Desde el 1 de julio rige la resolución SBS 2286-2024, emitida por la Superintendencia de Banca, Seguros y AFP del Perú, la que exige doble autenticación en operaciones con tarjetas. La medida busca proteger a usuarios y elevar los estándares de ciberseguridad del sistema financiero. Las entidades tendrán plazo hasta 2026 para completar su adecuación a la resolución.
Con el objetivo de fortalecer la seguridad en las operaciones financieras y reducir el riesgo de fraudes, este martes 1 de julio entró en vigor la resolución SBS N.° 2286-2024, emitida por la Superintendencia de Banca, Seguros y AFP (SBS) del Perú. La norma introduce nuevos requerimientos de autenticación para validar transacciones con tarjetas de crédito y débito, tanto en operaciones presenciales como digitales.
El propósito de estas disposiciones es reforzar la validación de identidad de los usuarios y la obtención de su consentimiento en las operaciones, especialmente en aquellas que puedan derivar en fraudes o usos indebidos del servicio.
Uno de los pilares fundamentales de esta nueva normativa se refiere a otra disposición anterior, la SBS N° 504-2021, en la cual se aprobó el reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, cuya finalidad era «fortalecer las capacidades de ciberseguridad y procesos de autenticación de las empresas del sistema financiero, de seguros y privado de pensiones, considerando la creciente interconectividad y mayor adopción de canales digitales para la provisión de los servicios, así como la virtualización de algunos productos”, y que fue modificado en la resolución de 2024, junto con los reglamentos de tarjetas de crédito y débito.
Este martes 1 de julio, todas las nuevas tarjetas emitidas en el sistema financiero peruano deberán aplicar autenticación reforzada, tanto para operaciones presenciales, así como para compras en establecimientos con POS, en los cuales se exigirá el uso del chip de la tarjeta o su versión digital y un segundo factor de autenticación, como el PIN de cuatro dígitos.
En el caso de las operaciones no presenciales, como las compras en línea, será necesario ingresar los datos de la tarjeta junto a un código dinámico de verificación o similar.
Además, para las billeteras digitales (como Yape, Plin, Apple Pay o Google Pay), será obligatoria la tokenización de la tarjeta, que reemplaza los datos reales por códigos cifrados, y un segundo factor de autenticación.
Estos cambios aplican de forma inmediata a las tarjetas emitidas desde el 1 de julio de 2025. Para las tarjetas anteriores a esa fecha, los bancos deberán implementar las nuevas medidas a más tardar el 1 de abril de 2026, de acuerdo con lo establecido por la Resolución SBS N.° 02220-2025, publicada el pasado 25 de junio.
Con la reciente modificación, las entidades financieras tendrán un poco menos de un año para adaptarse a la medida por la cual deben asumir la responsabilidad en caso de que ocurran operaciones no reconocidas sin que se haya aplicado el proceso de autenticación reforzada, salvo que puedan probar que la responsabilidad recae en el usuario. Esta disposición busca alinear la responsabilidad entre el usuario y las entidades, incentivando una mayor inversión en seguridad por parte del sistema financiero.
La resolución también actualiza el Reglamento de Tarjetas de Crédito y Débito, así como el Reglamento de Ciberseguridad, acercando al Perú a estándares internacionales en protección de datos financieros.
La propia SBS informó que los bancos locales ya se encuentran en proceso de adecuación tecnológica, emitiendo tarjetas con los nuevos requisitos y actualizando sus plataformas de pago. También se espera que los comercios se adapten para exigir la doble verificación en sus sistemas.
Si bien el sistema buscará blindar las transacciones desde la infraestructura tecnológica, la SBS ha subrayado que la seguridad también depende del usuario. Por ello, se promueve una serie de buenas prácticas, como el uso responsable de las tarjetas, no compartir contraseñas y la verificación constante de movimientos sospechosos.
La entidad reguladora también ha puesto a disposición programas de educación financiera gratuitos para niños, jóvenes y adultos, con el fin de fomentar una cultura preventiva frente al fraude digital.