Normativa CMF: Ciberseguridad y Servicios Fintech
Comparativo del marco regulatorio de la Comisión para el Mercado Financiero aplicable a la gestión de riesgos cibernéticos y a la prestación de servicios financieros tecnológicos en Chile.
El cuerpo normativo de la CMF en ciberseguridad y fintech se ha consolidado en los últimos años a través de distintas instrucciones para bancos, entidades supervisadas y prestadores de servicios financieros bajo la Ley 21.521. Esta tabla resume el alcance, los destinatarios y las obligaciones clave de cada norma, con enlaces al análisis específico.
| Normativa | Ámbito de aplicación | Obligaciones clave | Detalle |
|---|---|---|---|
| RAN 20-10 CMF, 2018 | Bancos y entidades bancarias supervisadas por la CMF. | Gestión de seguridad de la información, gobierno corporativo de TI, gestión de incidentes y continuidad operacional. | Ver análisis → |
| NCG 454 CMF, 2021 | Entidades supervisadas por la CMF más allá de bancos: aseguradoras, intermediarios de valores y otros operadores del mercado. | Gestión integral de riesgos cibernéticos, reporte de incidentes, autoevaluación periódica y obligaciones de gobierno corporativo en TI. | Ver análisis → |
| NCG 502 CMF, 2023 | Prestadores de servicios financieros tecnológicos inscritos bajo la Ley 21.521 (Ley Fintech). | Inscripción en el registro CMF, requisitos de capital y solvencia, gobierno corporativo, gestión de riesgos y obligaciones de información. | Ver análisis → |
| NCG 524 CMF, 2024 | Modificación a la NCG 502 publicada por la CMF en 2024. | Ajustes a los requisitos de inscripción, plazos y obligaciones operativas de los prestadores fintech regulados. | Ver análisis → |
El análisis individual de cada norma se complementa con la lectura conjunta del marco general de la Ley 21.663 de Ciberseguridad, particularmente para servicios bajo doble supervisión CMF-ANCI.
Marco general relacionado
Preguntas frecuentes
¿Qué cubre la normativa CMF en ciberseguridad y riesgo tecnológico?
Cubre cuatro instrumentos vigentes: el RAN 20-10 (sector bancario, 2018), la NCG 454 (marco transversal de riesgo operacional y tecnológico, 2021), la NCG 502 (prestadores Fintec bajo la Ley 21.521, 2023) y la NCG 524 (modificaciones a la NCG 502, 2024). En conjunto definen el régimen de seguridad de la información, ciberseguridad y resiliencia operacional aplicable a las entidades fiscalizadas por la CMF.
¿En qué se diferencia el RAN 20-10 de la NCG 454?
El RAN 20-10 es específico de la banca y establece exigencias detalladas para los bancos. La NCG 454 es transversal a todo el universo CMF (bancos, cooperativas, intermediarios de valores, administradoras de fondos, compañías de seguros, prestadores Fintec) y opera bajo un enfoque basado en principios con aplicación proporcional. Los bancos cumplen ambos: la NCG 454 como marco general y el RAN 20-10 como capa sectorial detallada.
¿Cómo se inscriben los prestadores Fintec ante la CMF?
La inscripción y autorización se rigen por la NCG 502 (2023), modificada por la NCG 524 (2024). La NCG 502 detalla los requisitos por giro (financiamiento colectivo, sistemas alternativos de transacción, asesoría crediticia, asesoría de inversión, custodia, enrutamiento de órdenes y finanzas abiertas). La NCG 524 introduce ajustes —entre ellos, un eximente de autorización para prestadores dirigidos exclusivamente a inversionistas calificados— que conviene revisar antes de presentar la solicitud.
¿Cómo se relaciona la normativa CMF con la Ley 21.663 de Ciberseguridad?
Las normas CMF (RAN 20-10, NCG 454, NCG 502, NCG 524) y la Ley 21.663 operan en paralelo. La CMF retiene su potestad supervisora sobre las entidades reguladas; la ANCI suma un régimen transversal con su propia notificación de incidentes (plazos breves) y exigencias de seguridad de la información. Las entidades calificadas como Operadores de Importancia Vital (OIV) deben coordinar reportes ante ambos reguladores y consolidar las exigencias en un programa integrado.
¿Qué cambios introduce la NCG 524 (2024)?
La NCG 524, dictada en diciembre de 2024, modifica la NCG 502 sección por sección: precisa el concepto de "ánimo previo" de intermediación, reescribe las excepciones de giro exclusivo y de domicilio, crea un eximente de autorización para prestadores que sirven exclusivamente a inversionistas calificados y ajusta la solicitud de inscripción. Aplica con efecto inmediato y los prestadores deben revisar su situación a la luz del texto modificado.
