Se ha publicado la Resolución SBS Nº 6523-2013, a través de la cual la SBS aprueba el Reglamento de Tarjetas de Crédito y Débito. 

A partir del 31 de diciembre de 2014 las tarjetas de crédito y débito deberán contar con un chip que permita almacenar y procesar la información y operaciones de sus usuarios. Ello implica el cumplimiento de estándares internacionales de interoperabilidad con los señalados para tarjetas Europay, Mastercard y Visa. (El Reglamento entrará en vigencia el 1 de abril de 2014).

Los bancos deberán, entre otras, adoptar las siguientes medidas:

• Establecer reglas de seguridad definidas en el chip, que permitan verificar la autenticidad de la tarjeta, validar la identidad del usuario (clave o firma) u otros mecanismos de autenticación;

• Aplicar procedimientos criptográficos sobre los datos críticos y claves almacenadas en el chip de las tarjetas, así como sobre aquellos existentes en los mensajes intercambiados entre las tarjetas, los terminales de punto de venta, los cajeros automáticos y las empresas emisoras;

• Para el caso en que las empresas emisoras permitan la autorización de operaciones fuera de línea, deben aplicar un método de autenticación de datos que brinde adecuadas condiciones de seguridad, sin afectar la calidad y el rendimiento del servicio provisto al usuario; y,

• Disponer de mecanismos para que se pueda programar el chip para modificar los límites establecidos según los perfiles de riesgo de los usuarios, y se pueda además bloquear o deshabilitar las tarjetas que hayan sido extraviadas o sustraídas, de inmediato.

Las empresas (bancos / financieras) deberán contar con sistemas de monitoreo de operaciones

Con la aplicación de esta norma las empresas deberán contar con sistemas de monitoreo de operaciones que tengan como objetivo detectar operaciones que no corresponden al comportamiento habitual de consumo del usuario; así como implementar procedimientos complementarios para gestionar las alertas generadas por el sistema de monitoreo de operaciones; del mismo modo identificar patrones de fraude, mediante el análisis sistemático de la información histórica de las operaciones.

El Reglamento también dispone que las empresas del sistema financiero autorizadas a expedir y administrar tarjetas de crédito y débito deberán entregar la tarjeta al titular, excepto cuando éste haya instruido en forma expresa que se entreguen a una persona distinta, previa verificación de su identidad y dejando constancia de su recepción.

Para las operaciones de disposición o retiro de efectivo, compras y otras operaciones que la empresa identifique con riesgo de fraude en perjuicio de los usuarios, deberá otorgar a estos la opción de habilitar un servicio de notificaciones que les informe de las operaciones realizadas, inmediatamente, mediante correo electrónico y/o un mensaje de texto al móvil, entre otros mecanismos que pueden ser pactados con los usuarios.

La SBS podrá establecer, mediante oficio múltiple, montos mínimos a partir de los cuales se exija la presentación de un documento oficial de identidad; en tanto que en el caso de operaciones de disposición de efectivo o retiro, deberá requerirse la clave secreta del usuario, en cada oportunidad, sin importar el canal utilizado para tal efecto.

Usuarios no asumirán responsabilidades por operaciones no reconocidas (CLONACIÓN)

Otra de las principales novedades de este Reglamento, y acaso la más importante, es el referido a los supuestos en los que el usuario no asumirá responsabilidad por las operaciones no reconocidas.

Este nuevo reglamento dispone que salvo que la empresa demuestre la responsabilidad del usuario, éste no será responsable de ninguna pérdida por las operaciones realizadas, cuando dichas operaciones se hayan ejecutado luego de que la empresa fuera notificada del extravío, la sustracción, el robo, hurto o el uso no autorizado de la tarjeta, o de la información que contiene, así como por incumplir con contar con infraestructura y sistemas de atención, propios o de terceros, que permitan a los usuarios comunicar cualquiera de dichas circunstancias o los cargos indebidos y las operaciones que los usuarios no reconozcan.

Ello quiere decir que en adelante, cada vez que a alguien se le pierda la tarjeta, o sea víctima de un robo, y haya notificado al banco de ello, los consumos ilegales que pudieran haberse efectuado luego de la notificación al banco, son de exclusiva responsabilidad de dicha institución; del mismo modo, será responsabilidad única y exclusiva del banco, no contar con la infraestructura necesaria o los canales de atención idóneos que permitan a los usuarios efectuar la cancelación de la tarjeta que, en el ejemplo, nos hubiera sido robada.

Tampoco serán responsables los usuarios cuando las tarjetas hayan sido objeto de clonación, o por el funcionamiento defectuoso de los canales o sistemas puestos a disposición para efectuar operaciones; o por la manipulación de los cajeros automáticos de la empresa titular u operadora de estos o los ambientes en que estos operan, que pudieran haber ocasionado algún perjuicio en los usuarios de las tarjetas de crédito o débito (cámaras ocultas, artefactos para clonar tarjetas, etc.).

Este Reglamento entrará en vigencia el 1 de abril de 2014, fecha en la que quedará derogado el Reglamento de Tarjetas de Crédito actual, aprobado por Resolución SBS N° 264-2008, así como el artículo 32º del Reglamento de Transparencia de Información y Disposiciones Aplicables a la Contratación con Usuarios del Sistema Financiero, aprobado por la Resolución SBS N° 1765-2005.