Operaciones con tarjetas de crédito y débito cambian desde el 1 de julio: Así validarán los pagos ahora

Este martes 1 de julio empieza a correr el nuevo cambio en el uso de tarjetas de crédito y débito de bancos y otras entidades financieras: específicamente, en cómo se autentica al usuario y se autoriza al pago con el ‘dinero plástico’.

En julio de 2024, la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS) había publicado la Resolución SBS N° 2286-2024, dado que consideraba necesario modificar el marco normativo actual para “precisar la responsabilidad de las empresas en los procedimientos de validación de identidad de los usuarios y la obtención su consentimiento al momento de realizar operaciones, ante casos de operaciones no reconocidas y de aquellas que fueron procesadas sin requerir autenticación reforzada”.

En el marco de esto, se han dado nuevas normas para asegurar la seguridad de las operaciones con tarjetas de crédito y débito, con tarjeta presente (cuando interactua con un dispositivo, como el POS), o sin ella (como compras digitales, donde solo se ponen los datos). Por eso, desde el 1 de julio los bancos deberán asegurar que a los clientes se les pida dos factores de autenticación para validar las operaciones digitales que realicen. Las operaciones en “físico” ya deberían tener estos dos factores implementados.

Desde el 1 de julio las empresas financieras en el país deberán asegurar que “el proceso de autenticación del usuario para efectuar operaciones con tarjetas” se realice según lo establecido en el artículo 19 del Reglamento de Ciberseguridad y mediante los factores categorizados en el literal j) del artículo 2 del dicho reglamento.

Es decir, que se requiere de autenticación reforzada “para aquellas acciones que puedan originar operaciones fraudulentas u otro abuso del servicio en perjuicio del cliente”. Esto se daría en base a factores de autenticación de usuario —aquellos factores empleados para verificar la identidad de un usuario, que pueden ser algo que solo el usuario conoce, algo que solo el usuario posee o algo que el usuario es (que incluye las características biométricas)—.

Así, se requerirá utilizar una combinación de factores de autenticación, que, por lo menos, correspondan a dos categorías distintas y que sean independientes uno del otro. Esto ya se suele hacer en operaciones con la tarjeta física, ingresando una clave o PIN. Sin embargo, en cierto momento se prescindía de esto y solo se pasaba la tarjeta para validar pagos.

Ahora serán necesarios dos factores de autenticación en los siguientes casos:

• Para operaciones con tarjeta presente se requieren dos factores, donde el primero es el chip de la tarjeta o su representación digital. El segundo factor puede ser una clave secreta (PIN) u otro que establezca la Superintendencia. Este es el numeral 7.1 ya vigente. Por este se rigen los siguientes
• Para operaciones con tarjeta no presente se requieren dos factores, donde el primero son los datos contenidos en la representación física o digital de la tarjeta. El segundo factor puede ser un código de verificación dinámico de la tarjeta u otro factor verificable en línea requerido al usuario. En este caso para las tarjetas emitidas desde el 01 de julio de 2025 inclusive, la empresa debe aplicar la doble autenticación
• Pero en el caso de uso de tarjetas no presente, con respecto las tarjetas emitidas antes del 01 de julio de 2025 y que aún sigan vigentes luego de dicha fecha, los bancos debe autenticar al usuario como máximo a partir de su renovación
• Para operaciones con billeteras móviles de terceros basadas en tokenización de tarjetas, la afiliación de la tarjeta para el uso de este servicio conforme al apartado anterior, y las operaciones subsiguientes que se realicen deben ser autenticadas mediante la tokenización de la tarjeta y un segundo factor de distinta naturaleza también desde el 1 de julio
• Para la operación con tarjeta de crédito adicional en la modalidad de tarjeta no presente, a partir del 01 de diciembre de 2025, la empresa debe autenticar al usuario conforme a lo señalado, independientemente de la fecha de emisión de la tarjeta.

Sin embargo, para la responsabilidad por pérdidas en operaciones no reconocidas, desde el 01 de abril de 2026, la empresa será responsable de las pérdidas en operaciones no reconocidas —salvo que acredite la responsabilidad del usuario— solo en casos de uso de tarjetas no presentes (operaciones digitales), con respecto las tarjetas emitidas antes del 01 de julio de 2025.

Las operaciones con tarjeta no presente son aquellas donde el instrumento de pago (tarjeta) no interactúa directamente con el dispositivo de captura de información.

Por un lado, las operaciones con tarjeta presente se dan cuando uno compra en un establecimiento y usa la tarjeta para pagar en un sistema POS, ya sea ingresando la tarjeta o con el chip que se detecta solo poniéndolo encima. Pero las operaciones con tarjeta no presente incluyen compras en línea o por teléfono, donde solo se ingresan los datos de la tarjeta.