Mediante Resolución N° 25 Acta N° 58 de fecha 18 de diciembre de 2025, el Directorio del Banco Central del Paraguay (“BCP”) aprobó el Reglamento de Definición de Roles, Registro y Trasparencia Informativa y Seguridad de la Información para Proveedores de Servicios de Pago (“PSP”) del Sistema Nacional de Pagos (el “Reglamento”).

El Reglamento define los roles que pueden desempeñar los PSP, en función de los servicios de pago que prestan y de las responsabilidades que asumen frente a usuarios, comercios, otros participantes del sistema y el BCP.

Entre los roles definidos se incluyen, entre otros: adquiriente, emisor, pasarela de pagos, procesador de pagos, proveedor de billetera digital y subadquiriente. El Reglamento admite expresamente que un mismo PSP pueda desempeñar múltiples roles, aclarando que ello no lo exime del cumplimiento individual de las obligaciones asociadas a cada función.

El Reglamento establece la obligación de inscripción de los PSP en un registro administrado por el BCP. La Gerencia General establecerá mediante norma complementaria los plazos, formas y requisitos para el registro, quedando el BCP facultado para requerir información adicional a efectos de verificar el cumplimiento de las obligaciones asociadas.

Los PSP que mantengan una relación contractual directa con usuarios y/o comercios deberán cumplir las siguientes obligaciones de transparencia informativa: (i) publicación clara y accesible de comisiones, tarifas y demás condiciones económicas aplicables; (ii) la comunicación previa de modificaciones contractuales con una antelación de treinta (30) días corridos; (iii) la utilización de contratos redactados en lenguaje claro y accesible; y, (iv) la implementación de mecanismos eficaces, gratuitos y documentados de atención y resolución de reclamos.

Asimismo, los PSP deberán poner a disposición de manera continua para los comercios y/o usuarios reportes detallados y exportables sobre el estado de las transacciones, los costos aplicados a cada transacción, montos netos acreditados y plazos de liquidación. 

El Reglamento introduce la obligación de segregación de fondos para aquellos PSP que administren o custodien fondos de usuarios o comercios, particularmente emisores y subadquirientes, mediante el mantenimiento de cuentas diferenciadas que protejan dichos fondos frente a reclamos de acreedores. Los adquirientes, procesadores y redes de pagos que no custodien fondos quedan exceptuados de esta obligación, aunque deben garantizar la trazabilidad, seguridad y correcta conciliación de las transacciones procesadas.

Otro componente del Reglamento es el establecimiento de estándares mínimos en materia de seguridad de la información, basados en un enfoque de riesgo y proporcionales a la escala y complejidad de cada PSP.

Entre otros aspectos, se exige la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) que contemple políticas formales de seguridad, controles de acceso, cifrado de datos, gestión de vulnerabilidades, planes de continuidad del negocio y procedimientos de notificación de incidentes al BCP. El cumplimiento deberá ser demostrado mediante auditorías externas basadas en estándares internacionales, como ISO/IEC 27001.