SBS da mayor plazo a bancos para asumir pérdidas de operaciones no reconocidas por usuarios

La Superintendencia de Banca, Seguros y AFP (SBS) ha publicado la resolución SBS Nº 02220-2025, la cual cambia el plazo dado inicialmente a las empresas del sistema financiero sobre medidas aprobadas por esta entidad en 2024 con respecto al uso de tarjetas de crédito y débito.

Se trata de la Resolución SBS N° 2286-2024, la cual señala que desde este martes 1 de julio de 2025 los bancos y empresas financieras serían responsables de las pérdidas en operaciones no reconocidas en las tarjetas de los usuarios, así como se deberían haber estaclebido medidas para operaciones en que no se valide los dos factores de auntenticación.

Ahora los plazos para ambas medidas empezarán el 1 abril de 2026, nueves meses luego, dado que la SBS pudo identificar que las empresas requerían un mayor plazo para cumplir con las adecuaciones dado el avance insuficiente en la implementación.

Operaciones no reconocidas las asumirá el banco

Como se recuerda, la SBS había dado la norma anterior dado que consideraba necesario modificar el marco normativo actual para “precisar la responsabilidad de las empresas en los procedimientos de validación de identidad de los usuarios y la obtención su consentimiento al momento de realizar operaciones, ante casos de operaciones no reconocidas y de aquellas que fueron procesadas sin requerir autenticación reforzada”.

Es decir, que se detallaba lo que deben cumplir los bancos en términos del proceso validación de la identidad de sus usuarios que usen tarjetas de crédito y débito y de cómo obtienen consentimiento al realizar operaciones. Pero esto sobre todo en casos cuando se dan caso de operaciones no reconocidas por el usuario.

Para esto, se aprobó que la responsabilidad por pérdidas en operaciones no reconocidas en tarjetas era de la empresa financiera (bancos y más) a menos que se acreditara la responsabilidad del usuario. Pero esto aplicará para las “operaciones realizadas sin el empleo de un segundo factor de autenticación”.

Es decir, que el banco debería implementar estas medidas se seguridad, al 1 de julio de 2025. Sin embargo, para lo que implique las operaciones no reconocidas sin el uso de estos dos factores de autenticación, y las medidas que vienen con respecto a estos casos en que no haya autenticación, los bancos aún tienen hasta el 1 de abril de 2026 para implementarlas.

“Para operaciones en que no se valide el segundo factor por limitaciones fuera de su control, la empresa debe establecer reglas de aceptación o rechazo, en función al nivel de riesgo de fraude, según el sistema de monitoreo de transacciones (...) Dichas limitaciones pueden estar asociadas al terminal de atención, las prácticas del comercio o la tecnología utilizada por el usuario”, aclara la norma.

La nueva medida de seguridad

Desde la resolución SBS N° 2286-2024, ahora los bancos y empresas financieras deberán realizar el proceso de autenticación del usuario para efectuar operaciones con tarjetas de acuerdo al artículo 19 del Reglamento de Ciberseguridad, por medio de factores de autenticación.

Estos son “aquellos factores empleados para verificar la identidad de un usuario, que pueden corresponder a las siguientes categorías: algo que solo el usuario conoce, algo que solo el usuario posee o algo que el usuario es, que incluye las características biométricas”.

Así, se dictó lo siguiente, que aplicaría desde este 1 de julio de 2025:

• 7.1 Para operaciones con tarjeta presente se requieren dos factores, donde el primero es el chip de la tarjeta o su representación digital. El segundo factor puede ser una clave secreta (PIN) u otro que establezca la Superintendencia
• 7.2 Para operaciones con tarjeta no presente se requieren dos factores, donde el primero son los datos contenidos en la representación física o digital de la tarjeta. El segundo factor puede ser un código de verificación dinámico de la tarjeta u otro factor verificable en línea requerido al usuario en el marco del estándar EMV 3DS, salvo los casos de exención previstos en el artículo 20 del Reglamento de Ciberseguridad
• 7.3 Para operaciones con billeteras móviles de terceros basadas en tokenización de tarjetas, la afiliación de la tarjeta para el uso de este servicio conforme al numeral 7.2 y las operaciones subsiguientes que se realicen deben ser autenticadas mediante la tokenización de la tarjeta y un segundo factor de distinta naturaleza
• 7.4 El control requerido en el literal b) del artículo 19 el Reglamento de Ciberseguridad, ante ataques de hombre en el medio, es satisfecho mediante la adopción de los estándares EMV 3DS y EMV Tokenization para los numerales 7.2 y 7.3 del presente artículo, según corresponda.