Comunicación "A" 8398 del BCRA: los PSP pasan a ser sujetos obligados en materia de ciberseguridad

Comunicación "A" 8398 del BCRA: los PSP pasan a ser sujetos obligados en materia de ciberseguridad

Nuevas exigencias en gestión de riesgos tecnológicos, tercerización de servicios críticos y control de proveedores para entidades financieras y proveedores de servicios de pago.

El 5 de febrero de 2026, el Banco Central de la República Argentina (BCRA) emitió la Comunicación "A" 8398 (en adelante, la "Com. A 8398"), publicada en el Boletín Oficial el 9 de febrero. La norma modifica de manera integral el texto ordenado sobre "Requisitos Mínimos para la Gestión y Control de los Riesgos de Tecnología y Seguridad de la Información" (los "Requisitos Mínimos") y las normas sobre "Expansión de Entidades Financieras". La medida de mayor impacto para el ecosistema fintech es la incorporación de los Proveedores de Servicios de Pago (PSP) como sujetos obligados.

Hasta ahora, los Requisitos Mínimos en materia de ciberseguridad alcanzaban a las entidades financieras, las cámaras electrónicas de compensación, las redes de cajeros automáticos y un puñado de entidades específicamente mencionadas. Con la Com. A 8398, los PSP inscriptos en el Registro del BCRA quedan formalmente sujetos a ese mismo cuerpo normativo. Tienen 180 días corridos desde la publicación para adecuarse, es decir, hasta el 4 de agosto de 2026.

Los PSP como sujetos obligados: qué cambia

La inclusión de los PSP en el punto 1.1. de los Requisitos Mínimos tiene una consecuencia directa: todo el régimen de gestión de riesgos de tecnología y seguridad de la información que hasta ahora aplicaba a los bancos les resulta ahora exigible. Esto abarca, entre otras cuestiones, gobierno de tecnología y seguridad de la información (Sección 2), gestión de riesgos (Sección 3), seguridad de la información (Sección 5), continuidad del negocio (Sección 6), gestión de ciberincidentes (Sección 8) y la nueva Sección 10 sobre tercerización.

Para un PSP que opera billeteras virtuales, procesamiento de pagos o servicios de cobro, esto implica un salto cualitativo en las exigencias regulatorias. Muchos de estos operadores venían funcionando con estándares internos de seguridad razonables pero sin un marco normativo del BCRA que los forzara a formalizarlos. Eso se terminó. El plazo de 180 días para la implementación suena holgado, pero las adecuaciones que exige la norma son numerosas y tocan áreas que van desde la gobernanza interna hasta la relación con proveedores de tecnología.

Hay un dato que no conviene perder de vista: los Requisitos Mínimos deben ser cumplidos tanto por las entidades y PSP registrados como por los terceros a los que estos les hayan delegado procesos, servicios o actividades vinculadas a tecnología y seguridad de la información. La responsabilidad, en otras palabras, no se terceriza.

Tercerización de servicios críticos: nuevo régimen

La Com. A 8398 sustituye íntegramente la Sección 10 de los Requisitos Mínimos, que regula la relación con terceras partes. El nuevo texto introduce varias novedades.

Taxonomía de servicios

La norma obliga a encuadrar cada servicio tercerizado dentro de una taxonomía específica. La lista incluye, entre otros: procesamiento de datos en infraestructuras tradicionales, servicios en modalidad IaaS, PaaS y SaaS, administración y gestión de datos, control de acceso a infraestructura y sistemas, operaciones de seguridad (incluido SOC), gestión de ciberincidentes, actividades de back-office con soporte tecnológico, administración de pagos, gestión de comunicaciones y redes, desarrollo y mantenimiento de software, gestión de copias de respaldo, y otros servicios considerados críticos.

Esta clasificación tiene un propósito concreto: cada servicio tercerizado debe ser evaluado en función de su riesgo, y esa evaluación debe estar documentada y aprobada por las máximas autoridades de la entidad.

Notificación previa al BCRA

Cuando se tercerizan servicios de tecnología o ciberseguridad considerados críticos, la norma exige una notificación previa al BCRA con al menos 60 días corridos de antelación al inicio de la tercerización. La notificación debe incluir una descripción de los servicios alcanzados, la fecha prevista de puesta en funcionamiento, la identificación del proveedor y de eventuales subcontratistas (con su ubicación geográfica), los instrumentos contractuales y un plan de continuidad operativa.

Los terceros, a su vez, deben asumir formalmente el compromiso de permitir el acceso de auditoría al BCRA. Lo mismo aplica para los subcontratistas, respecto de los cuales se refuerza la exigencia de trazabilidad.

Tercerización en el exterior

Para tercerizaciones intra-grupo en el exterior, la Com. A 8398 eleva la vara. Se requiere una certificación escrita del supervisor del país de origen que declare que no objeta la tercerización y que el prestador adhiere a los "Principios básicos para una supervisión bancaria eficaz" del Comité de Basilea, y a las normas del GAFI contra el lavado de activos.

Las inspecciones del BCRA en el exterior quedan a cargo de la propia entidad. Y se mantiene la obligación de conservar en Argentina los libros contables, legajos de deudores y documentación que respalde garantías y financiaciones.

Cláusulas contractuales obligatorias

La norma incorpora nuevas cláusulas mínimas que deben figurar en los contratos con proveedores de servicios tercerizados. Entre ellas, mecanismos para la eliminación de datos una vez extinguida la relación comercial y procedimientos coordinados de gestión de ciberincidentes. También se exige evaluar escenarios de finalización planificada o forzada del servicio, y establecer planes que contemplen la recuperación de códigos fuente y documentación de sistemas.

Modificaciones a las Normas de Expansión

La Com. A 8398 también sustituye la Sección 2 del texto ordenado sobre Expansión de Entidades Financieras, que regula la tercerización de actividades. La versión anterior distinguía entre descentralización en infraestructura propia y de la casa matriz. El nuevo texto abandona esa distinción y se concentra en el uso de instalaciones e infraestructura de terceros.

La documentación para comunicar una tercerización debe enviarse en formato PDF, y la nueva norma es más estricta en cuanto a la modalidad de envío electrónico: el representante legal debe presentar una declaración jurada certificando que los archivos son copia fiel de los originales.

Impacto en el sector fintech

La incorporación de los PSP como sujetos obligados era una medida esperada. El crecimiento de las billeteras virtuales y de las plataformas de pago en los últimos años había generado una asimetría regulatoria frente a las entidades financieras tradicionales, que ya cumplían con los Requisitos Mínimos. La Com. A 8398 viene a corregir esa diferencia.

Dicho esto, el esfuerzo de adecuación no es menor. Los PSP van a tener que revisar sus estructuras de gobierno de tecnología, formalizar sus procesos de gestión de riesgos, implementar (o documentar) sus planes de continuidad de negocio y de gestión de ciberincidentes, y renegociar contratos con proveedores de servicios tecnológicos para incorporar las cláusulas que la norma exige.

Para los PSP que tercerizan servicios críticos (y la mayoría lo hace, al menos en materia de infraestructura cloud, SOC o desarrollo de software), las nuevas exigencias de notificación previa y trazabilidad de subcontratistas representan una carga operativa y contractual que hay que abordar con tiempo. El plazo de 180 días (hasta el 4 de agosto de 2026) empieza a correr.

Puntos de atención para el asesoramiento legal

Desde la perspectiva del asesoramiento a PSP y fintechs, la Com. A 8398 abre varios frentes de trabajo simultáneos. El primero es el diagnóstico de brechas (gap analysis): identificar en qué medida la estructura actual de gobierno, riesgos y seguridad del PSP se ajusta a los Requisitos Mínimos, y determinar las adecuaciones pendientes.

El segundo es la revisión contractual. Todos los contratos con proveedores de servicios tecnológicos deben ser revisados para verificar que contengan las cláusulas mínimas que la norma ahora exige: eliminación de datos, gestión coordinada de ciberincidentes, compromiso de acceso de auditoría del BCRA, planes de salida. Muchos contratos vigentes no van a tener estas previsiones.

El tercero es la evaluación de las tercerizaciones existentes, en particular las que involucran proveedores en el exterior. Las nuevas exigencias de certificación del supervisor externo y de adhesión a estándares de Basilea y GAFI pueden complicar arreglos que hasta ahora funcionaban sin fricción regulatoria.

La cuestión de la documentación interna tampoco es trivial. La norma requiere que la evaluación de riesgos de cada proveedor esté documentada y aprobada por las máximas autoridades de la entidad. Para un PSP que creció rápido y tiene decenas de proveedores de tecnología, formalizar todo esto en seis meses es un proyecto en sí mismo.

Síntesis

La Com. A 8398 equipara a los PSP con las entidades financieras en materia de ciberseguridad y gestión de riesgos tecnológicos. Los alcanza con los mismos Requisitos Mínimos, les impone un plazo de 180 días para adecuarse, y refuerza las exigencias de tercerización de servicios críticos (notificación previa, trazabilidad de subcontratistas, cláusulas contractuales obligatorias, restricciones para operaciones en el exterior).

Para los PSP, el mensaje es claro: el régimen de ciberseguridad dejó de ser un estándar aspiracional y pasó a ser una obligación regulatoria exigible. Quienes no se adecúen a tiempo enfrentarán un riesgo regulatorio concreto. La ventana para actuar está abierta, pero los 180 días pasan rápido.

La presente nota tiene carácter informativo y no constituye asesoramiento legal. Para un análisis particular, contacte a nuestro equipo en contact@jfcattorneys.com.