Ciberseguridad en el Sector Financiero | Anguita Osorio Abogados
Impacto de la Ley 21.663, concurrencia regulatoria CMF y ANCI, y cumplimiento con normativas como RAN 20-10
Ciberseguridad en el Sector Financiero: Gestión ante la Concurrencia CMF-ANCI
La Ley 21.663 crea un nuevo escenario de doble supervisión. El desafío para Directorios y gerencias es alinear los programas de cumplimiento exigidos por la CMF (RAN 20-10, NCG 454) con las nuevas obligaciones de la ANCI, para gestionar el riesgo de forma coherente y eficiente.
Explorar el Marco Legal GeneralEl Desafío de la Doble Supervisión: CMF y ANCI
Las entidades financieras operan ahora bajo un modelo de doble supervisión en ciberseguridad. A la fiscalización de la Comisión para el Mercado Financiero (CMF), se suma la Agencia Nacional de Ciberseguridad (ANCI). Esta concurrencia de competencias obliga a gestionar un doble frente de cumplimiento.
Un mismo incidente puede y debe ser reportado a ambas entidades, bajo plazos y formatos distintos, y puede potencialmente generar investigaciones y sanciones por vías paralelas. La gestión de esta dualidad requiere un marco de cumplimiento integrado.
Para más información sobre el marco general de la Ley 21.663, consulte nuestra guía completa de ciberseguridad.
El Principio de Equivalencia Normativa
El Artículo 37 de la Ley 21.663 condiciona la potestad sancionatoria preferente de la CMF a que esta, junto a la ANCI, dicte una norma que declare su regulación como "equivalente" a los estándares nacionales. Sin esta declaración formal, las entidades están sujetas a la plena competencia de la ANCI.
Estado actual: La regulación de equivalencia permanece pendiente mientras la implementación de la Ley 21.663 avanza según los decretos supremos y resoluciones ANCI vigentes.
Desafíos Operativos y de Gobernanza
El Deber de Reporte Dual
La coexistencia de regímenes impone desafíos en la gestión de incidentes:
- Plazos y umbrales distintos: Un "incidente operacional significativo" para la CMF no es idéntico a un "incidente de ciberseguridad" para la ANCI.
- Reportes paralelos: La obligación de notificar a la CMF no exime del deber de reportar al CSIRT Nacional en menos de 3 horas.
- Coordinación interna: Equipos legales, de compliance, riesgo y TI deben actuar coordinadamente para emitir comunicaciones consistentes.
Adaptación del Gobierno Corporativo
El Directorio debe expandir su supervisión para incluir el cumplimiento de la Ley 21.663. Las entidades calificadas como Operadores de Importancia Vital (OIV) deberán, además, definir la estructura y responsabilidades del nuevo rol de "Delegado de Ciberseguridad".
Armonización con las Normativas Clave de la CMF
La nueva ley no reemplaza, sino que complementa las regulaciones de la CMF. Un programa de cumplimiento exitoso debe integrar los requisitos de la ANCI con:
| Normativa CMF | Objeto Principal | Punto de Integración con Ley 21.663 |
|---|---|---|
| RAN 20-10 (Bancos) | Sistema de Gestión de Seguridad (SGSI). | El SGSI es la base para cumplir los deberes de OIV. |
| NCG 454 (Seguros) | Modelo de Tres Líneas de Defensa. | El modelo de riesgo se alinea con la gestión exigida por la ANCI. |
| NCG 538 (Autenticación) | Autenticación Fuerte de Cliente (SCA). | El SCA es una medida técnica clave para la prevención de ciberataques. |
| Otras (NCG 502, etc.) | Gestión de riesgos en Fintech e Intermediarios. | Estos actores también son Servicios Esenciales bajo la nueva ley. |
Líneas de Acción Estratégica para el Sector Financiero
Para gestionar este escenario, las entidades financieras deben centrarse en las siguientes áreas de análisis:
Armonización del Cumplimiento Normativo
El desarrollo de un marco de control interno unificado que responda a las exigencias de la CMF y la ANCI, mapeando los controles existentes contra las nuevas obligaciones para identificar brechas y sinergias.
Adaptación de la Estructura de Gobernanza
La revisión de las responsabilidades del Directorio y la alta gerencia para reflejar la supervisión del nuevo marco legal, incluyendo la definición formal del rol del Delegado de Ciberseguridad.
Diseño de Protocolos de Notificación Dual
La elaboración de un manual de respuesta a incidentes que contemple un árbol de decisiones claro sobre qué, cómo y cuándo reportar a cada autoridad, asegurando consistencia en las comunicaciones.
¿Necesita asesoría en cumplimiento regulatorio? Conozca nuestros servicios legales especializados.
Descargue el Informe de Ciberseguridad en Sector Financiero
Complete el formulario y suscríbase a nuestro newsletter para acceder al informe detallado.
Preguntas frecuentes
¿Qué regulación de ciberseguridad aplica al sector financiero chileno?
Conviven la Ley 21.663 (marco general de ciberseguridad y rol de ANCI) y la regulación específica de la CMF: RAN 20-10 para bancos, NCG 454/461/502/524 para mercados de valores, y normativa fintech bajo Ley 21.521. Los bancos y corredores son típicamente calificados como Servicios Esenciales u OIV por la ANCI.
¿Qué significa el régimen de doble reporte CMF-ANCI?
Un mismo ciberincidente puede gatillar reportes paralelos: a la CMF según la normativa sectorial (RAN 20-10 para bancos, NCG 461 para mercados) y a la ANCI bajo Ley 21.663. Los plazos y formatos no coinciden necesariamente. La gestión coordinada del incidente con asesoría legal es crítica para evitar incumplimientos formales.
¿Cómo se integra RAN 20-10 con la Ley 21.663?
La RAN 20-10 mantiene su vigencia como norma técnica de gestión de riesgo operacional bancario y ciberseguridad. La Ley 21.663 superpone obligaciones transversales (sistema de gestión, reporte ANCI, Delegado). El banco debe cumplir simultáneamente ambos marcos, con criterios coherentes pero no idénticos en alcance.
¿Qué pasa con fintech y proveedores tecnológicos del sistema financiero?
Las empresas inscritas bajo Ley 21.521 deben cumplir estándares mínimos de ciberseguridad fijados por la CMF (vía NCG 502 y siguientes) más las obligaciones generales de Ley 21.663 si son calificadas como Servicios Esenciales. Los proveedores tecnológicos de entidades financieras quedan sujetos a la normativa de externalización (RAN 20-7 y sucesoras).
¿Qué sanciones aplican por incumplimiento?
La CMF aplica el régimen sancionatorio del DL 3.538 con multas que pueden superar las 15.000 UF en infracciones gravísimas. La ANCI aplica el régimen propio de Ley 21.663, también con sanciones económicas relevantes. Las multas pueden acumularse cuando el incumplimiento afecta normas de ambos reguladores.
Conversemos sobre los desafíos legales de su empresa
Agende una conversación inicial con nuestro equipo.
