SBS endurece reglas de ciberseguridad: bancos deberán alertar a clientes tras incidentes digitales

julio 3, 2026

La transformación digital del sistema financiero peruano viene acompañada de nuevas obligaciones en materia de ciberseguridad. La Superintendencia de Banca, Seguros y AFP (SBS) modificó el Reglamento de Gestión de Conducta de Mercado para exigir que las entidades financieras comuniquen a sus clientes cuando un incidente de ciberseguridad o de continuidad del negocio afecte los servicios que utilizan.

La medida —publicada mediante Resolución SBS N.° 01741-2026— responde al creciente uso de canales digitales para realizar operaciones financieras y busca fortalecer la confianza de los usuarios frente a eventos que puedan comprometer la disponibilidad de los servicios o la seguridad de sus productos financieros.

Principales cambios

Las empresas deberán informar directamente a los clientes cuando un incidente de ciberseguridad tenga un impacto sobre sus productos o servicios, o cuando afecte el saldo de sus cuentas o las líneas de crédito. La norma también exige que estos eventos sean comunicados públicamente dentro de las 24 horas desde que la entidad toma conocimiento del incidente, mientras que los usuarios afectados deberán ser notificados en un plazo máximo de diez días hábiles.

Con esta obligación, la SBS busca que los clientes puedan adoptar medidas preventivas de manera oportuna, como cambiar credenciales de acceso, monitorear movimientos inusuales o solicitar el bloqueo de productos financieros cuando exista un riesgo para su seguridad.

La resolución también fortalece las condiciones para la contratación digital de productos y servicios financieros. Las entidades deberán garantizar que toda la información proporcionada a través de canales digitales sea clara, comprensible y presentada de forma que no induzca a error. Asimismo, el diseño de las plataformas no podrá utilizar mecanismos que condicionen o manipulen la decisión del usuario, como casillas preseleccionadas para aceptar condiciones opcionales.

Otro aspecto relevante es el fortalecimiento de la seguridad en los procesos digitales. La norma dispone que las entidades deberán cumplir las disposiciones vigentes sobre seguridad de la información y ciberseguridad durante todo el ciclo de vida de la contratación digital, además de conservar evidencia del consentimiento otorgado por el cliente en las operaciones realizadas por medios electrónicos.

Se mantiene también la atención personal

Con el fin de adecuar la normativa de conducta de mercado a la Ley N.°31601 y Ley N.°32327 (leyes que modifican el marco legal de protección y defensa del consumidor), la Resolución dispone que las entidades financieras que ofrezcan sistemas de atención automatizada deberán brindar a los usuarios una alternativa de atención personal. Asimismo, deberán emitir o poner a disposición, sin costo y a solicitud del usuario, la constancia de regularización del pago de deudas en mora en un plazo máximo de siete (7) días hábiles.

Sobre la entrada en vigencia de la norma, el 3 de julio de 2026 entran en vigor las disposiciones sobre la atención humana. En tanto, en un plazo de 360 días calendario (28 de junio de 2027) entrarán en vigor el resto de modificaciones, incluidas las relacionadas con la comunicación de incidentes de ciberseguridad, la contratación digital, la transparencia en canales digitales y las nuevas obligaciones de información.