SBS aplazó “tokenización” de datos de tarjetas en operaciones y Aspec expresa preocupación

Desde el pasado martes 1 de julio, diversas nuevas medidas en seguridad aprobadas por resolución de la Superintendencia de Bancas, Seguros y AFP (SBS) han entrado en vigencia. Estas involucran que las operaciones con tarjeta presente (que se realizan a través de un POS) requerirán dos factores de identificación: el chip (o su representación digital) y clave secreta (PIN), para aquellas tarjetas que se emitan a partir del 1 de julio.

Asimismo, para operaciones con tarjeta no presente (las compras on line, por ejemplo), se requerirán también de dos factores: los datos contenidos en la representación física o digital de la tarjeta y un código de verificación dinámico de la tarjeta u otro factor de similar naturaleza.

Sin embargo, una de las medidas que iba a entrar en vigencia este 1 de julio ha sido aplazada hasta el 1 de abril de 2026 y ha generado la preocupación de Asociación Peruana de Consumidores y Usuarios (Aspec), dado que se trataba de una medida que daría mayor seguridad a la información de los consumidores.

Según explicó Aspec, ahora las empresas deben usar técnicas avanzadas para proteger los datos de las tarjetas. Entre las medidas contempladas por la SBS las empresas había una que significaba que “en lugar de guardar y mostrar el número completo de la tarjeta, deben crear un código único (llamado “token”) mediante tecnología criptográfica. Esto ayuda a que, en caso de robo o hackeo, los ladrones no puedan acceder a información importante y dañina”.

“Imagina que tú haces una compra en línea usando tu tarjeta de crédito. Antes, el comerciante o la empresa emisora podía guardar y mostrar tu número completo de tarjeta, lo que, en caso de que alguien hackeara su sistema, podría permitirle robar esa información y usarla de manera fraudulenta”, señala Aspec.

Pero ahora, con las nuevas reglas , “en lugar de guardar tu número completo, la empresa crea un código especial y único llamado ‘token’ usando técnicas de criptografía. Este código actúa como una especie de alias o máscara de tu información real. Si los hackers logran acceder a esos datos, solo encontrarán el token, que no tiene sentido ni valor fuera del sistema, y no podrán usarlo para hacer compras o fraude”.

Pero para Aspec genera gran preocupación que esta medida, que iba a aplicarse ya este 1 de julio, haya sido aplazada hasta abril del 2026.

“Este cambio resulta inexplicable, ya que las normas contenidas en la resolución original estaban diseñadas para fortalecer la seguridad de los usuarios y reducir los riesgos de fraudes financieros en las transacciones con tarjetas de crédito y débito”, opinan. Entre las medidas que debían implementarse desde el 1 de julio, estaban:

• La obligatoriedad a las entidades financieras de aplicar un doble paso de seguridad (“segundo factor”) en las operaciones, para verificar la identidad del usuario y prevenir operaciones no autorizadas
• La creación de un código único, denominado “token”, que reemplaza los datos completos de la tarjeta, aumentando la protección de la información del usuario ante posibles ataques cibernéticos.

“Resulta sorprendente y preocupante que estas medidas importantes, que ya estaban a punto de implementarse, hayan sido aplazadas por un año sin una explicación clara y convincente. Más aun teniendo en cuenta que la SBS ya había concedido a las empresas financieras un año de plazo, desde julio 2024, para ejecutarlas” afirmó Crisólogo Cáceres, Presidente de Aspec.

Por eso, para la Aspec, la prórroga genera incertidumbre y podría retrasar la implementación de medidas que incrementan la confianza en los sistemas financieros, sobre todo en un momento donde la digitalización y el comercio electrónico están en auge, mientras la inseguridad digital también se hace cada vez más presente.