ES OFICIAL | Tarjetas de crédito y débito tienen nueva forma de validación a partir de HOY y tienes que saberlo
Una disposición de la SBS obliga a los bancos a realizar ajustes. Los usuarios notarán una modificación en la forma en que se aprueban las compras y pagos realizados con tarjetas a partir del 1 de julio.
Únete al canal de Whatsapp de Wapa
A partir del martes 1 de julio, entran en vigencia nuevas disposiciones que modifican la forma en que los usuarios autentican sus operaciones al utilizar tarjetas de crédito y débito, tanto en bancos como en otras entidades del sistema financiero. El principal cambio recae en el proceso de validación de identidad del usuario al momento de autorizar pagos con el denominado ‘dinero plástico’, sobre todo en entornos digitales.
Este ajuste regulatorio responde a la Resolución SBS N° 2286-2024, emitida en julio de 2024 por la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS), con el objetivo de actualizar el marco normativo vigente. La norma busca “precisar la responsabilidad de las empresas en los procedimientos de validación de identidad de los usuarios y la obtención su consentimiento al momento de realizar operaciones, ante casos de operaciones no reconocidas y de aquellas que fueron procesadas sin requerir autenticación reforzada”.
LEE MÁS: ES OFICIAL | Dos universidades peruanas sin licencia de Sunedu CERRARÁN DEFINITIVAMENTE en dos meses
A raíz de este nuevo contexto regulatorio, las instituciones financieras deberán aplicar estándares más exigentes para resguardar la seguridad de las transacciones, ya sea en operaciones físicas (con la tarjeta presente en un POS, por ejemplo) o virtuales (cuando se utilizan solo los datos de la tarjeta en entornos digitales). En este sentido, desde el 1 de julio es obligatorio que las entidades exijan dos factores de autenticación para validar las operaciones digitales. En el caso de operaciones presenciales, este requerimiento ya debía estar implementado.
Autenticación reforzada: nuevas exigencias en tarjetas
Conforme al artículo 19 del Reglamento de Ciberseguridad, a partir del 1 de julio, las entidades financieras deben asegurar que “el proceso de autenticación del usuario para efectuar operaciones con tarjetas” cumpla con lo estipulado en dicho reglamento, en especial lo dispuesto en el literal j) del artículo 2.
Esto implica que se debe aplicar autenticación reforzada “para aquellas acciones que puedan originar operaciones fraudulentas u otro abuso del servicio en perjuicio del cliente”. Tal autenticación debe apoyarse en al menos dos factores de distinta naturaleza: algo que el usuario sabe (como una contraseña), algo que posee (como un token o su tarjeta), o algo que es (como una huella digital o reconocimiento facial).
Aunque en operaciones presenciales ya se utilizaba este sistema —como cuando se introduce un PIN—, en muchos casos se omitía esta verificación, permitiendo pagos con solo pasar la tarjeta.
A partir de ahora, las reglas exigen lo siguiente:
- En operaciones con tarjeta presente, se requieren dos factores: el primero corresponde al chip de la tarjeta o su versión digital; el segundo puede ser un PIN u otro mecanismo establecido por la SBS. Esto ya está regulado en el numeral 7.1.
- En operaciones con tarjeta no presente, el primer factor es la información de la tarjeta (número, fecha de vencimiento, etc.), y el segundo debe ser un código dinámico u otro factor de verificación en línea solicitado al usuario. En el caso de tarjetas emitidas desde el 1 de julio de 2025, esta doble autenticación será obligatoria.
- Para tarjetas no presentes emitidas antes del 1 de julio de 2025, la obligación de aplicar autenticación reforzada regirá a partir de su renovación.
- En billeteras móviles de terceros que utilizan tokenización, tanto la afiliación inicial de la tarjeta como las operaciones posteriores deberán autenticarse mediante la tokenización y un segundo factor distinto, desde el 1 de julio.
- En el caso de tarjetas de crédito adicionales utilizadas sin presencia física, la autenticación según estas disposiciones será obligatoria a partir del 1 de diciembre de 2025, independientemente de cuándo fue emitida la tarjeta.
Finalmente, desde el 1 de abril de 2026, en situaciones de operaciones no reconocidas con tarjetas no presentes, las entidades serán responsables por las pérdidas “salvo que acrediten la responsabilidad del usuario”, y siempre que se trate de tarjetas emitidas antes del 1 de julio de 2025.
