Diagnóstico Cero — gratis

Editorial: Un Riesgo Sistémico Inaceptable en el Sistema Financiero Paraguayo

10–15 minutos

read

Por Diego San Esteban

En el famoso cuadro “La caída de Ícaro”, de Pieter Bruegel, apenas se ve una pierna hundiéndose en el mar. Nadie lo nota. El campesino sigue arando. El pastor mira las nubes. El barco navega como si nada. Ícaro cae, pero el mundo sigue su curso.

Así funcionan muchos sistemas antes de colapsar: no por un estallido visible, sino por la indiferencia organizada ante una falla estructural.

¿Qué pasaría si un solo actor tuviera hoy el poder de detener el 40% de las transacciones bancarias de un país con una orden judicial?

No es una hipótesis distópica. Es una amenaza concreta, silenciosa y sistémica que hoy pone en jaque la estabilidad del sistema financiero paraguayo.

En toda arquitectura crítica —desde la energía hasta las finanzas— existe una regla no escrita: ningún proveedor puede tener tanto poder como para poner de rodillas al ecosistema si entra en conflicto con un cliente. Pero eso es exactamente lo que está ocurriendo. Y lo más preocupante no es la disputa entre dos grupos empresarios. Es que, detrás del conflicto visible, se esconde una concentración tecnológica inadmisible: un proveedor que no solo opera el core bancario de 9 de los 22 bancos del país, sino que además es controlado por el grupo propietario de un banco competidor.

Este artículo no es una denuncia. Es un llamado urgente a la reflexión y a la acción.

Como profesional con más de 30 años en la intersección entre tecnología, banca y regulación, observo este caso con una mezcla de perplejidad y responsabilidad. Porque no se trata solo de cumplimiento normativo, ciberseguridad o competencia leal.

Se trata de algo más profundo: la confianza que sostiene a todo el sistema financiero.

Con más de tres décadas en la industria tecnológica y financiera, certificaciones en ISO/IEC 27001 y ISACA CRISC, y como presidente de Latam Open Finance y Latam AI Hub, además de asesor de bancos centrales y asociaciones financieras, mi compromiso con la estabilidad y seguridad de los mercados es inquebrantable. La disputa entre ITTI SAECA, del Grupo Vázquez, y Banco Atlas, del Grupo Zuccolillo, por el software core bancario IT Gestión Financiera (ITGF), no es solo un conflicto contractual: es una advertencia crítica sobre un riesgo sistémico que amenaza la operatividad y la confianza en el sistema financiero paraguayo. Este caso demanda acción inmediata para proteger a los ciudadanos y garantizar un mercado competitivo, seguro y transparente.

El software ITGF, desarrollado por ITTI, es el núcleo operativo de nueve de las 22 entidades financieras de Paraguay, procesando el 40% de las transacciones bancarias del país. ITTI, controlada en un 77,44% por el Grupo Vázquez —propietario también de Ueno Bank, un competidor directo de otros bancos clientes—, ejerce un control desproporcionado sobre el sector. En la disputa con Banco Atlas, ITTI acusa al banco de modificar sin autorización 37,000 líneas de código, permitir accesos indebidos por más de 30 personas al código fuente y pretender transferir el software a la entidad fusionada con Banco Familiar, violando un contrato de 2004 que prohíbe transferencias. Atlas sostiene que el contrato permite dichas modificaciones y niega irregularidades. Una medida cautelar de junio de 2025, dictada por la jueza Rossana Frutos Olguín, prohíbe a Atlas usar ITGF tras la fusión, poniendo en riesgo una operación crítica para 200,000 clientes y la interoperabilidad del sistema financiero.

Desde mi experiencia en gestión de riesgos (CRISC) y seguridad de la información (ISO 27001), este caso revela fallas graves. Bajo ISO/IEC 27001, De acuerdo con los principios de ISO/IEC 27001, podría interpretarse que Atlas no habría cumplido con los controles de acceso (A.5.15) y gestión de cambios (A.8.32). Por su parte, ITTI habría incurrido en una omisión relevante al no establecer mecanismos de supervisión continua durante 21 años (A.15.1), lo cual también resulta cuestionable desde una perspectiva de buenas prácticas

La auditoría realizada por ITTI en diciembre de 2024 —según lo informado— habría identificado irregularidades, pero su procedimiento parece no haberse alineado plenamente con ISO 19011, al menos en lo relativo a la transparencia del proceso y la participación del auditado

.En términos de ISO/IEC 20000-1, el contrato de 2004 es ambiguo, incumpliendo la cláusula 8.3 que exige acuerdos de servicio explícitos. Estas deficiencias técnicas son preocupantes, pero el riesgo mayor es estructural: la propiedad de ITTI por parte del Grupo Vázquez, dueño de Ueno Bank, crea un conflicto de intereses que pone en jaque la neutralidad y seguridad del sector.

La concentración de poder tecnológico es inaceptable. ITTI tiene acceso a datos sensibles —transacciones, préstamos, información de clientes— de nueve entidades, y en ausencia de una ley de protección de datos en Paraguay, no existen mecanismos claros que garanticen que el acceso a información sensible no pueda ser utilizado —directa o indirectamente— en favor de intereses propios del proveedor o de terceros relacionados. ISO 27001 exige segregación estricta de datos (A.5.12), pero las acusaciones de accesos indebidos sugieren vulnerabilidades. La posibilidad de que un proveedor tecnológico pueda restringir unilateralmente el uso de un software core —como habría ocurrido en este caso— plantea un desequilibrio de poder que resulta, al menos, preocupante desde una perspectiva sistémica para influir en las operaciones de sus clientes, comprometiendo la continuidad del negocio y la confianza pública. La Asociación de Bancos del Paraguay (Asoban) ya advirtió sobre el impacto de este conflicto en la interoperabilidad financiera, y no podemos ignorar que una interrupción en ITGF podría paralizar el 40% de las transacciones.

Las sospechas de un posible favoritismo político, alimentadas por la aparente cercaníaentre el Grupo Vázquez y el presidente Santiago Peña —quien habría mantenido acciones en Ueno Holding hasta marzo de 2025—, junto con los contratos adjudicados a ITTI por más de G. 20.757 millones desde 2023, plantean interrogantes legítimos y añaden una capa de complejidad institucional.

Aunque estos indicios no constituyen pruebas y requieren investigación imparcial, refuerzan la necesidad urgente de regulaciones que garanticen transparencia, gobernanza y equidad en el ecosistema financiero.

Como líder en Latam Open Finance, defiendo ecosistemas abiertos, resilientes y seguros. Y este caso —más allá de sus detalles específicos— ilustra cómo una dependencia tecnológica concentrada puede limitar la competencia y aumentar los riesgos estructurales del sector.

Acciones urgentes:

1.  Bancos usuarios de ITGF: Inviertan en sistemas core alternativos, como COBIS Core, Bantotal, Oracle FLEXCUBE, Temenos T24, Galileo, Finacle de Infosys, Mambu, Nymbus Core Banking, o soluciones en la nube como Thought Machine Vault o Avaloq, para reducir la dependencia de ITTI. Realicen auditorías internas (ISO 19011) para garantizar cumplimiento contractual y negocien cláusulas que limiten restricciones unilaterales de ITTI.

2.  ITTI: Implementen segregación estricta de datos (ISO 27001, A.5.12), auditorías externas transparentes y contratos claros (ISO 20000-1, cláusula 8.3). Creen una unidad independiente para gestionar servicios a bancos externos, mitigando conflictos con Ueno Bank.

3.  Banco Central del Paraguay (BCP): Regulen a los proveedores de software core, exigiendo auditorías anuales y prohibiendo que grupos con intereses bancarios controlen sistemas de competidores. Promuevan una ley de protección de datos.

4.  Gobierno: Aprueben una ley de protección de datos y fomenten la entrada de nuevos proveedores para garantizar competencia.

Ningún banco está a salvo cuando la infraestructura crítica del sistema depende de un competidor.

Hoy es Atlas. Mañana puede ser cualquiera. Porque cuando el poder de apagar el sistema está concentrado en quien también juega dentro del mercado, lo que se rompe no es solo un contrato: se rompe el principio de neutralidad sobre el que descansa la confianza de todo el ecosistema.

Silenciar el problema por temor o conveniencia no lo hace menos real. Solo lo vuelve más peligroso.

Por eso, este no es un asunto privado entre empresas. Es un asunto público que involucra a todos los actores del sistema financiero paraguayo. Los bancos que hoy observan en silencio deben preguntarse: ¿qué pasaría si su propio core banking quedara judicializado o restringido? ¿Qué garantías tienen de que sus datos, sus operaciones o sus decisiones estratégicas no estén expuestas al interés de un competidor con control estructural?

Y los reguladores —que sí tienen mandato para proteger el sistema en su conjunto— deben actuar antes de que el conflicto escale o se repita. Porque no se trata solo de normas técnicas o cláusulas contractuales. Se trata de prevenir un riesgo sistémico que ya no es hipotético. Es real, actual y evitable.

La neutralidad tecnológica no es un detalle operativo. Es una condición de posibilidad para que exista un mercado financiero confiable, competitivo y resiliente.

El tiempo de mirar para otro lado ya pasó. El tiempo de actuar es ahora.

UPGRADE | Octubre 2025

Actualización – Octubre 2025

Desde la publicación original de este editorial, nuevas piezas del caso han salido a la luz y confirman que el problema es aún más profundo que lo que advertimos entonces.

Lo más revelador es que la fusión entre Banco Atlas y Banco Familiar no tenía como objetivo utilizar el core bancario ITGF, propiedad de ITTI (del mismo grupo económico que Banco Ueno), sino migrar al core que ya utiliza Banco Familiar —una tecnología distinta, fuera del alcance de ITTI.

Y sin embargo, fue ITTI quien interpuso una demanda que logró suspender judicialmente la operación.

Esto revela un hecho alarmante:

Un proveedor tecnológico que ya no será utilizado en la entidad fusionada está logrando frenar una reconfiguración estratégica del sistema financiero, solo con base en su posición previa.

Cuando, además, ese proveedor:

  • Pertenece a un grupo bancario competidor (Ueno).
  • Y su core bancario procesa más que las transacciones de un solo banco del sistema financiero paraguayo

… entonces ya no estamos frente a un conflicto comercial. Estamos ante una forma de interferencia sistémica con fines de control.

El riesgo ya no es hipotético. Es estructural.

Y el regulador no puede alegar sorpresa: tenía la responsabilidad de auditar, prevenir y equilibrar estas fuerzas antes de que escalen a tribunales.

La gobernanza tecnológica no puede ser un apéndice de la regulación financiera. Tiene que ser su columna vertebral.

Ejercitemos unos minutos y EXPERIMENTEMOS LA SIGUIENTE HIPÓTESIS

Si el core anunciado como proceso de fusión no es ITGF y será el core del banco Familiar?

🔥 1. La tecnología dejó de ser soporte: es instrumento de poder

Si el core ITGF no iba a ser utilizado en la nueva entidad resultante de la fusión, pero aun así es el eje de una acción judicial para bloquearla, entonces la tecnología no se está defendiendo como activo: se está usando como herramienta para impedir un cambio de poder.

  • No hay un uso indebido en curso.
  • No hay daño técnico activo.
  • Hay un proveedor (ITTI), vinculado a un banco competidor (Ueno), que utiliza una medida cautelar para frenar una transformación donde pierde participación futura.

La pregunta entonces ya no es técnica: ¿hasta qué punto un proveedor con intereses propios puede vetar, desde afuera, decisiones estratégicas entre bancos competidores?

🧨 2. La neutralidad tecnológica está en riesgo

Cuando un core bancario:

  • Controla más del 40% del sistema financiero, + de un banco, financiera…usan ITGF)
  • Pertenece a un grupo económico que también es jugador directo en el mismo mercado,
  • Y usa su rol como licenciante para condicionar la estructura del sistema bancario nacional,

entonces ya no hablamos de software, hablamos de infraestructura crítica sin neutralidad estructural.

Es como si una empresa de energía, controlada por una automotriz, impidiera que sus competidores se fusionen porque están cambiando de proveedor de baterías. Técnicamente posible, estratégicamente tóxico.

⚖️ 3. ¿Qué debería haber hecho la justicia?

Antes de dictar una medida que suspende una fusión bancaria en curso, el Poder Judicial debió:

  • Solicitar una pericia técnica independiente para verificar si existe realmente una violación de derechos sobre el core (no solo una sospecha).
  • Consultar con el Banco Central y el regulador del sistema financiero sobre el impacto de frenar la operación.
  • Considerar el principio de proporcionalidad: ¿una disputa comercial justifica frenar un proceso estratégico que afecta a millones de clientes?

Una cautelar sin estas condiciones puede generar más daño sistémico que el supuesto conflicto que intenta evitar.

🏛 4. Y el regulador, ¿cómo queda?

Sin necesidad de acusar, hay una realidad:

Este caso refleja una falla en la supervisión preventiva.

  • El regulador debería haber exigido desde el inicio una auditoría completa del stack tecnológico involucrado.
  • También debió verificar si existían condiciones contractuales que podían escalar legalmente y bloquear la operación.
  • No se trata de anticipar litigios, sino de evitar que una dependencia tecnológica no auditada termine condicionando la evolución estructural del sistema financiero.

Esto no es un “problema de privados”. Es un riesgo sistémico habilitado por un vacío de gobernanza.

DICIEMBRE 2025

Meses después de publicada esta editorial y sus actualizaciones, la fusión entre Banco Atlas y Banco Familiar fue finalmente cancelada. El hecho no invalida el análisis, lo confirma. Lo que aquí se describió como un riesgo sistémico latente terminó materializándose en una decisión concreta, con impacto directo sobre el sistema financiero, la competencia y la confianza institucional.

La lección es clara: cuando la infraestructura tecnológica crítica no está gobernada con criterios de neutralidad, resiliencia y supervisión adecuada, los conflictos dejan de ser comerciales o legales y pasan a afectar decisiones estratégicas de país. Ignorar esta señal sería repetir el error.

La situación que describe este artículo no es una anomalía aislada, sino un llamado de alerta sobre la importancia de construir marcos de gobernanza tecnológica robustos, diversificación de proveedores críticos y mecanismos de resiliencia institucional. Con años de experiencia asesorando a bancos y reguladores en temas de riesgo sistémico, arquitectura de infraestructura financiera y neutralidad operativa, estoy disponible para apoyar a gobiernos, entidades financieras y organismos multilaterales a diseñar e implementar estrategias que mitiguen este tipo de vulnerabilidades antes de que pongan en jaque la estabilidad del sistema.

El desafío que enfrenta Paraguay hoy es una oportunidad para redefinir mejores prácticas que puedan convertirse en un referente regional.

Diego San Esteban

Acerca del autor

Diego San Esteban es consultor estratégico, asesor de alta dirección y conferencista internacional especializado en inteligencia artificial, banca digital y transformación organizacional.

Actualmente preside el LATAM AI Hub, desde donde impulsa la adopción ética y rentable de IA en el sistema financiero de América Latina.

Es autor de varios libros y newsletters influyentes, como ChatGPT y la Revolución Digital de la Industria FinancieraDeepSeekEl Banco Invisible y Más Allá de Vender. Su estilo combina análisis crítico, claridad conceptual y foco en resultados tangibles.

Se ha formado en Harvard Business SchoolMIT SloanCopenhagen Business School y IAE Business School, integrando perspectivas globales con el contexto específico de América Latina.

Acompaña a bancos, fintechs y reguladores en procesos de rediseño estratégico, gobierno de IA, eficiencia operativa, definición de modelos de negocio y roadmap de capacidades digitales.

💼 Disponible para:

  • Asesorías estratégicas C-Level
  • Workshops ejecutivos
  • Diagnósticos de madurez digital
  • Keynotes y charlas privadas

🌐 Más información en san-esteban.com

📩 Consultas: contacto@san-esteban.com

, ,
, , , , , , , , , , ,

Descubre más desde DIEGO San Esteban

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo