SBS: Bancos implementan dos factores de validación en tarjetas, ¿en qué casos?

Infobae Perú informó sobre los cambios que finalmente entran en vigencia con el uso de tarjetas de crédito y débito desde hoy 1 de julio en todo el país. Ahora la misma Superintendencia de Bancas, Seguros y AFP (SBS) ha detallado cuáles son estas operaciones exactamente, reconfirmó cuáles entran en vigencia hoy, y cuáles luego.

Así, los nuevos cambios se relacionan a la seguridad del dinero plástico y a cómo se valida la identidad de usuarios al realizar operaciones, con la tarjeta en físico (compras directas en establecimientos) y con los ‘datos’ de la tarjeta (compras en línea, etc.). Desde ahora, entre lo que destaca la SBS está lo siguiente:

• Para operaciones con tarjeta presente (que se realizan a través de un POS) se requerirán dos factores: el chip (o su representación digital) y clave secreta (PIN), para aquellas tarjetas que se emitan a partir del 1 de julio
• Para operaciones con tarjeta no presente (compras on line, por ejemplo), se requerirán también dos factores: los datos contenidos en la representación física o digital de la tarjeta y un código de verificación dinámico de la tarjeta u otro factor de similar naturaleza
• Para operaciones con billeteras móviles de terceros basadas en tokenización de tarjetas, la afiliación de la tarjeta para el uso debe ser autenticada mediante la propia tokenización de la tarjeta y un segundo factor de distinta naturaleza.

Usuarios verán estos cambios desde el 1 de julio

En sencillo, los cambios que verán los usuarios son el modo en que se valida su identidad en el uso de tarjetas, en los casos detallados por la SBS. Esto implica que habrá mayor seguridad y se buscará evitar casos de fraude o uso de tarjetas por terceros, para evitar las operaciones no reconocidas.

La Asociación Peruana de Consumidores y Usuarios (Aspec) lo explica también con ejemplos. Por un lado, aseguran que estos implica más segurida para los usuarios.

“Las empresas emisoras de tarjetas deben aplicar, por lo menos, ciertas medidas para proteger a los usuarios. Si una operación no puede validar un doble paso de seguridad (el llamado “segundo factor”), las empresas deben establecer reglas para aceptar o rechazar la operación, según el nivel de riesgo de fraude", sostienen.

Asímismo, da un ejemplo común en operaciones con las tarjetas: “Supongamos que tú deseas pagar en una tienda con tu tarjeta de crédito. Antes, solo bastaba usar la tarjeta y firmar o ingresar tu clave para pagar. Ahora, debido a las nuevas reglas, la empresa emisora de tu tarjeta debe aplicar medidas adicionales de seguridad”. Entre estas estarían las siguientes, según Aspec:

• Si la compra es muy grande o se realiza en un lugar inusual para ti, el sistema podría bloquear automáticamente la operación o pedirte que confirmes tu identidad usando un segundo método, como un código enviado a tu celular o una huella digital
• Si en una tienda no puedes validar ese doble paso porque, por ejemplo, la tecnología del terminal no lo permite, la empresa tendrá reglas para decidir si acepta o rechaza esa compra, basándose en el riesgo de fraude. Es decir, si esa operación parece sospechosa o no cumple con ciertos controles, probablemente la rechacen para protegerte.

Reforzaría la seguridad de la información

Asimismo, según afirma Aspec, las empresas deben usar técnicas avanzadas para proteger los datos de las tarjetas. “Esto significa que, en lugar de guardar y mostrar el número completo de la tarjeta, deben crear un código único (llamado “token”) mediante tecnología criptográfica. Esto ayuda a que, en caso de robo o hackeo, los ladrones no puedan acceder a información importante y dañina", agregan.

Así, en casos de una compra en línea usando tu tarjeta de crédito, antes, el comerciante o la empresa emisora podía guardar y mostrar tu número completo de tarjeta, lo que, en caso de que alguien ‘hackeara’ su sistema, podría permitirle robar esa información y usarla de manera fraudulenta.

Pero, según Aspec, con las nuevas reglas, en lugar de guardar tu número completo, la empresa crea un código especial y único llamado “token” usando técnicas de criptografía. “Este código actuará como una especie de alias o máscara de tu información real. Si los hackers logran acceder a esos datos, solo encontrarán el token, que no tiene sentido ni valor fuera del sistema, y no podrán usarlo para hacer compras o fraude”, afirman.

Sin embargo, según la comunicación de la SBS, para este caso de la ‘tokenización’ se ha ampliado el plazo hasta el 1 de abril de 2026 para que se implemente.