HSBC Bank Argentina S.A. y otros s/ Sumario Financiero Nº 1426

¿Qué se resolvió en el fallo?

Sumariados:
- HSBC Bank Argentina S.A. (entidad)
- Antonio Miguel Losada (DNI 11.293.921 – Presidente y Director Titular)
- Gabriel Diego Martino (DNI 17.490.930 – Director Titular y Presidente)
- Miguel Ángel Estévez (DNI 8.489.924 – Director Titular)
- Marcelo Luis Degrossi (DNI 12.728.675 – Vicepresidente)
- David Clive Kenney (DNI 94.140.223 – Director Titular)
- Juan Andrés Marotta (DNI 23.371.834 – Gerente General)
- Kevin James Ball (DNI 94.477.344 – Responsable de Tecnología y Sistemas) Conducta imputada: Inobservancia de la normativa que regula la descentralización en el exterior de actividades relacionadas con tecnología informática y sistemas de información, e incumplimiento de los requisitos mínimos de gestión, implementación y control de riesgos de los mismos, en transgresión a las Comunicaciones "A" 3149 (14.08.2000) y 4609 (27.12.2006) del BCRA y sus modificatorias. La infracción se sostuvo en que HSBC Bank Argentina S.A. mantuvo operativos, sin autorización previa del BCRA, los siguientes sistemas descentralizados en el exterior:
- Sistema GMG (Group Messaging Gateway – Sistema concentrador de transferencias de fondos): instalado en Reino Unido, Hong Kong y Estados Unidos
- Sistema CAMP (Monitoreo de prevención de lavado de activos)
- Sistema P2G/GSP (Operatoria de internet banking)
- Sistema HSBCNet (Sistema de comunicaciones y transacciones) Los sistemas se encontraban en instancias locales en reinos no permitidos por la normativa, careciendo la entidad de administración integral de la seguridad informática desde Argentina. Norma infringida:
- Ley de Entidades Financieras Nº 21.526 (artículo 41)
- Comunicación "A" BCRA 3149 (punto 6.1.2.1) sobre descentralización de actividades administrativas
- Comunicación "A" BCRA 4609 (Secciones 3, 5, 7) sobre requisitos mínimos de gestión, implementación y control de riesgos relativos a tecnología informática y sistemas de información Período infractor: Desde 13 de abril de 2012 (fecha de notificación de los apartamientos) hasta 30 de diciembre de 2014 (fecha del Informe Nº 343/0367/14 que da inicio a acciones presuntarias). Decisiones por sumariado: HSBC Bank Argentina S.A.:
- Sancionado
- Multa: $945.000 (pesos novecientos cuarenta y cinco mil)
- Fundamentación: Incumplimiento grave de normas sobre descentralización de sistemas informáticos en lugares no permitidos (Reino Unido, Hong Kong, Estados Unidos) sin posibilidad de administración integral desde Argentina. La entidad no contaba con administración integrada de seguridad informática del sistema GMG desde Argentina y existían 20 perfiles de usuarios definidos en el sistema asignados a 8 personas. Antonio Miguel Losada (Presidente y Director Titular):
- Sancionado
- Multa: $222.750 (pesos doscientos veintidós mil setecientos cincuenta)
- Fundamentación: Responsabilidad como presidente y director titular en la ejecución de políticas y decisiones relacionadas con la tecnología y sistemas, debiendo conocer y cumplir las resoluciones y disposiciones que regulan el desempeño de la entidad. Miguel Ángel Estévez (Director Titular):
- Sancionado
- Multa: $216.000 (pesos doscientos dieciséis mil)
- Fundamentación: Responsabilidad como director titular en la supervisión de cumplimiento normativo en materia tecnológica. Gabriel Diego Martino (Director Titular y Presidente):
- Sancionado
- Multa: $202.500 (pesos doscientos dos mil quinientos)
- Fundamentación: Responsabilidad directorial en la gestión y supervisión de tecnología y sistemas, períodos parciales de actuación. Juan Andrés Marotta (Gerente General):
- Sancionado
- Multa: $135.000 (pesos ciento treinta y cinco mil)
- Fundamentación: Responsable de la administración general del banco, funciones ejecutivas delegadas en la administración. Kevin James Ball (Responsable de Tecnología y Sistemas):
- Sancionado
- Multa: $135.000 (pesos ciento treinta y cinco mil)
- Fundamentación: Responsable directo del área de tecnología; la infracción revela deficiente ejercicio de funciones en asuntos críticos de seguridad informática; menor período de actuación. David Clive Kenney (Director Titular):
- Sancionado
- Multa: $31.500 (pesos treinta y un mil quinientos)
- Fundamentación: No integró el directorio durante la totalidad del período infractor; cesó su cargo el 01.12.2012. Período de actuación menor; no se detectó participación directa en ninguno de los hechos. Marcelo Luis Degrossi (Vicepresidente):
- Sancionado
- Multa: $27.000 (pesos veintisiete mil)
- Fundamentación: Menor período de actuación como vicepresidente (29.10.2010 al 21.08.2012). Fundamentos principales (Considerandos relevantes): > "De los hechos hasta aquí reseñados, cabe concluir que el HSBC Bank Argentina S.A. no había observado la normativa que regula la descentralización de los sistemas informáticos, incumpliendo además los requisitos mínimos de gestión, implementación y control de los riesgos de los mismos, conforme lo exige la normativa de aplicación en la materia. Dicha situación se habría mantenido por lo menos hasta la fecha de inicio de las actuaciones presuntarias, atento que hasta ese momento la fiscalizada no había regularizado dicha situación, no obstante los requerimientos que, sobre el particular, le efectuara este Banco Central." (Considerando I.1) > "De los hechos hasta aquí rescañados, cabe concluir que ha quedado demostrado que el HSBC Bank Argentina S.A. no había observado la normativa que regula la descentralización de los sistemas informáticos, dado que el sistema GMG continuaba íntegramente instalado en lugares no permitidos por este Ente Rector." (Considerando III.3.1) > "En definitiva, el HSBC Bank Argentina S.A. no había observado la normativa que regula la descentralización de los sistemas informáticos, incumpliendo además los requisitos mínimos de gestión, implementación y control de los riesgos de los mismos, conforme lo exige la normativa de aplicación en la materia. Dicha situación se había mantenido por lo menos hasta la fecha de inicio de las actuaciones presuntarias (fs. 204); razón por la cual los planteos referidos no resultan atendibles." (Considerando III.2) > "La infracción constata pone en evidencia el deficiente ejercicio de las funciones a cargo de las personas humanas imputadas, resultando esa conducta contraria al comportamiento diligente requerido en profesionales de una actividad en la que se encuentra comprometido el interés público y cuyo ejercicio supone una formación y conocimiento que obliga a exigir un mayor grado de prudencia, cuidado y previsión." (Considerando XI.10.1)