Artículo publicado en la edición 245 de la revista Microfinanzas
https://statuscomunicaciones.pe/microfinanzas/M245.pdf
- La nueva Resolución SBS N.° 01029-2026 no solo actualiza el régimen sancionador: desplaza el foco desde el control técnico fallido hacia el daño real al cliente, y convierte la gestión del reclamo en un campo de exposición crítica para las entidades financieras.
El reclamo que desnuda la fragilidad del sistema
- Una clienta revisa su cuenta y encuentra una operación que no reconoce. No entiende cómo salió el dinero, pero sabe que no la realizó. Formula el reclamo, recibe una respuesta preliminar, vuelve a insistir, entrega información, espera. Y se indigna porque no recibe respuesta. Para la entidad, el incidente comienza como una validación técnica o una incidencia operativa; para la clienta ya es otra cosa: una pérdida patrimonial (que muchas veces es el único dinero que tenía), una quiebra de confianza y, con frecuencia, la sensación de que el sistema fue diseñado para exigirle explicaciones en lugar de protegerla.
- Ese tipo de situaciones explica mejor que cualquier definición por qué la Resolución SBS N.° 01029-2026 merece una lectura detenida. La norma no introduce simplemente una actualización más del régimen sancionador. Lo que hace, en realidad, es precisar con mayor rigor el estándar con el que la Superintendencia evaluará la responsabilidad de las entidades frente a incidentes de seguridad de la información, especialmente cuando sus efectos alcanzan al cliente.
- La propia SBS ya había advertido, al desarrollar las reglas de autenticación reforzada, que el 17% de los reclamos recibidos por las empresas del sistema financiero en 2021 estaba vinculado a operaciones no reconocidas, un dato que mostraba que el problema había dejado de ser periférico para convertirse en un riesgo relevante de mercado y de confianza.
- Conviene, sin embargo, hacer una precisión indispensable para no sobredimensionar el cambio. Antes de esta resolución, el sistema financiero peruano ya contaba con un régimen sancionador aplicable a incidentes de seguridad de la información. El Reglamento de Infracciones y Sanciones aprobado por Resolución SBS N.° 2755-2018 contemplaba como infracción grave la ocurrencia de un incidente que afectara la operatividad de la empresa o la información de sus clientes como consecuencia de la ausencia o del mal funcionamiento de los controles de seguridad exigidos por la normativa vigente.
- El punto, entonces, no es afirmar que antes no existía sanción –eso sería inexacto–; el verdadero cambio está en que la Resolución SBS N.° 01029-2026 abandona una lógica relativamente homogénea y adopta una tipificación más fina, más exigente y más centrada en la afectación concreta al cliente.
Del control fallido a la consecuencia real
- Ese ajuste significa que, bajo la nueva configuración, la falta de protección adecuada de los activos de información frente a incidentes que comprometan su disponibilidad, integridad o confidencialidad puede seguir siendo tratada como una infracción grave.
- Pero cuando ese mismo incumplimiento deriva en pérdida, sustracción o alteración de información confidencial de clientes, el reproche escala y la conducta pasa a ser considerada muy grave.
- La diferencia no es semántica: lo que la SBS está haciendo es desplazar el eje de análisis desde el mero control fallido hacia la consecuencia del fallo cuando esta toca el núcleo más sensible de la relación con el usuario: su información y, por extensión, su patrimonio y su confianza en la entidad.
- Leída en conjunto con la regulación anterior, esta modificación revela una línea bastante clara: desde la Resolución SBS N.° 504-2021, la Superintendencia ha venido reforzando las obligaciones de gobierno y gestión en seguridad de la información y ciberseguridad, asignando responsabilidades al directorio, a la gerencia y a las funciones de control, y exigiendo capacidades para identificar, proteger, detectar, responder y recuperarse frente a incidentes. Luego, mediante ajustes posteriores, se precisó la exigencia de autenticación reforzada en operaciones digitales y se aclaró que, desde julio de 2025, la empresa responde por las pérdidas en operaciones no reconocidas, salvo que acredite la responsabilidad del usuario.
- Lo que hace la resolución de 2026 es cerrar ese proceso: si durante los últimos años la regulación se concentró en construir capacidades preventivas y de respuesta, ahora el régimen sancionador endurece expresamente las consecuencias del incumplimiento cuando la afectación alcanza información confidencial del cliente.
- En términos prácticos, esta modificación obliga a revisar una idea que durante años fue cómoda para muchas organizaciones: la de asumir que la ciberseguridad es, sobre todo, un asunto tecnológico. Ya no basta con acreditar la existencia de políticas, matrices de riesgo, manuales o protocolos. Todo eso sigue siendo necesario, por supuesto, pero deja de ser suficiente si, frente a un incidente real, la entidad no puede sostener que actuó con diligencia efectiva. Y aquí aparece un punto que suele ser subestimado: el mayor riesgo no se agota en el incidente mismo, sino en la forma en que la entidad lo gestiona una vez que el cliente reclama.
La gestión del reclamo como nuevo campo de exposición
- El tratamiento del reclamo, la calidad de la trazabilidad, la consistencia de los criterios con los que se valida o rechaza una operación cuestionada, la oportunidad de la respuesta y la coordinación entre las áreas técnicas, legales, de cumplimiento y de atención al cliente pasan a ser factores decisivos. En muchos casos, el problema regulatorio ya no se juega únicamente en el control que falló, sino en la incapacidad posterior de demostrar que la respuesta de la entidad fue razonable, coherente y jurídicamente sostenible. Esa es, probablemente, una de las lecturas más importantes de la nueva resolución, y también una de las menos comentadas.
- Esto adquiere una especial relevancia en el ámbito microfinanciero. La expansión de los canales digitales, la necesidad de sostener procesos rápidos, la tercerización de componentes tecnológicos y la cercanía cotidiana con el cliente configuran un entorno donde los riesgos operativos y reputacionales se amplifican.
- En ese escenario, la revisión de la normativa interna no puede limitarse a verificar si existen protocolos; debe evaluar si esos protocolos permiten tomar buenas decisiones en casos difíciles, bajo presión y con información incompleta. Una política impecable sobre el papel sirve de poco si la entidad no tiene una respuesta robusta cuando el incidente ya ha producido daño o cuando el cliente exige una solución comprensible, oportuna y sostenible.
- Tampoco conviene simplificar indebidamente el problema diciendo que todo terminará en una acumulación indiscriminada de sanciones. El Reglamento de Infracciones y Sanciones prevé que, si una misma conducta encaja en más de una infracción, corresponde aplicar la sanción de la más grave. A la vez, la SBS puede imponer medidas correctivas sin perjuicio de la sanción administrativa, precisamente porque aquellas persiguen reponer o reparar la situación alterada y responden a una finalidad distinta.
- Esa arquitectura confirma que la exposición de la entidad no debe leerse en clave de mera suma mecánica, sino de complejidad jurídica: un mismo evento puede tener efectos múltiples y exigir defensas distintas, pero eso no autoriza a tratar de forma simplista el principio non bis in idem.
- Por eso, el verdadero alcance de la Resolución SBS N.° 01029-2026 no está solo en haber incorporado un nuevo supuesto muy grave, sino en haber dejado en evidencia que la gestión de incidentes de seguridad ya no puede analizarse al margen de la experiencia del cliente ni de la racionalidad jurídica de la respuesta institucional.
- En adelante, la diferencia no estará entre las entidades que tengan más documentos o más controles declarados, sino entre aquellas que puedan demostrar, frente al regulador, que sus decisiones en escenarios críticos responden a una gestión real del riesgo y no a reacciones fragmentadas, tardías o defensivas.
- Ese es el punto donde la ciberseguridad deja de ser solo una conversación técnica y pasa a convertirse en una cuestión de gobierno, de responsabilidad y de criterio. Y es, también, el punto en el que muchas entidades tendrán que revisar no solo sus sistemas, sino la forma en que entienden y atienden al cliente cuando el riesgo digital deja de ser hipotético y se convierte en pérdida concreta.
“En adelante, la diferencia no estará entre las entidades que tengan más documentos o más controles declarados, sino entre aquellas que puedan demostrar, frente al regulador, que sus decisiones en escenarios críticos responden a una gestión real del riesgo y no a reacciones fragmentadas, tardías o defensivas”