La Superintendencia de Banca, Seguros y AFP (SBS) ha publicado la resolución SBS Nº 02220-2025, la cual cambia el plazo dado inicialmente a las empresas del sistema financiero sobre medidas aprobadas por esta entidad en 2024 con respecto al uso de tarjetas de crédito y débito.
Se trata de la Resolución SBS N° 2286-2024, la cual señala que desde este martes 1 de julio de 2025 los bancos y empresas financieras serían responsables de las pérdidas en operaciones no reconocidas en las tarjetas de los usuarios, así como se deberían haber estaclebido medidas para operaciones en que no se valide los dos factores de auntenticación.
Ahora los plazos para ambas medidas empezarán el 1 abril de 2026, nueves meses luego, dado que la SBS pudo identificar que las empresas requerían un mayor plazo para cumplir con las adecuaciones dado el avance insuficiente en la implementación.
Operaciones no reconocidas las asumirá el banco
Como se recuerda, la SBS había dado la norma anterior dado que consideraba necesario modificar el marco normativo actual para “precisar la responsabilidad de las empresas en los procedimientos de validación de identidad de los usuarios y la obtención su consentimiento al momento de realizar operaciones, ante casos de operaciones no reconocidas y de aquellas que fueron procesadas sin requerir autenticación reforzada”.
Es decir, que se detallaba lo que deben cumplir los bancos en términos del proceso validación de la identidad de sus usuarios que usen tarjetas de crédito y débito y de cómo obtienen consentimiento al realizar operaciones. Pero esto sobre todo en casos cuando se dan caso de operaciones no reconocidas por el usuario.
Para esto, se aprobó que la responsabilidad por pérdidas en operaciones no reconocidas en tarjetas era de la empresa financiera (bancos y más) a menos que se acreditara la responsabilidad del usuario. Pero esto aplicará para las “operaciones realizadas sin el empleo de un segundo factor de autenticación”.
Es decir, que el banco debería implementar estas medidas se seguridad, al 1 de julio de 2025. Sin embargo, para lo que implique las operaciones no reconocidas sin el uso de estos dos factores de autenticación, y las medidas que vienen con respecto a estos casos en que no haya autenticación, los bancos aún tienen hasta el 1 de abril de 2026 para implementarlas.
“Para operaciones en que no se valide el segundo factor por limitaciones fuera de su control, la empresa debe establecer reglas de aceptación o rechazo, en función al nivel de riesgo de fraude, según el sistema de monitoreo de transacciones (...) Dichas limitaciones pueden estar asociadas al terminal de atención, las prácticas del comercio o la tecnología utilizada por el usuario”, aclara la norma.
La nueva medida de seguridad
Desde la resolución SBS N° 2286-2024, ahora los bancos y empresas financieras deberán realizar el proceso de autenticación del usuario para efectuar operaciones con tarjetas de acuerdo al artículo 19 del Reglamento de Ciberseguridad, por medio de factores de autenticación.
Estos son “aquellos factores empleados para verificar la identidad de un usuario, que pueden corresponder a las siguientes categorías: algo que solo el usuario conoce, algo que solo el usuario posee o algo que el usuario es, que incluye las características biométricas”.
Así, se dictó lo siguiente, que aplicaría desde este 1 de julio de 2025:
- 7.1 Para operaciones con tarjeta presente se requieren dos factores, donde el primero es el chip de la tarjeta o su representación digital. El segundo factor puede ser una clave secreta (PIN) u otro que establezca la Superintendencia
- 7.2 Para operaciones con tarjeta no presente se requieren dos factores, donde el primero son los datos contenidos en la representación física o digital de la tarjeta. El segundo factor puede ser un código de verificación dinámico de la tarjeta u otro factor verificable en línea requerido al usuario en el marco del estándar EMV 3DS, salvo los casos de exención previstos en el artículo 20 del Reglamento de Ciberseguridad
- 7.3 Para operaciones con billeteras móviles de terceros basadas en tokenización de tarjetas, la afiliación de la tarjeta para el uso de este servicio conforme al numeral 7.2 y las operaciones subsiguientes que se realicen deben ser autenticadas mediante la tokenización de la tarjeta y un segundo factor de distinta naturaleza
- 7.4 El control requerido en el literal b) del artículo 19 el Reglamento de Ciberseguridad, ante ataques de hombre en el medio, es satisfecho mediante la adopción de los estándares EMV 3DS y EMV Tokenization para los numerales 7.2 y 7.3 del presente artículo, según corresponda.
Más Noticias
Candidato de Renovación Popular atropelló a dos personas en un mismo año: una anciana murió y otra víctima sigue con secuelas
Cuarto Poder reveló que José Gallo, empresario y aspirante a diputado por Áncash, acumula dos sentencias por delitos culposos tras protagonizar accidentes de tránsito en 1999, uno de ellos con saldo fatal
Mano Menezes explica los motivos detrás del llamado de Jairo Vélez a la selección peruana: “Es un jugador que piensa”
El seleccionador nacional se deshizo en elogios por el volante de Alianza Lima, a quien le asignará un rol relevante y protagónico en la creación del equipo. “Encuentra soluciones para jugadas más importantes”, destacó
Investigan presunta invasión en Machu Picchu tras ingreso de unas 50 personas a terreno dentro del polígono del santuario histórico
La intervención se realiza en coordinación con el Ministerio Público para determinar si existe ocupación ilegal de un terreno que presuntamente pertenece al Estado
Conoce el pronóstico del clima de la ciudad de Ayacucho
Conocida como “la ciudad de las iglesias” Ayacucho es popular a nivel nacional por su gran valor histórico y cultural
Andrés Hurtado seguirá en la cárcel 18 meses más: PJ declara fundada ampliación de prisión preventiva contra ‘Chibolín’
El Juzgado dispuso que el conductor permanezca en prisión hasta septiembre de 2027, tras considerar que existen riesgos de fuga
