Hace poco, la Superintendencia de Banca, Seguros y AFP (SBS) reportó un ataque masivo de delincuentes en el espacio digital que buscaban obtener la información de las personas a través de mecanismos ilegales tales como correos electrónicos (“para hacer click”), mensajes de texto (“para brindar información de passwords o tokens”), llamadas telefónicas e incluso fotocopiando huellas digitales. Al 2021, se presentaron 12,827 denuncias de ciberdelitos ante la Policía Nacional del Perú (PNP), creciendo significativamente dicho número hasta hoy. No queda duda que debemos estar preparados y, para ello, necesitamos contar con una Política Nacional de Ciberseguridad, transversal e integral y que hoy no tenemos.
¿Por qué es importante? Hoy la transformación digital de la industria financiera camina bajo dos conceptos: El mundo “Open” (todo transparente y abierto) y la colaboración (alianzas e integraciones entre bancos y terceros, entre ellos las FinTech). Una de las manifestaciones de este fenómeno es la integración de los servicios financieros dentro de compañías no financieras (“embedded Finance”) ya sea a través de plataformas web o aplicaciones móviles. Por ejemplo, desde 2018, Uber integró (“embebió”) en su aplicativo los servicios financieros del BBVA en diferentes países de Latinoamérica a favor de sus clientes. Esto significa que mientras más crece la innovación y la cooperación, crece también los riesgos de ataques cibernéticos. La regulación debe responder a este fenómeno.
Por el lado del sector financiero convencional, el Perú cuenta con una estricta regulación a través de la Resolución 504-2021-SBS que exige implementar un sistema de gestión de riesgos de ciberseguridad con roles, responsables, medidas de control específicas y estricta supervisión del regulador. Sin embargo, los terceros no financieros, llámese proveedores tecnológicos, empresas FinTech, sector real, e incluso entidades públicas, no cuentan con regulación ni supervisión en ciberseguridad.
Una vez más, estamos ante un tema que debe abordarse desde dos perspectivas: la pública, a través de la regulación y supervisión; y, la privada, a través de una adecuada gestión de riesgos. Considerando que el riesgo crece proporcionalmente al avance de la transformación digital y se magnifica cuanto menos preparadas están las empresas y el público, entonces, es previsible que los riesgos continúen creciendo en un contexto “open” y colaborativo.
Por ello, sugerimos dos acciones específicas: Por un lado, el sector público y el privado deberían fortalecer la educación financiera digital de todos los peruanos para saber cómo protegemos nuestra información privada, cómo distinguimos un servicio ilegal de uno legal, cómo identificamos si un aplicativo, correo o mensaje podría o no ser fraudulento. Y por otro lado, ante la ausencia de una Política Nacional de Ciberseguridad y de normas transversales e integrales para a este fin, las empresas podrían tener “estándares mínimos” como parte de un proceso de autorregulación e incorporar desde ya, a la ciberseguridad como parte de sus políticas internas y de su gestión de riesgos. Sería una buena iniciativa.