Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Internet Security Center
Total de pruebas:
Esta semana:
Hoy:
ImmuniWebCumplimientoCumplimiento de la Circular 2023/1 de FINMA

Cumplimiento de la Circular 2023/1 de FINMA

Tiempo de lectura:10 min. Actualizado:8 de julio de 2025

La Circular 2023/1 de la FINMA suiza establece requisitos reglamentarios mejorados para que las instituciones financieras combatan el blanqueo de capitales y la financiación del terrorismo, centrándose en la diligencia debida basada en el riesgo, la transparencia y las obligaciones de informe.

Cumplimiento de la Circular 2023/1 de FINMA
Descargo de responsabilidad: No constituye asesoramiento legal. Esta página se presenta únicamente con fines informativos y educativos; nada en ella debe interpretarse como asesoramiento jurídico. Para obtener asesoramiento sobre cuestiones legales específicas, debe contactarse con un bufete de abogados o un abogado.

El sector financiero suizo, conocido por su estabilidad y discreción, opera bajo un sólido marco regulatorio diseñado para salvaguardar su integridad. Una piedra angular de este marco es la Autoridad Supervisora del Mercado Financiero Suizo (FINMA). En diciembre de 2022, FINMA publicó una importante actualización de sus directrices reguladoras: Circular FINMA 2023/1 «Riesgos operativos y resiliencia - Bancos», que entró en vigor el 1 de enero de 2024, con un periodo de transición de dos años para el pleno cumplimiento de la resiliencia operativa hasta enero de 2026.

Este circular representa una reforma integral de su predecesor, el Circular 2008/21, e introduce requisitos más exigentes para la gestión de riesgos operativos, especialmente aquellos relacionados con tecnología de información y comunicaciones (TIC), datos críticos y riesgos cibernéticos, al tiempo que subraya la resiliencia operativa.

Obtenga su evaluación gratuita de exposición al riesgo cibernético.

Resumen de la Circular 2023/1 de la FINMA suiza

La Circular 2023/1 de la FINMA tiene por objeto adaptar la práctica de supervisión a los avances tecnológicos y a los desarrollos regulatorios globales, incluidos los principios del Basel Committee on Banking Supervision. Está diseñada para basarse en principios y ser tecnológicamente neutra, permitiendo la proporcionalidad en función del tamaño, la complejidad, la estructura y el perfil de riesgo de la institución.

La circular se centra en varias áreas clave:

  • Gestión del riesgo operativo: Mejorar la identificación, evaluación, mitigación y supervisión de los riesgos operativos en todas las actividades empresariales.
  • Gobernanza de las TIC: Establecimiento de responsabilidades claras y marcos de gobernanza robustos para las tecnologías de la información y la comunicación.
  • Riesgos cibernéticos: Fortalecimiento de las medidas para identificar, proteger contra, detectar, responder y recuperarse de las amenazas cibernéticas.
  • Gestión de datos críticos: ampliar la definición y los requisitos de protección de los datos críticos, abarcando confidencialidad, integridad y disponibilidad.
  • Resiliencia operativa: Introducción del concepto de «resiliencia operativa», que exige a las instituciones identificar funciones críticas, definir tolerancias a interrupciones y garantizar la capacidad de ofrecer servicios mínimos de negocio incluso en escenarios graves pero plausibles.
  • Externalización: reforzar los requisitos para gestionar los riesgos asociados a la externalización de funciones significativas a proveedores de servicios externos.

Cumplimiento de la Circular 2023/1 de FINMA

Aspectos clave del cumplimiento de la Circular 2023/1 de la FINMA suiza

El cumplimiento de la Circular FINMA 2023/1 exige un enfoque multifacético que aborde varios aspectos técnicos y organizativos:

  • Identificación y clasificación de funciones y datos críticos: Las instituciones deben identificar minuciosamente sus funciones empresariales críticas y los activos y datos de TIC subyacentes que las respaldan. Esto incluye clasificar los datos según su criticidad (confidencialidad, integridad, disponibilidad) y mantener un inventario completo y actualizado.
  • Definición de tolerancias a las interrupciones: Para cada función crítica, las instituciones deben definir «tolerancias a las interrupciones», especificando la duración máxima aceptable de la interrupción y la pérdida de datos. Estas tolerancias deben ser aprobadas por el consejo de administración y revisadas periódicamente.
  • Gobernanza sólida de las TIC: Esto incluye establecer roles y responsabilidades claras para las TIC, implementar procesos adecuados de gestión del cambio, mantener inventarios de activos de TIC y desarrollar planes integrales de continuidad del negocio y recuperación ante desastres.
  • Gestión mejorada de los riesgos cibernéticos: Implementación de una sólida estrategia de defensa cibernética que abarca la identificación de amenazas, las medidas de protección (por ejemplo, autenticación fuerte, DLP, cifrado), la detección en tiempo real (por ejemplo, integración SIEM), la respuesta a incidentes y la supervisión continua.
  • Manejo seguro de datos a lo largo del ciclo de vida: garantizar la seguridad de los datos críticos a lo largo de todo su ciclo de vida, desde su creación y adquisición hasta su procesamiento, almacenamiento, intercambio, retención y purga. Esto incluye controles de acceso estrictos, supervisión continua y gestión segura de los datos críticos en entornos de prueba.
  • Gestión de riesgos de terceros: ejercer mayor diligencia debida, seguimiento continuo y controles contractuales sobre las funciones externalizadas y proveedores externos, especialmente en cuanto a la protección de datos y operaciones transfronterizas.
  • Gestión y notificación de incidentes: Establecer procedimientos claros para detectar, evaluar y notificar a FINMA los incidentes de seguridad, especialmente los ciberataques y las violaciones de datos, en los plazos especificados (por ejemplo, 24 horas para incidentes cibernéticos importantes, 72 horas para informes detallados).
  • Evaluaciones y pruebas regulares: Realizar evaluaciones regulares de riesgos y controles, incluidos análisis de escenarios y pruebas de estrés, para evaluar la eficacia de las medidas implementadas y la resiliencia operativa de la institución.
  • Supervisión del consejo de administración: El consejo de administración tiene un papel mucho más amplio, ya que debe aprobar las funciones críticas, las tolerancias a las interrupciones y el enfoque general de la resiliencia operativa, además de supervisar periódicamente el cumplimiento.
Obtenga su evaluación gratuita de exposición al riesgo cibernético.

¿Por qué es importante cumplir con la Circular 2023/1 de FINMA?

El cumplimiento de la Circular FINMA 2023/1 es fundamental para las instituciones financieras suizas por varias razones críticas:

  • Mantener la estabilidad financiera: La circular aborda directamente los riesgos operativos que podrían perturbar la estabilidad de una institución y extenderse potencialmente al sistema financiero en general. Al mejorar la resiliencia, contribuye a la estabilidad financiera general.
  • Protección de los datos de los clientes: con un mayor enfoque en la gestión de datos críticos, la circular busca salvaguardar la información sensible de los clientes frente a filtraciones, pérdidas y accesos no autorizados, manteniendo así la confianza y la reputación.
  • Mitigación de los riesgos reputacionales y financieros: el incumplimiento puede provocar graves daños reputacionales, importantes multas económicas e incluso la pérdida de licencias de operación.
  • Adaptación a las amenazas en constante evolución: El panorama financiero está constantemente expuesto a nuevas y sofisticadas amenazas cibernéticas. La circular garantiza que las instituciones cuenten con defensas y capacidades de respuesta actualizadas.
  • Cumplimiento de estándares internacionales: Al alinearse con los principios internacionales sobre resiliencia operativa, la Circular FINMA 2023/1 garantiza que las instituciones financieras suizas sigan siendo competitivas y cumplan con las mejores prácticas globales.
  • Asegurando la continuidad del negocio: El enfoque en la resiliencia operativa garantiza que las instituciones puedan seguir brindando servicios esenciales incluso ante interrupciones importantes, minimizando el impacto en los clientes y en el mercado.

Cumplimiento de la Circular 2023/1 de FINMA

¿Quién debe cumplir con el Circular 2023/1 de FINMA de Suiza?

La Circular FINMA 2023/1 se aplica principalmente a bancos, corredores de valores, grupos financieros y conglomerados supervisados por la FINMA. Si bien los requisitos básicos se aplican a todos, la circular incorpora explícitamente el principio de proporcionalidad, lo que significa que las instituciones más pequeñas o menos complejas pueden beneficiarse de ciertas exenciones, mientras que las instituciones más grandes y de importancia sistémica enfrentan requisitos más estrictos.

El consejo de administración y la dirección ejecutiva tienen una responsabilidad significativa para garantizar el cumplimiento y establecer marcos de gobernanza robustos.

Obtenga su evaluación gratuita de exposición al riesgo cibernético.

Comparación entre la Circular 2023/1 de la FINMA suiza y el RGPD

Si bien tanto la Circular 2023/1 de la FINMA como el Reglamento General de Protección de Datos (RGPD) buscan proteger los datos, operan con ámbitos y enfoques distintos:

Característica Swiss FINMA Circular 2023/1 GDPR (Reglamento General de Protección de Datos)
Alcance Riesgos operativos, resiliencia y gestión de datos para las instituciones financieras supervisadas por la FINMA. Enfoque en datos críticos (confidencialidad, integridad, disponibilidad). Protección de datos personales de individuos en la UE/EEE. Enfoque en los datos personales y los derechos individuales.
Objetivo principal Garantizar la estabilidad operativa y la resiliencia de las instituciones financieras, incluida la seguridad y la disponibilidad de los datos críticos. Salvaguardar la privacidad y los derechos fundamentales de las personas respecto a sus datos personales.
Definición de datos El concepto más amplio de "datos críticos" incluye datos esenciales para las operaciones empresariales, la presentación de informes regulatorios y la toma de decisiones, además de datos confidenciales. Define estrictamente los «datos personales» como cualquier información relacionada con una persona física identificada o identificable.
Énfasis Continuidad operativa, resiliencia cibernética y solidez de los sistemas y procesos de TI. Principios de protección de datos (por ejemplo, tratamiento lícito, minimización de datos, exactitud), derechos del interesado (por ejemplo, derecho de acceso, supresión) y responsabilidad.
Aplicación FINMA, mediante acciones de supervisión, multas y la posible retirada de la licencia. Autoridades de protección de datos (DPAs) en los Estados miembros de la UE, con multas administrativas significativas (hasta el 4 % de los ingresos anuales globales o 20 millones de euros).
Transfronterizo Requisitos específicos para operaciones transfronterizas y transferencias de datos, con énfasis en la evaluación de riesgos y el cumplimiento de la confidencialidad suiza. Normas estrictas para los traslados internacionales de datos, que exigen decisiones de adecuación, Cláusulas Contractuales Estándar (SCCs) o Reglas Corporativas Obligatorias (BCRs).
Superposición Aunque la Circular 2023/1 de la FINMA es más amplia, cualquier dato crítico que también constituya datos personales entrará naturalmente en el ámbito de aplicación de la Ley federal suiza revisada sobre protección de datos (FADP), que se ajusta más al RGPD. Las instituciones deben garantizar el cumplimiento de ambas. Las instituciones financieras que procesan datos personales de residentes de la UE/EEE deben cumplir con el RGPD, además de la Circular 2023/1 de la FINMA y la FADP.

¿Cómo garantizar el cumplimiento de la Circular 2023/1 de la FINMA suiza?

Garantizar el cumplimiento de la Circular 2023/1 de FINMA requiere un esfuerzo estructurado y continuo:

  1. Realizar un análisis exhaustivo de brechas: Evaluar las prácticas actuales de gestión de riesgos operativos, gobernanza de las TIC, ciberseguridad y gestión de datos frente a los requisitos de la circular.
  2. Definir funciones y datos críticos: Identificar meticulosamente todas las funciones empresariales críticas y los elementos de datos esenciales para su funcionamiento. Clasificar los datos según su criticidad (confidencialidad, integridad, disponibilidad).
  3. Establezca tolerancias a las interrupciones: para cada función crítica, defina tolerancias a las interrupciones claras y medibles, aprobadas por el consejo de administración.
  4. Implementar controles robustos de TIC: Fortalecer la gobernanza de TI, los controles de acceso, la gestión de cambios, los planes de respuesta a incidentes y las medidas de continuidad empresarial.
  5. Mejore su postura de ciberseguridad: implemente una estrategia de ciberdefensa multicapa, que incluya inteligencia de amenazas, gestión de vulnerabilidades, supervisión de la seguridad y pruebas de penetración periódicas.
  6. Reforzar las medidas de protección de datos: Implementar medidas para proteger los datos críticos a lo largo de su ciclo de vida, incluyendo cifrado, prevención de pérdida de datos (DLP) y una gestión de acceso robusta.
  7. Revisar y mejorar los marcos de externalización: Asegurarse de que los proveedores externos cumplan los requisitos de la FINMA, incluyendo una robusta diligencia debida, acuerdos contractuales y una monitorización continua.
  8. Desarrollar y probar planes de resiliencia: Crear y probar periódicamente planes integrales de resiliencia operativa, incluyendo escenarios que impliquen interrupciones graves pero plausibles.
  9. Formación y sensibilización: Educar a los empleados sobre sus funciones y responsabilidades en materia de riesgos operativos, protección de datos y ciberseguridad.
  10. Establecer mecanismos de notificación: Implemente canales de notificación claros y oportunas para los riesgos operativos, incidentes y estado de cumplimiento a la alta dirección y al consejo de administración.
  11. Aplicación de la proporcionalidad: Adapte la implementación en función del tamaño, la complejidad y el perfil de riesgo de la institución.
Obtenga su evaluación gratuita de exposición al riesgo cibernético.

Consecuencias del incumplimiento de la Circular 2023/1 de la FINMA suiza

El no cumplimiento con la Circular FINMA 2023/1 puede tener consecuencias graves para las instituciones supervisadas:

  • Medidas sancionadoras: La FINMA puede imponer una serie de medidas administrativas, entre las que se incluyen advertencias, amonestaciones, restricciones de actividad y, en última instancia, la retirada de la licencia de operación.
  • Sanciones financieras: Aunque el circular en sí no especifica multas directas como el GDPR, las infracciones pueden conllevar sanciones financieras, especialmente si están vinculadas a violaciones de otras leyes (por ejemplo, leyes de protección de datos, secreto bancario).
  • Daño a la reputación: las brechas de seguridad o los fallos operativos debidos al incumplimiento pueden dañar gravemente la reputación de una institución y la confianza de sus clientes.
  • Responsabilidad civil: Las instituciones pueden enfrentarse a reclamaciones civiles por parte de clientes afectados u otras partes debido a la pérdida de datos, interrupciones del servicio u otros daños causados por fallos operativos.
  • Responsabilidad penal: en determinados casos, especialmente aquellos que implican violaciones del secreto bancario o la divulgación no autorizada de datos sensibles (por ejemplo, conforme a los artículos 271 o 273 del Código Penal suizo), las personas dentro de la institución podrían enfrentar cargos penales.
  • Mayor escrutinio: las instituciones que no cumplan con la normativa pueden enfrentarse a un mayor escrutinio por parte de la FINMA, lo que conlleva auditorías e intervenciones de supervisión más frecuentes.

Cómo ayuda ImmuniWeb a cumplir con la Circular 2023/1 de FINMA Suiza

ImmuniWeb, con su plataforma de seguridad de aplicaciones y gestión de superficie de ataque basada en inteligencia artificial, puede ayudar significativamente a las instituciones financieras suizas a alcanzar y mantener el cumplimiento de la Circular 2023/1 de la FINMA:

Pruebas de penetración de APIPruebas de penetración de API
ImmuniWeb lleva a cabo pruebas de penetración profunda en API, descubriendo vulnerabilidades como endpoints inseguros, autenticación rota y fugas de datos, asegurando el cumplimiento con OWASP API Security Top 10.
Escaneo de seguridad de APIEscaneo de seguridad de API
Los escaneos automatizados impulsados por IA detectan configuraciones incorrectas, permisos excesivos y cifrado débil en las APIs REST, SOAP y GraphQL, proporcionando información útil para la corrección.
Pruebas de penetración de aplicacionesPruebas de penetración de aplicaciones
ImmuniWeb ofrece servicios de pruebas de penetración de aplicaciones con nuestro galardonado producto ImmuniWeb® On-Demand.
gestión de la postura de seguridad de aplicacionesgestión de la postura de seguridad de aplicaciones
La premiada plataforma ImmuniWeb® AI para la gestión de la postura de seguridad de las aplicaciones (ASPM) ayuda a descubrir de manera agresiva y continua toda la huella digital de una organización, incluidas las aplicaciones web, APIs y aplicaciones móviles ocultas, desconocidas y olvidadas.
Attack Surface ManagementAttack Surface Management
ImmuniWeb detecta y supervisa continuamente los activos de TI expuestos (aplicaciones web, API, servicios en la nube), lo que reduce los puntos ciegos y previene brechas mediante una calificación de riesgo en tiempo real.
Pruebas de penetración automatizadasPruebas de penetración automatizadas
ImmuniWeb ofrece servicios de pruebas de penetración automatizadas con nuestro galardonado producto ImmuniWeb® Continuous.
Pruebas de penetración en la nubePruebas de penetración en la nube
Simula ataques avanzados en entornos AWS, Azure y GCP para identificar malas configuraciones, roles IAM inseguros y almacenamiento expuesto, alineado con los benchmarks del CIS.
Gestión de la postura de seguridad en la nube (CSPM)Gestión de la postura de seguridad en la nube (CSPM)
Automatiza la detección de malas configuraciones en la nube, brechas de cumplimiento (por ejemplo, PCI DSS, HIPAA) y TI en la sombra, y ofrece orientación para la corrección de una infraestructura en la nube resiliente.
Continuous Automated Red TeamingContinuous Automated Red Teaming
Combina simulaciones de ataques impulsadas por inteligencia artificial con la experiencia humana para poner a prueba las defensas 24/7, imitando a adversarios del mundo real sin interrumpir las operaciones.
Simulación continua de brechas y ataques (BAS)Simulación continua de brechas y ataques (BAS)
Ejecuta escenarios de ataque automatizados para validar los controles de seguridad, exponiendo las debilidades de las redes, las aplicaciones y los puntos finales antes de que los atacantes las exploiten.
Pruebas de penetración continuasPruebas de penetración continuas
Proporciona pentesting continuo y mejorado con IA para identificar nuevas vulnerabilidades tras la implementación, garantizando una mitigación proactiva de riesgos más allá de auditorías puntuales.
Continuous Threat Exposure Management (CTEM)Continuous Threat Exposure Management (CTEM)
Prioritiza y remedia los riesgos en tiempo real correlacionando inteligencia de amenazas con vulnerabilidades en los activos, minimizando las ventanas de explotación.
Inteligencia de amenazas cibernéticasInteligencia de amenazas cibernéticas
Supervisa la Dark Web, los paste sites y los foros de hackers en busca de credenciales robadas, datos filtrados y amenazas dirigidas, lo que permite tomar acción preventiva.
Data Security Posture ManagementData Security Posture Management
La premiada plataforma ImmuniWeb® AI para la gestión del estado de seguridad de los datos ayuda a descubrir y supervisar continuamente los activos digitales de una organización expuestos a Internet, incluidas las aplicaciones web, las API, el almacenamiento en la nube y los servicios de red.
Monitorización de la Dark WebMonitorización de la Dark Web
Analiza el Darknet en busca de datos comprometidos de empleados/clientes, propiedad intelectual y esquemas de fraude, alertando a las organizaciones sobre brechas.
Pruebas de penetración móvilPruebas de penetración móvil
Prueba aplicaciones iOS/Android en busca de almacenamiento de datos inseguro, riesgos de ingeniería inversa y fallos en las API, siguiendo las directrices OWASP Mobile Top 10.
Escaneo de seguridad móvilEscaneo de seguridad móvil
Automatiza el análisis estático (SAST) y dinámico (DAST) de aplicaciones móviles para detectar vulnerabilidades como secretos codificados o configuraciones TLS débiles.
Evaluación de la seguridad de la redEvaluación de la seguridad de la red
Identifica firewalls mal configurados, puertos abiertos y protocolos débiles en redes locales e híbridas, reforzando las defensas.
Pruebas de penetración como servicio (PTaaS)Pruebas de penetración como servicio (PTaaS)
Ofrece pentesting escalable y basado en suscripción con informes detallados y seguimiento de la remediación para flujos de trabajo de seguridad ágiles.
Eliminación de sitios web de phishingEliminación de sitios web de phishing
Detecta y agiliza la eliminación de sitios de phishing que suplantan su marca, minimizando el daño reputacional y las pérdidas por fraude.
Gestión de riesgos de tercerosGestión de riesgos de tercerosEvaluación de la postura de seguridad de los proveedores (por ejemplo, APIs expuestas, software obsoleto) para prevenir ataques en la cadena de suministro y garantizar el cumplimiento.
Pruebas de penetración basadas en amenazas (TLPT)Pruebas de penetración basadas en amenazas (TLPT)
Simula amenazas persistentes avanzadas (APT) adaptadas a su sector, probando las capacidades de detección/respuesta frente a cadenas de ataque realistas.
Pruebas de penetración webPruebas de penetración web
Las pruebas manuales y automatizadas detectan fallos de SQLi, XSS y lógica empresarial en aplicaciones web, alineadas con el Top 10 de OWASP y las normas regulatorias.
Análisis de seguridad webAnálisis de seguridad webRealiza análisis DAST continuos para detectar vulnerabilidades en tiempo real, integrándose con CI/CD para la eficiencia de DevSecOps.

Al aprovechar las soluciones integrales de ImmuniWeb, las instituciones financieras suizas pueden fortalecer su resiliencia operativa, mejorar su postura de ciberseguridad y demostrar un cumplimiento robusto con los requisitos técnicos y organizativos de la Circular FINMA 2023/1, protegiendo así sus operaciones y a sus clientes.

Obtenga su evaluación gratuita de exposición al riesgo cibernético.

Lista de recursos autoritativos

Cumpla los requisitos normativos con la plataforma de IA ImmuniWeb®.

Cumplimiento de ciberseguridad

ImmuniWeb también puede ayudar a cumplir con otras leyes y normativas de protección de datos:

Obtenga una demostración
Obtenga su evaluación gratuita de riesgo cibernético.

Este sitio web utiliza cookies para ofrecerle una mejor experiencia de navegación. Para obtener más información, visite nuestra Política de privacidad. Al continuar utilizando este sitio web, usted acepta el uso de cookies.

Hable con un experto