El año pasado, la Superintendencia de Banca, Seguros y AFP (SBS) agregó nuevos mecanismos para reforzar la seguridad en las compras con tarjetas, tanto en operaciones presenciales como virtuales.
Según la entidad, si bien la digitalización de productos y servicios financieros ha ampliado el acceso y la eficiencia, también ha incrementado la exposición a riesgos operacionales, como el fraude y los problemas vinculados a la seguridad de la información.
“Desde el 1 de julio, la SBS exige autenticación reforzada. Esto significa que cada operación debe validarse con al menos dos factores distintos. En pagos con POS, las nuevas tarjetas requieren chip y PIN. En compras online, ya no basta con los datos de la tarjeta, ahora se suma un código dinámico”, detalló Luis Mendiola, profesor de Economía y Finanzas de Esan.
En ese contexto, mediante la Resolución SBS N.º 2286-2024, publicada el 24 de junio de 2024, se establecieron nuevos requerimientos que entraron en vigencia el 1 de julio de 2025.
Uno de los cambios se aplica a las operaciones con tarjeta presente, es decir, aquellas realizadas en terminales POS. En estos casos, se exige el uso de dos factores de autenticación: la tarjeta con chip (o su representación digital) y la clave secreta (PIN).
Para las operaciones con tarjeta no presente, como las compras online, se requerirá el ingreso de los datos de la tarjeta junto con un código de verificación dinámico u otro factor adicional validado en línea.
La tercera medida se trata de la tokenización, pero su aplicación se pospuso y recién comenzó a aplicarse el 1 de abril de este año. Es decir, en el caso de las billeteras móviles de terceros, como Google Pay o Apple Pay, la afiliación de la tarjeta deberá validarse con estos mecanismos. Las operaciones posteriores se autenticarán mediante la tokenización de la tarjeta y un segundo factor de seguridad.
La tokenización es un mecanismo que reemplaza el número real de la tarjeta por un identificador único generado con técnicas criptográficas. Ese token se usa en la transacción, no el dato original. Funciona sobre todo en comercios que almacenan tarjetas o en billeteras digitales. Recordemos que anteriormente las validaciones eran más simples, como ingresar los datos de la tarjeta o firmar un voucher, lo que implicaba un solo factor de autenticación.
Por su parte, Jorge Carrillo Acosta, experto en finanzas de Pacífico Business School, indicó que los esquemas anteriores no ofrecían suficiente seguridad, ya que bastaba con conocer los datos de la tarjeta para realizar consumos indebidos.
En esa línea, Carrillo explicó que las entidades tendrían que haberse comunicado con los usuarios, cuyas tarjetas fueron emitidas antes del 1 de julio del 2025, para buscar su renovación.
“Esto es más seguro porque incorpora múltiples factores de autenticación, lo que hace mucho más difícil un fraude. Si tu tarjeta fue emitida antes del 1 de julio, tu banco debería informarte si necesitas renovarla”, señaló Carrillo.
Por su parte, Mendiola recomendó a los usuarios activar el PIN si aún no lo tienen, ya que será obligatorio para operaciones presenciales desde abril de 2026. También sugirió migrar hacia el uso de billeteras digitales o comercios que utilicen tokenización, y familiarizarse con las validaciones adicionales en compras online, como los códigos dinámicos.
