Giovanni Pichling Zolezzi,gerente de seguridad estratégica de la Asociación de Bancos del Perú (Asbanc), considera que el Reglamento del Decreto de Urgencia N.° 007-2020 sobre el marco de confianza digital contiene obligaciones claras en favor de los proveedores de servicios digitales del sector financiero, pero sería conveniente capitalizar la colaboración público-privada para contar con una mejor respuesta ante amenazas informáticas.
¿Se ha mantenido la mayoría de los puntos que tenía el borrador que se pre-publicó para comentarios a principios de 2025 o han habido cambios sustanciales?
La publicación del Decreto Supremo N.° 126-2025-PCM establece el marco regulatorio definitivo. Si bien un análisis punto por punto con el borrador requiere mayor detalle, se puede notar que el Reglamento establece obligaciones claras y específicas que buscan robustecer la seguridad digital, especialmente para los Proveedores de Servicios Digitales (PSD) del sector financiero.
¿Se tomaron en cuenta las sugerencias de la banca en el reglamento publicado?
Todos tuvimos la oportunidad de enviar comentarios y sugerencias a los proyectos de reglamento con el fin de aportar al marco normativo. El texto publicado incluye aspectos que el sector financiero ha venido promoviendo, como la gestión de riesgos y la implementación de controles de seguridad. No obstante, se sugiere capitalizar la colaboración público-privada para contar con una mejor respuesta ante elementos que busquen perjudicar el desempeño de los canales digitales.
¿Cuáles son los aciertos y pendientes normativos? ¿Se atiende a las tendencias de mayor presencia de la IA en los ataques que predicen los expertos?
Las nuevas regulaciones han impulsado una mayor inversión en seguridad dentro del sector. El Reglamento, por ejemplo, dispone la notificación obligatoria de incidentes (reportado al Centro Nacional de Seguridad Digital (CNSD) en un plazo máximo de 48 horas para incidentes críticos), la gestión de riesgos y controles, y el establecimiento de niveles de confianza en la autenticación (NCA).
La norma es pertinente ya que las nuevas amenazas incluyen ataques más sofisticados que utilizan algoritmos matemáticos avanzados y técnicas furtivas como el Stealth. A mediano plazo, el sector financiero utilizará la inteligencia artificial (IA) para anticipar amenazas y personalizar la protección de los clientes, haciendo los sistemas más robustos.
Sin embargo, los retos serán mayores debido a las nuevas capacidades que tendrán los sistemas, especialmente aquellos relacionados con la mecánica cuántica. [Por tanto], sigue siendo una tarea pendiente, una mayor coordinación entre sectores y la concientización ciudadana para reducir fraudes y ciberdelitos.
«La norma es pertinente ya que las nuevas amenazas incluyen ataques más sofisticados que utilizan algoritmos matemáticos avanzados y técnicas furtivas como el Stealth».
¿Qué sugerencias de mejora propone usted o qué más se puede hacer desde el marco normativo?
La principal sugerencia es que se materialice la colaboración público-privada a fin de contar con una mejor respuesta ante incidentes. También es crucial abordar la gran cantidad de información personal y relacionada con el patrimonio de las personas obtenida de forma ilícita que se encuentra a disposición en los marketplaces de redes sociales a cambio de pagos de bajo valor.
¿Qué nos falta en el país para tener un adecuado cuidado de la seguridad digital de la población?
Es fundamental fortalecer la coordinación entre los sectores involucrados y aumentar significativamente la concientización ciudadana para reducir los niveles de fraude y ciberdelitos.
¿Qué está haciendo el sector financiero para prepararse ante los ataques previstos para este año? ¿Qué planes hay como gremio?
El sector financiero ha fortalecido activamente su seguridad mediante:
- Mecanismos de cifrado, políticas de zero trust y la aplicación de múltiples factores de autenticación.
- Monitoreo constante y una política de compartir información sobre modalidades de ataque.
- Colaboración en mesas de trabajo y programas de prevención con organismos de supervisión.
- Realización de simulacros sectoriales de ciberataque coordinados con el supervisor y regulador del sistema financiero.
- Coordinaciones permanentes con la Policía Nacional del Perú (PNP), la Secretaría de Gobierno y Transformación Digital (SGTD), y contacto con países de la Alianza del Pacífico, FELABAN y FEBRABAN.
- Junto con ESAN Graduate School of Business, se creó el Diploma de Especialización en Gestión de la Ciberseguridad para el Sector Financiero, buscando formar expertos que refuercen la seguridad del sector.
Para profundizar más en el tema los invitamos a revisar las siguientes notas y entrevistas:
