Los fallos en ciberseguridad experimentados en el mercado chileno en los últimas semanas y meses, que abarcan desde el acceso a los sistemas de importantes entidades, la filtración de datos de tarjetas de crédito o transmisión de datos de clientes y colaboradores de algunas entidades, ha provocado que la Superintendencia de Bancos e Instituciones Financieras chilenas introduzca cambios normativos para reforzar el control del riesgo cibernético.
En concreto se introdujeron cambios en el Capítulo 20-8, mediante los cuales las entidades deberán reportar, a partir del 1 de octubre próximo, incidentes en un plazo máximo de 30 minutos a través de una plataforma digital creada para tal propósito. Adicionalmente, las entidades deberán nombrar un responsable a nivel ejecutivo que sea el encargado de la comunicación con la Superintendencia en todo momento.
Igualmente, y de forma inmediata las entidades estarán obligadas a informar a sus usuarios y clientes sobre incidentes que afecten a la calidad o continuidad de los servicios, la seguridad de sus datos personales o se trate de un hecho de público conocimiento.
Por último, las entidades estarán obligadas a compartir sus alertas de ciberseguridad con el resto de la industria para que puedan tomar las medidas preventivas necesarias.
Adicionalmente se introducen modificaciones en el Capítulo 1-13 que incluyen la ciberseguridad como un criterio especial de la gestión de un banco, se incrementa la participación de los directorios en estas materias, incluida la obligación de pronunciarse sobre la gestión de la ciberseguridad al menos una vez al año. Se evaluará también el que la entidad cuente con una base de incidentes de Ciberseguridad.
Junto a las anteriores, se publicaron las circulares que actualizan las normas sobre comunicación de incidentes operaciones, que aplican también a las sociedades de apoyo al giro, filiales bancarias, cooperativas de ahorro y crédito fiscalizadas por la SBIF y las empresas emisoras y operadores de tarjetas de pago.
Dichas entidades también están obligadas a reportar a la Superintendencia los incidentes operacionales que las afecten, además de comunicar a sus clientes los incidentes que afecten la calidad o continuidad de los servicios, la seguridad de sus datos personales o aquellos que sean de público conocimiento.