La Resolución Nro. JPRFM-2026-002-F introduce cambios con impacto operativo directo para las entidades del Sistema Financiero Nacional, al convertir la seguridad (física, electrónica y de la información) en un requisito estructural de gestión y cumplimiento, y no solo en un conjunto de medidas aisladas. Para bancos, cooperativas, mutualistas y demás actores del sector, la norma implica la necesidad de revisar y ajustar procesos internos, manuales, contratos de servicios, infraestructura y esquemas de control, incorporando un enfoque basado en perfil de riesgo, cobertura territorial y canales de atención. En la práctica, su aplicación incidirá en decisiones de inversión, gobierno corporativo, continuidad operativa y supervisión, al exigir que la seguridad esté integrada en la planificación institucional, en la rendición de cuentas ante los organismos de control y en la gestión cotidiana de oficinas, puntos de atención, cajeros automáticos y sistemas de información.
1. Objeto normativo y alcance material (Artículo 1)
La Resolución JPRFM-2026-002-F tiene como objeto establecer medidas mínimas obligatorias de seguridad aplicables a las entidades del Sistema Financiero Nacional.
Como dispone expresamente el artículo 1, la norma se orienta a la protección de instalaciones, puntos de atención y demás infraestructuras operativas, incorporando una visión amplia que abarca seguridad física, electrónica y de la información.
Desde una lectura técnica, este artículo define el alcance funcional de la norma: no se limita a oficinas tradicionales, sino que cubre cualquier espacio o canal donde exista exposición a riesgo operativo.
2. Ámbito subjetivo y principio de proporcionalidad (Artículo 2)
El artículo 2 establece que las disposiciones son de cumplimiento obligatorio para las entidades del Sistema Financiero Nacional, sin perjuicio de la emisión de normativa específica por parte de los organismos de control.
Este artículo introduce un elemento clave: la aplicación de las medidas debe realizarse en función del perfil de riesgo de cada entidad, considerando su naturaleza, complejidad operativa, cobertura territorial y canales de atención.
La Junta reconoce que un estándar uniforme puede ser injusto o ineficiente. Por ello, el artículo 2 habilita explícitamente un enfoque proporcional y diferenciado, que es esencial para evitar sobrerregulación, especialmente en el sector popular y solidario.
3. Obligación general de seguridad integral (Artículo 3)
El artículo 3 impone una obligación central:
las entidades deben implementar y mantener medidas mínimas de seguridad física, electrónica y de seguridad de la información en todas sus instalaciones, puntos de atención, cajeros automáticos y sistemas operativos.
Desde un punto de vista técnico, este artículo cumple dos funciones:
1. Integra en una sola obligación distintos tipos de seguridad que tradicionalmente se regulaban por separado.
2. Eleva la seguridad de la información al mismo nivel normativo que la seguridad física, lo que refleja una concepción moderna del riesgo operativo.
4. Medidas mínimas de seguridad física y electrónica (Artículo 4)
El artículo 4 desarrolla el contenido operativo de la obligación general, estableciendo una lista mínima de medidas de seguridad, entre las que se incluyen:
- iluminación adecuada y respaldo ante cortes eléctricos,
- controles de acceso a áreas críticas,
- sistemas de cerraduras y manejo de llaves,
- contratación de servicios de seguridad privada autorizados, cuando corresponda,
- restricciones específicas para áreas de caja,
- y otras medidas orientadas a la prevención, detección y disuasión de eventos de riesgo.
El propio artículo 4 reitera que estas medidas deben aplicarse de manera proporcional al perfil de riesgo, lo que confirma que la lista no es mecánica ni automática, sino sujeta a evaluación técnica.
5. Manuales y políticas internas de seguridad (Artículo 5)
Uno de los artículos más relevantes es el artículo 5, que obliga a las entidades a contar con manuales y políticas de seguridad, debidamente aprobados por el órgano de gobierno correspondiente (directorio, consejo o equivalente).
El artículo detalla que dichos manuales deben incluir, al menos:
- procesos y procedimientos de seguridad,
- roles y responsabilidades,
- especificaciones técnicas,
- protocolos de actuación ante incidentes,
- capacitación del personal,
- y controles relacionados con la seguridad de la información.
Este artículo transforma la seguridad en un elemento del sistema de control interno, no en una función aislada. Obliga a que la alta dirección asuma responsabilidad directa, lo que fortalece la rendición de cuentas.
6. Transporte de valores, bóvedas y custodia (Artículos 6, 7 y 8)
Los artículos 6, 7 y 8 regulan aspectos críticos del manejo de efectivo y valores, incluyendo:
- transporte de valores,
- características y uso de bóvedas y cajas fuertes,
- y medidas de custodia.
Estos artículos configuran una cadena de custodia normativa, donde cada eslabón (almacenamiento, traslado y acceso) debe estar protegido mediante controles físicos y procedimentales.
El enfoque no es solo preventivo, sino también probatorio: se busca garantizar que, ante un evento, exista trazabilidad suficiente para investigaciones administrativas o penales.
7. Videovigilancia, registros y evidencia (Artículos 9 y 10)
El artículo 9 regula los sistemas de videovigilancia, mientras que el artículo 10 establece obligaciones sobre conservación y disponibilidad de registros.
En particular, se dispone que las grabaciones y registros deben estar a disposición de las autoridades competentes, sin costo ni restricciones.
Aunque la norma es clara en la disponibilidad, su aplicación debe armonizarse con políticas internas de confidencialidad y protección de datos, para evitar accesos indebidos o filtraciones.
8. Seguridad de la información y ciberseguridad (Artículo 12)
El artículo 12 introduce de manera expresa la obligación de gestionar la seguridad de la información, incluyendo:
- metodologías de evaluación de riesgos,
- identificación y clasificación de información sensible,
- controles para procesamiento, almacenamiento y transmisión,
- medidas frente a amenazas cibernéticas,
- y obligaciones de confidencialidad.
El artículo es deliberadamente amplio y basado en principios. No fija estándares técnicos cerrados, lo que permite a los organismos de control adaptar los requisitos a la evolución tecnológica y al tamaño de cada entidad.
9. Interpretación, control y rol de los organismos de supervisión (Artículos 13 y 14)
Los artículos 13 y 14 asignan a los organismos de control competentes (Superintendencia de Bancos y SEPS) la función de:
- absolver consultas interpretativas,
- vigilar el cumplimiento,
- y emitir normativa complementaria para la aplicación de la resolución.
Esto consolida un esquema de regulación en capas:
- la Junta fija el estándar mínimo,
- el supervisor define el detalle técnico y ejerce control.
10. Disposición transitoria: implementación y cuentas sueldo
Finalmente, la Disposición Transitoria Única establece dos mandatos relevantes:
1. un plazo de cuatro meses para que los organismos de control emitan o actualicen la normativa secundaria necesaria; y
2. la obligación de habilitar mecanismos para el pago de remuneraciones del personal de vigilancia mediante cuentas sueldo, con ajustes al Catálogo Único de Cuentas.
Esta disposición conecta seguridad financiera con formalización laboral y trazabilidad de pagos, ampliando el impacto de la norma más allá del ámbito estrictamente operativo.
En conjunto, la Resolución JPRFM-2026-002-F configura un marco mínimo de resiliencia operativa, donde cada artículo cumple una función específica dentro de un sistema coherente:
los artículos 1 a 3 definen objeto, sujetos y obligación general;
los artículos 4 a 10 desarrollan controles físicos, electrónicos y probatorios;
el artículo 12 moderniza el enfoque incorporando seguridad de la información;
y los artículos finales aseguran interpretación uniforme e implementación progresiva.
No hay comentarios:
Publicar un comentario