Nuevas obligaciones para PSP en materia de ciberseguridad

El 5 de febrero de 2026, el Banco Central de la República Argentina (BCRA) emitió la Comunicación “A” 8398. Allí se introdujeron modificaciones al texto ordenado sobre Requisitos Mínimos para la Gestión y el Control de los Riesgos de Tecnología y Seguridad de la Información.

Entre las modificaciones, se incorporó a los Proveedores de Servicios de Pago (PSP) como sujetos obligados. Estos deberán asegurar la implementación de prácticas efectivas para el control interno y la gestión de riesgos de su entorno operativo de tecnología y seguridad de la información. 

Los PSP tendrán un plazo de 180 días corridos desde la divulgación de la comunicación para implementar las nuevas exigencias y adecuarse a la normativa del BCRA.

Asimismo, se reforzó el control para los servicios tercerizados de tecnología y/o seguridad considerados críticos. Por ejemplo, antes de tercerizar el servicio se debe notificar a la Superintendencia de Entidades Financieras y Cambiarias (SEFyC) con una antelación de al menos 60 días.

Por último, cuando se tercerice en una tercera parte del exterior, esta deberá estar constituida en países que se encuentren sujetos a los principios y estándares del Grupo de Acción Financiera Internacional (GAFI).