La Comisión para el Mercado Financiero (CMF) publicó este martes una norma que establece nuevos estándares mínimos de seguridad y autenticación en los medios de pago.
La normativa —dada a conocer tras una propuesta puesta en consulta en abril— fija reglas para emisores de tarjetas, bancos y cooperativas fiscalizadas por el organismo, con el foco puesto en transacciones electrónicas y en el resguardo de los usuarios ante fraudes.
TE PUEDE INTERESAR: CMF defiende nuevo pago mínimo en tarjetas pese a críticas de la industria
Las instrucciones dan cumplimiento al artículo 4 de la Ley N°20.009, que regula la responsabilidad de los emisores frente a transacciones no reconocidas por sus clientes.
Según detalló la CMF, la normativa entrará en vigencia a partir del 1 de agosto de 2025, excepto respecto de los casos de autenticación reforzada obligatoria, cuya vigencia comenzará el 1 de julio del próximo año.
¿En qué consiste la autenticación reforzada?
La ARC exige al menos dos factores de autenticación de categorías distintas: algo que el usuario sabe (como una contraseña), algo que tiene (un dispositivo móvil o token) y algo que es (biometría como huella o rostro). Según la CMF, estos elementos deben ser “independientes”, de forma que la vulneración de uno no comprometa al otro.
Además, los emisores deberán asegurar que los dispositivos usados tengan mecanismos contra clonación o manipulación, que las claves sean complejas y que existan protocolos para bloquearlas o actualizarlas.
Si bien estas exigencias ya estaban presentes en la propuesta inicial, la norma final afinó su redacción, eliminando redundancias y referencias externas, como guías del NIST o reglamentos europeos, que sí aparecían en el documento de abril.
¿Qué cambió entre la propuesta y la versión final?
A diferencia del borrador difundido en abril, la versión definitiva suprimió las excepciones para aplicar autenticación reforzada de clientes (ARC) —como pagos de bajo monto o transacciones recurrentes— y optó por acotar la obligación solo a dos casos:
- Las transferencias electrónicas de fondos, incluidas sus modificaciones.
- El proceso de incorporación de clientes en plataformas digitales de las entidades financieras, junto con cambios de datos, claves o dispositivos de confianza.
En cambio, la versión en consulta contemplaba un listado más amplio de situaciones donde se exigía ARC, tales como acceso a plataformas de banca en línea o a las aplicaciones móviles de las instituciones financieras, añadir destinatarios para transferencias o acciones que puedan generar fraude.
También establecía umbrales para exceptuar operaciones de bajo riesgo —por ejemplo, pagos menores a $20.000 o acumulados diarios de hasta $80.000—, los que ahora no fue necesario incluir en la normativa, ya que se establecieron concretamente los dos tipos de operaciones que requerirán la autenticación reforzada.
Presunción legal y responsabilidad
Un punto clave es la relación de esta norma con la Ley de Fraudes. Según el reglamento, si el emisor aplica autenticación reforzada (ARC) en operaciones no obligatorias, puede beneficiarse de la presunción judicial de que hubo dolo o culpa grave del usuario en caso de reclamos, tal como lo permite la ley en su artículo 5 ter.
La autenticación reforzada no solo protege a los usuarios, sino que también entrega certezas jurídicas a las entidades financieras ante casos presentados por concepto de la Ley de Fraudes. Además, el documento señala que “los emisores serán responsables de los perjuicios causados a los usuarios por incumplimiento de los estándares de seguridad, registro y autenticación establecidos en la presente norma.”.
La implementación de la norma será gradual. Desde el 1 de agosto de 2025, las instituciones deberán aplicar los estándares generales de seguridad y autenticación. En tanto, el uso obligatorio de ARC para transferencias e incorporación de clientes comenzará a regir un año después.
Si bien la normativa aplica únicamente a emisores de medios de pago fiscalizados, la CMF dejó abierta la puerta a futuros cambios. “Estamos estudiando el alcance y la necesidad de establecer estándares para otros participantes del sistema de pagos minorista.”, señaló el organismo en un comunicado
Debe estar conectado para enviar un comentario.