La SBP no especifica un protocolo concreto pero el Acuerdo 3-2012 obliga a confidencialidad de la información transmitida, lo cual el estándar de la industria interpreta como TLS 1.2 mínimo en 2026 con MTA-STS y preferentemente DANE TLSA para forzar el cifrado sin caída a texto plano.
Sin MTA-STS, un atacante con posición de man-in-the-middle puede degradar la conexión STARTTLS opportunistic a texto plano y leer el contenido en tránsito. Esta es vulnerabilidad real explotada históricamente en email bancario y motivo por el cual el Acuerdo 001-2022 que se remite a las disposiciones del Acuerdo de Riesgo TI aplica indirectamente.
EMP configura por default MTA-STS modo enforce con TLSA RR DANE para los dominios bancarios, además de TLS-RPT para detectar intentos de downgrade en producción. La configuración se documenta en el manual de Riesgo Operativo que el banco remite anualmente a la SBP.