El próximo miércoles 1 de julio comenzará a regir la exigencia de autenticación reforzada para pagos electrónicos y transferencias en nuestro país. La medida, que fue publicada por la Comisión para el Mercado Financiero (CMF) el año pasado, tendrá algunas excepciones, las que fueron anunciadas a comienzos de este mes de junio y que permitirán a ciertos grupos de clientes seguir utilizando tarjetas de coordenadas como mecanismo de autenticación.
La exigencia —publicada como Norma N°538 a mediados de 2025 y que fue retrasada durante casi un año— implicará que los usuarios deberán validar su identidad mediante más de un factor de autenticación al momento de autorizar transacciones. La normativa se aplicará a bancos y otras entidades reguladas, lo que las obligó a adaptar sus plataformas y procesos antes de la entrada en vigor para la próxima semana.
Sin embargo, la CMF introdujo el pasado 1 de junio una modificación a la NCG N°538 que permitirá a ciertos grupos de clientes seguir utilizando tarjetas de coordenadas como mecanismo de autenticación. La medida busca evitar que personas con dificultades para adoptar mecanismos alternativos queden excluidas de los servicios financieros digitales.
De acuerdo con lo indicado en la medida, entre los criterios considerados para ser incluido en estos grupos están “ser adulto mayor; presentar una condición de salud deteriorada o de discapacidad; tener dificultad para acceder a canales físicos de atención; o, presentar incompatibilidad o indisponibilidad de dispositivos de confianza -por ejemplo, un teléfono inteligente- con los mecanismos de autenticación que requiere la entidad”.
La indicación de la CMF también señala que las entidades que opten por establecer estos grupos de clientes que podrán mantener sus tarjetas de coordenadas, tendrán hasta el próximo 1 de agosto para informarlo a la entidad reguladora.
Fernando Lagos, CEO de NIVEL4, comentó que el cambio es positivo y necesario porque el avance del intercambio comercial y financiero exigen mayores estándares de seguridad, pero indicó que “la adopción y uso de tecnologías masivas tienen que ser compatibles con los diferentes usuarios en un sistema”. El especialista señaló que “al implementar una medida masiva se debe asegurar condiciones mínimas —cobertura—, entrega herramienta —dispositivos adecuados—y brindar capacitación a usuarios que, por diversas circunstancias no pueden usar una tecnología o estar en las condiciones para cambiar”, por lo que se mostró de acuerdo en que existan excepciones, cuando estas corresponden.
Según lo informado, la CMF estableció que “se exigirá autenticación reforzada en pagos electrónicos”, formalizando un cambio en los estándares de seguridad aplicables a las operaciones digitales en el país. No obstante, precisó que las operaciones autenticadas mediante tarjetas de coordenadas no serán consideradas como autenticación reforzada, por lo que las entidades asumirán un mayor riesgo frente a eventuales reclamaciones por operaciones desconocidas.
En ese sentido, el CEO de NIVEL4 indicó que «permitir que ciertos usuarios continúen utilizando tarjetas de coordenadas implica asumir un riesgo superior respecto de los mecanismos de autenticación reforzada. Pero en el contexto general, resulta razonable que asumir parte de esa responsabilidad, considerando que se trata de una medida orientada a resguardar la inclusión financiera de personas que podrían verse afectadas por una transición demasiado abrupta hacia nuevas tecnologías.»
El regulador también vinculó esta actualización con el aumento de fraudes en canales digitales, señalando que la medida busca reducir este tipo de incidentes y fortalecer la protección de los usuarios financieros.
El contenido de la Norma de Carácter General N°538 establece el marco técnico que sustenta esta exigencia. La normativa define estándares mínimos de seguridad, autenticación y registro que deben cumplir las entidades financieras, incluyendo la obligación de aplicar autenticación reforzada en operaciones consideradas críticas, como transferencias de fondos y procesos de incorporación de clientes.
En términos operativos, la norma establece que la autenticación reforzada debe basarse en al menos dos factores independientes, como conocimiento (contraseñas), posesión (dispositivos) o inherencia (biometría). Además, exige que estos factores sean independientes entre sí y que los sistemas garanticen la confidencialidad, integridad y trazabilidad de las transacciones.
La modificación normativa también aclaró que las transferencias electrónicas de fondos entre cuentas de un mismo cliente dentro de una misma institución estarán exentas de autenticación reforzada. Asimismo, en el caso de los pagos recurrentes, este mecanismo será exigido únicamente al momento en que el cliente registre la instrucción inicial.
En este punto, Fernando Lagos destacó la importancia general del cambio. «El principal valor de la autenticación reforzada es que dificulta significativamente los ataques basados en robo de credenciales. Al exigir factores independientes, como un dispositivo de confianza o elementos biométricos, se agrega una capa adicional de seguridad que reduce las probabilidades de fraude incluso cuando una credencial ha sido comprometida”, y agregó que “la autenticación multifactor obliga al atacante a comprometer más de un elemento de validación, elevando considerablemente la dificultad de que pueda ejecutar un fraude exitoso”.
En conjunto, la exigencia anunciada por la CMF y los lineamientos establecidos en la NCG N°538 configuran un cambio estructural en la forma en que se validan las operaciones financieras digitales en Chile, estableciendo un estándar uniforme para todo el sistema, aunque contemplando excepciones para aquellos usuarios que enfrentan mayores barreras tecnológicas para adoptar los nuevos mecanismos de autenticación.
