La Defensoría de los Habitantes ha solicitado a la Superintendencia General de Entidades Financieras (Sugef) un informe detallado sobre el estado de la seguridad cibernética y de la información en los bancos públicos de Costa Rica, tras denuncias recibidas en el último mes por problemas con las plataformas digitales de una entidad bancaria.
Las quejas incluyen desde fallas en el acceso al Sistema Nacional de Pagos Electrónicos (SINPE), hasta supuestos rebajos duplicados y otros errores en las aplicaciones móviles y sitios web bancarios.
La Defensoría considera crucial obtener claridad sobre el nivel de gestión tecnológica en estas entidades, en el marco del Reglamento General de Gestión de la Tecnología de la Información aprobado por el Consejo Nacional de Supervisión del Sistema Financiero.
Este reglamento establece los lineamientos que los bancos deben seguir para garantizar la seguridad de sus plataformas digitales y proteger los datos de los usuarios.
Principales puntos solicitados
Entre los aspectos que la Defensoría ha solicitado conocer en el reporte de la Sugef, se encuentran:
- Indicadores de eficacia y eficiencia de las medidas de seguridad cibernética (art. 32).
- Programas de análisis de vulnerabilidades y pruebas de seguridad (art. 33).
- Información sobre si los bancos cuentan con unidades especializadas en gestión de riesgos y centros de operaciones dedicados a la seguridad cibernética (art. 34).
- Planes anuales para promover una cultura de seguridad de la información (art. 35).
- Evaluación de los perfiles tecnológicos actualizados de las entidades, y los resultados de las auditorías externas de TI solicitadas (arts. 42-46).
El reglamento establece que las entidades financieras deben comunicar cualquier incidente de seguridad cibernética clasificado como «moderado» o «alto» a las Superintendencias.
La Defensoría ha solicitado específicamente la valoración de la gestión de riesgos en los Banco Nacional de Costa Rica, Banco de Costa Rica y Banco Popular y de Desarrollo Comunal.
Este esfuerzo busca garantizar que los usuarios no sean víctimas de fallas tecnológicas o ciberataques y que las instituciones financieras tomen las medidas necesarias para proteger tanto a sus clientes como a sus sistemas de información.
