La Comisión para el Mercado Financiero (CMF) inició en abril una consulta pública sobre una nueva normativa que busca establecer estándares mínimos de seguridad, autenticación y registro para los emisores de medios de pago, como bancos, cooperativas, fintech y emisores no bancarios.
Aunque en la industria valoran el avance hacia una mayor protección del usuario, representantes gremiales y expertos manifestaron sus reparos frente a los costos, el cronograma de implementación y los posibles efectos en la experiencia de usuario.
Claudio Ordoñez, director de Ciberseguridad, consideró que “los cambios propuestos por la CMF sobre autenticación reforzada constituyen un avance y un cambio positivo para proteger a los usuarios y a los emisores de pagos de fraudes y riesgos informáticos”.
En ese sentido, explicó que exigir dos factores de autenticación eleva los estándares de seguridad y ayuda a limitar esquemas de autofraude, recordando que “en 2023 el fraude bancario en Chile superó los US$350 millones, según cifras de la ABIF”. Por lo mismo, esta normativa ayudaría a reconocer con mayor facilidad la autoría de las transacciones, bajando significativamente el autofraude.
Se valora el esfuerzo, pero preocupa la mayor fricción en la experiencia de los usuarios
Alejandro Arriagada, secretario general de la Asociación del Retail Financiero (ARF), destacó que “en términos generales valoramos el esfuerzo de la CMF por avanzar hacia una mayor estandarización y fortalecimiento de las medidas de seguridad en el uso de los medios de pago”.
Sin embargo, precisó que la propuesta “ayudará a fortalecer el aporte de antecedentes y pruebas ante los tribunales para resolver sobre estas materias, más que el objetivo de prevenir el fraude”. En esa línea, sostuvo que para avanzar de manera efectiva se necesita también que los usuarios actúen con mayor diligencia y que se involucren otros actores del ecosistema, como adquirentes y comercios.
“Consideramos que esta normativa coloca el acento exclusivamente en el quehacer de los emisores, quienes son solo una parte del ecosistema e ignora las responsabilidades que tienen otros actores”, subrayó.
Respecto al equilibrio entre seguridad y experiencia, Arriagada afirmó que “es muy temprano para hacer esa evaluación sin tener a la vista la normativa definitiva”, aunque llamó a considerar que las mayores exigencias a los emisores no representen mayor fricción en la experiencia de los usuarios.
Por su parte, Josefina Movillo, directora ejecutiva de FinteChile, planteó que “la regulación debería adoptar un enfoque prudencial basado en riesgos, orientado a aplicar la autenticación reforzada únicamente en situaciones donde exista un riesgo efectivo que la justifique”.
Movillo advirtió que si no se ajusta el diseño, la norma podría “afectar negativamente la experiencia de usuario, encarecer los costos de cumplimiento para los emisores y desincentivar la adopción de medios electrónicos de pago”.
Juan Antonio Figueroa, director ejecutivo de ChilePay, señaló llamó a “posicionar la importancia de aprovechar los beneficios de la tecnología y la digitalización y no retroceder en lo ganado en experiencia de cliente”. Según indicó, la idea es que exista “un marco que cautele que la seguridad de los clientes y del sistema financiero como un todo”.
Además, señaló que la corporación solicitó que se excluyan de la obligación de autenticación reforzada (ARC) “las operaciones presenciales autenticadas mediante mecanismos robustos ya reconocidos, tales como chip EMV, tecnología contactless o ingreso de PIN, en línea con los estándares internacionales”.
Preocupación por los posibles plazos de implementación
En el sector financiero también existe preocupación sobre los plazos de implementación: la CMF propuso un año para aplicar los cambios y 90 días para presentar planes de adecuación.
Alejandro Arriagada, de Retail Financiero, señaló que “las empresas del ecosistema financiero están enfrentando una intensa presión regulatoria” y que es clave que la CMF genere “espacios de gradualidad para una correcta y armónica implementación”.
Añadió que los emisores son los más interesados en perfeccionar estos estándares, pero se debe cuidar que no afecten la experiencia del cliente.
En tanto, desde FinteChile, Josefina Movillo estimó que “un año es un plazo insuficiente para implementar cambios de alta complejidad técnica”, recordando que en Europa la aplicación de la normativa PSD2 contempló hasta 32 meses en algunos casos.
Movillo sugirió establecer un calendario escalonado, diferenciando los plazos según el tamaño operativo de los emisores, para permitir “una transición más ordenada y segura”.
En tanto, Claudio Ordoñez de PwC advirtió que “es probable que algunas startups o fintech que no consideraron en su diseño original las medidas que exige la normativa deban hacer readecuaciones, como implementar mecanismos de cifrado de datos sensibles o monitoreo continuo para detecciones de patrones de fraude”.
No obstante, afirmó que instituciones tradicionales con esquemas de seguridad desacoplados podrían extender sus modelos a otros canales sin mayores complicaciones.
La Asociación de Bancos e Instituciones Financieras (ABIF) fue consultada por este medio, pero decidió no participar en esta nota. La consulta pública finalizó este lunes, por lo que el regulador estaría en condiciones de publicar la norma definitiva en los próximos días.
Debe estar conectado para enviar un comentario.