El pasado 7 de junio de 2021 el Banco Central del Uruguay (“BCU”) emitió la Comunicación No 2021/105 (la “Comunicación”) aplicable a Instituciones de Intermediación Financiera y Empresas Administradoras de Créditos de Mayores Activos (las “Instituciones”), por medio de la cual se introdujeron nuevas obligaciones relativas a la presentación de información acerca de todo evento que pueda  afectar a los servicios y/o a sus clientes, que por su impacto implicaren una afectación al riesgo operacional y/o reputacional de las Instituciones  y/o del sistema financiero de forma global.

Las Instituciones ya se encontraban obligadas a presentar al BCU, en forma trimestral, información sobre sus indicadores de riesgo operativo dentro del plazo de 15 días hábiles siguientes al periodo informado, y a llevar un Registro de Eventos de Riesgo Operativo. En este sentido, esta Comunicación no sustituye las obligaciones existentes hasta el momento, sino que procura ser complementaria a las mismas.

En virtud de lo anterior, a continuación resumimos los principales aspectos introducidos por la presente Comunicación:

Tipología de eventos

Se establece en forma meramente enunciativa los siguientes supuestos por los cuales las Instituciones estarían obligadas a reportar:

• Caídas de sistemas principales de gestión financiero-contable o sistemas sensibles, que puedan afectar la operativa de la institución y/o interrumpir la prestación de servicios financieros a los clientes;
• Afectación de los canales de atención al cliente, independientemente de su causa (sea por problemas derivados del propio canal o de un sistema que lo atienda).
• Dificultades para cumplir con las obligaciones inherentes al giro autorizado.
• Cualquier vulneración de los sistemas que derive en la exposición de información sensible al negocio financiero y/o datos personales de los clientes u otras partes interesadas (a vía de ejemplo: ataques de “Phishing” exitoso, robos de identidad, vulneración de redes sociales institucionales, etc.).

Asimismo, se deberá considerar todo aquel evento que, sin afectar sistemas propios de las Instituciones, pueda producir efectos negativos sobre los servicios prestados y/o afectar el reconocimiento de operaciones, exposición de datos sensibles, etc.

Por otra parte, tengan presente que, con independencia  de que los eventos ocurran en las instalaciones propias de las Instituciones o de proveedores tercerizados, los eventos siempre deberán ser comunicados.

No obstante, se dispone que en todos los casos, se deberá reportar, como mínimo, aquellos eventos que:

• Tengan tal relevancia que ameriten comunicar tanto a los clientes, como a la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC), como a cualquier otra entidad o autoridad nacional.
• Impliquen una aplicación total o parcial del Plan de Continuidad del Negocio (BCP) y/o Plan de Recuperación de Desastres (DRP).
• Supongan la interrupción o afectación del funcionamiento de alguno de los canales de atención al cliente por un lapso igual o superior a 30 minutos.
• Afecten el funcionamiento de los servicios a partir de un 10% de los clientes.
• Impliquen la exposición tanto de información sensible, como de datos personales de un 5% o más de los clientes.

Plazo y forma de realizar el reporte

En cuanto al plazo para realizar el reporte, la Comunicación dispone que aquellos eventos emergentes, deberán ser comunicados de forma inmediata a su conocimiento, aun cuando no se tenga toda la información disponible; en cuyo caso, se deberá complementar la información del evento en reportes posteriores Para el caso de los eventos comprendidos por el numeral 1º del punto anterior, el reporte deberá realizarse en forma concomitante a las demás comunicaciones; y aquellos eventos que estuvieren programados requieren ser comunicados  con una antelación mínima de 24 horas de su inicio.

Las Instituciones deberán enviar la correspondiente información por medio de correo electrónico a la siguiente casilla de  correo electrónico: [email protected].

Contenido del reporte

El reporte deberá contener los siguientes puntos:

• Fecha y hora de detección del evento.
• Fecha y hora de ocurrencia del evento.
• Descripción detallada.
• Sistemas informáticos y áreas de negocio involucrados.
• Canales de atención al cliente afectados (Agencias, Sucursales, e-Banking, Cajeros Automáticos, Corresponsales Financieros, etc.).
• Plan de acción para mitigar el evento.
• Nombre y teléfono del responsable de la Institución asignado al caso.

En caso de ser necesario, la SSF podrá solicitar información adicional sobre las medidas adoptadas.

Finalmente, se establece que las Instituciones deberán comunicar eventos con fecha de detección igual o posterior al 01/07/2021.

Para acceder al texto de la Comunicación, haga click en el archivo adjunto.

Por Florencia Castagnola y Micaela Urchitano