La digitalización de productos y servicios financieros ha traído importantes beneficios en términos de acceso y eficiencia para los usuarios y está contribuyendo de manera significativa en el proceso de inclusión financiera; sin embargo, también ha incrementado la exposición de las empresas a riesgos operacionales, como los fraudes y aquellos vinculados a la seguridad de la información. Como consecuencia de ello, y con el objetivo de garantizar un entorno más seguro para los usuarios, la Superintendencia de Banca, Seguros y AFP (SBS) ha venido reforzando, en los últimos años, sus normas en materia de seguridad de las transacciones con tarjetas de crédito y débito.

Así, mediante la Resolución SBS N.º2286-2024 del 24 de junio de 2024, la Superintendencia precisó cuáles son los factores de autenticación válidos en el marco de la aplicación de la autenticación reforzada, con la finalidad de identificar y recoger el consentimiento de los usuarios al momento de realizar operaciones con tarjetas.

Con ello, el marco legal de la SBS se alineó a prácticas y estándares internacionales, tales como la adopción del EMV 3D Secure, que permite verificar la identidad del usuario en línea de manera más robusta; y del EMV Tokenization, que reemplaza el número de tarjeta por identificadores únicos o “tokens” en los comercios electrónicos que almacenan este dato. Con estas medidas, se reduce significativamente el riesgo de fraude.

La Resolución N.º2286-2024 estableció un plazo para que las entidades financieras adecuen sus sistemas a los nuevos requerimientos normativos; y a partir del 1 de julio de este año, entraron en vigor las siguientes medidas:

• Para operaciones con tarjeta presente (que se realizan a través de un POS) se requerirán dos factores: el chip (o su representación digital) y clave secreta (PIN), sólo en aquellas tarjetas emitidas a partir del 1 de julio.
• Para operaciones con tarjeta no presente (las compras on line, por ejemplo), se requerirán dos factores: los datos contenidos en la representación física o digital de la tarjeta y un código de verificación dinámico de la tarjeta u otro factor verificable en línea y requerido al usuario en el marco del estándar EMV 3DS.
• Para operaciones con billeteras móviles de terceros (como Google Pay y Apple Pay, por ejemplo), basadas en la tokenización de tarjetas, la afiliación de la tarjeta, para el uso, debe ser autenticada mediante los factores descritos en el ítem precedente; y las operaciones subsiguientes se autenticarán con la propia tokenización de la tarjeta y un segundo factor de distinta naturaleza.

Además de las medidas mencionadas, el próximo año entrarán en vigor otras incluidas en dicha resolución.

Mediante Resolución SBS N.°02220-2025, publicada el pasado 25 de junio, la SBS amplió el plazo, hasta el 1 de abril de 2026, para que las entidades financieras culminen la implementación de seguridad con tarjetas de crédito y débito en dos aspectos específicos: la implementación del segundo factor de autenticación (PIN) en operaciones con tarjetas de crédito presente emitidas antes del 1 de julio de 2025; y la habilitación del EMV Tokenization para reemplazar los datos de la tarjeta por un identificador único generado mediante técnicas criptográficas, para operaciones realizadas en plataformas de terceros, tales como comercios electrónicos que, por la naturaleza de sus operaciones, almacenan datos de tarjetas.

Las entidades financieras ya están emitiendo las nuevas tarjetas de crédito -y reemplazando gradualmente el parque- para aplicar los nuevos estándares de seguridad; no obstante, para el caso de las tarjetas emitidas antes del 1 de julio de 2025, que no cuenten con el PIN como segundo factor de autenticación, para operaciones con tarjeta presente, a partir del 1 de abril de 2026, las empresas asumirán la responsabilidad por la falta de implementación de este segundo factor, salvo acredite la responsabilidad del usuario.