SBS: Refuerza la seguridad en operaciones con tarjetas de crédito y débito

Con la finalidad de reforzar la seguridad de las operaciones con tarjetas de crédito y débito en beneficio de los usuarios del sistema financiero, el 1 de julio entrarán en vigencia las medidas para la correcta validación de la identidad del usuario, aprobadas por la Superintendencia de Banca, Seguros y AFP (SBS), mediante Resolución SBS N.°2286-2024.

Se requerirá el chip y la clave secreta para tarjetas emitidas a partir del 1 de julio

Entre las principales medidas destacan las siguientes:

Para operaciones con tarjeta presente (que se realizan a través de un POS) se requerirán dos factores: el chip (o su representación digital) y clave secreta (PIN), para aquellas tarjetas que se emitan a partir del 1 de julio.

Para operaciones con tarjeta no presente (las compras on line, por ejemplo), se requerirán dos factores: los datos contenidos en la representación física o digital de la tarjeta y un código de verificación dinámico de la tarjeta u otro factor de similar naturaleza.

Para operaciones con billeteras móviles de terceros basadas en tokenización de tarjetas, la afiliación de la tarjeta para el uso debe ser autenticada mediante la propia tokenización de la tarjeta y un segundo factor de distinta naturaleza.

Cabe recordar que la Resolución SBS N°2286-2024, publicada en junio del año pasado, modificó los reglamentos de tarjetas de crédito y débito, así como los de gestión de seguridad de la información y ciberseguridad, entre otros.

El objetivo principal es elevar los estándares de seguridad en las transacciones con tarjetas, incorporando las mejores prácticas y estándares internacionales para proteger a los usuarios.

Nuevos plazos

Asimismo, mediante Resolución N.°02220-2025, publicada el pasado 25 de junio en el Diario Oficial, la SBS amplió el plazo, hasta el 1 de abril de 2026, para que las entidades financieras culminen la implementación de seguridad con tarjetas de crédito y débito, establecidas en la resolución de junio de 2024, en dos aspectos específicos.

Estos son: la implementación del PIN como segundo factor de autenticación en operaciones con tarjetas de crédito presente y la habilitación de mecanismos para reemplazar los datos de la tarjeta por un identificador único generado mediante técnicas criptográficas para operaciones realizadas en plataformas de terceros.

Las entidades financieras ya vienen adecuándose a la normativa de 2024, emitiendo las nuevas tarjetas de crédito y débito -y reemplazando gradualmente el parque- con los nuevos estándares de seguridad.

No obstante, para el caso de las tarjetas emitidas antes del 1 de julio que no cuenten con un segundo factor de autenticación (PIN) para operaciones con tarjeta presente, a partir del 01 de abril de 2026, las empresas empezarán a asumir responsabilidad directa por operaciones no reconocidas que no empleen el segundo factor de autenticación. 

Esta decisión se tomó tras evaluar el avance del proceso y considerando el volumen y transaccionalidad de las tarjetas emitidas.