Fuente:www.tomenota.pe

I. Introducción

En el Perú el phishing o suplantación de identidad se ha consolidado en los últimos años como la modalidad preferida por los cibercriminales; estos delincuentes aprovechan la creciente necesidad de la población de realizar operaciones y transacciones bancarias digitales. Uno de los factores clave que incrementa esta vulnerabilidad es la falta de correctas medidas de seguridad tomadas por los bancos en transacciones no reconocidas por grandes sumas de dinero, que facilitan este tipo de estafas exponiendo a los usuarios a un riesgo constante.

Las medidas implementadas por la Superintendencia de Banca, Seguros y AFP (SBS) publicada el 28 de junio de 2024 bajo la resolución SBS N° 02286-2024, ¿son suficientes para garantizar el principio de idoneidad en la protección del consumidor?

Esta normativa modifica el Reglamento de Tarjetas de Crédito y Débito, el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, el Reglamento de Gestión de Conducta de Mercado del Sistema Financiero y el Reglamento de Reclamos y Requerimientos, con el fin de mejorar la protección ante riesgos de ciberseguridad; bajo esta premisa en el presente artículo analizaremos las medidas propuestas por la reciente resolución, así como sus alcances para combatir el phishing.
II. Phishing: Conceptos clave y su impacto en la sociedad peruana

2.1. Definición de phishing

El phishing es una técnica de fraude en línea en la que los ciberdelincuentes intentan engañar a las personas para que revelen información confidencial, como contraseñas, números de tarjetas de crédito, información bancaria u otros datos personales. En estos ataques los delincuentes suplantan la identidad de una organización de confianza y envían mensajes que parecen auténticos, solicitando a las víctimas que hagan clic en un enlace o proporcionen sus datos personales entrando a sitios fraudulentos que imitan el diseño y la apariencia de las páginas oficiales para engañar al usuario, con la finalidad de robar números de tarjetas decrédito, números de cuentas bancarias, credenciales de inicio de sesión u otros datos personales o información sensible. (Kosinski, 2024)

2.2. Consecuencias y efectos en la confianza del consumidor

El phishing tiene un impacto profundo y duradero en la seguridad del consumidor, especialmente en el ámbito financiero y de comercio, como la pérdida de su confianza en las instituciones bancarias y financieras, al sentirse vulnerables y desprotegidos, ese sentimiento de inseguridad lleva a una menor adopción de servicios bancarios y comerciales en línea. Los consumidores que han sido víctimas de phishing tienden a reducir su uso de herramientas tecnológicas por temor a ser nuevamente estafados (Defensoría del Pueblo, 2023). Esta reticencia puede frenar el crecimiento de la economía digital, limitando las oportunidades de expansión para las empresas y el acceso a servicios eficientes para los usuarios.

III. Normativa aplicable y las modificaciones de la Resolución SBS N° 02286- 2024

3.1. Objetivos de la Resolución SBS N° 02286-2024

La modificación al Reglamento de Tarjetas de Crédito y Débito, al Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, al Reglamento de Gestión de Conducta de Mercado del Sistema Financiero y al Reglamento de Reclamos y Requerimientos, surge como una necesidad frente a la evolución en el funcionamiento de los productos y servicios ofrecidos por las empresas del sistema financiero a los usuarios, la creciente complejidad de estos servicios, unida al impacto de las nuevas tecnologías. Se vuelve indispensable precisar la responsabilidad de las empresas en los procedimientos de validación de identidad de los usuarios y la obtención de su consentimiento al momento de realizar operaciones, en casos de estas no fueran reconocidas y en aquellas que fueron procesadas sin autenticación reforzada; junto a las obligaciones de las empresas para el cumplimiento de disposiciones de carácter imperativo.

En línea con estas consideraciones, resulta fundamental que los mecanismos de validación de identidad y obtención del consentimiento del usuario se implementen desde el momento de la contratación de productos y servicios, y continúen siendo aplicados a lo largo de su ejecución; lo anterior no solo contribuiría a la seguridad de las transacciones, sino también permitirá a las empresas contar con información precisa y actualizada sobre nuevos usuarios.

3.2. La regulación en el sistema financiero peruano

Ante casos de phishing en el Perú no hay una regulación específica para el término “phishing”, sino solo como parte de los delitos informáticos (artículos 8 y 9 de la Ley N.° 30096). Muchos ataques de phishing se procesan bajo esta normativa, al tratarse de actos de fraude que involucran el acceso indebido a sistemas o la manipulación de datos para obtener beneficios ilegítimos, siendo un contraste frente a otras legislaciones como el de la Unión Europea con el Reglamento General de Protección de Datos (GDPR), ya que es una normativa que impone a empresas y organizaciones la obligación de salvaguardar la información y privacidad de sus ciudadanos en las transacciones realizadas dentro de los países miembros, además de establecer regulaciones sobre la transferencia de datos personales fuera de su territorio, siendo considerado un estándar de protección de datos más sólido a nivel global, ya que amplía los derechos de acceso de las personas a su información y establece restricciones para el manejo de datos personales por parte de las empresas.

Para las transacciones no reconocidas de manera general, la empresa responde administrativamente; según el artículo 19 del Código de Protección y Defensa al Consumidor, el proveedor responde por la idoneidad y calidad de los productos y servicios ofrecidos asegurándose de tomar las medidas de seguridad necesarias; sin embargo; según el artículo 23 del Reglamento de Tarjetas de Crédito y Débito, ante el rechazo por parte del titular sobre operaciones no reconocidas o inusuales, la entidad bancaria es responsable de realizar la evaluación correspondiente y de demostrar que las operaciones fueron autenticadas y registradas. (Resolución S.B.S. N° 5570-2019). Se desprende que el usuario no es responsable de pérdida alguna cuando comunicó previamente sobre el extravío de la tarjeta o suplantación de identidad. El problema venía cuando los canales de atención no funcionaban correctamente y los usuarios afectados no podían comunicar sobre la sustracción de la tarjeta o información, ya que, no había una regulación clara para la aplicación de medidas de seguridad ante operaciones inusuales, así como en micro pagos que no requieren la clave secreta o una segunda verificación del usuario.

Ahora bien, una vez que ocurre una operación no reconocida, corresponde a las entidades financieras demostrar la validez de estas. Dicha demostración se realizará en atención a las medidas de seguridad para operaciones con tarjeta no presente (CNP) que explicaremos a detalle más adelante, siendo crédito o débito, credenciales de pago del titular de la tarjeta, los números de la tarjeta, el código CVC/CVV y la fecha de caducidad de la tarjeta. Eso quiere decir que, siempre que el banco demuestre el cumplimiento de los requisitos de validez de las operaciones, lo toma como responsabilidad del usuario, es decir, se liberará de toda acusación en su contra.

Es necesario precisar la diferencia entre operaciones no reconocidas y operaciones inusuales, siendo las no reconocidas aquellas realizadas con tarjeta de crédito o débito y/o con su información que los usuarios declaran no haber realizado y/o aprobado (Ley N.º 26702).
Las operaciones inusuales son aquellas que se escapan del parámetro de la habitualidad del usuario. La determinación de este se basa en el comportamiento del usuario, que al verificarse que cumple cierto patrón, se determina que es un comportamiento normal. (Julia Silvestre, 2021).
Bajo esta premisa, las operaciones inusuales se refieren a aquellas que no coinciden con el comportamiento habitual del consumidor ni con su historial de transacciones. Por ello, cuando se detectan este tipo de operaciones, la entidad bancaria debe implementar las acciones necesarias para proteger los intereses del consumidor.

Cabe indicar que, el Reglamento establece circunstancias expresas en las que el usuario se libera de responsabilidad, contrario a lo que se podría pensar sobre la normativa, esta considera siempre al usuario responsable de las operaciones no reconocidas, salvo prueba de lo contrario. Dicho de otro modo, podría afirmarse que se asume que el consumidor que presenta un reclamo por fraude bancario está actuando de mala fe, incluso si afirma que no la autorizó.
3.3. Principales disposiciones de la Resolución

Acorde a lo dispuesto en la Resolución SBS N° 02286-2024, la modificación del Reglamento de Tarjetas de Crédito y Débito. “Incorpora los numerales 23, 24 y 25 en el artículo 2, el numeral 7 en el artículo 16, un último párrafo en el artículo 18 y el numeral 10 en el segundo párrafo del artículo 23 (…)”.

Dicho lo anterior, la referida resolución actualiza e incorpora nuevas definiciones clave, se destacan dos categorías esenciales de operaciones: las operaciones con tarjeta presente y con tarjeta no presente.

Las operaciones con tarjeta presente hacen referencia a aquellas en las que el instrumento de pago (tarjeta) interactúa físicamente con el dispositivo de captura de información. Este tipo de transacción es característico de las compras presenciales, donde la tarjeta es utilizada en el proceso de pago.

Operaciones con tarjeta no presente, en contraste, son operaciones en las que el instrumento de pago no interactúa directamente con el dispositivo de captura de información; sino se validan los datos de la tarjeta de manera remota. Este tipo de transacciones son compras en línea, pago de servicios.

En el caso de las medidas de seguridad respecto a los usuarios incorpora el inciso 7 al artículo 16 que las entidades financieras deben adoptar, estableciendo nuevos requisitos mínimos para las operaciones con tarjeta presente, no presente y billeteras digitales, siendo obligatorio el cumplimiento de la autenticación reforzada. Estas deben estar conforme al artículo 19 del Reglamento de Ciberseguridad, además de las recomendaciones técnicas de los estándares EMV emitidos por EMVCo, según el tipo de operación del que se trate. Para mayor claridad sobre los términos que toma en cuenta el presente reglamento hablaremos sobre el artículo 2 inciso j) sobre los factores de autenticación del usuario que son aquellos empleados para verificar la identidad del usuario.

Estas categorías pueden ser; algo que solo conozca el usuario, algo que solo el usuario posee y algo que solo el usuario es, que incluye las características biométricas.

El artículo 19 del Reglamento de Ciberseguridad previa a esta resolución regulaba casos excepcionales donde exige la autenticación reforzada en las operaciones por canales digitales que impliquen pagos o transferencia de ahorros a terceros, modificación en los productos de seguro ahorro/inversión contratados, la contratación de un producto o servicio, siendo estos requisitos de autenticación:

• La utilización y/o combinación de factores de autenticación, que correspondan a dos categorías distintas, respecto al artículo 2, y que sean independientes uno del otro.
• Generar un código de autenticación mediante métodos criptográficos, a partir de los datos específicos de cada operación, el cual debe utilizarse por única vez.
• Cuando la operación sea exitosa, notificar los datos de la operación al usuario.

El nuevo inciso 7 del artículo 16, precisa las medidas de seguridad para las operaciones con tarjeta presente, operaciones con tarjeta no presente, billeteras virtuales.

En las operaciones con tarjeta presente se requieren dos factores, donde el primero es el chip de la tarjeta o su representación digital. El segundo factor puede ser una clave secreta (PIN) u otro que establezca la Superintendencia.

Las operaciones con tarjeta no presente requieren la utilización de dos factores de autenticación, el primer factor corresponde a los datos contenidos en la representación física o digital de la tarjeta. El segundo factor puede ser un código de verificación dinámico asociado a la tarjeta u otro elemento verificable en línea, que debe ser proporcionado por el usuario, conforme al estándar EMV 3DS (1), salvo en aquellos casos de exención establecidos en el artículo 20 del Reglamento de Ciberseguridad.

Siendo operaciones con billeteras móviles de terceros basadas en tokenización de tarjetas, la afiliación de la tarjeta para el uso de dicho servicio, conforme al numeral 7.2, así como las operaciones subsecuentes, deberán ser autenticadas mediante el proceso de tokenización de la tarjeta, complementado con un segundo factor de autenticación de naturaleza distinta.

El control establecido en el inciso b) del artículo 19 del Reglamento de Ciberseguridad, frente a los ataques de hombre en el medio, se cumple mediante la implementación de los estándares EMV 3DS y EMV Tokenization, aplicados a los numerales 7.2 y 7.3 del presente artículo, según corresponda. (2).

En el numeral 5 del inciso 7 se dispone que, en los casos en que no se pueda validar el segundo factor por limitaciones fuera del control del banco, se deberán establecer reglas de aceptación o rechazo en función al nivel de riesgo de fraude, según el sistema de monitoreo de transacciones descrito en el artículo 17 del mismo cuerpo normativo.

El artículo 17, precisa sobre la implementación de los procesos de autenticación, conforme a la definición establecida, que debe implementar la empresa para controlar el acceso al servicio que provee a sus usuarios por canales digitales, Previo a ello, debe llevar a cabo una evaluación formal y adoptar las medidas correspondientes (SBS N. º 504-2021):

a) El o los factores de autenticación que serán requeridos.

b) Estándares criptográficos vigentes, basados en software o en hardware, y sus prestaciones de confidencialidad o integridad esperadas.

c) Plazos y condiciones en las que será obligatorio requerir al usuario volver a autenticarse, lo que incluye y no se limita a casos por periodo de inactividad o sesiones de uso prolongado de sistemas.

d) Línea base de controles de seguridad de la información requerida para prevenir las amenazas a que esté expuesto el proceso de autenticación, lo que incluye, y no se restringe, al número límite de intentos fallidos de autenticación, la prevención de ataques de interceptación y manipulación de mensajes.

e) Lineamientos para la retención de registros de auditoría para la detección de amenazas conocidas y eventos de seguridad de la información.

Agrega el inciso 10 al artículo 23 del Reglamento de Tarjetas de Crédito y Débito, en el caso de las operaciones no reconocidas la empresa es responsable de las pérdidas por las operaciones realizadas en los casos de que no se emplee un segundo factor de autenticación.

Modifica el inciso 1 del artículo 15 del Reglamento de Tarjetas de Crédito y Débito, sobre las medidas de seguridad incorporadas en las tarjetas de crédito, las normas de seguridad incorporadas en el chip de las tarjetas físicas deben emplearse para comprobar la autenticidad de la tarjeta y verificar la identidad del usuario, cumpliendo con los estándares mínimos establecidos en el artículo 16° del presente Reglamento.

IV. Notas

(1) EMV 3DS es un protocolo de seguridad destinado a proteger las transacciones en línea realizadas con tarjetas de crédito y débito, su objetivo principal es añadir una capa adicional de protección mediante la autenticación del titular de la tarjeta durante el proceso de pago.

(2) Se refiere al inciso b) del artículo 19 del Reglamento para la Gestión de la Seguridad de la Información y Ciberseguridad, señara que, al generar un código de autenticación mediante métodos criptográficos, a partir de los datos específicos de cada operación, solo debe utilizarse por única vez.

V. Conclusiones

5.1. El phishing y otras formas de fraude son desafíos que impactan tanto a los usuarios como a las empresas, generando un clima de inseguridad y desconfianza en el sistema. Además de las medidas establecidas por la resolución, es fundamental que las empresas se enfoquen en educar y sensibilizar a sus usuarios sobre las diversas modalidades de estafa más frecuentes, ayudándoles a identificar y prevenir estos riesgos.

5.2. La Resolución SBS Nº 02286-2024 reafirma a través de estas modificaciones que han adaptado las normas pertinentes conforme a lo dispuesto en el Reglamento de Ciberseguridad, no solo se refuerza la seguridad en las transacciones, sino que también se asegura que las entidades financieras asuman un compromiso claro con la protección de sus clientes ante los riesgos digitales, actualizando sus mecanismos de seguridad utilizados para los canales digitales.

5.3. Las modificaciones buscan reforzar la seguridad en el sistema financiero peruano mediante medidas más estrictas de confirmación de identidad y autenticación, especialmente en transacciones digitales, estableciendo requisitos mínimos de validación para mejorar la protección del consumidor ante posibles fraudes promueven un entorno financiero más seguro y confiable adaptado la seguridad en la era digital.

5.4. Asimismo, las medidas planteadas por la reciente resolución si son efectivas para combatir el phishing y las diversas modalidades de fraude cibernético, no de manera directa como tal, si bien refuerzan la seguridad en las transacciones mediante la autenticación reforzada y un monitoreo basado en riesgos, estas disposiciones son reactivas y mitigan el impacto del ataque hacia la patrimonialidad del usuario, como las compras no reconocidas y fraudes financieros.

VI. Referencias

Congreso de la República del Perú. 2010. Código de Protección y Defensa del Consumidor (Ley N° 29571).
https://spijweb.minjus.gob.pe/wp-content/uploads/2018/09/CODIGO-CONSUMIDOR.pdf

Defensoría del Pueblo. 2024. La ciberdelincuencia en el Perú: Estrategias y retos del estado.
https://www.defensoria.gob.pe/wp-content/uploads/2023/05/INFORME-DEF-001-2023-DP-ADHPD-Ciberdelincuencia.pdf
Kosinski, Mateo. 2024. ¿Qué es el phishing? International Business Machines. https://www.ibm.com/es-es/topics/phishing
Ministerio de Justicia y Derechos Humanos. 2024. Ley de Delitos Informáticos. https://www2.congreso.gob.pe/sicr/cendocbib/con5_uibd.nsf/C5F98BB564E5CCCF05258316006064AB/$FILE/6_Ley_30096.pdf
Silvestre Bermúdez, Julia Katty. 2021. Análisis de la protección al consumidor financiero en el sistema bancario peruano: responsabilidad de la entidad financiera en operaciones no reconocidas. Pontificia Universidad Católica del Perú. http://hdl.handle.net/20.500.12404/18454
Superintendencia de Banca, Seguros y AFP (SBS). 2024. Modifican Reglamento de Tarjetas de Crédito, Débito y Otros. https://busquedas.elperuano.pe/dispositivo/NL/2301327-1
Superintendencia de Banca, Seguros y AFP (SBS). 2021. Reglamento para la gestión de la seguridad de la seguridad de la información y la ciberseguridad. https://intranet2.sbs.gob.pe/dv_int_cn/2046/v2.0/Adjuntos/504-2021.R.pdf

Fuente:www.andina.pe

I. Introducción

“El Perú padecerá la mayor caída económica en los últimos cien años” (1), fue uno de los titulares más recurrentes en la región durante la pandemia por COVID-19. Esta crisis global trajo consigo una crisis económica sin precedentes, impactando profundamente al tejido empresarial peruano. En respuesta, el gobierno promulgó el Decreto Legislativo N° 1511, que dio origen al Procedimiento Acelerado de Refinanciación Concursal (PARC). Este mecanismo se presentó como una solución innovadora, diseñada para ser rápida y accesible, con el objetivo de evitar la insolvencia masiva de empresas y así preservar la estabilidad del mercado.

A simple vista, el PARC parecía tener todos los elementos necesarios para convertirse en una herramienta eficaz: virtualidad, celeridad y un enfoque preventivo. Sin embargo, su implementación dejó preguntas en el aire. ¿Fue realmente una solución a la crisis originada?
¿Logró cumplir su propósito de evitar la insolvencia y mantener operativas las unidades productivas? Estas interrogantes cobran especial relevancia en un país donde las micro, pequeñas y medianas empresas (MIPYMES) representan un alto porcentaje.

Por lo que a través del presente artículo se busca explorar los objetivos, características y obstáculos que marcaron el desarrollo del PARC. Al examinar su impacto y los factores que limitaron su alcance, se invita a la reflexión sobre el rol de las políticas públicas en tiempos de crisis.

II. Antecedentes

2.1. El Derecho Concursal peruano y sus principios

El Derecho Concursal es la rama jurídica que se ocupa de regular la concurrencia de una pluralidad de acreedores frente a un deudor en estado de insolvencia; es decir, cuando este se encuentra imposibilitado de cumplir con sus obligaciones exigibles debido al deterioro de su patrimonio. En este escenario, el Derecho Concursal trata de evitar el desorden que podría generarse si cada acreedor intentara satisfacer sus derechos de crédito de forma individual, promoviendo un procedimiento ordenado y eficiente para abordar la crisis. Al respecto, Rojas (2003, 175) señala que: El sistema concursal es la respuesta del legislador al mundo real de la escasez en los negocios. Es la respuesta al «efecto buffet», es la intervención del Estado para regular el conflicto social y poner a disposición de los involucrados los medios necesarios para que esa crisis sea enfrentada de la mejor manera.

Así, el sistema concursal no solo busca proteger los intereses de los acreedores, sino también garantizar una gestión adecuada de las empresas en dificultades, equilibrando los derechos individuales con el interés colectivo.

Dentro de este marco, el derecho concursal tiene como principal objetivo la recuperación del crédito, un objetivo que se encuentra expresamente establecido en el artículo I del Título Preliminar de la Ley General del Sistema Concursal (LGSC). Para alcanzar este objetivo, el Sistema Concursal Peruano se estructura sobre la base de tres principios fundamentales: la universalidad, la colectividad y la proporcionalidad.

Por un lado, el principio de universalidad implica que “el deudor deberá responder frente a sus acreedores con todos sus bienes, con excepción de aquellos excluidos por la Ley” (Castellanos 2009, 219). Así pues, este principio asegura que el íntegro de la masa patrimonial del deudor sirva como recurso para lograr el pago a los acreedores en concurso.

Por su parte, el principio de colectividad, consagrado en el artículo V de la LGSC, garantiza que el procedimiento se lleve a cabo en beneficio de la totalidad de los acreedores y no de un grupo en particular. Del Águila (2003, 69) lo describe de manera clara al señalar que mediante este principio “se busca obtener una asignación óptima de recursos escasos frente a la amplia gama de necesidades existentes”. Este principio se refleja en el funcionamiento de la Junta de Acreedores, órgano mediante el cual se decide el destino del deudor, ya sea mediante la reestructuración de la empresa o su liquidación ordenada.

Finalmente, el principio de proporcionalidad, basado en la “par conditio creditorum”, asegura que los acreedores participen de manera equitativa en las pérdidas y ganancias del deudor. En esta línea, Castellanos (p. 221) sostiene que, “los acreedores asumen la imposibilidad de recuperar el íntegro de sus créditos, por lo que redistribuyen las pérdidas de la manera más eficiente”. Esto sin dejar de lado el orden de prelación dispuesto por la Ley.

En suma, estos principios no solo constituyen la base normativa del derecho concursal, sino que reflejan su dimensión económica y social. El Sistema Concursal se presenta, así como un mecanismo que trasciende los intereses individuales para salvaguardar el equilibrio y la funcionalidad del mercado, promoviendo soluciones eficientes a las crisis empresariales.

2.2. La crisis económica originada por la pandemia y las medidas gubernamentales para mitigarla

La pandemia por COVID-19 anunciada el 11 de marzo de 2020 por la Organización Mundial de la Salud, desencadenó además de una crisis sanitaria, una crisis económica a nivel global. En el Perú, las medidas adoptadas para mitigar la propagación del virus, como la cuarentena estricta, la restricción de movilidad y la implementación del trabajo remoto, impactaron profundamente en la actividad empresarial. Tan es así que según lo evidenciado por Meza et al. (2020, 129) la pandemia “provocó una pérdida económica de 15,6% en referencia al PBI” (2).

En este contexto, el sector empresarial enfrentó una crisis económica generalizada, ya que las restricciones de operación y la disminución de la demanda limitaron severamente la capacidad de generación de ingresos. Esta situación afectó particularmente a las micro y pequeñas empresas, las cuales, según el Informe anual de diagnóstico y evaluación acerca de la actividad empresarial de las micro y pequeñas empresas en el Perú realizado por COMEX PERÚ, al término del 2020 las MYPES activas se redujeron hasta en un 48.8% menos de lo registrado en el 2019, evidenciando así la gravedad de la crisis.

Ante esta situación, el gobierno peruano adoptó medidas excepcionales orientadas a proporcionar soporte crediticio y reestructurar las obligaciones económicas de las empresas. Por un lado, entre las que brindaban soporte crediticio y financiero destacan programas como Reactiva Perú y FAE-Mype, diseñados para garantizar la liquidez de las empresas mediante créditos con aval estatal, así como prórrogas tributarias. Paralelamente, de forma complementaria, el Gobierno Peruano promulgó el Decreto Legislativo N° 1511, que introdujo el Procedimiento Acelerado de Refinanciación Concursal (PARC). Este procedimiento tenía como finalidad la reestructuración de las obligaciones económicas de las empresas para prevenir que alcanzaran un estado de insolvencia irreversible.

III. El PARC como medida del gobierno peruano para mitigar la crisis empresarial

3.1. Objetivos de la creación del PARC

Como se ha podido advertir previamente, la promulgación del PARC, en mayo de 2020 respondió a la necesidad urgente de mitigar los efectos económicos negativos generados por la pandemia de COVID-19. Su finalidad principal era asegurar la continuidad de la cadena de pagos y evitar el colapso masivo de unidades productivas, preservando con ello el tejido empresarial y el empleo.

En este sentido, la Exposición de Motivos del Decreto Legislativo N.º 1511 detalla que el PARC fue diseñado como un procedimiento “fast track”; es decir, como un procedimiento destinado a reducir significativamente los tiempos y costos asociados a los procedimientos concursales ya existentes (ordinario y preventivo). Así pues, como lo señala la misma exposición de motivos: El PARC tiene por finalidad brindar a las empresas un mecanismo de fácil acceso para lograr la protección temporal de su patrimonio y la refinanciación de sus obligaciones, según lo decidan sus acreedores como principales afectados con el posible quiebre de la cadena de pagos.

A partir de ello, se puede colegir que los principales objetivos del PARC eran la protección del patrimonio del deudor y el recupero del crédito a través de la refinanciación y reestructuración, objetivos que se condicen con lo establecido en el título preliminar de la LGSC.

3.2. Características diferenciadoras del PARC frente al Procedimiento Concursal General

Como se ha advertido previamente, el PARC fue diseñado como una medida extraordinaria para mitigar los efectos de la crisis económica debido a la pandemia. Este procedimiento presenta características que lo distinguen significativamente de los previstos en la LGSC: el Procedimiento Concursal Ordinario (PCO) y el Procedimiento Concursal Preventivo (PCP).

Una de las diferencias más relevantes del PARC es su carácter temporal y transitorio. De acuerdo con el artículo 4° del Decreto Legislativo N.º 1511, su vigencia estuvo limitada al 31 de diciembre de 2020, lo que lo vinculó de manera directa a la coyuntura económica ocasionada por la pandemia. En contraste, tanto el PCO como el PCP son mecanismos permanentes del sistema concursal peruano, diseñados para abordar situaciones de insolvencia de manera continua y sin restricciones temporales.

El ámbito de aplicación del PARC también lo diferencia notablemente. Según el artículo 3° de su norma reguladora, este procedimiento excluyó a sujetos como personas naturales, sociedades conyugales y sucesiones indivisas, independientemente de si realizan actividad empresarial. En cambio, los procedimientos tradicionales de la LGSC permiten la participación de estos sujetos dentro del sistema concursal general. Asimismo, mientras el PCO y el PCP abordan una amplia gama de escenarios de insolvencia, el PARC estuvo dirigido exclusivamente a empresas cuya crisis económica pudiera ser atribuida directamente al impacto del COVID-19.

Una innovación fundamental del PARC fue su naturaleza completamente virtual, la cual permitió que las empresas afectadas accedieran al procedimiento sin necesidad de desplazamientos físicos. Esto incluyó la presentación electrónica de solicitudes, el reconocimiento de créditos y la realización de Juntas de Acreedores de forma remota. Si bien los procedimientos ordinarios y preventivos adoptaron temporalmente herramientas virtuales debido a la pandemia, esta no es una característica estructural en dichos mecanismos. En cambio, la virtualidad en el PARC se implementó en aras a la optimización del tiempo y la reducción de costos administrativos.

En términos de celeridad, el PARC sobresale con un tiempo estimado de 65 días hábiles para completar el procedimiento, un plazo significativamente menor que los tiempos promedio del procedimiento concursal general, si bien Aragón et al. (2020, 297) señalan que, “en la práctica el plazo es un aproximado de once meses”, este tiempo sigue siendo menor en comparación a los plazos de los procedimientos del sistema concursal general.

A pesar de que, al igual que el PCP, el PARC solo podía ser iniciado por el deudor, este último introdujo un enfoque más dinámico en la negociación con los acreedores. Además, el PARC excluyó a los créditos laborales y de consumos del reconocimiento formal inicial; pero sin dejarlos de lado, pues según el artículo 10° del PARC, estas obligaciones deben estar contempladas dentro del Plan de Refinanciación Empresarial (PRE), asignándoles el 40% de los recursos si se trataban de créditos laborales y 10% si se trataban de créditos de consumo; algo no previsto en los procedimientos del sistema concursal general.
Finalmente, una característica clave del PARC fue su enfoque en la continuidad operativa de las unidades productivas viables. A diferencia de otros procedimientos concursales que pueden culminar en la liquidación, el PARC priorizó la reestructuración y preservación de empresas como una estrategia para mantener el empleo y contribuir a la estabilidad económica.

En conjunto, estas características diferenciadoras subrayan el carácter excepcional y transitorio del PARC como respuesta a la emergencia sanitaria. Esto lo posiciona como un mecanismo singular dentro del Sistema Concursal Peruano, marcando una clara distinción respecto al procedimiento concursal general.

IV. La eficacia del PARC en la preservación de las empresas

4.1. Estadísticas sobre el uso del PARC

Habiendo recogido las principales características del PARC corresponde analizar si verdaderamente estas implementaciones y particularidades de este procedimiento coadyuvaron a la preservación de las empresas que fueron fuertemente golpeadas por la pandemia. En este sentido, corresponde revisar un dato objetivo: ¿Cuántas empresas lograron acogerse a este procedimiento?

De acuerdo con la información pública de la página web de INDECOPI-IFCO, en el año 2020, se presentaron 15 solicitudes de inicio de concurso bajo la modalidad del PARC ante la Sede Central de INDECOPI. De estas, 6 solicitudes fueron aceptadas, 3 declaradas improcedentes y 6 inadmisibles. (Ver Cuadro N° 1).

4.2. Principales obstáculos para acceder al PARC

En línea con los datos observados previamente, se hacen evidentes tres situaciones clave que reflejan los principales obstáculos enfrentados por quienes deseaban y necesitaban acogerse al Procedimiento Acelerado de Refinanciación Concursal (PARC).

En primer lugar, la escasa cantidad de solicitudes presentadas pone en evidencia la baja acogida del PARC entre aquellos que realizaban actividad empresarial y fueron afectados por la crisis económica. Este hecho resulta especialmente relevante si se considera la magnitud de la afectación económica causada por la pandemia y el número total de potenciales elegibles. Uno de los factores que explican esta baja acogida radica en las restricciones del ámbito de aplicación del PARC. Como se describió previamente, este procedimiento fue aplicable exclusivamente a personas jurídicas, excluyendo a personas naturales que realizaban actividad económica en el país. Según los datos del INEI (2020), en el Perú existían aproximadamente 2 millones 60 mil 429 unidades económicas, de las cuales el 99,2
% correspondían a microempresas, el 0,7 % a pequeñas empresas y solo el 0,1 % a medianas y grandes empresas (3). La exclusión de este amplio sector empresarial informal o de menor escala limitó significativamente el impacto potencial del PARC.

En segundo lugar, el alto porcentaje de solicitudes inadmisibles e improcedentes (60 % del total) pone de manifiesto barreras prácticas para acceder al procedimiento. Estas barreras incluyeron la falta de documentación adecuada y deficiencias en la difusión y comprensión del mecanismo entre los empresarios. Muchas empresas intentaron acogerse al procedimiento cuando ya se encontraban en un estado de insolvencia, sin entender que el PARC estaba diseñado como un mecanismo preventivo para evitar precisamente ese estado. Esto generó confusión entre los solicitantes, quienes desconocían que el PARC, aunque tenía características únicas, seguía siendo esencialmente un procedimiento concursal preventivo. Al respecto Varillas (2020) concluyó: La legislación concursal no cuenta con un mecanismo que les permita a las empresas afectadas por la crisis, que ya estén en un estado de insolvencia irreversible, una salida rápida y ordenada del mercado.

Finalmente, el tercer gran obstáculo para acceder al PARC fue su corta duración y demora en la implementación práctica. Aunque el Decreto Legislativo N.º 1511 fue promulgado el 11 de mayo de 2020, su reglamento no fue aprobado hasta el 7 de junio de 2020, retrasando su efectividad práctica. Esto significó que la primera solicitud válida de inicio de concurso bajo el PARC no se presentara sino hasta el 14 de agosto de 2020, cuando la empresa Corporación Logística Maquinarias del Perú S.A.C. ingresó su solicitud, la cual fue admitida el 21 de agosto y publicada en el boletín concursal el 28 de ese mismo mes.

Este retraso tuvo un impacto directo en el número de solicitudes admitidas, ya que el resto de las empresas que lograron acogerse al PARC presentaron sus solicitudes en los últimos meses de su vigencia, es decir, noviembre y diciembre de 2020. Dado que el PARC solo estuvo operativo hasta el 31 de diciembre de 2020, el corto plazo para acogerse al procedimiento redujo significativamente su alcance.

V. Conclusiones

5.1. El Procedimiento Acelerado de Refinanciación Concursal (PARC) fue parte de una política pública orientada a mitigar los efectos económicos de la pandemia, priorizando la reestructuración empresarial.
5.2. A pesar de su diseño innovador y características diferenciadoras, como la virtualidad y celeridad, el PARC tuvo una acogida limitada debido a restricciones en su ámbito de aplicación y falta de difusión adecuada; lo cual se vio evidenciado en los altos porcentajes de solicitudes rechazadas.
5.3. La exclusión del ámbito de aplicación del PARC a las personas naturales que realizaban actividad empresarial redujo significativamente su impacto, afectando su efectividad.
5.4. La implementación tardía del reglamento y la transitoria duración del PARC limitaron su capacidad para atender las necesidades urgentes de las empresas que necesitaban prevenir caer en insolvencia debido a la crisis originada por la pandemia.

VI. Notas

(1) Titular de una noticia publicada por el periódico virtual France 24, noticia escrita por Francisco Zacarías el 26 de junio de 2020.
(2) Tras el análisis de los resultados económicos publicados por el Reporte de Inflación del BCRP (2020), los autores concluyeron que antes de la pandemia estaba previsto que el Perú crecería 3,8%; no obstante, la crisis sanitaria provocó una pérdida económica de hasta 34.5% en el segundo trimestre del 2020.
(3) Estos datos fueron proporcionados mediante gráfico del INEI contenidos en su libro: «Perú: Estructura Empresarial, 2020».

VII. Referencias

Aragón Samanez, Sol, Nicole Sierra Roque, y Milagros Condezo Trinidad. 2020. «El Procedimiento Acelerado De Refinanciación Concursal (PARC): Análisis Preliminar En Torno a Una Posible Prórroga». Revista. IUS ET VERITAS 66:286-304. https://doi.org/10.18800/iusetveritas.202002.017

Castellanos Sánchez, Luis. 2009. «Las Mil Y Una Noches Del Derecho Concursal. Unos Objetivos Y Principios Del Cuento». THEMIS Revista De Derecho 57:199-226. https://revistas.pucp.edu.pe/index.php/themis/article/view/9155

Comex Perú (2020). «Las micro y pequeñas empresas en el Perú Resultado en 2020». Informe anual de diagnóstico y evaluación acerca de la actividad empresarial de las micro y pequeñas empresas en el Perú, y los determinantes de su capacidad forma.

Del Águila Ruiz de Somocurcio, Paolo. 2003. «Poniendo Los Puntos Sobre Las Íes: Objetivos, Principios Y Líneas Matrices Del Sistema Concursal». Foro Jurídico 02: 64-72. https://revistas.pucp.edu.pe/index.php/forojuridico/article/view/18283

Meza Riquelme, Mauricio, Abigail Condori Pereyra, y Daniela Encalada Carbajal. 2020. «Análisis De políticas Públicas En El Perú Ante La Crisis Derivada De La Covid-19». Semestre Económico 23 (55): 113-38. https://doi.org/10.22395/seec.v23n55a5

Rojas Leo, Juan Francisco. 2003. «De La Supuesta Esquizofrenia Del Sistema Concursal Al Maniqueísmo De Sus Detractores». IUS ET VERITAS 13 (26): 173-81. https://revistas.pucp.edu.pe/index.php/iusetveritas/article/view/16242

Varillas Castillo, Cristina. 2020. «El PARC, ¿Cómo funciona? Su impacto en materia concursal peruana». Boletín Sociedades Ius et Iustitia. https://cutt.ly/leLnYHHy