La Superintendencia de Banca, Seguros y AFP (SBS) modificó el reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad a fin de precisar las responsabilidades de las empresas en la realización de operaciones y las validaciones necesarias para corroborar la identidad de cada tarjetahabiente.
Así, el regulador especifica que las entidades financieras serán responsables de las pérdidas provenientes de operaciones con tarjeta de crédito o débito no reconocidas por el cliente, efectuadas por canal digital y sin cumplir con un mecanismo de autenticación reforzada (doble verificación).
Sin embargo, si el banco acredita la responsabilidad del usuario en dicha transacción no reconocida podrá librarse de asumir este daño, advierte la norma.
LEA TAMBIÉN BCRP: Este sería el instrumento más seguro para evitar ciberataques
En el 2023, las operaciones no reconocidas lideraron la lista de reclamos más frecuentes al sistema financiero, entre ellas, los retiros de las cuentas del titular y consumos de tarjeta de crédito no reconocidos.
Con estos cambios, la SBS no solo está precisando la responsabilidad de la banca en el caso de operaciones no reconocidas con tarjetas de débito o crédito, sino que aclara una causa de exención de esta obligación, comentó a Gestión Maria del Carmen Yuta, asociada en Vodanovic.
Se ha registrado un elevado número de fraudes con tarjetas en el último año, pero también hubo varios casos de autofraude en los que el usuario desconoce transacciones que sí realizó con el fin de engañar a su entidad financiera o donde simplemente hubo una imprudencia del cliente, sostuvo.
El decreto precisa que el banco sigue asumiendo las pérdidas en dichos casos, como indica la norma previa, con la salvedad de que si demuestran responsabilidad del cliente pueden librarse de esta obligación, acotó.
Asimismo, Yuta comenta que bajo un nuevo escenario de uso intensivo en tecnología, se realizaron modificaciones a las normas de conducta de mercado para detallar que es responsabilidad de las entidades financieras la validación de identidad de los usuarios y la obtención su consentimiento tanto en la contratación de los productos como durante la ejecución de las operaciones.
La SBS menciona que la finalidad de establecer este mecanismo de verificación y consentimiento a lo largo de toda la cadena de uso, es contar con información clara sobre nuevos usuarios, que permita realizar un monitoreo adecuado de las transacciones.
Para Yang Chang, docente de la Universidad de Piura, es un primer paso para mitigar el incremento de los fraudes a tarjetahabientes, con el avance de la tecnología también van cambiando los riesgos a los que se exponen los usuarios del sistema financiero.
Aunque, si se quiere un mayor impacto, la banca debería ser más proactiva en la implementación de controles de seguridad, identificar dentro de los reclamos las prácticas de estafa más frecuentes y poner más énfasis en estos puntos débiles, señaló.
“Es muy difícil demostrar si la operación no reconocida es por fraude o descuido del cliente, puede que la haya realizado el usuario bajo amenaza o que el uso de la tarjeta provenga de un familiar de confianza”, agregó.
LEA TAMBIÉN BCRP: todas las fintech son bienvenidas a interoperar pero deben cumplir requisitos
Doble autenticación
La SBS también consideró necesario especificar que las entidades financieras deben reforzar sus medidas de seguridad en el uso de tarjetas físicas o por canales digitales.
Algunos bancos argumentaban que las disposiciones del reglamento de ciberseguridad no necesariamente se debían aplicar al uso de tarjetas pues este producto cuenta con un reglamento específico para su operación, expresó.
“No se sentían obligadas a duplicar controles de verificación o antifraude, y utilizaban mecánicas simples como firmas electrónicas o claves secretas que ya han quedado desfasadas”, complementó.
Empero, indica, ante el notable incremento de denuncias por fraudes y estafas a clientes financieros, el regulador vio necesario especificar -mediante estas modificaciones- que es obligatorio fortalecer los mecanismos de identificación del cliente en el uso del plástico.
De este modo, para operaciones presenciales con tarjeta se solicitarán dos factores de autenticación, el chip de la tarjeta o su representación digital, y una clave secreta (PIN) u otro que establezca la Superintendencia.
En transacciones virtuales, los dos mecanismos de validación serán los datos de la tarjeta y un código de verificación dinámico u otro factor verificable en línea.
LEA TAMBIÉN Yape y Plin evalúan más servicios para cobrar comisión a usuarios
Economista de la Universidad de Piura. Actualmente se desempeña como redactor de Finanzas en Diario Gestión.
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja Aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.
