📋 Matriz de referencia normativa BCRA sobre ciberseguridad, fraude, PSP y servicios financieros digitales

Comunicaciones, Textos Ordenados y referencias regulatorias vigentes verificadas al 22/06/2026.
🏛 Fuentes: BCRA · Boletín Oficial · Infoleg ✅ Incluye normas y TO vigentes o con efectos vigentes al momento de la revisión. La vigencia debe verificarse al momento de uso 🆕 Incorpora normas 2025–2026
🆕 NOVEDADES CLAVE 2025–2026 incluidas en esta versión: Com. A 8398 (05/02/2026) — incorpora a los PSP registrados como sujetos obligados del TO de Requisitos Mínimos TI/SI, con plazo transitorio de 180 días corridos (vence ~04/08/2026) | Com. A 8401 (13/02/2026) — nueva versión del TO TI/SI (t-rmgcti.pdf) | Com. A 8280 (17/07/2025) — notificación obligatoria de ciberincidentes al BCRA | Com. A 8249 (02/06/2025, vigente desde 01/09/2025) — Resiliencia Operacional en el TO de Lineamientos para la Gestión de Riesgos en EF | Com. A 8432 (30/04/2026) — figura "PSPCP como Servicio".
ℹ️ METODOLOGÍA: La matriz fue elaborada a partir de Textos Ordenados del BCRA, Comunicaciones oficiales, Boletín Oficial e Infoleg. Las referencias marcadas como Pendiente de validación o Pendiente de incorporación al TO deben verificarse directamente en el buscador oficial del BCRA ↗ antes de su uso formal. Las columnas "Tema normativo" y "Sujetos alcanzados" resumen el contenido regulatorio; la columna "Relación con ciberseguridad / fraude" contiene interpretación técnica editorial sobre el impacto práctico, y no reproduce denominaciones oficiales del BCRA. Las etiquetas "Troncal", "Relevante", "Complementaria" y "Operativa" son una clasificación editorial propia, no una categoría normativa del BCRA.

📑 Índice

1. Riesgos de tecnología y seguridad de la información (TI/SI) 2. Servicios financieros digitales (SFD) 3. PSP, billeteras digitales, pagos y fraude 4. Ciberincidentes y RRCI 5. Continuidad, resiliencia operacional y terceros Textos Ordenados — referencia directa Análisis: troncales, aplicabilidad y prioridad
1

🔐 Riesgos de tecnología y seguridad de la información (TI/SI)

Marco regulatorio base: gobierno, gestión de riesgos, infraestructura, activos de información, continuidad, terceros y ciberincidentes

NormaTipo de referenciaFecha TO afectadoTema normativo Relación con ciberseguridad / fraude (interpretación editorial) Sujetos alcanzados Nivel de relevanciaEstado de validación Modifica / complementaLink oficial
1 Com. "A" 7724 Comunicación A 10/03/2023
Vigencia: 06/09/2023 (180 días corridos desde su difusión)		 TO "Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información" Establece el marco integral de gestión y control de riesgos TI/SI: gobierno (responsabilidades del Directorio), gestión de riesgos, activos de información, infraestructura, continuidad del negocio, terceras partes, uso de IA y gestión de ciberincidentes. Deroga la Com. A 4609 Es la base regulatoria de ciberseguridad para EF: introduce las 3 líneas de defensa, gestión de vulnerabilidades, clasificación de información y responsabilidad del máximo nivel jerárquico sobre la seguridad. Punto de partida obligado de cualquier análisis de cumplimiento EF
PSP incorporados luego por A 8398		 Troncal Verificada Reemplaza A 4609. Sec. 11 reemplazada por A 7783; Sec. 10 reemplazada por A 8398 PDF ↗
2 Com. "A" 7777 Comunicación A
Circular de TO		 01/06/2023 TO "Req. mínimos TI/SI" (hojas de reemplazo) Circula las hojas actualizadas del Texto Ordenado derivado de la Com. A 7724 Referencia de trabajo para auditores y áreas de compliance: consolida el texto aplicable EF Operativa Verificada Circulación del TO de A 7724 PDF ↗
3 Com. "A" 8398 2026 Comunicación A 05/02/2026
BO: 09/02/2026
Plazo PSP: 180 días corridos (~04/08/2026)		 TO "Req. mínimos TI/SI" — punto 1.1 (sujetos) y Sección 10 (terceras partes) Incorpora a los PSP incluidos en el Registro de PSP del BCRA como sujetos obligados del TO TI/SI, con plazo transitorio de 180 días corridos para su implementación. Sustituye íntegramente la Sección 10 (gestión de la relación con terceras partes). Reemplaza PRISMA por NEWPAY en el punto 1.1. Prohíbe tercerizar funciones de auditoría interna y/o externa Cambio estructural para el ecosistema fintech: los PSP quedan alcanzados por el mismo cuerpo normativo TI/SI, dentro del régimen y plazos transitorios que la norma establece. La nueva Sec. 10 exige evaluaciones de riesgo documentadas, auditorías internas sobre tercerizados, notificación de subcontratistas y habilita al BCRA a auditar proveedores, incluso en el exterior, a costo de la entidad EF + PSP registrados
PSP: efectos desde ~04/08/2026		 Troncal Verificada Modifica punto 1.1 y Sec. 10 del TO de A 7724 PDF ↗
4 Com. "A" 8401 2026 Comunicación A
Circular de TO		 13/02/2026 TO "Req. mínimos TI/SI" — versión consolidada (t-rmgcti.pdf) + TO "Expansión de EF" Circula la versión consolidada del TO TI/SI incorporando las disposiciones de A 8398: glosario actualizado (Shadow IT, tercera parte, tolerancia al riesgo, vulnerabilidad), nueva Sec. 10 y Sec. 12 de disposiciones transitorias con los plazos para PSP Texto de referencia vigente para auditorías TI/SI. La Sec. 12 (disposiciones transitorias) es el documento donde verificar los plazos de implementación aplicables a PSP EF + PSP registrados Relevante Verificada TO vigenteÚltima comunicación incorporada al TO TI/SI (texto consolidado en uso, TO al 13/02/2026) Circula el TO TI/SI vigente (A 7724 + A 8398) PDF ↗
TO ↗
2

📱 Servicios financieros digitales (SFD) — Autenticación, onboarding y monitoreo

Riesgos específicos de los canales digitales: identificación, autenticación, onboarding no presencial, monitoreo transaccional y prevención de fraude digital

NormaTipo de referenciaFecha TO afectadoTema normativo Relación con ciberseguridad / fraude (interpretación editorial) Sujetos alcanzados Nivel de relevanciaEstado de validación Modifica / complementaLink oficial
5 Com. "A" 7783 Comunicación A 02/06/2023
Vigencia: 29/11/2023 (180 días corridos desde su difusión)		 TO "Requisitos mínimos para la gestión y control de los riesgos de TI y SI asociados a los servicios financieros digitales" (t-rmrtsd.pdf) + TO general TI/SI (ampliación de sujetos) Aprueba el TO de SFD: gestión de riesgos en servicios digitales (Sec. 2), protección de los servicios provistos por medios digitales (Sec. 3: autenticación, PIN mínimo de 6 dígitos, cifrado de canal, tarjetas y tokens físicos), detección y monitoreo (Sec. 4) y glosario (Sec. 5). Reemplaza la Sec. 11 (canales electrónicos) del TO general TI/SI y deja sin efecto las normas sobre "Requisitos operativos mínimos del área de sistemas de información (SI) – tecnología informática".

Alcance: el TO de SFD aplica a entidades financieras y PSP. Adicionalmente, la A 7783 extiende el alcance del TO general de riesgos TI/SI a las IMF conocidas como Sistemas de Pago de importancia sistémica: INTERBANKING, COELSA, LINK y PRISMA (luego NEWPAY por A 8398)		 Norma de referencia para todo lo relativo a onboarding digital, autenticación multifactor, agenda de cuentas para transferencias, gestión de dispositivos/apps y monitoreo de actividades sospechosas en canales digitales. Junto con A 7724 conforma el núcleo del marco de ciberseguridad financiero argentino TO SFD: EF + PSP
TO TI/SI general: ampliado a IMF sistémicas (INTERBANKING, COELSA, LINK, PRISMA→NEWPAY)		 Troncal Verificada TO vigenteComunicación que aprueba el TO SFD, base del texto consolidado en uso. Vigencia 29/11/2023 confirmada en el PDF oficial Aprueba el TO SFD. Deroga Sec. 11 del TO de A 7724. Deja sin efecto "Req. operativos mínimos del área de SI – TI" PDF ↗
TO ↗
3

💳 PSP, billeteras digitales, pagos y fraude

Marco regulatorio de PSP/PSPCP, billeteras digitales, registro interoperable, fraude en transferencias, QR y consentimiento en enrolamiento

NormaTipo de referenciaFecha TO afectadoTema normativo Relación con ciberseguridad / fraude (interpretación editorial) Sujetos alcanzados Nivel de relevanciaEstado de validación Modifica / complementaLink oficial
6 Com. "A" 6859 Comunicación A 09/01/2020 TO "Proveedores de servicios de pago" (SNP-PSP) Antecedente relevante sobre fondos de clientes de PSP: dispone que los fondos acreditados en cuentas de pago deben encontrarse en cuentas a la vista, en pesos, en EF del país, disponibles de forma inmediata, y exige una cuenta operativa separada para transacciones por cuenta propia. El texto base del régimen PSPCP surge de la Com. A 6885 Primera regla de protección de fondos de clientes en el ecosistema fintech de pagos: separa los fondos de clientes del giro propio del PSP y garantiza su disponibilidad inmediata PSP Relevante VerificadaSanción 09/01/2020, BO 14/01/2020 (Infoleg). Reformulada como antecedente sobre fondos de clientes, no como origen general del régimen PSP Antecedente del régimen PSPCP formalizado por A 6885 PDF ↗
7 Com. "A" 6885 Comunicación A 30/01/2020
BO: 06/02/2020 · Registro PSPCP habilitado: 01/03/2020		 TO "SNP-PSP" — texto base del régimen PSPCP Norma base del régimen de Proveedores de Servicios de Pago que ofrecen Cuentas de Pago (PSPCP): cuentas de pago en pesos de libre disponibilidad, CVU, custodia de fondos de clientes en cuentas a la vista en EF, registro en BCRA Fundamento del régimen PSPCP: define la estructura de custodia de fondos y el registro, base para aplicar PUSF, normas de fraude y requisitos de seguridad a las fintechs de pagos PSPCP Troncal Verificada Texto base del régimen PSPCP (TO SNP-PSP) PDF ↗
8 Com. "A" 7328 Comunicación A 12/07/2021 TO "SNP – Transferencias" Extiende a los PSPCP la obligación de notificar a sus clientes los DEBIN recibidos, con la leyenda de advertencia establecida por la Com. A 7326 Mitigación de fraude por ingeniería social en el ecosistema de billeteras: el usuario es advertido de que aceptar un DEBIN extrae fondos de su cuenta PSPCP Complementaria Verificada Extiende A 7326 a PSPCP PDF ↗
9 Com. "A" 7363 Comunicación A 10/09/2021
Implementación: 01/12/2021		 TO "SNP – Servicios de pago" (Circular SINAP 1-141) Enrolamiento de cuentas en billeteras digitales: obliga a permitir que los titulares asocien a la billetera las cuentas a la vista o de pago de las que sean titulares o cotitulares, mediante CBU/CVU o ALIAS, a habilitar pagos con transferencia desde esas cuentas y a notificar a los clientes. Implementación operativa al 01/12/2021 Norma de interoperabilidad del enrolamiento (apertura del ecosistema de billeteras). La capa de consentimiento y prevención del enrolamiento fraudulento se incorporó luego con A 7462/A 7463 EF + PSPCP que brindan billetera digital o similar Relevante VerificadaConfirmada contra el PDF oficial (10/09/2021, SINAP 1-141). Tema corregido: interoperabilidad de enrolamiento, no antifraude Complementa TO SNP servicios de pago. Antecedente de A 7462/A 7463 PDF ↗
10 Com. "A" 7462 Comunicación A 24/02/2022 TO "SNP-PSP" y TO "SNP – Servicios de pago" Define el servicio de "billetera digital". Crea el Registro de Billeteras Digitales Interoperables. Amplía las funciones registrables de los PSP. Establece el proceso de identificación fehaciente de usuarios y los mecanismos de detección de actividades sospechosas o inusuales Pieza central del régimen de billeteras: onboarding digital con verificación de identidad no presencial (cuestionarios aleatorios, validación documental, doble factor por canal alternativo) y exigencia de mecanismos antifraude para prestadores del servicio EF + PSP (PSPCP, PSI) Troncal Verificada Modifica TO PSP. Modificada por A 7593, A 7769, A 7907, A 7919, A 8102, A 8287, A 8432 PDF ↗
11 Com. "A" 7463 Comunicación A 24/02/2022 TO "SNP – Transferencias – Normas Complementarias" Medidas para mitigar, prevenir y gestionar el fraude en operaciones de transferencias: consentimiento del cliente en el enrolamiento de cuentas en billeteras, parámetros de uso configurables (límites de monto, períodos, cantidad de operaciones), trazabilidad de operaciones presumiblemente fraudulentas y desvinculación de cuentas Norma de referencia antifraude en transferencias inmediatas: organiza la respuesta de los participantes del esquema ante reclamos por fraude y la trazabilidad respetando la confidencialidad EF + PSP + Administradores de esquemas Troncal VerificadaCircular SINAP 1-153, origen del régimen antifraude del TO SNP-TR-NC. El TO vigente incorpora hasta la Com. A 8436 (TO al 14/05/2026) Origen del TO SNP-TR-NC. Complementa A 7462 PDF ↗
TO ↗
12 Com. "A" 7533 Comunicación A 29/06/2022
BO: 18/08/2022		 TO "SNP – Servicios de pago" Comunicación que da nombre y ordena el TO "Sistema Nacional de Pagos – Servicios de pago": pagos con transferencia, QR, CVU e interoperabilidad de billeteras. El historial del TO se remonta a la Com. A 2622 y posteriores Ordena reglas operativas y técnicas del sistema de pagos con impacto en seguridad transaccional e interoperabilidad. Numerosas secciones del TO vigente figuran "S/Com. A 7533" EF / PSP / Redes / Administradores Relevante VerificadaSanción 29/06/2022 y BO 18/08/2022 confirmados en Infoleg. El historial oficial del TO SNP-SP la identifica como la comunicación titular del texto ordenado Ordena el TO SNP-SP (historial desde A 2622) PDF ↗
13 Com. "A" 7712 Comunicación A 07/03/2023 TO "SNP-PSP" y régimen de informes de PSP Aclara el alcance del informe especial de cumplimiento que deben presentar los PSP: cubre el cumplimiento de las normas PUSF (no la totalidad de la normativa aplicable) Delimita el perímetro de la auditoría externa anual de PSP introducida por A 7593. Antecedente del régimen formalizado luego en A 7972 EF + PSP Complementaria Verificada Aclara A 7593. Antecede a A 7972 PDF ↗
14 Com. "A" 7769 Comunicación A 18/05/2023 TO "SNP-PSP", TO "SNP-Transferencias" y TO "SNP-SP" Amplía la interoperabilidad del código QR para que cualquier billetera digital pueda leer QR también para pagos con tarjeta de crédito. Cronograma de adecuación con seguimiento mensual; implementación antes del 01/09/2023 Refuerza la interoperabilidad del ecosistema QR, con implicancias sobre identidad del aceptador y seguridad de la transacción en pagos con tarjeta vía QR EF + PSP Relevante Verificada Modifica TO SNP-SP, SNP-Transferencias y TO PSP PDF ↗
15 Com. "A" 7907 Comunicación A 01/12/2023 TO "SNP-PSP" Actualización del régimen PSPCP: cuentas de pago, operaciones de débito y crédito, funcionalidades operativas Ajustes operativos al régimen de cuentas de pago con incidencia en el control transaccional de los PSPCP EF + PSPCP Complementaria Verificada Actualiza TO PSP PDF ↗
16 Com. "A" 7919 Comunicación A 13/12/2023 TO "SNP – Servicios de pago" — Sección 5 (servicio de billetera digital) Actualiza la Sección 5 del TO SNP-SP: trazabilidad y auditabilidad obligatorias de las actividades del servicio de billetera digital (puntos 5.5.1.2, 5.5.1.3, 5.5.2.1 y 5.5.3), con integridad, protección y resguardo de los registros. Habilita códigos QR para cuentas corrientes de personas jurídicas Refuerza la evidencia forense disponible ante investigaciones de fraude en billeteras: los registros de enrolamiento y operación deben ser trazables y auditables EF + PSPCP Relevante Verificada Actualiza TO SNP-SP (Sec. 5) PDF ↗
17 Com. "A" 7972 Comunicación A 05/03/2024
BO: 08/03/2024
Régimen vigente desde: 31/03/2024		 TO "Informe de Contadores Públicos Independientes sobre el cumplimiento de las normas del BCRA por parte de los PSP" (t-RI-PSP.pdf) Regula el Informe de Contadores Públicos Independientes sobre el cumplimiento de normas BCRA por parte de los PSP. Para PSPCP: informe especial trimestral de auditor externo que certifica el cumplimiento de las normas aplicables y la integridad del régimen informativo; el informe del trimestre cerrado al 31/12 incluye además la opinión sobre el cumplimiento de las normas PUSF. Para PSI con servicio de billetera digital: informe anual sobre cumplimiento de PUSF Marco de aseguramiento del cumplimiento normativo de los PSP mediante auditoría externa independiente. No constituye una auditoría integral de ciberseguridad; su alcance está delimitado por el régimen RI-PSP y las normas PUSF PSPCP + PSI con billetera Relevante Verificada con ajusteComunicación que crea el TO RI-PSP. Fecha y alcance corregidos; detalle trimestral/anual según el TO. El TO descargable pudo actualizarse posteriormente Crea el TO RI-PSP. Formaliza el régimen anticipado por A 7593/A 7712. Referenciada por A 8102 PDF ↗
TO ↗
18 Com. "A" 8038 Comunicación A 06/06/2024 TO "SNP-PSP" Modifica el régimen de administración de fondos de clientes de PSPCP: elimina la obligación de trasladar a los clientes la rentabilidad de las inversiones, dejando sin efecto la Com. A 7825 Incide en la estructura de custodia y disponibilidad de los fondos de clientes de PSPCP PSPCP Operativa Verificada Deja sin efecto A 7825. Modifica TO PSP PDF ↗
19 Com. "A" 8102 Comunicación A 10/09/2024 TO "SNP-PSP" Actualiza las normas PSP: impide tramitar inscripciones simultáneas para distintas funciones; incorpora el régimen informativo trimestral para PSPCP (Sec. 3 del TO); ajusta los informes de cumplimiento de PSPCP y PSI a los requisitos del régimen RI-PSP Mejora la supervisión y trazabilidad del cumplimiento de los PSP a través de información trimestral y auditoría alineada al RI-PSP PSP / PSPCP Relevante Verificada Modifica TO PSP (en función de A 7972 y B 12648) PDF ↗
20 Com. "A" 8176 Comunicación A 14/01/2025
Circular SINAP 1-226		 TO "SNP-PSP", TO "SNP – Transferencias", TO "SNP – Servicios de pago", TO "SNP – Cheques y otros instrumentos compensables" y TO "Plataformas para el financiamiento MiPyME" Actualización terminológica transversal de cinco textos ordenados del Sistema Nacional de Pagos, derivada del Decreto 953/24 (disolución de la AFIP y creación de la Agencia de Recaudación y Control Aduanero, ARCA): circula las hojas de reemplazo correspondientes Ajuste administrativo sin contenido sustantivo de seguridad; relevante solo para mantener actualizadas las referencias normativas en documentación de cumplimiento EF, CEC, redes de cajeros, PSP, PSPCP, PSI, redes de transferencias, administradores de esquemas, plataformas MiPyME, aceptadores, adquirentes, agregadores y empresas de cobranza extrabancaria Operativa VerificadaConfirmada contra el PDF oficial: actualización por Decreto 953/24 (AFIP→ARCA); TO afectados y sujetos completados Hojas de reemplazo en TO PSP, TO SNP-Transferencias, TO SNP-SP, TO SNP-Cheques y TO Plataformas MiPyME PDF ↗
21 Com. "A" 8206 Comunicación A 27/02/2025
BO: 13/03/2025		 TO "SNP-PSP" y TO "SNP-SP" Viaje con QR (VQR): regula el pago del transporte público mediante QR "consumer presented" — exige billetera digital interoperable registrada, habilitación previa del BCRA para ofrecer VQR, y que los administradores QR estén inscriptos en el Registro de PSP. Incorpora la figura de Administrador QR Nuevas funcionalidades de pago QR con implicancias sobre identidad de participantes, habilitación previa y control de fraude en esquemas de transporte EF + PSPCP + PSI + Administradores QR Complementaria VerificadaConfirmada contra el PDF oficial: 27/02/2025, Circular SINAP 1-229 Complementa TO PSP y TO SNP-SP. Incorporada al TO SNP-SP por A 8303 PDF ↗
22 Com. "A" 8287 Comunicación A 25/07/2025 TO "SNP-PSP" Actualización del régimen PSP/PSPCP en materia de cuentas de pago y obligaciones. Figura como última comunicación incorporada al TO PSP descargable (verificado al 22/06/2026) Ajustes al régimen de cuentas de pago con incidencia en gestión de fondos y cumplimiento de PSPCP PSPCP Complementaria Verificada TO vigenteÚltima comunicación incorporada al TO SNP-PSP (texto consolidado en uso). La Com. A 8432 (2026) aún no está incorporada a este TO descargable Última incorporada al TO SNP-PSP PDF ↗
TO ↗
23 Com. "A" 8303 Comunicación A
Circular de TO		 19/08/2025
BO: 20/08/2025		 TO "SNP – Servicios de pago" Circula las hojas del TO SNP-SP incorporando las disposiciones de las Com. A 8032, A 8144, A 8162, A 8180 y A 8206, y B 12333: billeteras interoperables, inscripción e integración de actores del ecosistema Consolidación del marco de billeteras y pagos digitales: interoperabilidad, registro de actores, seguridad en aceptación de QR y trazabilidad del ecosistema EF, PSPCP, Redes, PSI, Administradores Relevante Verificada TO vigenteÚltima circular del TO SNP-SP (texto consolidado en uso) Circula el TO SNP-SP. Consolida A 8032, A 8144, A 8162, A 8180, A 8206, B 12333 PDF ↗
TO ↗
24 Com. "A" 8432 2026 Comunicación A 30/04/2026
BO: 06/05/2026		 TO "SNP-PSP" — pendiente de verificación en TO descargable Crea la figura "PSPCP como Servicio" (provisión de cuentas de pago a clientes de terceros/tomadores). Refuerza los requisitos de inscripción: banco patrocinante, nómina de tomadores con habilitación previa del BCRA, antecedentes de accionistas (más del 10%), socios y directivos. Prohíbe operar a personas jurídicas no constituidas regularmente en el país o con vínculos a actividades terroristas o sanciones. Extiende el plazo para iniciar operaciones de 6 a 12 meses. Establece causales de baja de oficio Los clientes del tomador son clientes del PSPCP como Servicio, y los sistemas y procesos del tomador deben ajustarse a la normativa BCRA en materia de identificación y conocimiento del cliente, onboarding digital, PLA/FT, prevención del fraude, seguridad de la información, continuidad operativa y gestión de riesgos tecnológicos y operativos. PSP ya inscriptos: 90 días corridos para adecuarse; PSPCP como Servicio operativos: 10 días hábiles para informar tomadores PSP / PSPCP como Servicio / tomadores del servicio Troncal Pendiente de incorporación al TOFecha de emisión corregida a 30/04/2026; 06/05/2026 corresponde al BO. Validar incorporación al TO PSP descargable Modifica TO PSP (incorporación pendiente de verificación) PDF ↗
4

🚨 Ciberincidentes — Respuesta, recuperación y notificación (RRCI)

Lineamientos para la respuesta y recuperación ante ciberincidentes. Desde 2025: obligación de notificación al BCRA con plazos definidos

NormaTipo de referenciaFecha TO afectadoTema normativo Relación con ciberseguridad / fraude (interpretación editorial) Sujetos alcanzados Nivel de relevanciaEstado de validación Modifica / complementaLink oficial
25 Com. "A" 7266 Comunicación A 16/04/2021
BO: 20/04/2021		 TO "Lineamientos para la Respuesta y Recuperación ante Ciberincidentes (RRCI)" Aprueba los lineamientos RRCI: gobierno y roles, planificación y preparación, detección e investigación (incluida causa raíz), respuesta, recuperación, comunicación interna y externa, ejercicios. Define ciberincidente como evento que pone en peligro la ciberseguridad o infringe políticas/procedimientos, sea o no producto de actividad maliciosa Marco de referencia para la gestión de ciberincidentes en el ecosistema financiero argentino, alineado con prácticas del FSB. Sustento de los planes de respuesta a incidentes exigibles a los sujetos alcanzados EF + PSPCP + IMF sistémicas
Alcance ampliado a todos los PSP por A 8280		 Troncal Verificada Texto base RRCI. Actualizada por A 8280 (2025) PDF ↗
26 Com. "A" 8280 2025 Comunicación A 17/07/2025
BO: 24/07/2025 · Vigencia TO: 18/07/2025
PSP no PSPCP: 60 días hábiles para implementar		 TO "Lineamientos RRCI" — versión 2a (incorpora Sección 3: Notificación de ciberincidentes) Actualiza los lineamientos RRCI e incorpora la obligación de notificar ciberincidentes a la Gerencia de Auditoría Externa de Sistemas de la SEFyC ([email protected]). Categoriza los incidentes en críticos, importantes y no relevantes. Plazos: incidentes importantes y críticos: notificación inicial dentro de la primera hora de ocurrido o detectado el incidente; reportes subsiguientes hasta la normalización; reporte de cierre dentro de los 5 días corridos posteriores a la contención, recuperación o resolución. Amplía el alcance a todos los PSP inscriptos en el Registro del BCRA (antes solo PSPCP). Incluye incidentes originados en terceras partes cuando afecten servicios o pongan en riesgo la confidencialidad, integridad o disponibilidad de la información Cambia el paradigma de gestión de incidentes en el sector: de lineamientos orientativos a obligación concreta de notificación con plazos estrictos. Impacta directamente en los runbooks de respuesta a incidentes (la notificación inicial dentro de la primera hora exige procesos de escalamiento preparados de antemano) EF + todos los PSP registrados + IMF sistémicas Troncal Verificada TO vigenteÚltima comunicación incorporada al TO RRCI (texto consolidado en uso, TO al 17/07/2025) Modifica TO RRCI (actualiza A 7266). El TO vigente consolida A 7266 + A 8280 PDF ↗
TO ↗
5

🏗️ Continuidad, resiliencia operacional y terceros tecnológicos

Riesgo operacional, resiliencia operacional, continuidad del negocio y gestión de proveedores tecnológicos

NormaTipo de referenciaFecha TO afectadoTema normativo Relación con ciberseguridad / fraude (interpretación editorial) Sujetos alcanzados Nivel de relevanciaEstado de validación Modifica / complementaLink oficial
27 TO TI/SI — Secciones 7 y 9 Sección de TO Vigentes desde 06/09/2023 TO "Req. mínimos TI/SI" — Sec. 7 (continuidad del negocio) y Sec. 9 (infraestructura informática) Sec. 7: análisis de impacto al negocio (BIA), planes de continuidad y de recuperación, pruebas y simulacros. Sec. 9: requisitos para data centers, servicios en la nube, redundancia y disponibilidad Núcleo de la exigencia de continuidad operativa ante ciberincidentes y desastres tecnológicos. Referencia obligada para proyectos de BCM/DRP en entidades reguladas EF
PSP: desde la implementación de A 8398 (~04/08/2026)		 Relevante VerificadaSecciones del TO TI/SI cuyo origen es la Com. A 7724. El TO vigente fue circulado por la Com. A 8401 (TO al 13/02/2026) Origen: Com. A 7724. TO vigente circulado por A 8401 PDF ↗
TO ↗
28 TO TI/SI — Sección 10 2026 Sección de TO 05/02/2026
EF: vigente; PSP: ~04/08/2026		 TO "Req. mínimos TI/SI" — Sec. 10 (gestión de la relación con terceras partes), según A 8398 Nueva redacción integral de la sección de terceras partes: tercerización de procesos/servicios/actividades de TI dentro y fuera del país; exclusiones (servicios de información general de mercados, servicios de adopción obligatoria, organismos del Estado); prohibición de tercerizar funciones de auditoría interna/externa; evaluaciones de riesgo documentadas; aprobación por máximas autoridades; auditorías internas sobre tercerizados; informes de auditoría externa disponibles para la SEFyC; facultad del BCRA de auditar proveedores incluso en el exterior, a costo de la entidad Marco reforzado de gestión de terceros tecnológicos: la responsabilidad de la entidad es indelegable y la cadena de subcontratación debe ser trazable. Relevante para contratos cloud, SOC y desarrollo tercerizado EF (vigente) + PSP (desde ~04/08/2026) Troncal VerificadaNueva Sec. 10 cuyo origen es la Com. A 8398. El TO vigente que la incorpora fue circulado por la Com. A 8401 (TO al 13/02/2026) Reemplaza Sec. 10 de A 7724. Origen: A 8398; incorporada al TO vigente por A 8401 PDF ↗
TO ↗
29 Com. "A" 8249 2025 Comunicación A 02/06/2025
BO: 04/06/2025 · Vigencia puntos 1-9: 01/09/2025		 TO "Lineamientos para la Gestión de Riesgos en las Entidades Financieras" (t-lingeef.pdf) — Sec. 6 (riesgo operacional) y nueva Sec. 12 (resiliencia operacional) Actualiza la gestión del riesgo operacional: formaliza el modelo de 3 líneas de defensa proporcional a la naturaleza y complejidad de la entidad; incorpora responsabilidades para Directorio y Alta Gerencia; añade el principio de transparencia; e incorpora la "Resiliencia Operacional" (Sec. 12) como la capacidad de continuar operaciones críticas durante situaciones adversas Complementa la continuidad del negocio del TO TI/SI desde la óptica del riesgo operacional integral. La resiliencia operacional abarca disrupciones de origen tecnológico y ciberincidentes. Para PSP no aplica de forma directa, aunque puede tomarse como referencia metodológica Entidades financieras Relevante VerificadaIncorpora la Resiliencia Operacional (Sec. 12) al TO de Lineamientos. El TO vigente incorpora hasta la Com. A 8383 (TO al 30/12/2025) Modifica TO Lineamientos para la Gestión de Riesgos en EF (agrega Sec. 12) PDF ↗
TO ↗

📚 Textos Ordenados (TO) — Links directos al PDF del BCRA

Los TO son los instrumentos de trabajo primarios. Cada comunicación individual es el instrumento de modificación. "Última verificada al 22/06/2026" indica la última comunicación incorporada identificada en esta revisión; el TO descargable puede haberse actualizado luego.

Id Texto Ordenado Base / última verificada al 22/06/2026 Contenido clave en materia de seguridad/fraude Link TO
A Req. mínimos para la gestión y control de los riesgos de TI y SI Base: A 7724 | Sec. 10 y sujetos: A 8398 | Última incorporada: A 8401 (TO al 13/02/2026) Gobierno TI, gestión de riesgos, activos de información, infraestructura, continuidad (Sec. 7), terceras partes (Sec. 10, versión 2026), ciberincidentes, IA, Shadow IT. Sujetos: EF + PSP registrados (PSP: plazo transitorio hasta ~04/08/2026) + IMF sistémicas (vía A 7783) TO ↗
B Req. mínimos riesgos TI/SI – Servicios Financieros Digitales Base: A 7783 (2023) Gestión de riesgos en SFD, autenticación, onboarding digital no presencial, cifrado, agenda de cuentas, detección y monitoreo transaccional, dispositivos y apps. Sujetos: EF + PSP TO ↗
C Lineamientos RRCI (Respuesta y Recuperación ante Ciberincidentes) Base: A 7266 (2021) | Última incorporada: A 8280 (TO al 17/07/2025; vigencia 18/07/2025; PSP no PSPCP: 60 días hábiles) Gobierno, planificación, detección, respuesta, recuperación, comunicación. Sec. 3 (A 8280): notificación obligatoria al BCRA — incidentes importantes y críticos: notificación inicial en la primera hora; reporte de cierre a los 5 días corridos de la resolución TO ↗
D Proveedores de Servicios de Pago (SNP-PSP) Origen: A 6859 / Base PSPCP: A 6885 | Última incorporada verificada: A 8287 (07/2025) | A 8432: pendiente de verificación de incorporación Definición PSP/PSPCP/PSI, funciones, registro, billeteras, enrolamiento, fraude, régimen informativo y fondos de clientes. La figura PSPCP como Servicio fue incorporada por A 8432, pendiente de verificación de incorporación al TO descargable TO ↗
E Sistema Nacional de Pagos – Servicios de Pago Última comunicación incorporada: A 8303 (08/2025) Pagos con transferencia, QR, identificación por alias, servicio de billetera digital (Sec. 5, según A 7919), aceptación, VQR (A 8206), interoperabilidad TO ↗
F SNP – Transferencias – Normas Complementarias Incluye A 7463 | Última incorporada: A 8436 (TO al 14/05/2026, confirmado en el encabezado del TO descargable) Funciones de esquemas de transferencias, prevención y gestión de fraude, consentimiento en enrolamiento, parámetros de seguridad configurables por el usuario, trazabilidad TO ↗
G Protección de los Usuarios de Servicios Financieros (PUSF) Base: A 5388 (2013) | Ampliaciones: A 7146, A 7593 | Última incorporada: A 8433 (TO al 06/05/2026) Derechos básicos, atención y gestión de reclamos (incluido fraude), parámetros de uso configurables en billeteras, desvinculación ante sospecha de fraude, auditoría externa para PSP TO ↗
H Informe de CPI – Proveedores de Servicios de Pago (RI-PSP) Base: A 7972 (03/2024, régimen desde 31/03/2024) | Ajustes: A 8102 (09/2024) Informe trimestral de auditor externo para PSPCP (con opinión PUSF en el trimestre cerrado al 31/12); informe anual sobre PUSF para PSI con billetera digital TO ↗
I Lineamientos para la Gestión de Riesgos en las EF Resiliencia Operacional (Sec. 12): A 8249 (06/2025) | Última incorporada: A 8383 (TO al 30/12/2025) Riesgo operacional (Sec. 6), resiliencia operacional (Sec. 12), 3 líneas de defensa, pruebas de estrés. Sujetos: EF TO ↗

📊 Análisis editorial: normas troncales, aplicabilidad y orden de estudio

⭐ Normas troncales — leer primero (clasificación editorial)

  1. A 7724 + A 8398 / TO t-rmgcti.pdf — Marco base TI/SI (EF; PSP desde ~08/2026)
  2. A 7783 / TO t-rmrtsd.pdf — Servicios financieros digitales (EF + PSP)
  3. A 7266 + A 8280 / TO t-rrci.pdf — RRCI ciberincidentes
  4. TO PUSF — Protección de usuarios (marco relacionado; detalle normativo fuera del alcance de esta versión)
  5. A 6885 / TO t-snp-psp.pdf — Régimen PSPCP
  6. A 7462 + A 7463 — Billeteras y fraude en transferencias
  7. A 8432 — PSPCP como Servicio (2026)

El TO consolidado prevalece sobre la comunicación individual. Antes de auditar, descargar el TO vigente del sitio del BCRA.

🆕 Novedades 2025–2026 (prioridad de análisis)

  • A 8398 (02/2026): PSP incorporados como sujetos obligados del TO TI/SI; plazo transitorio de 180 días (~04/08/2026). Sec. 10 de terceras partes reescrita
  • A 8401 (02/2026): TO TI/SI consolidado: IA, Shadow IT, disposiciones transitorias
  • A 8280 (07/2025): notificación de ciberincidentes al BCRA — importantes y críticos: notificación inicial en la primera hora; cierre a los 5 días corridos. Alcance: todos los PSP registrados
  • A 8249 (06/2025): Resiliencia Operacional en el TO de Lineamientos de Gestión de Riesgos (EF) — vigente desde 01/09/2025
  • A 8432 (04/2026): PSPCP como Servicio; los sistemas de los tomadores deben ajustarse a la normativa BCRA aplicable

🏛️ Aplican a Entidades Financieras (EF)

  • TO TI/SI completo — vigente para EF desde 2023
  • A 8249 — Resiliencia Operacional (solo EF; referencia metodológica para otros)

💸 Aplican a PSP / PSPCP

  • A 6885 — Base del régimen PSPCP
  • A 7328 — Notificaciones DEBIN (PSPCP)
  • A 7972 + A 8102 — Informe CPI y régimen informativo
  • A 8038 — Fondos de clientes PSPCP
  • A 8432 — PSPCP como Servicio
  • TO TI/SI — desde la implementación de A 8398 (~04/08/2026)

🔄 Aplican a ambos (EF + PSP)

  • TO SFD (A 7783) — EF + PSP
  • TO RRCI (A 7266 + A 8280) — EF + todos los PSP + IMF sistémicas
  • TO PUSF — EF, fiduciarios de fideicomisos financieros (LEF), operadores de cambio, emisoras no financieras de TC/compra, OPNFC, PSPCP y PSI, según corresponda
  • A 7462, A 7463, A 7769, A 7919, A 8303 — billeteras, QR, fraude en transferencias
  • TO SNP-SP + TO SNP-TR-NC — sistema de pagos

IMF sistémicas (INTERBANKING, COELSA, LINK y PRISMA) alcanzadas por el TO general TI/SI según A 7783; A 8398 actualiza el listado reemplazando PRISMA por NEWPAY e incorpora a los PSP registrados.

📌 Aplicabilidad por servicio prestado

  • Billetera digital: A 7462, A 7463, A 7783, A 7919, TO PSP, TO SNP-SP
  • Transferencias inmediatas: A 7463, TO SNP-TR-NC, A 7328
  • Onboarding digital: A 7783 (Sec. 3 TO SFD), A 7462, A 7363
  • Monitoreo transaccional: A 7783 (Sec. 4 TO SFD), A 7463
  • Continuidad / resiliencia: TO TI/SI Sec. 7, A 8249 (EF)
  • Terceros tecnológicos: TO TI/SI Sec. 10 (versión A 8398)
  • Ciberincidentes: TO RRCI (A 7266 + A 8280)
  • PSPCP como Servicio: A 8432
Fuentes: La matriz fue elaborada a partir de Textos Ordenados del BCRA, Comunicaciones oficiales, Boletín Oficial e Infoleg. Las referencias marcadas como pendientes deben verificarse directamente en el buscador oficial del BCRA ↗ antes de su uso formal.
Criterio de inclusión: Incluye normas y Textos Ordenados vigentes o con efectos vigentes al momento de la revisión (22/06/2026). La vigencia debe verificarse al momento de uso. Las normas derogadas (A 4609, A 6354, A 6375, A 7370, A 7825, entre otras) fueron excluidas.
Sobre la interpretación: La columna "Relación con ciberseguridad / fraude" y las etiquetas de relevancia ("Troncal", "Relevante", "Complementaria", "Operativa") son clasificación e interpretación editorial, no denominaciones oficiales del BCRA.
Tipo de referencia: Comunicación A Texto Ordenado / Circular de TO Sección de TO Norma complementaria
Estado de validación: Verificada Verificada con ajuste Pendiente de validación Pendiente de incorporación al TO TO vigente
Nivel de relevancia (editorial): Troncal Relevante Complementaria Operativa
⚠️ Aviso: Esta matriz tiene fines informativos y de orientación profesional. No constituye asesoramiento legal, regulatorio ni una opinión formal de cumplimiento. La normativa del BCRA puede modificarse, complementarse o ser reemplazada con frecuencia; por lo tanto, antes de utilizar esta información en auditorías, informes regulatorios, procesos de cumplimiento o decisiones legales, se recomienda verificar cada Comunicación y Texto Ordenado directamente en el sitio oficial del BCRA y/o con asesoramiento especializado.
Por: inBernardita Götte