La Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS) aprobó la Resolución SBS N° 02286-2024, la cual modifica el Reglamento de Tarjetas de Crédito y Débito, sobre todo para la Gestión de la Seguridad de la Información y la Ciberseguridad, así como el Reglamento de Gestión de Conducta de Mercado del Sistema Financiero y el Reglamento de Reclamos y Requerimientos.
Uno de estos cambios implica una buena noticia para los ciudadanos y clientes de la banca. Ahora lo bancos deberán asumir las perdidas por operaciones no reconocidas en las tarjetas de los clientes, ya sea como pagos. transferencias y otras que no hayan sido realizadas por estos usuarios. Esta norma se refiere a las operaciones que hayan sido efectuadas por canal digital y que no se puedan acreditar la responsabilidad de los clientes en esta.
“La empresa es responsable de las pérdidas, salvo que acredite la responsabilidad del usuario, por las operaciones no reconocidas por los clientes que hayan sido efectuadas por canal digital sin cumplir con el requisito de autenticación reforzada, o en aplicación de la exención señalada en el párrafo 20.2 del presente artículo, o que fueron realizadas luego de que el usuario reportara el robo o pérdida de sus credenciales”, señala la modificación a la norma.
Bancos serán responsables de pérdidas en estos casos
Así, las empresas financieras deberán ser responsable por las pérdidas de las operaciones no reconocidas por los clientes en sus tarjetas, lo que implica que estas deberán pagar por los montos que los ciudadanos usuarios de sus servicios se les haya sido sustraído.
Sin embargo, esto será así, en cuanto el banco (u otra entidad financiera pertinente) no puede determinar la responsabilidad del usuarios en esta operación. Es decir, si se registran operaciones realizadas sin el empleo de un segundo factor de autenticación (a que hace referencia el párrafo 7.5 del numeral 7 del artículo 16 del presente reglamento) la empresa será responsable de esto si el cliente reporta no haber realizado esta operación.
Con esto, hay diferentes plazos para que la banca se adecúe a estos cambios. En general tienen un plazo, hasta el 31 de diciembre de 2024 para su adecuación. Sin embargo, se detalla que algunos apartados, como la responsabilidad por pérdidas en operaciones no reconocidas aplicará recién desde el 1 de julio de 2025. También la autenticación en operaciones con tarjeta de débito y crédito presente, no presentes, con billeteras móviles de terceros basados en tokenización de tarjetas y en tarjeta de crédito adicional en la modalidad de tarjeta no presente, esta implementación deberá estar aplicada desde esa misma fecha.
¿Por qué la SBS modificó este reglamento?
La SBS consideró necesario modificar el marco normativo del Reglamento de Gestión de Conducta de Mercado del Sistema Financiero, dado el funcionamiento actual de productos y servicios ofrecidos por las empresas del sistema financiero, pero también considerando el impacto de las nuevas tecnologías.
Por eso, la entidad vio necesario precisar la responsabilidad que tienen estas empresas —como bancos, financieras, cajas y más— en los procedimientos de validación de identidad de los usuarios y la obtención su consentimiento al momento de permtirles realizar sus operaciones; sobre todo ante casos de operaciones no reconocidas y de las que hayan sido procesadas sin requerir esta autenticación reforzada.
Así, en su reglamento la SBS cree que es necesario que las empresas tengan implementados mecanismos de validación de identidad y obtención del consentimiento del usuario desde que se contratan los productos y durante el funcionamiento de estos, para que se pueda tener información precisa sobre estos nuevos usuarios y se pueda realizar un monitorio de las operaciones.