSP la necesidad de contar con políticas formales de gestión de riesgos tecnológicos y de terceros, así como de revisar integralmente sus proveedores tecnológicos, incluyendo servicios de cloud, core, procesamiento de pagos, ciberseguridad, backups y SOC. Los contratos vigentes deberán ser revisados y, en su caso, actualizados para incorporar cláusulas específicas de auditoría del BCRA, continuidad operativa, confidencialidad, planes de salida y acceso irrestricto a la información.