La Ley 21.663, conocida como la Ley Marco de Ciberseguridad en Chile, establece un marco regulatorio para la prevención, contención, resolución y reporte de incidentes de ciberseguridad, aplicable a entidades públicas y privadas que prestan servicios esenciales o que se someten al régimen de la ley.
Para aquellas organizaciones que no cumplan con sus disposiciones, la ley prevé sanciones económicas en unidades tributarias mensuales (UTM), que pueden alcanzar montos elevados dependiendo de la gravedad de la infracción.
En este artículo, explicamos de forma clara cuáles son las Multas de la Ley Marco de Ciberseguridad Chile, cómo se clasifican las infracciones, qué montos puede significar en pesos, qué factores influyen en su cálculo y qué pasos pueden tomar las empresas para evitar sanciones.
¿Qué multas contempla la Ley 21.663?
El artículo 40 de la Ley 21.663 regula sanciones por infracción a sus preceptos.
A continuación, se resume la escala de multas según el grado de la infracción, diferenciando también cuando se trata de un «operador de importancia vital» (OIV) que está sujeto a una doble escala en algunos casos.
| Grado de infracción | Multa máxima (servicio regulado normal) | Multa máxima (operador de importancia vital – OIV) |
|---|---|---|
| Leve | Hasta 5.000 UTM | Hasta 10.000 UTM |
| Grave | Hasta 10.000 UTM | Hasta 20.000 UTM |
| Gravísima | Hasta 20.000 UTM | Hasta 40.000 UTM |
Nota: UTM = Unidad Tributaria Mensual (ver sección siguiente para conversión aproximada a pesos).
Por tanto, las multas pueden ser realmente significativas para las organizaciones que incumplen los deberes de la ley.
¿Cuánto representa una UTM en pesos chilenos?
Para dimensionar los montos, conviene saber qué valor tiene una UTM actualmente. Según datos del 2025:
- En noviembre de 2025, 1 UTM ≈ $69.542 CLP.
- En meses anteriores, por ejemplo septiembre 2025: ≈ $69.265 CLP.Con ello, por ejemplo:
- Una multa de 5.000 UTM ≈ 5.000 × $69.542 = ≈ $347.710.000 CLP
- Una multa de 20.000 UTM ≈ 20.000 × $69.542 = ≈ $1.390.840.000 CLP
Estas estimaciones permiten a las empresas dimensionar el riesgo financiero de una sanción.
¿Qué tipifica como infracción?
Las infracciones pueden originarse por múltiples causas, tales como:
- No cumplir con los deberes generales de la ley: implementar medidas de seguridad, informar incidentes, reportar al CSIRT Nacional, entre otros.
- Incumplir los deberes específicos aplicables a los OIV: por ejemplo, no implementar un Sistema de Gestión de Seguridad de la Información (SGSI), no realizar auditorías, no contar con plan de continuidad, etc.
El grado de la infracción dependerá de: el daño potencial o real, la exposición del sujeto regulado, si es reiterada, si actuó con negligencia, etc. El artículo 40 detalla los criterios.
En la práctica, por ejemplo una entrega fuera de plazo de información requerida puede ser calificada de infracción leve, mientras que el ocultamiento de incidentes o el reporte falso puede calificarse de gravísima.
¿Quiénes están sujetos a las Multas de la Ley Marco de Ciberseguridad Chile?
No todas las empresas están reguladas por la ley en los mismos términos. Los principales sujetos son:
- Prestadores de Servicios Esenciales: entidades públicas o privadas que suministran servicios críticos para el funcionamiento del país.
- Operadores de Importancia Vital (OIV): aquellas organizaciones cuya interrupción, destrucción o afectación de redes/sistemas puede tener impacto significativo en la seguridad pública, economía, salud u orden público. Su calificación la realiza la Agencia Nacional de Ciberseguridad (ANCI).
Para una empresa de TI o que venda soluciones de ciberseguridad en Chile, es relevante identificar si está en el ámbito de la ley y si puede llegar a ser OIV, ya que el régimen sancionador es más severo.
Recomendaciones clave para evitar multas
Para minimizar el riesgo de sanciones bajo la Ley 21.663, se recomienda a las organizaciones:
- Realizar una evaluación de cumplimiento: identificar si está obligado por la ley, si es OIV o prestador de servicio esencial.
Implementar un Sistema de Gestión de Seguridad de la Información (SGSI), que incluya políticas, roles, controles, auditorías, revisión de vulnerabilidades y continuidad operativa. - Establecer procedimientos de alerta y reporte de incidentes, incluyendo cooperación con la ANCI o CSIRT Nacional, dentro de los plazos que la ley exige.
- Mantener evidencias y registros que demuestren que se adoptaron medidas preventivas: esto puede atenuar la sanción en caso de infracción.
- Capacitar al personal, realizar simulacros y auditorías periódicas: la diligencia importa para reducir la gravedad de la sanción.
- Contratar soluciones especializadas de ciberseguridad (por ejemplo, firewalls, monitoreo continuo, respuesta ante incidentes) que le permitan demostrar cumplimiento técnico y operativo.
La Ley Marco de Ciberseguridad (Ley 21.663) representa un hito en Chile en materia de regulación de la ciberseguridad. Para las empresas que entran en su ámbito, el riesgo de sanción es real y significativo: multas en miles de UTM que se traducen en cientos de millones a miles de millones de pesos si no se cumple.
Para quienes ofrecen soluciones TI, esta normativa crea una oportunidad de posicionamiento: ayudar a las organizaciones a cumplir, reducir riesgos y garantizar continuidad operativa. Deifinitvamente, la prevención es la mejor inversión.
