La Superintendencia de Banca, Seguros y AFP (SBS) aprobó el nuevo Reglamento para la prestación de servicios bajo el modelo de Banking as a Service (BaaS) mediante la Resolución SBS N.° 01747-2026.
A primera vista puede parecer una regulación exclusivamente financiera. Sin embargo, desde una perspectiva de ciberseguridad representa uno de los avances regulatorios más importantes de los últimos años, porque reconoce que hoy el riesgo ya no termina en el banco: también se extiende hacia las fintech, marketplaces, billeteras digitales y cualquier tercero que se conecte a la infraestructura bancaria.
¿Qué es BaaS?
El reglamento define el modelo BaaS como aquel donde una entidad financiera habilita a terceros para ofrecer servicios financieros utilizando su infraestructura regulada mediante integraciones digitales, manteniendo siempre la responsabilidad regulatoria en la entidad financiera autorizada.
En términos prácticos, esto significa que una fintech puede ofrecer:
- Apertura de cuentas.
- Otorgamiento de créditos.
- Tarjetas.
- Dinero electrónico.
- Bancaseguros.
Todo ello utilizando la plataforma tecnológica de un banco.
La ciberseguridad deja de ser un problema interno
El aspecto más relevante del reglamento es que rompe con el paradigma tradicional donde únicamente debía protegerse la infraestructura propia.
Ahora el banco debe gestionar riesgos que existen fuera de su perímetro.
Esto implica proteger:
- APIs públicas.
- Integraciones con terceros.
- Procesamiento remoto.
- Flujo de datos entre organizaciones.
- Plataformas cloud compartidas.
- Proveedores tecnológicos.
En otras palabras, aparece formalmente el concepto de riesgo de terceros como elemento crítico del modelo BaaS.
La responsabilidad nunca se delega
Uno de los principios más importantes del reglamento es que, aunque la operación sea realizada por un tercero, la responsabilidad sigue siendo del proveedor BaaS frente al cliente y frente a la SBS.
Desde la perspectiva de ciberseguridad esto significa que un banco no puede justificar un incidente diciendo:
«La vulnerabilidad estaba en la fintech.»
La obligación de supervisión permanece.
Due Diligence tecnológico obligatorio
Antes de contratar un receptor BaaS, la entidad financiera debe evaluar:
- capacidad tecnológica,
- gestión de riesgos,
- cumplimiento normativo,
- situación financiera,
- reputación,
- monitoreo continuo durante toda la relación contractual.
Este requisito convierte la evaluación de seguridad de proveedores en un proceso permanente y no únicamente en una revisión inicial.
APIs bajo supervisión permanente
El artículo dedicado a seguridad de la información exige que las interfaces e integraciones mantengan controles consistentes con el marco interno de gestión de riesgos y con la normativa SBS. Además, obliga a supervisar continuamente a los receptores BaaS y a los proveedores tecnológicos críticos, pudiendo incluso suspender el acceso cuando no cumplan los estándares de seguridad.
Esto abre la puerta a controles como:
- API Gateway.
- Zero Trust.
- autenticación fuerte.
- autorización granular.
- gestión de certificados.
- monitoreo continuo.
- detección de anomalías.
- protección contra abuso de APIs.
Gestión obligatoria de incidentes
El reglamento también exige reportar a la SBS cualquier incidente que afecte la confidencialidad, integridad o disponibilidad de la información, independientemente de si ocurrió en la infraestructura del banco o del tercero.
Desde un SOC o CSIRT esto implica:
- correlación de eventos entre organizaciones;
- intercambio de indicadores de compromiso;
- procesos coordinados de respuesta a incidentes;
- ejercicios conjuntos de gestión de crisis.
Lo que dice el DU 007-2020-PCM
El artículo correspondiente establece que los:
- proveedores de servicios digitales del sector financiero,
- proveedores de Internet,
- servicios básicos,
- salud,
- transporte,
- entre otros,
deben:
notificar al Centro Nacional de Seguridad Digital (CNSD) todo incidente de seguridad digital.
Es una obligación transversal para la gestión nacional de incidentes.
El Reglamento BaaS regula la supervisión del sistema financiero por parte de la SBS, mientras que el DU 007-2020-PCM establece un deber de reporte para fortalecer la respuesta nacional frente a incidentes de seguridad digital.
La trazabilidad pasa a ser un requisito regulatorio
Otro aspecto importante es la obligación de garantizar la trazabilidad completa de las operaciones y la delimitación clara de responsabilidades.
Esto requiere fortalecer:
- registros de auditoría;
- sincronización de tiempo;
- conservación de evidencias;
- correlación de eventos;
- monitoreo centralizado.
No basta con almacenar logs: estos deben permitir reconstruir cualquier operación financiera de extremo a extremo.
Seguridad contractual
El reglamento exige que los contratos incluyan cláusulas específicas sobre:
- seguridad de la información;
- ciberseguridad;
- reporte de incidentes;
- auditorías;
- acceso a información;
- proveedores tecnológicos;
- resolución de contratos;
- continuidad del servicio.
En la práctica, los contratos pasan a convertirse también en un mecanismo de control de seguridad.
Transparencia como mecanismo de seguridad
Aunque suele verse como una obligación comercial, el reglamento también incorpora medidas que ayudan a reducir ataques de ingeniería social.
Por ejemplo, exige que el cliente conozca claramente:
- quién es el verdadero proveedor financiero;
- quién es el tercero participante;
- qué entidad está supervisada por la SBS;
- quién responde ante cualquier incidente.
Reducir la confusión sobre la identidad del proveedor disminuye el riesgo de fraudes, phishing y suplantación.
En resumen
Desde una perspectiva técnica, este reglamento marca una evolución importante del modelo regulatorio peruano.
Ya no regula únicamente instituciones financieras, sino ecosistemas completos donde intervienen bancos, fintech, proveedores cloud, desarrolladores de APIs y plataformas digitales.
Aunque la norma no menciona expresamente conceptos modernos como Zero Trust, DevSecOps, API Security o Supply Chain Security, muchas de sus obligaciones conducen naturalmente hacia su adopción.
En los próximos años veremos que la seguridad del sistema financiero dependerá menos del firewall del banco y mucho más de la seguridad de todo su ecosistema digital.