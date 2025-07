By

La Superintendencia de Banca, Seguros y AFP (SBS) comenzó a aplicar desde este 1 de julio un nuevo paquete de reglas de seguridad para las tarjetas de crédito, que obligará a los bancos a exigir claves PIN y doble autenticación para operaciones físicas y virtuales. La medida, parte de la Resolución SBS 02286-2024, busca frenar el aumento de fraudes, hacer responsables a los emisores ante fallas en los sistemas de verificación y proteger a los usuarios en un entorno financiero cada vez más digitalizado.

Clave obligatoria para tarjetas de crédito nuevas

Desde ahora, las tarjetas de crédito emitidas por entidades financieras deberán exigir que el usuario ingrese su clave secreta (PIN) para realizar compras, ya no bastará con deslizar la tarjeta en el POS. Esta obligación rige solo para tarjetas nuevas. Las tarjetas antiguas aún pueden usarse sin PIN, aunque las empresas tendrán hasta el 1 de julio de 2026 para migrar todo el parque de tarjetas al nuevo sistema.

Según informó la SBS, esta es una medida de protección frente al aumento de delitos informáticos. Además, al tratarse de una exigencia legal, si un usuario sufre un fraude con una tarjeta sin autenticación reforzada, la responsabilidad recaerá en la entidad financiera y no en el cliente.

Dos factores o responde el banco

La nueva norma establece que toda operación con tarjetas, sea presencial o virtual, debe usar al menos dos factores de autenticación. Puede ser el chip, una clave PIN, un código dinámico u otro sistema seguro. Si no se cumple con esto y ocurre un fraude, la empresa emisora deberá asumir la pérdida, salvo que demuestre que fue culpa del usuario.

Este cambio obliga a los bancos a dejar de operar con mecanismos inseguros. La norma también aplica para billeteras digitales como Apple Pay o Google Pay, donde las tarjetas deberán estar tokenizadas y contar con un segundo método de verificación.

Más cambios: contratos, servicios y reclamos

La Resolución SBS 02286-2024 también ordena cambios en los contratos de tarjetas de crédito. A partir de ahora, los aumentos de línea de crédito solo podrán hacerse con el consentimiento explícito del cliente. Además, los servicios adicionales deberán activarse únicamente si el usuario lo solicita, incluso en los casos de reposición o renovación.

Otra disposición importante es la mejora en la información a los clientes. Las empresas financieras tendrán que reforzar los canales de atención y asegurar que el usuario entienda sus derechos, cómo presentar reclamos y cómo funciona el sistema de seguridad de sus tarjetas.

Plazos y advertencias

El proceso de adecuación será progresivo. Algunas medidas ya son obligatorias desde este 1 de julio, mientras que otras —como la actualización de todas las tarjetas a sistemas con PIN— tendrán como fecha límite el 31 de diciembre de 2024 o el 1 de julio de 2026, según corresponda.

La SBS subrayó que estas disposiciones siguen estándares internacionales de ciberseguridad y no son opcionales. Las empresas que no cumplan enfrentarán sanciones, y cualquier omisión que derive en operaciones no reconocidas será responsabilidad directa del emisor.

La entidad reguladora también recordó que estas modificaciones forman parte de un paquete más amplio que incluye mejoras en ciberseguridad, conducta de mercado y atención al usuario. Aunque muchos bancos ya aplicaban algunas de estas medidas, desde hoy son exigibles por ley.

“Estas medidas se basan en estándares internacionales y buscan proteger a los usuarios ante ciberataques”, señaló la SBS en su comunicado oficial. La implementación marca un punto de quiebre en la forma en que operan las tarjetas de crédito en el Perú: si no hay autenticación segura, el banco paga.