BaaS Perú
Nuevo reglamento BaaS en Perú: riesgos, cumplimiento y oportunidades para bancos y fintechs
El modelo Banking as a Service (BaaS) viene ganando relevancia en el sistema financiero peruano, impulsando la colaboración entre entidades financieras y fintechs para ofrecer servicios digitales más ágiles, escalables e innovadores.
Gracias a este modelo, hoy es posible que fintechs, marketplaces, apps y plataformas tecnológicas integren productos financieros como cuentas, pagos, transferencias o créditos sin convertirse directamente en bancos.
Sin embargo, el nuevo proyecto de reglamento de la Superintendencia de Banca, Seguros y AFP (SBS) introduce un cambio fundamental para el ecosistema financiero peruano:
👉 La responsabilidad frente al regulador recae en la entidad financiera, incluso cuando los servicios se prestan a través de terceros.
Este enfoque redefine la gestión de riesgos y elevará los niveles de exigencia para bancos, fintechs e integradores tecnológicos.
¿Cómo funciona el modelo BaaS Perú?
En términos generales:
- Entidad financiera = proveedor BaaS (supervisado por la SBS)
- Fintech / tercero = receptor de servicios BaaS
- Cliente final = usuario del servicio financiero
👉 El banco mantiene la responsabilidad regulatoria.
👉 La fintech actúa como canal digital o facilitador tecnológico.
Esto significa que, aunque el usuario interactúe principalmente con una fintech, la entidad supervisada continúa siendo responsable ante la SBS por la operación, seguridad y cumplimiento normativo del servicio ofrecido.
Un cambio regulatorio con impacto directo
💥 El nuevo enfoque regulatorio establece que la entidad financiera supervisada es responsable por el servicio, incluso si intervienen terceros.
En la práctica esto implica que:
- Incidentes de seguridad en fintechs impactan directamente al banco
- Fallos de integradores o proveedores tecnológicos recaen sobre la entidad financiera
- Problemas operativos o brechas de datos pueden derivar en observaciones regulatorias o sanciones
- La supervisión de terceros será mucho más rigurosa
👉 En el contexto regulatorio peruano, el riesgo de terceros pasa a ser considerado riesgo propio de la entidad supervisada.
Esto obliga a las entidades financieras a fortalecer significativamente sus modelos de gobierno, monitoreo y gestión de proveedores tecnológicos.
Impacto en ciberseguridad y cumplimiento
El crecimiento del modelo BaaS también incrementa la superficie de exposición tecnológica y operativa:
- Integraciones vía APIs
- Intercambio de datos sensibles
- Procesamiento de pagos y transacciones
- Conexiones con terceros no supervisados
- Infraestructura cloud compartida
Insight clave: Los modelos BaaS pueden ampliar el alcance de cumplimiento regulatorio y de estándares como PCI DSS sin que muchas organizaciones lo hayan identificado completamente.
Por ello, aspectos como:
- Gestión de accesos
- Seguridad de APIs
- Segmentación de redes
- Pentesting
- Evaluaciones de vulnerabilidades
- Monitoreo continuo
- Gestión de incidentes
comenzarán a tener un rol mucho más crítico dentro de los procesos de integración financiera.
¿Qué cambiará en el mercado peruano con BaaS Perú?
Las entidades financieras en Perú comenzarán a:
- Fortalecer la gestión de riesgo de terceros
- Exigir mayores niveles de seguridad a fintechs
- Solicitar pentesting y evaluaciones periódicas
- Reforzar auditorías y monitoreo continuo
- Validar controles antes de integrar servicios BaaS
- Exigir evidencias de cumplimiento y madurez en seguridad
👉 Las fintechs deberán demostrar su nivel de seguridad y cumplimiento para poder integrarse al ecosistema financiero.
Esto podría convertirse en un factor diferenciador competitivo dentro del mercado.
Vigencia del reglamento BaaS en Perú
⚠️ Estado actual
👉 El reglamento se encuentra actualmente como proyecto en consulta pública.
La SBS habilitó un plazo de 20 días calendario para recibir comentarios y observaciones del mercado financiero y tecnológico.
⏳ Entrada en vigencia
👉 Una vez publicada la versión final:
El reglamento entrará en vigencia en 180 días (aproximadamente 6 meses).
¿Qué significa esto en la práctica?
Durante ese periodo de adecuación:
Las entidades financieras y fintechs en Perú deberán:
- Ajustar contratos con terceros
- Implementar nuevos controles de seguridad
- Revisar procesos de integración tecnológica
- Evaluar riesgos asociados al modelo BaaS
- Adecuarse a los nuevos lineamientos regulatorios de la SBS
- Fortalecer evidencias de cumplimiento y auditoría
Aunque aún no está vigente, muchas entidades ya vienen preparándose debido al alto impacto operativo y regulatorio que implicará su implementación.
Oportunidades para bancos y fintechs
🏦 Para entidades financieras
- Fortalecer la gestión de riesgo de terceros
- Reducir exposición regulatoria
- Mejorar el control sobre ecosistemas digitales
- Evaluar fintechs antes de integrarlas
- Asegurar cumplimiento frente a la SBS
🧪 Para fintechs
- Demostrar madurez en seguridad y cumplimiento
- Generar mayor confianza frente a bancos
- Facilitar su integración en modelos BaaS
- Diferenciarse frente a competidores
- Prepararse para futuras auditorías y exigencias regulatorias
🔍 ¿Está tu modelo BaaS preparado?
Será necesario demostrar:
- Seguridad en APIs
- Protección de datos sensibles
- Pentesting y evaluación de vulnerabilidades
- Gestión de riesgos de terceros
- Monitoreo continuo
- Trazabilidad de operaciones
- Cumplimiento de estándares como PCI DSS
Conclusión
El nuevo reglamento BaaS en Perú eleva el estándar de seguridad, supervisión y cumplimiento dentro del ecosistema financiero digital.
👉 El crecimiento sostenible del modelo dependerá de la confianza.
👉 Y la confianza dependerá de la capacidad de gestionar adecuadamente los riesgos, terceros y controles de seguridad.
Las organizaciones que se preparen desde ahora tendrán una ventaja competitiva importante en el nuevo entorno regulatorio peruano.
¿Cómo podemos apoyar?
Te ayudamos a:
- Evaluar la seguridad de tu ecosistema BaaS
- Validar el cumplimiento de fintechs e integradores
- Identificar riesgos en APIs y terceros
- Prepararte para auditorías y PCI DSS
- Fortalecer controles de ciberseguridad y cumplimiento