Programa:
Capítulo I. Términos legales y técnicos.
1. Código Penal: Fraude, engaño, ardid. Manipulación informática.
2. Código Civil y Comercial: Grados de responsabilidad y de obligación.
3. Ley de Defensa del Consumidor: El usuario de servicios financieros.
4. Textos Ordenados del BCRA: Riesgo digital y seguridad del cliente.
5. Cibernética: Ciberseguridad, ciberincidente, ciberdelincuente, ciberresiliencia.
6. Operación virtual: Señal digital, sistema digital.
7. Fraudes: Ingeniería social, baiting, phishing, vishing, smishing, pharming, skimming, simswapping.
8. Sujetos obligados: Entidades financieras, operadores de cambios, fiduciarios de fideicomisos financieros, emisoras no financieras de tarjetas de crédito, proveedores no financieros de crédito, proveedores de servicios de pago con o sin cuentas de pago, billeteras digitales, sistemas de pago de importancia sistémica (Interbanking, Coelsa, Link y Newpay) y proveedores de servicios de pago registrados en el BCRA.
Capítulo II. Responsabilidad de la entidad.
1. Sistema digital: Beneficio económico de la entidad que crea riesgo digital.
2. Facultad unilateral de la entidad de crear y controlar el sistema digital.
3. Imposibilidad del cliente de controlar el sistema digital.
4. Seguridad del cliente: Deber de seguridad al cliente como obligación de resultado eficaz de la entidad.
5. Daño del cliente: Atribución de responsabilidad a la entidad. Irrelevancia de culpa. Obligación de indemnizar.
Capítulo III. Normas del BCRA.
a) Protección de los usuarios de servicios financieros.
1. Definición y tipos de usuario de servicios financieros.
2. Definición y tipos de sujetos obligados.
3. Relación de consumo. Definición, amplitud y recaudos.
4. Derechos básicos de los usuarios de servicios financieros.
5. Usuarios con discapacidad. Condiciones de acceso a páginas de internet.
6. Disposición 6/19 Oficina Nacional de Tecnología de la Información.
7. Trato digno. Prohibición de discriminar.
El Directivo y el Comité Responsable de Protección de Usuarios.
b) Lineamientos para la gestión de riesgos.
- Proceso de gestión de riesgos. Principios generales.
- Responsabilidades. Directorio y Alta Gerencia.
- Gestión del riesgo operacional.
- Gestión de riesgo de tecnología y seguridad de la información.
- Resiliencia operacional.
c) Lineamientos para la Respuesta y Recuperación ante Ciberincidentes.
- Limitación de riesgos en la estabilidad financiera e impulso de la ciberresiliencia.
- Actividad en respuesta a un ciberincidente.
- Actividad de recuperación de sistemas, servicios y operaciones.
- Lineamientos: gobierno, planificación y preparación, análisis, mitigación, restauración y recuperación, coordinación y comunicación, mejora continua.
- Notificación de ciberincidentes: críticos, importantes y no relevantes.
d) Requisitos Mínimos para la Gestión de Riesgos de Tecnología y Seguridad de la Información Asociados a los Servicios Financieros Digitales.
1. Definición de Servicio Financiero Digital.
2. Gestión de tecnología y seguridad de la información, de la infraestructura tecnológica,
del desarrollo del software y de la relación con terceras partes.
3. Pautas para las transacciones financieras digitales.
4. Medidas de protección y detección de soluciones, transacciones, dispositivos y factores de autenticación.
5. Gestión de ciberincidentes y continuidad del negocio.
6. Notificación previa de proyectos de nuevo producto o servicio digital.
7. Identificación digital de clientes. Control de acceso. Factores de autenticación.
8. Riesgos que presenta la inteligencia artificial.
e) Requisitos Mínimos para Gestión y Control de Riesgos de Tecnología y Seguridad de la Información.
1. Implementar prácticas para control interno y gestión de riesgos del entorno operativo de tecnología y seguridad de la información.
2. Definir marcos para gobierno y gestión de tecnología y seguridad de la información.
3. Fijar objetivos de resiliencia operacional y procesos de mejora continua de gestión.
4. Promover la cultura de gestión de riesgos de tecnología y seguridad de la información.
5. Adopción del modelo de las tres líneas para definir roles y responsabilidades.
6. Adoptar estándares internacionales para complementar los requisitos de gestión.
7. Funciones de gobierno: directorio, alta gerencia, áreas de tecnología y seguridad, comité de gobierno de tecnología y seguridad de la informació