SBS publicó en el diario oficial El Peruano las modificaciones.
Este viernes se publicó en el diario oficial El Peruano la modificación que hizo la Superintendencia a la Banca y Seguros (SBS) al Reglamento de Tarjetas de Crédito. Estos cambios tratan sobre la responsabilidad de las empresas en los procedimientos de validación de identidad de los usuarios y consentimiento de operaciones y otros casos
Entre las principales modificaciones se establece cambios en el mecanismo de seguridad de identificación del usuario. En ese sentido, se establecen modificaciones en los factores de autenticidad.
“Para operaciones con tarjeta presente se requieren dos factores, donde el primero es el chip de la tarjeta o su representación digital. El segundo factor puede ser una clave secreta (PIN) u otro que establezca la Superintendencia”, indica la norma.
Asimismo, establece que para operaciones con tarjeta no presente se indica que deben presentarse los datos contenidos en la representación física o digital de la tarjeta. “El segundo factor puede ser un código de verificación dinámico de la tarjeta u otro factor verificable en línea requerido al usuario en el marco del estándar EMV 3DS, salvo los casos de exención previstos en el artículo 20 del Reglamento de Ciberseguridad”, señala.
“Para operaciones en que no se valide el segundo factor por limitaciones fuera de su control, la empresa debe establecer reglas de aceptación o rechazo, en función al nivel de riesgo de fraude, según el sistema de monitoreo de transacciones descrito en el artículo 17° del presente reglamento. Dichas limitaciones pueden estar asociadas al terminal de atención, las prácticas del comercio o la tecnología utilizada por el usuario”, menciona la ley.
Por otra parte, se estableció la modificación del artículo 20, en el que se establece la responsabilidad de la empresa en el caso de pérdidas por las operaciones no reconocidas por los clientes, “salvo que acredite la responsabilidad del usuario”, que hayan sido efectuadas por canal digital sin cumplir con el requisito de autenticación reforzada, o en aplicación de la exención señalada en el párrafo 20.2 del presente artículo, o que fueron realizadas luego de que el usuario reportara el robo o pérdida de sus credenciales.