A partir de este mes, no bastará con solo pasar la tarjeta para realizar el pago. Los bancos deberán asegurar que a los clientes se les pida dos factores de autenticación para validar las operaciones digitales que realicen.
Vas a pagar tu pasaje, no hallas tu billetera en la cartera. Has sido víctima de un robo. Pero el mayor susto llega vía mensaje de texto: el banco reporta una compra en una botica pagada con tu tarjeta de débito. Es así como te sumas a las miles de víctimas de fraude por tarjeta de crédito o débito.
Precisamente, con la finalidad de reforzar la seguridad de las operaciones con tarjetas de crédito y débito en beneficio de los usuarios del sistema financiero, el 1 de julio entraron en vigencia medidas para asegurar la validación de la identidad del usuario establecidas por la Superintendencia de Banca, Seguros y AFP (SBS) en la Resolución SBS N.°2286-2024 (junio 2024) que modificó los reglamentos de tarjetas de crédito y débito, así como los de gestión de seguridad de la información y ciberseguridad, entre otros.
Entre las nuevas medidas, tenemos:
- Si realiza una operación mediante POS (tarjeta presente) con plástico emitido el 1 de julio, la transacción deberá autenticarse mediante dos factores: el chip (o su representación digital) y la clave secreta (PIN).
- Para las transacciones con tarjeta no presente (operaciones on line, por ejemplo) se requerirán dos factores: los datos contenidos en la representación física o digital de la tarjeta y un código de verificación dinámico de la tarjeta u otro factor de similar naturaleza.
- Para operaciones con billeteras móviles de terceros basadas en tokenización de tarjetas, la afiliación de la tarjeta para el uso debe ser autenticada mediante la propia tokenización de la tarjeta y un segundo factor de distinta naturaleza.
- En el caso de uso de tarjetas no presente emitidas antes del 01 de julio de 2025 y que aún sigan vigentes luego de dicha fecha, los bancos debe autenticar al usuario como máximo a partir de su renovación.
Es decir, es obligatorio contar con dos factores de autenticación para validar las operaciones digitales que se realice. Ya no aplica el solo hecho de pasar la tarjeta por el POS.
El objetivo principal es elevar los estándares de seguridad en las transacciones con tarjetas, incorporando las mejores prácticas y estándares internacionales para proteger a los usuarios, afirma la SBS.
SIN EMBARGO,
No obstante la entrada en vigencia de estas nuevas medidas de seguridad para las transacciones financieras, mediante Resolución N.°02220-2025 (25 de junio 2025), la SBS amplió hasta el 1 de abril de 2026 el plazo para que las entidades financieras culminen la implementación de otras medidas de seguridad con tarjetas de crédito y débito que también fueron establecidas en la resolución de junio de 2024.
¿Cuáles son las medidas de seguridad pospuestas?
- La implementación del PIN como segundo factor de autenticación en operaciones con tarjetas de crédito presente, para verificar la identidad del usuario y prevenir operaciones no autorizadas.
- La habilitación de mecanismos para reemplazar los datos de la tarjeta por un identificador único generado mediante técnicas criptográficas para operaciones realizadas en plataformas de terceros. Esto aumentará la protección de la información del usuario ante posibles ataques cibernéticos.
Según la SBS, las entidades financieras ya se están adecuando a la normativa de 2024, emitiendo las nuevas tarjetas de crédito y débito -y reemplazando gradualmente el parque- con los nuevos estándares de seguridad.
Sin embargo, a partir del 1 de abril de 2026, las empresas asumirán responsabilidad directa por las operaciones no reconocidas realizadas con tarjetas emitidas antes del 1 de julio que no cuenten con un segundo factor de autenticación (PIN) para operaciones con tarjeta presente.
“Esta decisión se tomó tras evaluar el avance del proceso y considerando el volumen y transaccionalidad de las tarjetas emitidas”, explicó la SBS en una nota de prensa.
ASPEC: APLAZAMIENTO INNCESARIO
La Asociación Peruana de Consumidores y Usuarios (ASPEC) manifestó su sorpresa y preocupación ante la prórroga por un año más de la entrada en vigencia de las dos medidas de seguridad mencionadas líneas arriba.
«Resulta sorprendente y preocupante que estas medidas importantes, que ya estaban a punto de implementarse, hayan sido aplazadas por un año sin una explicación clara y convincente. Más aún teniendo en cuenta que la SBS ya había concedido a las empresas financieras un año de plazo, desde julio 2024, para ejecutarlas», comentó el presidente de Aspec Crisólogo Cáceres en sus redes sociales.
Según ASPEC, la prórroga genera incertidumbre y podría retrasar la implementación de medidas que incrementen la confianza en los sistemas financieros, en un momento donde la digitalización y el comercio electrónico están en auge.