Situación actual

Los canales digitales han cobrado mayor relevancia en los últimos años, sobre todo en tiempos de pandemia, dado que permiten realizar transacciones y/o consultas sin necesidad de acercarse físicamente a las instalaciones de las entidades. Durante el 2020, más de dos tercios de los peruanos incrementaron el uso de aplicaciones digitales para realizar transacciones bancarias; y en 2021 y lo que va del 2022, ello ha seguido una tendencia creciente y más acelerada.

Número de operaciones según canal (bancos y financieras)

Fuente: Asociación de Bancos del Perú (Asbanc)

No obstante, esta situación conlleva a que los usuarios estén más expuestos a riesgos operacionales, entre los que se encuentran los fraudes y aquellos asociados a seguridad de la información. De acuerdo con la información recibida mediante la Central de Pérdidas por Riesgo Operacional (CPRO)[1], base de datos que registra las principales pérdidas asumidas por las entidades participantes, las pérdidas de las entidades del sistema financiero por fraudes externos están migrando hacia los canales no presenciales. En particular, en el 2020 se observó un incremento, respecto al año previo, en el monto de pérdidas registradas por suplantación, y por compras y transferencias fraudulentas en canales no presenciales.

Monto de pérdidas por fraude externo – banca minorista (Millones de S/)

Fuente: Central de Pérdida por Riesgo Operacional (CPRO)

Adicionalmente, a partir del año 2020, la proporción de operaciones no reconocidas con tarjeta de crédito, efectuadas en canales no presenciales, representaron más de dos tercios del total de este tipo de operaciones, alcanzando el 76% de operaciones no reconocidas con tarjetas de crédito en el año 2021. Cabe señalar que la relación entre el monto total de operaciones no reconocidas con tarjeta de crédito y el monto total de operaciones realizadas con dicho medio de pago por canales no presenciales, en el 2020 y 2021, representó el 0.4%.

Evolución de operaciones no reconocidas con TC por canales presenciales vs no presenciales

Fuente: Reporte de operaciones no reconocidas

Finalmente, el 17% del total de reclamos recibidos en 2021, por parte de las empresas del sistema financiero, están relacionados a operaciones no reconocidas por los usuarios, los que también han reportado un incremento relativo con respecto a la totalidad de reclamos en los últimos años.

En este contexto, y con el objetivo de reducir y mitigar estos riesgos, la Superintendencia de Banca, Seguros y AFP (SBS), mediante Resolución N° 504-2021 de febrero de 2021, aprobó el Reglamento para la gestión de la seguridad de la información y la ciberseguridad, cuyo subcapítulo sobre autenticación concluyó su plazo para adecuaciones el 30 de junio de 2022 y entró en vigencia el pasado 1 de julio.

Es preciso indicar que este subcapítulo es exigible a las entidades supervisadas que pertenecen al régimen general[2], así como a aquellas del régimen simplificado que provean operaciones en canales digitales que podrían generar perjuicio para los usuarios. Cabe señalar que, los canales digitales que se encuentran en alcance de este Reglamento son, principalmente, los aplicativos móviles, la banca por internet, las billeteras digitales, los cajeros automáticos (ATM) y los terminales de punto de venta (POS); así como las operaciones de comercio electrónico que utilicen instrumentos de pago provistos por las entidades.

Requisitos exigibles en el Reglamento

Considerando que el enrolamiento es un requisito para que un usuario pueda autenticarse en algún canal digital, en el artículo 18 del Reglamento se incluyeron requerimientos mínimos que aplican a este proceso. En particular, se requiere la verificación de la identidad del usuario y que se implementen las medidas necesarias para reducir la posibilidad de suplantación de identidad, lo que comprende el uso de dos factores de autenticación independientes de categorías diferentes. También, se exige a las entidades supervisadas que gestionen el ciclo de vida de las credenciales, asegurando su confidencialidad e integridad a lo largo de todo el ciclo.

Respecto a la autenticación per se, el Reglamento exige que las entidades supervisadas evalúen y tomen medidas, respecto al o los factores que serán requeridos para autenticar a los usuarios; ello con el propósito de controlar el acceso a los servicios provistos a través de canales digitales. Asimismo, previo a implementar los procesos de autenticación, se debe definir una línea base de controles de seguridad de la información que permita prevenir las amenazas a las que se encuentre expuesto el proceso de autenticación. Entre estos controles, se incluye el número de intentos fallidos de autenticación, la prevención de ataques de interceptación y la manipulación de mensajes.

En este sentido, de acuerdo con la evaluación descrita en el párrafo previo, se deben determinar las operaciones que requieren autenticación reforzada, debido a que pueden originar operaciones fraudulentas u otro abuso del servicio en perjuicio del cliente; entre estas operaciones se encuentran los pagos, las transferencias de fondos a terceros y la contratación de un producto o servicio a través de canales digitales. Ante estos casos, el artículo 19 del Reglamento exige que se utilice una combinación de factores de autenticación que correspondan, por lo menos, a dos categorías distintas y que sean independientes uno del otro. Para reutilizar un factor de autenticación, al realizar una operación que requiere autenticación reforzada, luego del ingreso al canal digital, la entidad debe asegurarse de contar con la línea base de controles de seguridad descrita previamente.

De la misma manera, el Reglamento requiere que cuando una operación sea exitosa, se notifique al usuario los datos de esta operación. Con esta notificación, el usuario dispone de información sobre las operaciones efectuadas y puede tomar conocimiento oportuno de aquellas efectuadas de forma fraudulenta, a fin de repudiarlas ante la entidad supervisada y que se tomen acciones para evitar la ocurrencia de nuevas operaciones fraudulentas. Cabe señalar que se pueden emplear mecanismos de notificación alternativos al correo electrónico o mensajes de texto (SMS), siempre que se logre similar propósito al requerido por la normativa para proteger al usuario.

Proceso de autenticación

Es importante señalar que, en el artículo 20 del Reglamento, se describe una serie de exenciones a la autenticación reforzada, entre las cuales se encuentran las operaciones de pago hacia un beneficiario de confianza, o a cuentas en las que el cliente y el beneficiario sean la misma persona y en la misma empresa. Asimismo, pueden exceptuarse operaciones que presenten un nivel de riesgo de fraude bajo, para lo cual se debe definir el monto de umbral por debajo del cual aplicará la exención y medir periódicamente la ratio de fraude, entre otros requisitos. No obstante, en caso el usuario no reconozca este tipo de operaciones realizadas sin autenticación reforzada, las entidades supervisadas tienen la obligación de asumir la responsabilidad de sus efectos, para lo cual deben implementar mecanismos que, ante el repudio de operaciones por parte del usuario, garanticen su aplicación inmediata.

Adicionalmente, es mandatorio que las operaciones que se realizan a través de canales digitales se encuentren en el alcance del monitoreo de transacciones, a fin de que se tomen medidas para reducir la posibilidad de operaciones fraudulentas.

Consideraciones sobre los factores de autenticación a utilizar

El Reglamento describe tres categorías de factores de autenticación: algo que solo el usuario conoce, algo que solo el usuario posee y algo que el usuario es. Respecto a la primera categoría, entre los factores a considerar se encuentran una contraseña o un pin. Al respecto, el número de documento nacional de identidad (DNI) no constituye un factor de autenticación de conocimiento admisible; y, en caso se desee utilizar el reconocimiento estructural del DNI como factor de autenticación que sólo el usuario posee, la entidad debe contar con evidencia de la razonabilidad para su uso y de su alto ratio de éxito en autenticación. Por su parte, el CVV, número de tarjeta, nombre del titular y fecha de vencimiento, cuando estén contenidos en la tarjeta, constituyen un único factor de autenticación que demuestra la posesión de esta; debiendo complementarse con otro factor para su aplicación en una autenticación reforzada.

Asimismo, la contraseña de un solo uso (OTP), enviada a través de mensaje SMS, no es considerado como un factor de autenticación válido, dado que su transmisión no es segura y expone a los usuarios a incidentes de seguridad de la información. En este sentido, entre las alternativas seguras que pueden considerarse como un factor de autenticación de posesión son notificaciones push y tokens digitales, para demostrar la posesión de dispositivos previamente registrados. Por otro lado, para el uso de factores de autenticación biométricos, como el escaneo de la huella digital o del rostro, las entidades deben prever el uso de tecnologías con alto ratio de fiabilidad, donde se minimicen falsos positivos y falsos negativos.

Finalmente, la SBS reitera su compromiso para proveer el marco regulatorio que promueva la provisión de servicios por canales digitales de manera segura, así como que contribuya a mejorar la confianza del usuario respecto al uso de estos y permita avanzar en la inclusión financiera de los peruanos.