En vista de los crecientes fraudes a clientes, el BCRA dictó una comunicación sobre ciberseguridad para los bancos.

El Banco Central de la República Argentina (BCRA) estableció nuevas obligaciones a los bancos relacionadas con la seguridad. La comunicación A 7724 impulsa una actualización de las exigencias vinculadas con la gestión de los riesgos de la tecnología y seguridad de la información, la continuidad del negocio, la tecnología, la infraestructura informática y la gestión de ciberincidentes, según explicó Agustín Allende, socio de Crearis Latam. Esta norma tendrá vigencia a partir del 10 de septiembre próximo.

El Banco Central estableció nuevas obligaciones de ciberseguridad para evitar que te vacíen la cuenta

Cuáles serán las nuevas obligaciones para los bancos

Deben asegurar supervisión adecuada de las actividades de gestión de los riesgos relacionados con la tecnología y seguridad de la información. Si bien establece obligaciones al directorio y a la alta gerencia, la norma omite considerar entre sus objetivos la protección de los datos personales. Las medidas de ciberseguridad deben ser diseñadas a medida por los bancos.

Los riesgos relacionados con la tecnología y seguridad de la información a ser incluidos en la evaluación son, especialmente, los que siguen:

-Escenarios que afecten la resiliencia tecnológica.
-Obsolescencia de la tecnología y los sistemas.
-Gestión de la relación con terceras partes.
-Desarrollo y utilización de algoritmos de inteligencia artificial o aprendizaje automático.
-Adopción de tecnología nueva o emergente.
-Software o aplicaciones utilizadas por usuarios que no fueron formalmente autorizados.
-Aspectos de protección de datos personales en el uso de tecnologías asociadas a blockchain.
-Escenarios de ciberincidentes relacionados con datos personales.

El Banco Central estableció nuevas obligaciones de ciberseguridad para evitar que te vacíen la cuenta

Inteligencia artificial, bancos y derechos del usuario

La comunicación incorpora el análisis de la inteligencia artificial (IA) y machine learning (ML) debiendo identificar y documentar el objetivo del uso, por sí o por terceros, de software que utilice algoritmos de IA o ML en sus proyectos o procesos, afirmó Allende. El BCRA prevé el uso de inteligencia artificial por los bancos y los derechos del usuario. Exige establecer roles y responsabilidades para la definición del contexto en que operan los sistemas de IA.

También la identificación de los modelos, algoritmos y los conjuntos de datos utilizados, y la definición de métricas y umbrales precisos para evaluar la confiabilidad de las soluciones implementadas. Estos análisis de riesgos deberán considerar, como mínimo lo siguiente, sostuvo Allende:

-Los modelos adoptados, su entrenamiento y las posibles discrepancias con la realidad del contexto.
-Los datos utilizados para el entrenamiento, su volumen, complejidad y obsolescencia.
-La privacidad y la afectación a los usuarios en su calidad de consumidores.
-El nivel de madurez de los estándares de pruebas de software y las dificultades para documentar las prácticas basadas en IA.

El Banco Central estableció nuevas obligaciones de ciberseguridad para evitar que te vacíen la cuenta

Adicionalmente, se deberán implementar procesos que promuevan la confiabilidad en el uso de este tipo de algoritmos e incluyan al menos, aclaró Allende:

-Medidas para evitar la existencia de sesgos o discriminación contra grupos o segmentos de clientes o usuarios de los productos y/o servicios financieros.
-Documentación respecto de la transparencia, la explicabilidad de los modelos utilizados y la interpretabilidad de los resultados.
-La ejecución de revisiones periódicas de los resultados respecto de la tolerancia al riesgo definida.
-La comunicación al cliente cuando utilice servicios soportados por este tipo de tecnología.

El pishing, la responsabilidad de los bancos, y la gestión de seguridad de la información

La seguridad de los datos biométricos y su vulnerabilidad es seguida de cerca por el BCRA quien establece los requisitos generales para los factores de autenticación mediante el uso de datos biométricos: En la implementación de métodos de autenticación que utilicen datos biométricos, se deberán evaluar y mitigar los riesgos derivados de las siguientes características, precisó Allende:

-Las limitaciones para asegurar la autenticación del suscriptor debido al carácter probabilístico del método, la tasa de falsos positivos (FMR) y la falta de secreto del dato biométrico.
-La necesidad de establecer un proceso para la revocación de credenciales de este tipo.
-Las posibles vulnerabilidades en los dispositivos y sistemas utilizados para la captura y validación de las credenciales.
-El impacto en la privacidad de los usuarios.
-Gestión de ciberincidentes