Modifican el Reglamento para la Gestión de la Continuidad del Negocio, aprobado mediante Res. SBS N° 877-2020 y el Reglamento de Infracciones y Sanciones, aprobado por Res. SBS N° 2755-2018

RESOLUCIÓN SBS N° 00814-2025

Lima, 4 de marzo de 2025

EL SUPERINTENDENTE DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES

CONSIDERANDO

Que mediante Resolución SBS N° 877-2020 se aprobó el Reglamento para la Gestión de la Continuidad del Negocio, el cual establece disposiciones que las empresas deben cumplir para la adecuada gestión de la continuidad del negocio;

Que, asimismo, el Reglamento para la Gestión de la Continuidad del Negocio establece que las empresas deben reportar a la Superintendencia la ocurrencia de un evento de interrupción de operaciones;

Que visto el contexto de alta digitalización de los servicios ofrecidos por las empresas del sistema financiero, resulta necesario establecer nuevas disposiciones en el Reglamento para la Gestión de la Continuidad del Negocio con el objetivo de fortalecer la resiliencia operacional, entendida como la capacidad de las empresas para asegurar la continuidad de sus operaciones críticas incluso ante interrupciones, para lo cual deben identificar y adoptar medidas preventivas frente a posibles amenazas, contar con planes para responder y adaptarse a eventos disruptivos y ser capaces de recuperarse rápidamente aprendiendo de estas situaciones, lo que incluye también ajustes en los plazos para el reporte a la Superintendencia de eventos de interrupción de operaciones;

Que, a efectos de recoger las opiniones del público sobre lo propuesto, mediante Resolución SBS N° 4276-2024 se dispuso la publicación del proyecto de norma en la sede digital de la Superintendencia, al amparo de lo dispuesto en el Trigésima Segunda Disposición Final y Complementaria de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros – Ley N° 26702 y sus normas modificatorias, en adelante Ley General, así como del Decreto Supremo N° 009-2024- JUS;

Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Riesgos, y de Asesoría Jurídica, y;

En uso de las atribuciones conferidas por los numerales 7 y 9 del artículo 349 de la Ley General,

RESUELVE:

Artículo Primero.- Modificar el Reglamento para la Gestión de la Continuidad del Negocio, aprobado mediante Resolución SBS N° 877-2020 y sus modificatorias, de acuerdo con lo siguiente:

1. Derogar el literal i) del párrafo 4.2 del artículo 4 referido a Empresas Emisoras de Tarjetas de Crédito y/o Débito.

2. Incorporar el literal l) del párrafo 4.2 del artículo 4, de acuerdo con el siguiente texto:

“Artículo 4. Proporcionalidad del sistema de gestión de la continuidad del negocio

(…)

j) Empresa Emisora de Dinero Electrónico;

k) El Banco de la Nación;

l) Empresa de Crédito con autorización para operar con dinero electrónico, tarjetas de crédito o que brinden servicios de pagos interoperables.”

3. Sustituir el literal b) del párrafo 4.3 del artículo 4, de acuerdo con el siguiente texto:

“Artículo 4. Proporcionalidad del sistema de gestión de la continuidad del negocio

(…)

b) Empresa de Créditos;

(…)”

4. Sustituir el literal a) del párrafo 14.1 del artículo 14, de acuerdo con el siguiente texto:

“Artículo 14. Empresa con concentración de mercado

(…)

a) Considerar para el diseño de las estrategias de continuidad, el cumplimiento de los objetivos de recuperación de negocio, los POR y los TOR. En caso de los productos pasivos, se debe asegurar un TOR no mayor a tres (3) horas en situaciones de contingencia que afecte a la empresa de manera individual;

(…)”

5. Sustituir los párrafos 15.2 y 15.3 del artículo 15, así como modificar su sumilla, de acuerdo con los siguientes textos:

“Artículo 15. Información de eventos de interrupción significativa de operaciones

(…)

15.2 Adicionalmente, y sin perjuicio de lo anterior, las empresas bancarias, las empresas financieras, las CMAC, la CMCP y las CRAC deben informar a la Superintendencia la ocurrencia de los siguientes eventos:

a) La suspensión en la entrega de productos y servicios priorizados durante un tiempo igual o mayor a cuatro horas.

b) La interrupción en cualquiera de los canales de atención que se mantenga durante un periodo igual o mayor a cuatro horas. En el caso de los canales presenciales, se debe considerar la indisponibilidad del 25% de los puntos de atención a nivel nacional.

La información sobre estos eventos debe ser remitida en un plazo máximo de 5 horas desde su inicio, siempre que ocurra entre las 07:00 am y las 04:00 pm. Si el incidente ocurre fuera de dicho horario, el reporte deberá realizarse a más tardar al inicio de la jornada hábil más próxima.

15.3 En el caso de las empresas con concentración de mercado, según lo descrito en el artículo 14, estas deben informar a la Superintendencia la ocurrencia de los siguientes eventos:

a) La suspensión en la entrega de productos y servicios priorizados por un tiempo igual o mayor a 1 hora.

b) La interrupción en cualquiera de los canales de atención que se mantenga durante un periodo igual o mayor a 1 hora. En el caso de los canales presenciales se debe considerar la indisponibilidad del 25% de los puntos de atención a nivel nacional.

La información sobre estos eventos debe ser remitida en un plazo máximo de 2 horas desde su inicio, siempre que ocurra entre las 07:00 am y las 04:00 pm. Si el incidente ocurre fuera de dicho horario, el reporte deberá realizarse a más tardar al inicio de la jornada hábil más próxima.

(…)”

6. Incorporar el Subcapítulo V en el Capítulo II, de acuerdo con el siguiente texto:

“SUBCAPÍTULO V

DISPOSICIONES DE RESILIENCIA OPERACIONAL EN CANALES DIGITALES DE EMPRESAS DE OPERACIONES MÚLTIPLES

Artículo 17. Alcance

Las disposiciones descritas en el presente subcapítulo son de aplicación de las empresas señaladas en los literales a), b), c), d), e) y k) del párrafo 4.2 que cuenten con canales digitales implementados.

Artículo 18. Gestión de la continuidad del negocio en canales digitales

18.1. Como parte de la etapa de “entendimiento de la organización” descrita en el artículo 7, la empresa debe:

a) Identificar los productos y servicios priorizados ofrecidos a través de canales digitales y establecer un TOR para cada uno de ellos.

b) Gestionar de forma específica y detallada los riesgos que puedan interrumpir las operaciones en sus canales digitales. Esta evaluación debe incluir la identificación de los componentes tecnológicos cuyo fallo pueden afectar significativamente la continuidad de los productos y servicios priorizados ofrecidos a través de dichos canales.

c) Establecer expresamente las características y condiciones normales bajo las cuales se ofrecen los productos y servicios priorizados en cada canal digital, las cuales deben ser aprobadas por el Directorio o Comité de Riesgos. Estas características deben ser definidas y monitoreadas por cada producto y servicio priorizado ofrecido a través de canales digitales.

18.2. La empresa debe implementar estrategias y planes para prevenir, mitigar el impacto y contener eventos que interrumpan prestación de productos y servicios priorizados a través de canales digitales, así como para restablecer dichos servicios dentro de los plazos y condiciones establecidos. Estas estrategias deben contemplar:

a) Implementar un sistema de monitoreo para supervisar el funcionamiento de los canales digitales que ofrecen productos y servicios priorizados, de modo que permita identificar cualquier desviación respecto a los niveles normales establecidos para cada producto o servicio.

b) Implementar canales o esquemas de atención alternativos en caso de interrupción de los canales digitales a través de los que se ofrecen productos y/o servicios priorizados.

c) Como parte del plan de recuperación de los servicios de tecnología de información (TI) mencionado en el párrafo 9.4, la empresa debe desarrollar protocolos para atender fallas tecnológicas y las interrupciones resultantes en la provisión de productos y servicios priorizados en canales digitales, de modo que aseguren su restablecimiento a niveles normales en los TOR establecidos.

d) Como parte de los lineamientos de comunicación a los que se hace referencia en el literal f) del párrafo 9.2, la empresa debe desarrollar disposiciones que garanticen la comunicación oportuna de: i) incidentes o fallas significativas a los grupos de interés, incluidos los usuarios; y ii) los canales alternativos disponibles para continuar realizando operaciones.

18.3. Como parte del plan de pruebas mencionado en el artículo 10, la empresa debe realizar anualmente pruebas para verificar la efectividad de las estrategias establecidas para garantizar la continuidad de los productos y servicios priorizados a través de canales digitales.

18.4. La empresa debe mantener un registro centralizado de todos los eventos que hayan ocasionado la interrupción de la provisión de productos y servicios priorizados a través de canales digitales por un plazo mayor a 30 minutos, continuos o intermitentes. Este registro debe contener, como mínimo, los siguientes campos:

a) Fecha y hora de inicio del evento y del restablecimiento a operaciones normales.

b) Descripción del evento, la falla y sus causas.

c) Productos y servicios afectados.

d) Canales afectados.

e) Proveedores involucrados, de ser el caso.

f) Responsable de la gestión del incidente.

Artículo 19. Precisiones para asegurar la resiliencia operacional de principales canales digitales

19.1. Las disposiciones de este artículo son aplicables a las empresas que cuenten con los siguientes canales digitales: banca por internet, aplicativo móvil o billeteras digitales; a través de los cuales ofrezcan servicios de transferencias intrabancarias, interbancarias, pagos interoperables, pago de planillas empresariales o a proveedores.

19.2 La empresa debe definir las características y condiciones bajo las cuales se ofrecen los servicios de transferencias, pagos interoperables, pago de planillas y pago a proveedores a través de los canales digitales indicados en el párrafo anterior a personas naturales y empresas, de acuerdo con la estructura de los Reportes CD-A y CD-B del Anexo 2, respectivamente. Los reportes contienen los nombres de los canales digitales, información general sobre las condiciones normales bajo las cuales operan (horario de disponibilidad, disponibilidad diaria mínima, tiempo de latencia de ingreso e interrupciones programadas) y bajo las cuales se ofrecen productos y/o servicios a través de estos (TOR, horario de servicio, disponibilidad diaria mínima, tiempo de latencia de operaciones, interrupciones programadas), y los canales alternativos en caso de contingencia. Los formatos de los reportes indicados en el presente párrafo se adjuntan a la presente norma y se publican en el portal institucional (www.sbs.gob.pe), conforme a lo dispuesto en el Decreto Supremo N° 009-2024-JUS y sus normas modificatorias.

19.3 Los Reportes CD-A y CD-B deben ser aprobados y gestionados conforme a lo dispuesto en el inciso c) del párrafo 18.1. Los reportes, junto con la constancia de su aprobación o ratificación anual, deben enviarse a la Superintendencia a través del aplicativo Mesa de Partes Virtual ubicado en el Portal del Supervisado, a más tardar el 31 de marzo de cada año. En caso de modificaciones, los reportes deben enviarse en un plazo máximo de siete (07) días posteriores al cambio realizado. La Superintendencia puede instruir mediante oficio múltiple el uso de un mecanismo alternativo al citado anteriormente para la remisión de información a que se refiere el presente párrafo.

19.4. Los servicios de transferencias, pagos interoperables, pago de planillas y pago a proveedores otorgados mediante los siguientes canales digitales: banca por internet, aplicativo móvil y billeteras digitales, son servicios que requieren una recuperación prioritaria en caso de interrupción. Por lo tanto, deben considerar un TOR no mayor a tres (03) horas para empresas con concentración de mercado y cinco (05) horas para las demás empresas.

19.5. Las empresas deben ejecutar pruebas anuales para verificar el cumplimiento de los TOR de los servicios de transferencias, pagos interoperables, pago de planillas y pago a proveedores desde banca por internet, aplicativo móvil o billeteras digitales. Los informes de resultados de estas pruebas, que deben incluir las lecciones aprendidas resultantes de su ejecución, deben ser remitidos a la Superintendencia como parte del informe anual de la gestión del riesgo operacional (IG-ROp), mencionado en el artículo 15 del Reglamento para la Gestión del Riesgo Operacional, aprobado mediante Resolución SBS N° 2116-2009 y sus modificatorias.

19.6. Los servicios de transferencias intrabancarias, interbancarias, pagos interoperables, pago de planillas empresariales y pago a proveedores ofrecidos a través de los siguientes canales digitales: banca por internet, aplicativo móvil y billeteras digitales, no pueden verse interrumpidos, dentro del horario comprendido entre las 06:00 am y las 10:00 pm por un periodo mayor a tres (03) horas para empresas con concentración de mercado, y cinco (05) horas para las demás empresas. Este tiempo máximo se aplica tanto a interrupciones continuas como acumuladas dentro de ese rango horario en un mismo día. Esta exigencia aplica a interrupciones no programadas o a aquellas derivadas de fallas operativas.

19.7. Las estrategias de continuidad deben contemplar el desarrollo de procedimientos que permitan, en caso de interrupciones, continuar ofreciendo los servicios de transferencias, pagos interoperables, pago de planillas y pago a proveedores; y/o permitir que los usuarios puedan disponer del dinero de sus depósitos a través de otros esquemas o canales.”

7. Sustituir la segunda disposición final y complementaria por el siguiente texto:

“DISPOSICIONES FINALES Y COMPLEMENTARIAS

(…)

Segunda.- En el caso de las empresas señaladas en los literales a, b, c, d, e, j, k y l del Artículo 4.2, el diseño de estrategias de continuidad debe asegurar que la información correspondiente a las operaciones de todos los productos pasivos cumpla con un POR igual a cero.”

8. Incorporar las disposiciones finales y complementarias tercera, cuarta y quinta, de acuerdo con los siguientes textos:

“DISPOSICIONES FINALES Y

COMPLEMENTARIAS

(…)

Tercera.- Se debe entender por interrupción en canales digitales cualquier impedimento, ya sea total o parcial, que afecte la prestación de productos o servicios priorizados a través de estos. La degradación de los niveles de servicio en dichos canales, cuando genere un impacto significativo en los usuarios, en algún sector económico, en el cumplimiento de compromisos legales o regulatorios o en la reputación de la empresa, es considerada un impedimento parcial para la prestación de servicios.

Cuarta.- Las empresas mencionadas en el párrafo 19.1 del artículo 19, que ofrezcan servicios de pagos interoperables, deben remitir a la Superintendencia, a través del aplicativo Mesa de Partes Virtual ubicado en el Portal del Supervisado, los siguientes anexos, que forman parte del Reglamento de los niveles de calidad de los Servicios de Pago Interoperables provistos por los Proveedores, Acuerdos, Sistemas de Pagos y Proveedores Tecnológicos, aprobado mediante la Circular No. 0009-2024-BCRP o la norma que la sustituya. Estas remisiones deben cumplir con formatos establecidos por el Banco Central de Reserva del Perú y con la periodicidad que esta entidad determine, incluyendo remisiones adicionales derivadas de subsanaciones:

a) Anexo 14 – Reporte Mensual de Mantenimientos Ejecutados.

b) Anexo 15 – Reporte Mensual de Incidentes.

c) Anexo 16 – Reporte de ANS-RTO.

d) Anexo 17 – Reporte de Indicadores de Calidad de Servicios.

La Superintendencia puede instruir mediante oficio múltiple el uso de un mecanismo alternativo al citado anteriormente para la remisión de información a que se refiere la presente disposición final y complementaria.

Quinta.- El primer envío de los Reportes CD-A y CD-B del Anexo 2 debe ser realizado por las empresas con concentración de mercado a más tardar el 15 de julio de 2025.”

Artículo Segundo.- Modificar el Reglamento de Infracciones y Sanciones, aprobado por Resolución SBS N° 2755-2018 y sus modificatorias, de acuerdo con lo siguiente:

1. Modificar la infracción grave 85) y la infracción muy grave 26) del Anexo 1, de acuerdo con los siguientes textos:

“ANEXO 1

INFRACCIONES COMUNES

(…)

II. INFRACCIONES GRAVES

(…)

85) Incumplir los requerimientos o mandatos expresos realizados por esta Superintendencia que tengan incidencia en la situación financiera, resultados o solvencia de la empresa, con impacto en sus resultados o solvencia, menor o igual al 5% del patrimonio efectivo.

(…)

III. INFRACCIONES MUY GRAVES

(…)

26) Incumplir los requerimientos o mandatos expresos realizados por esta Superintendencia que tengan incidencia en la situación financiera, resultados o solvencia de la empresa, con impacto material en sus resultados o solvencia, mayor al 5% del patrimonio efectivo.

(…)”

2. Incorporar los siguientes numerales a la sección II del Anexo 2 referido a infracciones graves, de acuerdo con los siguientes textos:

“ANEXO 2

INFRACCIONES ESPECÍFICAS DEL SISTEMA FINANCIERO Y DE LAS EMPRESAS DE SERVICIOS COMPLEMENTARIOS Y CONEXOS

(…)

II. INFRACCIONES GRAVES

(…)

81) Presentar interrupción en el servicio de transferencias, pagos interoperables, para el pago de planillas empresariales o pago a proveedores a través de los canales digitales: banca por internet, aplicativos móviles y billeteras electrónicas, por más de tres (03) horas continuas o acumuladas entre las 6:00 am y las 10:00 pm, para empresas con concentración de mercado; y cinco (05) horas para las demás empresas.

82) No evaluar los riesgos asociados con componentes tecnológicos, ya sea se encuentren bajo administración propia o de terceros, cuya falla podría afectar de forma significativa la continuidad de sus servicios u operaciones críticas; y/o no implementar, o implementar parcialmente, medidas para mitigar su ocurrencia o impacto.

83) Perder información asociada con operaciones en productos pasivos como consecuencia de un evento de interrupción.”

Artículo Tercero. Aprobar el Anexo 2, Características de productos y servicios priorizados ofrecidos a través de canales digitales, del Reglamento para la Gestión de la Continuidad del Negocio, aprobado mediante Resolución SBS N° 877-2020 y sus modificatorias, de acuerdo con el formato contenido en anexo de la presente Resolución.

Artículo Cuarto. La presente resolución entra en vigencia conforme a lo dispuesto a continuación:

1. Los numerales 1, 2, 3 y 5 del artículo primero y el numeral 1 del artículo segundo de la presente resolución entran en vigencia al día siguiente de su publicación en el diario oficial “El Peruano”.

2. Los artículos 17 y 19 del Subcapítulo V del Reglamento para la Gestión de la Continuidad del Negocio, incorporados por el numeral 6, así como los numerales 4, 7 y 8 del artículo primero, y el artículo tercero de la presente resolución, entran en vigencia el 1 de junio de 2025 para las empresas con concentración de mercado, según lo establecido en el artículo 14 del Reglamento para la Gestión de la Continuidad del Negocio, con excepción del Banco de la Nación. Para el Banco de la Nación y el resto de las empresas, la vigencia es 1 de enero de 2026.

3. El artículo 18 del Subcapítulo V del Reglamento para la Gestión de la Continuidad del Negocio, incorporado por el numeral 6 del artículo primero de la presente resolución, entra en vigencia el 1 de enero de 2026.

4. Las infracciones 81) y 83), incorporadas por el numeral 2 del artículo segundo de la presente resolución, entran en vigencia el 1 de junio de 2025 para las empresas con concentración de mercado, según lo establecido en el artículo 14 del Reglamento para la Gestión de la Continuidad del Negocio, con excepción del Banco de la Nación. Para el Banco de la Nación y el resto de las empresas, entran en vigencia el 1 de enero de 2026.

5. La infracción 82), incorporada por el numeral 2 del artículo segundo de la presente resolución, entra en vigencia el 1 de enero de 2026.

Regístrese, comuníquese y publíquese.

JORGE DAMASO MOGROVEJO GONZALEZ

Superintendente de Banca, Seguros y AFP (a.i.)

 

DESCARGAR AQUÍ