SBS: reglamento de Tarjetas de Crédito y Débito son modificadas | Esto se sabe

El último viernes 28 de junio, la Superintendencia de Banca y Seguros (SBS) de Perú publicó en el diario oficial El Peruano una modificación al Reglamento de Tarjetas de Crédito. Estas modificaciones se centran en la responsabilidad de las empresas en los procedimientos de validación de identidad de los usuarios y el consentimiento de operaciones, entre otros casos.

Una de las principales modificaciones implica cambios en los mecanismos de seguridad para la identificación del usuario, específicamente en los factores de autenticidad. Para las operaciones con tarjeta presente, ahora se requieren dos factores de autenticación. El primero es el chip de la tarjeta o su representación digital, y el segundo puede ser una clave secreta (PIN) u otro factor determinado por la Superintendencia.

Para las operaciones con tarjeta no presente, se debe presentar la información contenida en la tarjeta física o digital. El segundo factor en estos casos puede ser un código de verificación dinámico de la tarjeta o algún otro factor verificable en línea requerido al usuario según el estándar EMV 3DS, excepto en los casos de exención previstos en el artículo 20 del Reglamento de Ciberseguridad.

La nueva norma también establece que, en situaciones donde no se pueda validar el segundo factor debido a limitaciones fuera del control de la empresa, ésta debe definir reglas de aceptación o rechazo basadas en el nivel de riesgo de fraude, de acuerdo con el sistema de monitoreo de transacciones descrito en el artículo 17 del reglamento. Estas limitaciones pueden estar relacionadas con el terminal de atención, las prácticas del comercio o la tecnología utilizada por el usuario.

Además, se modificó el artículo 20, estableciendo que la empresa será responsable de las pérdidas derivadas de operaciones no reconocidas por los clientes, salvo que se demuestre la responsabilidad del usuario.

Esta responsabilidad incluye las operaciones realizadas a través de canales digitales sin cumplir con el requisito de autenticación reforzada o aplicando la exención del párrafo 20.2 del artículo mencionado, así como aquellas transacciones efectuadas después de que el usuario haya reportado el robo o pérdida de sus credenciales.