SBS refuerza normativa de seguridad en tarjetas de crédito y débito: estos son los nuevos cambios

A fines de junio, la Superintendencia de Banca, Seguros y AFP (SBS) aprobó diversas modificaciones al reglamento de tarjetas de crédito y débito. A través de la Resolución SBS N° 02286-2024, publicada en el diario oficial El Peruano, se hizo oficial las nuevas disposiciones para precisar la responsabilidad de las empresas en los procesos de autenticación de los usuarios y el consentimiento de operaciones, entre otras.

Uno de los cambios más significativos es que ahora los bancos tendrán que asumir las pérdidas por los procedimientos no reconocidos en los plásticos de los clientes, ya sea en forma de pago, transferencias y otras que no hayan sido efectuadas por los titulares. Para conocer los alcances de estas modificaciones a las reglas de ciberseguridad aplicables a las tarjetas de crédito y débito, La República conversó con Juan Ñahue, especialista en protección al consumidor.

SBS modifica reglamento de tarjetas de crédito y débito: ¿cuáles son los cambios?

Mediante la resolución N° 02286-2024, la SBS modificó el pasado viernes 28 de julio el Reglamento de tarjetas de crédito y débito, relacionadas a la gestión de la seguridad de la información y la Ciberseguridad, así como el Reglamento de Gestión de Conducta de Mercado del Sistema Financiero y el Reglamento de Reclamos y Requerimientos.

De acuerdo con Juan Ñahue, abogado especializado en Derecho Administrativo, Protección al Consumidor y Propiedad Intelectual, una de las razones que justifican los cambios planteados por la SBS "es el creciente aumento de los métodos de fraude y ciberataques, así como la necesidad de mejorar el sistema de seguridad e incrementar la confianza del público en el ámbito financiero".

A continuación, listamos las principales modificaciones:

• Se establecen nuevas medidas de seguridad con autenticación de dos factores que requiere que el usuario proporcione dos formas de identificación antes de completar una operación, lo que aumenta la seguridad de las transacciones.
• Para las operaciones con tarjeta presente, se requieren dos factores de seguridad. El primero es el chip o representación digital de la tarjeta, y el segundo puede ser un PIN u otro método aprobado por la SBS.
• Para operaciones con billeteras móviles de terceros basadas en la tokenización de tarjetas, deben ser verificadas mediante la tokenización de la tarjeta y un segundo factor distinto.
• Las empresas serán responsables por las pérdidas en operaciones no reconocidas sin autentificación reforzada, salvo prueba de la responsabilidad del usuario.

Bancos serán responsables por operaciones no reconocidas en tarjetas

Según la modificación del párrafo 20.3 del artículo 20 del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, las empresas deben asumir las pérdidas, a menos que acredite la responsabilidad del usuario. Esto es válido para las operaciones no autorizadas por los clientes a través de canales digitales, sin seguir la autenticación reforzada o después de que el usuario haya informado el robo o extravío de sus credenciales.

Para el abogado Juan Ñahue, este cambio incentiva a las entidades financieras a mejorar sus sistemas de seguridad y a implementar tecnologías más avanzadas para prevenir el fraude. De igual forma, brinda una mayor tranquilidad a los usuarios, quienes pueden sentirse más seguros al utilizar sus tarjetas sabiendo que están protegidos contra posibles engaños.

"Un sistema de seguridad reforzado evitará el fácil acceso a las cuentas bancarias de los usuarios, impidiendo los fraudes, robos cibernéticos y las pérdidas económicas", indicó.

Para la adecuación de las entidades financieras a estas modificaciones, el organismo regulador estableció plazos diferentes. En general, tienen hasta el 31 de diciembre de este año para hacerlo. Sin embargo, en el caso de la disposición sobre la responsabilidad por pérdidas en operaciones no reconocidas, no se aplicará hasta el 1 de julio de 2025.

"Cada entidad financiera es diferente, por lo tanto, los plazos establecidos permitirán a todas las entidades financieras implementar de manera óptima los sistemas de seguridad requeridos y seguir siendo efectivos. En este sentido, los plazos fijados son razonables, ya que el objetivo es que las entidades financieras puedan implementar de forma completa y fluida las medidas de seguridad.", sentenció Ñahue.