El Banco de México estableció obligaciones adicionales a las instituciones financieras del país participantes del Sistema de Pagos Electrónicos Interbancarios (SPEI), para reforzar las políticas y controles de seguridad en las transferencias de fondos, entre las que destaca la obligación de seguir los protocolos de respuesta ante posibles ciberataques por parte de hackers, a la infraestructura tecnológica relacionada con las transferencias de fondos, así como identificar las cuentas de clientes que ofrecen monedas virtuales.

Las medidas buscan una respuesta más rápida ante posibles riesgos; identificar si el cliente maneja activos virtuales y cerrar el paso a los ciberdelincuentes haciéndoles más difícil la compra de monedas virtuales.

Las cuentas que los participantes del SPEI lleven a empresas que manejen activos virtuales, por ejemplo, el bitcoin, deberán ser cuentas de depósito de dinero a la vista abiertas únicamente en aquellas instituciones financieras facultadas para ofrecerlas (instituciones de crédito, sociedades financieras populares, sociedades financieras comunitarias y sociedades cooperativas de ahorro y préstamo).

Por medio de dos nuevas circulares, la 10/2018 y 11/2018, el Banxico prohíbe a las instituciones con clientes que manejen monedas o activos virtuales, transferir los recursos el mismo día y deberán abonar el dinero al día hábil siguiente o hasta que el banco central lo autorice.

Exige a las instituciones protocolos para responder ante ciberataques.

Las nuevas reglas indican que las instituciones deberán implementar pruebas de confianza e integridad a su personal, así como al de terceros que provean servicios de tecnología de la información y comunicación, que tengan acceso a información y sistemas relevantes en su operación con el SPEI.

Deberán designar un oficial de seguridad de la información responsable del diseño, implementación y verificación de las políticas de prevención de riesgos de ciberseguridad.

Las instituciones deberán implementar pruebas de confianza e integridad a su personal, así como al de terceros que provean servicios de TI, que tengan acceso a información y sistemas relevantes en su operación con el SPEI.

Deberán designar un oficial de seguridad de la información responsable del diseño, implementación y verificación de las políticas de prevención.