La Comisión para el Mercado Financiero (CMF) abrió una consulta pública para implementar una propuesta normativa que busca elevar los estándares de seguridad en los medios de pago electrónicos.
El nuevo marco establece exigencias mínimas de autenticación y registro. La idea es que aplique a bancos, emisores de tarjetas, cooperativas de ahorro y crédito, y sociedades de apoyo al giro que operan bajo fiscalización de la entidad. El proceso de consulta pública se extenderá hasta el 5 de mayo de 2025.
La propuesta surge del mandato contenido en la Ley de Fraudes y su respectiva modificación del año pasado, que obliga al regulador a definir medidas para fortalecer la protección de los usuarios frente al fraude en tarjetas y transacciones electrónicas.
“El objetivo es establecer estándares mínimos sobre seguridad, registro y autenticación de transacciones, incluyendo los casos en que debe aplicarse obligatoriamente la autenticación reforzada de clientes”, explicó la CMF en un comunicado.
Lo que propone la CMF: Autenticación reforzada
La nueva norma define la autenticación como el proceso que permite a los emisores verificar la identidad del usuario o la validez del uso de un medio de pago.
En tanto, la autenticación reforzada de clientes (ARC) exige al menos dos factores de verificación independientes, como una contraseña (conocimiento), un teléfono o token (posesión), o datos biométricos (inherencia), alineándose con los estándares de la Directiva Europea PSD2.
Esta autenticación reforzada deberá aplicarse de forma obligatoria en una serie de situaciones, entre ellas:
- Acceso a la banca en línea y aplicaciones móviles.
- Cambios de datos personales o credenciales.
- Incorporación de destinatarios frecuentes o beneficiarios de pagos.
- Transacciones que impliquen movimiento de fondos o contratación de servicios.
- Operaciones consideradas atípicas en el comportamiento del usuario.
En tanto, se exceptuarían de esta exigencia las operaciones de bajo monto (menores a $20.000 por transacción y $80.000 diarios acumulados), pagos recurrentes ya validados, transacciones en terminales desatendidos como parquímetros o máquinas expendedoras, y transferencias entre cuentas del mismo titular.
Requisitos técnicos, supervisión y sanciones
Los emisores deberán garantizar la integridad, confidencialidad y disponibilidad de los sistemas de pago mediante mecanismos robustos de cifrado, registros trazables, monitoreo de patrones de comportamiento y control sobre los dispositivos que generan códigos de autenticación.
Además, tendrán que evitar que los factores de autenticación dependan del mismo canal o dispositivo, una situación que podría comprometer la seguridad.
Por ejemplo, si en un mismo dispositivo se utilice la biometría y se reciban códigos por mensaje de texto, se "deberán disponer las medidas lógicas y operativas necesarias para que la vulneración de uno de los factores no comprometa la confiabilidad y seguridad del otro".
La norma también exige que los emisores dispongan de medidas para caducar o bloquear automáticamente los códigos de autenticación en caso de múltiples intentos fallidos o uso prolongado. Respecto a los dispositivos confiables, deberán haber sido registrados bajo procedimientos rigurosos que acrediten su titularidad y uso exclusivo por parte del cliente.
Según la normativa propuesta por la CMF, el incumplimiento de estas nuevas exigencias acarreará responsabilidades para los emisores. “Serán responsables de los perjuicios causados a los usuarios por incumplimiento de los estándares de seguridad, registro y autenticación establecidos en la presente norma”, señala el informe.
Finalmente, el regulador reconoció que “el costo de implementar las medidas establecidas en esta norma pudiera ser alto”, pero argumentó que el beneficio en términos de robustez del sistema y confianza de los usuarios es mayor. Además, destacó que la existencia de estándares claros podría reducir las sospechas de autofraude, lo que facilitaría la relación entre clientes y entidades financieras.
