Abogada, MBA, Directora independiente y asesora corporativa.
(*) Artículo publicado en la edición 239 de la revista Microfinanzas https://statuscomunicaciones.pe/microfinanzas/M239.pdf
Las fintech han demostrado que la tecnología puede democratizar el acceso al crédito, los pagos y los seguros. Han desafiado estructuras tradicionales y acercado soluciones financieras a personas y negocios históricamente excluidos. Sin embargo, esa misma innovación ha abierto la puerta a un enemigo silencioso: el riesgo invisible.
Este riesgo no figura en los estados financieros, pero puede destruir una empresa en minutos. Fraudes digitales, robo de identidad, filtraciones de datos y ataques de ransomware son ya parte del día a día de un sector que opera con información sensible y confianza pública.
Durante años, muchos directivos pensaron que la ciberseguridad era un tema técnico delegable al área de TI. Hoy es un asunto legal, financiero y, sobre todo, estratégico. Las autoridades sancionan con mayor firmeza, los usuarios son más exigentes y los medios amplifican cada incidente. Una brecha de seguridad ya no solo cuesta dinero: puede costar la existencia del negocio.
El modelo tradicional de evaluar una institución financiera con indicadores como liquidez o solvencia ya no es suficiente. La principal vulnerabilidad es intangible: los datos personales, los algoritmos y la confianza. Una empresa con balances sólidos puede desaparecer por una filtración mal gestionada. La reputación, una vez dañada, no se repara con capital, sino con tiempo y transparencia.
Desde 2014, he observado una realidad incómoda en las MYPEs latinoamericanas: el atributo más valioso —la protección de la información— es el menos valorado. Los usuarios aceptan términos y condiciones sin leerlos, entregan datos biométricos a cambio de beneficios mínimos y comparten información sin evaluar riesgos. La postpandemia aceleró la digitalización, pero no la educación digital.
Este círculo vicioso ha generado una bomba de tiempo. La vulnerabilidad más peligrosa no está en el software, sino en la mentalidad de organizaciones que creen que “eso no nos pasará”. En el segmento MYPE, el usuario prioriza la rapidez sobre la seguridad. La urgencia económica supera la cautela digital.
En Latinoamérica, muchas fintech aún creen que la ciberseguridad es opcional. La realidad regulatoria demuestra lo contrario. Brasil, con su LGPD, aplica multas de hasta el 2% de los ingresos. México permite sanciones penales. En Perú, la SBS exige estándares equivalentes al GDPR europeo para el sistema financiero y las fintech. Lo que ayer parecía exagerado, hoy es obligatorio.
Los casos reales hablan por sí solos. SERASA en Brasil sufrió la filtración de 223 millones de registros: la multa fue importante, pero el golpe reputacional fue devastador. En Chile, AFP Habitat perdió miles de clientes tras una filtración. En México, el hackeo a Inbursa generó una migración de usuarios hacia competidores. La multa duele, pero la reputación destruye.
Aun así, muchas fintech siguen delegando la ciberseguridad a áreas técnicas. Pero la ciberseguridad no es tecnología: es estrategia. Y lo estratégico se gobierna desde el directorio. Los directores son responsables, aunque no sepan programar. Deben entender las amenazas, exigir planes de prevención y garantizar que el cliente esté protegido.
En este contexto, el Director Independiente no es un adorno, sino la voz de equilibrio entre innovación y prudencia. Es quien puede preguntar: “¿Esto es rentable, pero también seguro? ¿Es rápido, pero también ético?”. Su función es redirigir con sentido común y traducir el riesgo tecnológico en lenguaje estratégico.
Un directorio que solo mira indicadores financieros está mirando el espejo retrovisor. En el mundo fintech, el verdadero riesgo está en el dato, la identidad y la confianza. Una institución puede tardar diez años en construir su marca y perderla en cuarenta y ocho horas.
La verdadera transformación no está en blindar sistemas, sino en gobernar la confianza. Las fintech más exitosas no son las que nunca tienen incidentes, sino las que logran que sus clientes sigan creyendo en ellas incluso cuando algo sale mal. Un incidente gestionado con silencio destruye más valor que el ataque mismo.
El futuro del riesgo en fintech no se trata solo de control, sino de propósito. La ciberseguridad ya no es un asunto técnico, es de gobierno corporativo. Los directorios que no lo entiendan corren el riesgo de ser reemplazados, no por la competencia, sino por la desconfianza. En esta era, la empresa que gobierna el riesgo invisible es la única que asegura su futuro.