La Superintendencia de Banca, Seguros y AFP (SBS) ha publicado la resolución SBS Nº 02220-2025, la cual cambia el plazo dado inicialmente a las empresas del sistema financiero sobre medidas aprobadas por esta entidad en 2024 con respecto al uso de tarjetas de crédito y débito.
Se trata de la Resolución SBS N° 2286-2024, la cual señala que desde este martes 1 de julio de 2025 los bancos y empresas financieras serían responsables de las pérdidas en operaciones no reconocidas en las tarjetas de los usuarios, así como se deberían haber estaclebido medidas para operaciones en que no se valide los dos factores de auntenticación.
Ahora los plazos para ambas medidas empezarán el 1 abril de 2026, nueves meses luego, dado que la SBS pudo identificar que las empresas requerían un mayor plazo para cumplir con las adecuaciones dado el avance insuficiente en la implementación.
Operaciones no reconocidas las asumirá el banco
Como se recuerda, la SBS había dado la norma anterior dado que consideraba necesario modificar el marco normativo actual para “precisar la responsabilidad de las empresas en los procedimientos de validación de identidad de los usuarios y la obtención su consentimiento al momento de realizar operaciones, ante casos de operaciones no reconocidas y de aquellas que fueron procesadas sin requerir autenticación reforzada”.
Es decir, que se detallaba lo que deben cumplir los bancos en términos del proceso validación de la identidad de sus usuarios que usen tarjetas de crédito y débito y de cómo obtienen consentimiento al realizar operaciones. Pero esto sobre todo en casos cuando se dan caso de operaciones no reconocidas por el usuario.
Para esto, se aprobó que la responsabilidad por pérdidas en operaciones no reconocidas en tarjetas era de la empresa financiera (bancos y más) a menos que se acreditara la responsabilidad del usuario. Pero esto aplicará para las “operaciones realizadas sin el empleo de un segundo factor de autenticación”.
Es decir, que el banco debería implementar estas medidas se seguridad, al 1 de julio de 2025. Sin embargo, para lo que implique las operaciones no reconocidas sin el uso de estos dos factores de autenticación, y las medidas que vienen con respecto a estos casos en que no haya autenticación, los bancos aún tienen hasta el 1 de abril de 2026 para implementarlas.
“Para operaciones en que no se valide el segundo factor por limitaciones fuera de su control, la empresa debe establecer reglas de aceptación o rechazo, en función al nivel de riesgo de fraude, según el sistema de monitoreo de transacciones (...) Dichas limitaciones pueden estar asociadas al terminal de atención, las prácticas del comercio o la tecnología utilizada por el usuario”, aclara la norma.
La nueva medida de seguridad
Desde la resolución SBS N° 2286-2024, ahora los bancos y empresas financieras deberán realizar el proceso de autenticación del usuario para efectuar operaciones con tarjetas de acuerdo al artículo 19 del Reglamento de Ciberseguridad, por medio de factores de autenticación.
Estos son “aquellos factores empleados para verificar la identidad de un usuario, que pueden corresponder a las siguientes categorías: algo que solo el usuario conoce, algo que solo el usuario posee o algo que el usuario es, que incluye las características biométricas”.
Así, se dictó lo siguiente, que aplicaría desde este 1 de julio de 2025:
- 7.1 Para operaciones con tarjeta presente se requieren dos factores, donde el primero es el chip de la tarjeta o su representación digital. El segundo factor puede ser una clave secreta (PIN) u otro que establezca la Superintendencia
- 7.2 Para operaciones con tarjeta no presente se requieren dos factores, donde el primero son los datos contenidos en la representación física o digital de la tarjeta. El segundo factor puede ser un código de verificación dinámico de la tarjeta u otro factor verificable en línea requerido al usuario en el marco del estándar EMV 3DS, salvo los casos de exención previstos en el artículo 20 del Reglamento de Ciberseguridad
- 7.3 Para operaciones con billeteras móviles de terceros basadas en tokenización de tarjetas, la afiliación de la tarjeta para el uso de este servicio conforme al numeral 7.2 y las operaciones subsiguientes que se realicen deben ser autenticadas mediante la tokenización de la tarjeta y un segundo factor de distinta naturaleza
- 7.4 El control requerido en el literal b) del artículo 19 el Reglamento de Ciberseguridad, ante ataques de hombre en el medio, es satisfecho mediante la adopción de los estándares EMV 3DS y EMV Tokenization para los numerales 7.2 y 7.3 del presente artículo, según corresponda.
Más Noticias
Examen de admisión UNSA Arequipa: link para ver los resultados del Ordinario II Fase 2026
El proceso de selección congregó a más de diecisiete mil jóvenes que buscaron ocupar las vacantes ampliadas en la casa de estudios, en medio de advertencias sobre posibles estafas y medidas de control estrictas
BCP ajusta a la baja expectativa de crecimiento de Perú para 2026: ahora prevé 3,2%, ¿por qué?
El Banco de Crédito del Perú anticipó el recorte de su proyección para 2026 tras un primer trimestre marcado por El Niño y la emergencia de Camisea más que por factores externos
SUNAFIL: Empresas enfrentan multas de hasta 143.660 soles por no pagar utilidades, ¿cuánto le toca a cada giro?
El pago de utilidades es un derecho laboral en Perú y su porcentaje varía según el sector económico de la empresa, precisó la superintendencia. ¿Hasta qué día se abona?
Un programa de la UE ha puesto los puntos sobre las íes para cerca de 4.000 mipymes peruanas
La regulación sobre productos libres de deforestación obliga a las mipymes de Perú a optimizar procesos y adoptar nuevas normas de calidad, según la organización del AL-INVEST Verde
You Salsa responde a Sergio George por asegurar que la salsa no está organizada: “Está equivocado”
La agrupación de salsa se pronunció ante las declaraciones del productor que aseguró que la cumbia ‘funciona mejor’
