INTRODUCCION .. 1 USO INDEBIDO DE LAS TARJETAS DE CREDITO 2 I. CONSUMOS NO RECONOCIDOS EN TARJETA DE CRDITO Fraude, Robo o Clonacin? .. 3
II. CASO DE CONSUMOS NO RECONOCIDOS EN TARJETA DE CRDITO. 4
III. ANALISIS DEL CASO 7
IV. MEDIDAS DE SEGURIDAD EN EL USO DE TARJETAS DE CRDITO. ................................................... 10 CONCLUSIONES 15 BIBLIOGRAFA 16 ANEXOS 17 1
INTRODUCCION
Los consumos no reconocidos en tarjeta de crdito es una causa frecuente de reclamo de consumidores. Pueden ser generados por causas atribuibles al robo, clonacin u otro tipo de fraude. En cualquier transaccin de tarjeta de crdito estn involucrados un consumidor, un establecimiento donde se produce el consumo, y un proveedor de tarjeta de crdito. En vista de lo anterior, es relevante analizar un caso de consumo no reconocido en el que el consumo fraudulento se realiz a travs de un cajero automtico, y a partir de ese caso evaluar qu elementos o indicios pueden ayudar a determinar la responsabilidad de cada uno de los actores involucrados. Adicionalmente, se discute algunas medidas de seguridad en el uso de tarjetas de crdito que, en general, pueden ayudar a reducir las prdidas por robo o clonacin en forma sustancial. Por ltimo, se discute otras medidas de proteccin para reducir las prdidas que sufren los consumidores.
2
USO INDEBIDO DE LAS TARJETAS DE CREDITO
V. CONSUMOS NO RECONOCIDOS EN TARJETA DE CRDITO Fraude, Robo o Clonacin?
Muchas veces escuchamos casos de consumidores que poseen tarjetas de crdito y reciben el estado de cuenta encontrando con sorpresa que hay consumos que no reconocen haber realizado. Del total de denuncias vinculadas al sector financiero presentadas a la Comisin de Proteccin al Consumidor (CPC) en el ao 2008, el 58 por ciento correspondi a casos de consumos no reconocidos de tarjeta de crdito (ver Cuadro 1). 1
Cuadro 1: Denuncias Presentadas ante INDECOPI Sector Financiero 2008 MOTIVO NUMERO PORCENTAJE Tarjeta de crdito 424 58 Cuenta de ahorros 58 8 Operaciones de reporte 45 6 Cuenta corriente 41 6 Crdito hipotecario 27 4 Tarjeta de debito 21 3 Ttulos valores 8 1 Credito de consumo 7 1 Refinanciamiento 3 0 CTS 2 0 OTROS 96 13 Total 732 100 Fuente. INDECOPI
Los consumos no reconocidos pueden provenir de casos de robo, clonacin u otro tipo de fraude. El robo o prdida de una tarjeta de crdito puede dar lugar a que un tercero acuda a establecimientos afiliados a realizar compras pagando con la tarjeta. De producirse la compra y si el consumidor an no ha reportado el robo de la tarjeta al banco, el consumidor podra ser responsable de los consumos realizados. Sin embargo, de acuerdo con el contrato de tarjeta de
1 Monzon, Paul Caso. Sepa qu hacer ante el uso indebido de su tarjeta. Per 21, 21 de marzo de 2009, p. 10. 3
crdito entre el banco y el consumidor y el Reglamento de Tarjetas de Crdito emitido por la SBS 2 , una vez reportado el robo de la tarjeta al banco, el consumidor ya no ser responsable de cualquier consumo que se cargue en la tarjeta.
Con respecto a la responsabilidad del consumidor se debe sealar que sta es limitada ya que el establecimiento, al ser un agente que recibe pagos, tiene la obligacin impuesta por el Reglamento de Tarjeta de Crdito mencionado de verificar la identidad del portador de la tarjeta. Por lo anterior, si se comprueba que el establecimiento no cumpli con dicha obligacin, entonces ser sancionado. Como resultado, la Comisin de Proteccin al Consumidor atribuye al establecimiento la responsabilidad en el pago de los consumos no reconocidos. No se atribuye responsabilidad a la entidad que procesa los pagos de tarjeta de crdito cuando se comprueba que el sistema de procesamiento de pago de la transaccin no se ha visto quebrantado o que efectu el bloqueo de la tarjeta en forma oportuna.
De otro lado, los usuarios de tarjeta de crdito tambin enfrentan el peligro de la clonacin. Bajo esta modalidad de robo, un tercero obtiene un duplicado de los cdigos ocultos en la banda magntica de la tarjeta para usarlos con fines fraudulentos. 3 Es difcil probar casos de clonacin. Sin embargo, si se demuestra que se han producido transacciones simultneas o con muy poca diferencia horaria y en lugares apartados es un indicio claro de clonacin. Si fuera el caso, la Comisin de Proteccin al Consumidor atribuye al banco la responsabilidad en el pago de los consumos realizados porque frente al consumidor es el responsable de mantener un medio de pago seguro. Esta es una obligacin que el banco asume al emitir tarjetas.
Por otra parte, el robo o clonacin de la tarjeta de crdito tambin se podra producir en el caso de la emisin de una nueva tarjeta y antes de que la tarjeta llegue a las manos del usuario. No obstante, no es comn observar estos casos por las medidas de seguridad existentes, particularmente cuando la activacin de la tarjeta de crdito se produce nicamente despus de comprobar que la tarjeta ha sido recibida por su titular o por la persona autorizada por ste para hacerlo.
2 Reglamento de Tarjeta de Crdito, Resolucin SBS N 264-2008 emitida en Febrero 2008. 3 Annimo. Evita la Clonacin de tu Tarjeta. Mi Dinero, sin fecha. http/www.terra.com/finanzas/artculo/html/fin644.htm. 4
En relacin con otro tipo de fraude en tarjeta de crdito, se podra dar el caso de un autofraude donde un consumidor realiza un consumo que luego desconoce. Al respecto, se debe sealar que si bien no es comn observar estos casos, no se pueden descartar por lo que no es fcil llegar a una decisin en la que el banco resulta responsable de los consumos no reconocidos. De igual forma, tampoco se puede descartar casos donde se produce fraude o error interno en el mismo banco por lo que se requiere evaluar las medidas de seguridad de la informacin en el banco as como las medidas de seguridad en el procesamiento de tarjetas de crdito.
En vista de lo anterior, es relevante analizar un caso de consumo no reconocido en el que el consumo fraudulento es realizado a travs de cajeros automticos, en el que basta el uso conjunto de la tarjeta y la clave para autorizar la operacin. A partir de ese caso, se evaluar los elementos o indicios que pueden ayudar a determinar la responsabilidad de cada uno de los actores involucrados.
Adicionalmente, se veremos algunas medidas de seguridad en el uso de tarjetas de crdito que pueden ayudar a reducir las prdidas por robo o clonacin en forma sustancial.
VI. CASO DE CONSUMOS NO RECONOCIDOS EN TARJETA DE CRDITO.
El 28 de septiembre de 2007, la seora Carbajal denunci al Interbank por presunta infraccin a la Ley de Proteccin al Consumidor. 4 Seal, que el 5 de julio de 2007 recibi el estado de cuenta de su Tarjeta de Crdito Mastercard Interbank, percatndose que se habran realizado las siguientes operaciones: (i) una disposicin de efectivo; (ii) un pago a Telefnica; (iii) un pago a Claro; (iv) un pago a Sedapal. Siendo que no reconoca dichas operaciones, las cuales ascendan a la suma total de S/. 739.05 (ver Cuadro 2). Por lo anterior, la seora Carbajal solicit a la Comisin de Proteccin al Consumidor que ordene al Interbank el extorno de las operaciones no reconocidas, as como el pago de las costas y costos del procedimiento.
El Interbank manifest que la disposicin de efectivo se realiz en un cajero automtico ubicado en el Centro Comercial Plaza Hogar, utilizando la tarjeta de crdito y la clave secreta asignada a la seora
4 Resolucin 590-2008/CPC-INDECOPI. 5
Carbajal. Adicionalmente, seal que los pagos efectuados a favor de las empresas Telefnica y Claro se realizaron por medio de un cajero automtico, con el uso de la tarjeta y la clave secreta asignada a la denunciante. Finalmente, aadi que el pago efectuado a favor de Sedapal se realiz a travs de un canal directo del Banco, utilizando cajeros corresponsales, con el uso de la tarjeta y la clave secreta.
Cuadro 2 Transacciones no Reconocidas por la Seora Carbajal
PAGO EFECTUADO MONTO FECHA HORA UBICACION Retiro en efectivo S/. 350.00 15/06/07 12.33 Av. Angamos 1151 Surquillo Celular claro S/. 122.17 15/06/07 13:05 Av. Angamos 1151 Surquillo Telfono fijo S/. 68.48 15/06/07 13:07 Av. Angamos 1151 Surquillo Recibo SEDAPAL S/.164.00 15/06/07 16:46 Av. Universitaria 509 Tungasuca
La entidad financiera present como medio probatorio la impresin de las imgenes en pantalla del sistema que gener las winchas auditoras de las tres operaciones realizadas en cajero y las imgenes en pantalla del sistema PANAGON donde se consigna la operacin a travs de cajeros corresponsales. Toda la documentacin fue debidamente suscrita por un funcionario responsable del Banco y contiene la explicacin de las siglas y cdigos presentes.
Como resultado, la Comisin de Proteccin al Consumidor decidi declarar infundada la denuncia interpuesta por la seora Carbajal en contra del Banco Internacional del Per por presunta infraccin al artculo 8 de la Ley de Proteccin al Consumidor.
No obstante, la seora Carbajal apel la Resolucin 590-2008/CPC, manifestando que los documentos presentados por Interbank carecan de fecha cierta y fueron emitidos unilateralmente por el Banco, motivo por el cual no podan probar las deudas que le imputaban. Tambin seal que ella procedi a bloquear su tarjeta de crdito al da siguiente que tom conocimiento de las operaciones 6
que se haban efectuado con su tarjeta, lo cual acreditaba que ella haba sido un consumidor diligente respecto de la utilizacin de su tarjeta de crdito. Con relacin a los pagos en cuestin seal que el telfono celular cuya cuenta se pag le perteneca al seor Alberto Martn Franco y el telfono fijo era de la seora Mara Estela Gonzles Robles, persona a las cuales no conoca, lo cual demostraba que la tarjeta fue utilizada para pagar cuentas de terceras personas.
Por otro lado, seal tambin que otro indicio sobre la utilizacin fraudulenta de su tarjeta de crdito era el hecho que la lnea de crdito de su tarjeta fue totalmente utilizada a los tres das de haber sido entregada, lo cual, adems, se hizo en un perodo de dos das. Finalmente, seal que si bien la clonacin de tarjetas era difcil de acreditar, el Banco debi tener un sistema que le permitiese detectar este tipo de actos.
La Sala de Defensa de la Competencia evalu la apelacin de la seora Carbajal y declar nula la Resolucin 590-2008 emitida por la Comisin de Proteccin al Consumidor disponiendo que la Comisin emita un nuevo pronunciamiento solicitando nuevas pruebas al banco. 5 En su Resolucin, la Sala seal que la Comisin lista los documentos presentados por Interbank, mas no realiza un anlisis respecto de cmo dichos medios probatorios demuestran que los consumos imputados a la seora Carbajal fueron realizados con su tarjeta de crdito. Tambin observ que la Comisin no analiza cmo dichos medios probatorios acreditan que el sistema del Banco sea completamente seguro.
De otro lado, la Sala seal que al entregar la informacin requerida por la Comisin, el Banco se habra formado una expectativa legtima respecto de que dicha informacin sera suficiente para probar su afirmacin, lo cual no era correcto, motivo por el cual se deba dar la oportunidad al Banco a que pruebe que los consumos imputados a la seora Carbajal fueron realizados con su tarjeta de crdito. Asimismo, manifest que se deba exigir al banco demostrar que las transacciones efectuadas por sus clientes con su tarjeta de crdito no pueden ser modificadas ni alteradas sin consentimiento de ellos. Para tal efecto, la Sala observ que los medios probatorios presentados deben ser elaborados por personas imparciales y objetivas que garanticen la credibilidad de dichos medios probatorios.
5 Resolucin 0389-2008/SC2 INDECOPI. 7
VII. ANALISIS DEL CASO
Tanto la Sala de Defensa de la Competencia del Tribunal del INDECOPI como la Comisin de Proteccin al Consumidor han manifestado en reiteradas oportunidades que un usuario de tarjeta de crdito comprende que existe un riesgo en el empleo de tarjetas de crdito. La informacin existente en el mercado de tarjetas de crdito es clara ya que los mismos contratos sealan que en caso de robo o prdida de la tarjeta el consumidor ser responsable de los pagos al establecimiento. De esta manera, si el consumidor no tiene especial cuidado existe la posibilidad que terceras personas accedan a su tarjeta y puedan realizar diversas operaciones.
Debemos tener en cuenta que la clave secreta solo es conocida por el consumidor y que tiene la potestad de cambiarla en cualquier momento. No debemos perder de vista que si los consumos no reconocidos estuvieran explicados por un fraude interno u error en los sistemas operativos del banco, no figurara en las winchas auditoras del banco que la transaccin cuestionada se hubiera realizado con la clave secreta. Por lo anterior, cuando se requiere la clave secreta, el uso de sta conjuntamente con la tarjeta de crdito para efectuar operaciones por cajero automtico o cajeros corresponsales resulta un mecanismo razonable para garantizar la seguridad de las transacciones efectuadas.
Desde que la seora Carbajal contrat con el banco, tena conocimiento que, en caso de efectuarse transacciones con su tarjeta de crdito, dichas operaciones se reputaran como efectuadas, reconocidas y aceptadas por ella aun cuando fuesen realizados por terceros. Tambin conoca que el consumidor no es responsable por transacciones fraudulentas o no autorizadas realizadas luego de que se ha solicitado al banco el bloqueo de la tarjeta de crdito.
La Comisin de Proteccin al Consumidor fue de la opinin que los medios probatorios presentados acreditan que las operaciones fueron realizadas con tarjeta y clave secreta ya que Interbank present la impresin de las imgenes en pantalla del sistema que gener las winchas auditoras, debidamente suscritas por funcionario responsable del Banco. Adicionalmente, el banco present una explicacin de las siglas y cdigos que aparecen en ellas. 8
Igualmente, present el impreso de las imgenes en pantalla del sistema PANAGON donde se consignan las operaciones realizadas a travs del sistema Interbank Directa (ver Grfico 1). De otro lado, se descart la existencia de clonacin en vista de que no haba indicios suficientes tal como la existencia de transacciones simultneas en lugares apartados. Al respecto, la Comisin consider que el hecho de que el recibo de telfono estuviera a nombre de un tercero es bastante comn en nuestro medio por lo que no constitua un indicio suficiente de clonacin.
No obstante, la Sala fue de la opinin que se requera demostrar cmo dichos medios probatorios prueban que los consumos imputados a la seora Carbajal fueron realizados con su tarjeta de crdito. Manifest tambin que se deba demostrar que el sistema del banco es completamente seguro por lo que el usuario debe estar confiado que las transacciones efectuadas por los clientes con su tarjeta de crdito no pueden ser modificadas ni alteradas sin consentimiento de ellos. Para tal efecto, la Sala seal que los medios probatorios presentados deban ser elaborados por personas imparciales y objetivas que garanticen la credibilidad de dichos medios probatorios.
Grafico 1: Medios Probatorios Requeridos por la Comisin
Al respecto, la wincha auditora junto con la impresin de la pantalla contiene la informacin que permite demostrar que las transacciones Hecho a demostrar Los consumos fueron realizados con la tarjeta de crdito de la denunciante. Medio probatorio 1 Wincha Auditora. Medio probatorio 2 La impresin de las imgenes en pantalla del sistema que gener la wincha auditora. Medio probatorio 3 La impresin de las imgenes en pantalla del sistema Panagon. 9
se efectuaron con el nmero de tarjeta de la seora Carbajal y con la clave secreta. Por otro lado, existe coincidencia respecto a la importancia de verificar que los bancos cuenten con sistemas adecuados que permitan a los usuarios realizar transacciones con confianza. Un consumidor razonable espera que la tarjeta otorgada por la entidad financiera cuente con niveles de seguridad apropiados para minimizar el riesgo de que un tercero utilice la tarjeta sin la autorizacin del titular. No obstante, la certificacin por un auditor de los medios probatorios presentados por el banco tal como la wincha auditora y la impresin de pantalla del sistema que gener sta en este caso particular no genera informacin adicional y encarece el proceso administrativo (ver Grfico 2).
A pesar de lo anterior, en trminos generales se requiere implementar medidas preventivas para generar confianza en los consumidores. En particular, es razonable requerir a un banco que implemente un sistema de gestin de la seguridad de la informacin que tenga como objetivo obtener informacin completa, exacta y vlida. 6 En este sentido, se puede solicitar al banco que demuestre tener sistemas de gestin de la seguridad de la informacin adecuados mediante la presentacin de un certificado o informe elaborado por un auditor externo. Sin embargo, se debe resaltar que lo anterior involucra la verificacin de procesos no de una sola operacin. El proceso de auditora mencionado debe ser realizado por personal especializado con experiencia en tecnologa de la informacin y con el objetivo de verificar que las transacciones que efectan los usuarios con tarjetas de crdito o dbito sean adecuadamente registradas en los sistemas del banco.
6 Una nueva Circular sobre Gestin de la Seguridad de la Informacin exige al banco implementar una adecuada combinacin de polticas, procedimientos, estructura organizacional y herramientas dirigidas a que la informacin sea completa, exacta y vlida. Al respecto, los bancos debern remitir a la SBS informes peridicos sobre las medidas implementadas (Circular N G-140-2009). 10
Grfico 2: Anlisis y Medios Probatorios Solicitados por la Sala
En el caso particular de las tarjetas de crdito, as como de las tarjetas de dbito en donde basta el uso de la tarjeta y la clave para autorizar la transaccin, se requiere de medidas preventivas adicionales a efecto de generar confianza en el consumidor. Entre estas medidas se encuentra, por ejemplo, la implementacin de sistemas de monitoreo de transacciones y otros que se detallan en la siguiente seccin. El anlisis que se presenta incluye las medidas de seguridad recomendables en operaciones con cajeros automticos como en el caso prctico que se analiz, as como en operaciones con tarjeta en establecimientos.
VIII. MEDIDAS DE SEGURIDAD EN EL USO DE TARJETAS DE CRDITO.
Las empresas deben adoptar medidas de seguridad en el uso de tarjetas de crdito a efecto de minimizar las prdidas por fraude, robo o clonacin de la tarjeta de crdito. En el caso de los establecimientos, estas medidas que tienen un carcter preventivo incluyen revisar la validez y la vigencia de la tarjeta de crdito, as como la verificacin de la identidad del consumidor (ver Cuadro 3).
Hecho a demostrar Los consumos fueron realizados con la tarjeta de crdito de la denunciante. Anlisis 1 Vnculo entre los medios probatorios 1, 2, 3 y el hecho a demostrar. Anlisis 2 El sistema del banco posee informacin completa, exacta y valida. Medio probatorio Informe de un tercero imparcial y objetivo. 11
Los establecimientos afiliados estn obligados a efectuar la verificacin de la vigencia de la tarjeta de crdito, la comprobacin de la identidad del consumidor y la constatacin de la firma en la orden de pago con la que figura en la tarjeta de crdito o en el DNI.
Tanto la SBS como INDECOPI han emitido disposiciones que obligan a los establecimientos a comprobar la identidad del sujeto que porta la tarjeta solicitando el DNI u otro documento similar. En el caso de los bancos, se requiere la implementacin de medidas preventivas de seguridad en el proceso de emisin de tarjeta, en el proceso de entrega y activacin de tarjeta, en el proceso de efectuar transacciones y en el proceso de bloqueo. Las mismas empresas procesadoras de pago de tarjetas de crdito como Visa o Mastercard exigen la implementacin de estas medidas de seguridad a los bancos que contratan con estas empresas y realizan visitas a los bancos a efectos de verificar su adecuada implementacin.
La implementacin de medidas de seguridad adecuadas en el proceso de emisin de tarjeta y clave corresponden a operar un sistema automatizado, con personal cuya participacin en el proceso sea nula o sujeta a estrictos controles de seguridad tal como registro de ingreso y salida a la sala de emboce, filmacin del proceso, etc. En esta etapa del proceso tambin es conveniente el traslado de informacin encriptada y entrega de clave en sobres lacrados.
De otro lado, la implementacin de un sistema de entrega y activacin de tarjetas de crdito seguro implica entregar la tarjeta de crdito al consumidor luego de que queda acreditada la identidad del receptor como titular de la tarjeta o persona previamente autorizada para recibir el plstico. Es an ms seguro utilizar mtodos de identificacin telefnica o medios anlogos para proceder a activar la tarjeta luego de que se tiene la certeza que el consumidor ha recibido la tarjeta emitida y este se identifica por va telefnica.
Adicionalmente, es conveniente contar con sistemas de monitoreo de transacciones inusuales para reducir la posibilidad de usos no autorizados o fraudulentos tal como ya se viene implementando en el sistema bancario. 7 Estos sistemas de monitoreo incluyen reglas
7 Al respecto, el Reglamento de Tarjetas de Crdito de la SBS, citado anteriormente, seala que para reducir la posibilidad de usos no autorizados o fraudulentos de las tarjetas de crdito los bancos deben contar con sistemas de monitoreo de transacciones y procedimientos complementarios, que permitan detectar razonablemente aquellas transacciones que pueden corresponder a patrones de fraude. De acuerdo con el Reglamento, este requisito es exigible desde Marzo 2009. 12
generales para identificar transacciones sospechosas. 8 No obstante, estas reglas son flexibles e inteligentes ya que permiten adaptarse al patrn de conducta del usuario utilizando informacin sobre montos de transaccin, velocidad de las transacciones, cantidad de usuarios, zonas donde se efectan las operaciones, los nmeros IP de las computadoras donde se realizan las transacciones entre otras. De acuerdo con los expertos, este tipo de monitoreo ayuda a reducir hasta un 85 por ciento de los incidentes fraudulentos. 9
Cuadro 3: Medidas de Seguridad para Minimizar Prdidas por Robo, Clonacin o Fraude
MEDIDA DE SEGURIDAD ROBO O PERDIDA CLONACION FRAUDE O ERROR INTERNO EN EL BANCO Identificador del consumidor X X Validez y Vigencia de tarjeta de crdito X X Seguridad en el proceso de emisin o activacin de tarjeta X X X Sistema de Monitoreo de transacciones X X X Sistema de bloqueo de tarjeta X X X Infraestructura en cajeros Automticos Evaluacin de la seguridad de la informacin X
X
Los bancos tambin deben contar con sistemas de atencin que permitan a los titulares de tarjetas de crdito comunicar el robo o prdida de tal forma que se proceda a bloquear la tarjeta en forma inmediata. Los sistemas de atencin al pblico de los bancos
8 Annimo. Velocidad de Anlisis de Riesgos Favorece la Reduccin de Fraudes Cibernticos. Diario Gestin. 9 dem. 13
tambin deben permitir que el usuario de tarjeta reporte consumos no reconocidos en forma inmediata para proceder a bloquear la tarjeta.
Por otro lado, es conocido que para obtener los datos de la tarjeta, los defraudadores instalan un aparato del tamao de un beeper que permite obtener informacin del nmero de la tarjeta y de la clave secreta con solo deslizar la tarjeta. 10 Estos dispositivos incluso han sido instalados en cajeros automticos. Por ello, para minimizar casos de clonacin de tarjeta tambin es importante que los bancos mejoren la infraestructura del cajero automtico de tal forma que no se pueda instalar un lector de tarjeta adicional al que tiene el banco para retirar el efectivo. Al respecto, ya hay bancos locales que han implementado esta medida o estn en proceso de implementarla.
10 Annimo. Evita la Clonacin de tu Tarjeta. Mi Dinero, sin fecha. http/www.terra.com/finanzas/artculo/html/fin644.htm. 14
CONCLUSIONES
Los consumos no reconocidos con tarjeta de crdito es una causa frecuente de reclamo de consumidores. Tal como se discute en el presente trabajo pueden ser generados por causas atribuibles al robo, clonacin u otro tipo de fraude. En cualquier transaccin de tarjeta de crdito estn involucrados un consumidor, un establecimiento donde se produce el consumo, un proveedor de tarjeta de crdito, as como un procesador de pagos de tarjeta de crdito. En el presente trabajo se ha analizado un caso de consumo no reconocido y a partir de ese caso se evalu los elementos o indicios que pueden ayudar a determinar la responsabilidad de cada uno de los actores involucrados tanto en el caso de consumo en establecimientos como en operaciones con el uso de la tarjeta y la clave secreta. Al respecto, es responsabilidad del establecimiento verificar la identidad del consumidor a efecto de minimizar prdidas por robo o clonacin. De otro lado, es responsabilidad del banco implementar medidas de gestin de la seguridad de la informacin a efecto de generar confianza en el consumidor. Con el mismo propsito, el banco debe implementar medidas de seguridad en el proceso de emisin, activacin, uso y bloqueo de la tarjeta de crdito. En estos aspectos inciden tanto el procesador como el proveedor de tarjeta de crdito. A pesar de la implementacin de las medidas sealadas y de la asignacin de responsabilidad en el pago de consumos no reconocidos que realiza la Comisin de Proteccin al Consumidor, existen casos de robo o clonacin en los que el consumidor a pesar de haber sido diligente en reportar el robo, por falta de evidencia de una clonacin por ejemplo, termina asumiendo la responsabilidad de los consumos no reconocidos previos al bloqueo de la tarjeta de crdito. Para estos casos se requiere un esquema de proteccin superior de tal forma que el consumidor no sea responsable del pago de los consumos no reconocidos, incluso en aquellas operaciones efectuadas antes del bloqueo.
Con Resolucin de la S.B.S.N 6523 -2013- El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones, se aprueba el Reglamento de Tarjetas de Crdito y Dbito, aprobado por el Artculo Primero de la presente Resolucin, entrar en vigencia el 1 de 15
abril de 2014, en el cual se establecen una serie de medidas de seguridad y proteccin para usuarios de tarjetas de crdito y dbito. Una de ella es que las nuevas tarjetas de dbito y crdito debern ser emitidas con chip, conforme a lo establecido en el artculo 15, las empresas debern dar la posibilidad a los usuarios de cambiar sus tarjetas con banda magntica por tarjetas con chip protegiendo as a los usuarios de posibles clonaciones de tarjetas, este mecanismo ser aplicable a partir del 31 de diciembre de 2014.
16
BIBLIOGRAFIA
Monzon, Paul Caso. Sepa qu hacer ante el uso indebido de su tarjeta. Per 21, 21 de marzo de 2009, p. 10. Reglamento de Tarjeta de Crdito, Resolucin SBS N 264- 2008 emitida en Febrero 2008. http/www.terra.com/finanzas/artculo/html/fin644.htm Resolucin 590-2008/CPC-INDECOPI. Resolucin 0389-2008/SC2 INDECOPI. Velocidad de Anlisis de Riesgos Favorece la Reduccin de Fraudes Cibernticos. http/www.terra.com/finanzas/artculo/html/fin644.htm. Resolucin S.B.S.N 6523 -2013- El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones
17
ANEXOS
18
Lima, 30 de octubre de 2013 Resolucin S.B.S. N 6523 -2013 El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones
CONSIDERANDO: Que, el numeral 34 del artculo 221 de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgnica de la Superintendencia de Banca y Seguros, Ley N 26702 y sus normas modificatorias, en adelante Ley General, faculta a las empresas del sistema financiero a expedir y administrar tarjetas de crdito y dbito, de acuerdo con lo dispuesto en el Captulo I del Ttulo III de la Seccin Segunda de la Ley General; Que, el Reglamento de Tarjetas de Crdito, aprobado por la Resolucin SBS N 264-2008 y sus normas modificatorias, establece normas referidas a las condiciones contractuales, remisin de informacin y medidas de seguridad aplicables, con especial nfasis en la verificacin de la identidad del titular o usuario y el establecimiento de lmites de responsabilidad en el uso fraudulento de dichas tarjetas; Que, las tarjetas de crdito y dbito constituyen un medio de pago, sustituto del dinero en efectivo, lo que ha estimulado la intensificacin de su uso, razn por la cual resulta necesario aprobar disposiciones que refuercen las medidas establecidas, con respecto a la expedicin y administracin de tarjetas de crdito y establecer medidas similares para el caso de tarjetas de dbito; Que, asimismo, resulta necesario adecuar y emitir disposiciones sobre tarjetas de crdito y dbito, de acuerdo con lo dispuesto por el Reglamento de Transparencia de Informacin y Contratacin con Usuarios del Sistema Financiero aprobado por la Resolucin SBS N 8181-2012 y sus normas modificatorias; Que, a efectos de recoger las opiniones de los usuarios y del pblico en general respecto de las propuestas de modificacin a la normativa del sistema financiero, se dispuso la prepublicacin del proyecto de resolucin sobre la materia en el portal electrnico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo N 001-2009-JUS; 19
Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Riesgos y de Asesora Jurdica, as como de la Gerencia de Productos y Servicios al Usuario; y,
En uso de las atribuciones conferidas por los numerales 7, 9 y 19 del artculo 349 de la Ley General;
RESUELVE:
Artculo Primero.- aprobar el Reglamento de Tarjetas de Crdito y Dbito, segn se indica a continuacin:
REGLAMENTO DE TARJETAS DE CRDITO Y DBITO
CAPTULO I ASPECTOS GENERALES
Artculo 1.- Alcance El presente Reglamento es aplicable a las empresas de operaciones mltiples, a que se refiere el literal A del artculo 16 de la Ley General, autorizadas a expedir y administrar tarjetas de crdito y dbito, en adelante empresas.
Artculo 2.- Definiciones Para efectos de lo dispuesto en el presente Reglamento, se considerarn las siguientes definiciones: 1. Cajero automtico: conforme a la definicin del Reglamento de Apertura, Conversin, Traslado o Cierre de Oficinas, Uso de Locales Compartidos, Cajeros Automticos y Cajeros Corresponsales, aprobado por la Resolucin SBS N 6285-2013 y sus normas modificatorias. 2. Canal: cualquier medio fsico o virtual al que accede el usuario para efectuar operaciones monetarias (banca por internet, cajeros automticos, terminales de punto de venta, entre otros). 3. Circular de pago mnimo: Circular que establece las disposiciones referidas a la metodologa del clculo del pago mnimo en lneas de crdito de tarjetas de crdito y otras modalidades revolventes para crditos a pequeas empresas, microempresas y de consumo, Circular N B- 2206-2012, F- 546-2012, CM-394-2012, CR-262-2012, EDPYME-142-2012. 4. Cdigo: Cdigo de Proteccin y Defensa del Consumidor, aprobado por la Ley N 29571 y sus normas modificatorias. 5. Comportamiento habitual de consumo del usuario: se refiere al tipo de operaciones que usualmente realiza cada usuario con sus tarjetas, considerando diversos factores, como por ejemplo el pas de consumo, tipos de comercio, frecuencia, canal utilizado, entre otros, los cuales pueden ser determinados a partir de la informacin histrica de las operaciones de cada usuario que registra la empresa. 6. Contrato: documento que contiene todos los derechos y obligaciones que corresponden al titular y a las empresas, incluyendo los anexos que establecen estipulaciones especficas propias de la operacin financiera que es objeto del pacto, y que ha sido debidamente celebrado por las partes intervinientes. 7. Das: das calendario. 8. EMV: estndar de interoperabilidad de tarjetas Europay, Mastercard y Visa. 9. Factor de autenticacin: conforme a la definicin sealada en la Circular G-140-2009, referida a la gestin de la seguridad de la informacin. 10. Ley General: Ley General del Sistema Financiero y del Sistema de Seguros y Orgnica de la Superintendencia de Banca y Seguros, Ley N 26702 y sus normas modificatorias. 20
11. Micropago: operaciones por montos poco significativos determinados por la empresa, en las que no se requiere la clave secreta u otro medio de autenticacin por parte de los usuarios al momento de efectuar el consumo u operacin. 12. Negocios afiliados: empresas o personas que aceptan tarjetas de crdito o dbito como medio de pago por los productos y/o servicios que ofrecen. 13. Reglamento: Reglamento de Tarjetas de Crdito y Dbito. 14. Reglamento de Transparencia: Reglamento de Transparencia de Informacin y Contratacin con Usuarios del Sistema Financiero, aprobado por la Resolucin SBS N 8181-2012 y sus normas modificatorias. 15. Superintendencia: Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones. 16. Tarjeta: tarjeta de crdito y/o dbito, segn corresponda, que puede permitir la realizacin de retiros y/u otras operaciones a travs de los canales ofrecidos por la empresa emisora, as como ser utilizado como medio de pago de bienes o servicios en la red de negocios afiliados. 17. Terminales de punto de venta: dispositivos de acceso tales como terminales de cmputo, telfonos mviles y programas de cmputo, operados por negocios afiliados o usuarios para efectuar operaciones con tarjetas. 18. Titular: persona natural o jurdica a la que, como consecuencia de la celebracin de un contrato con las empresas, se le entrega una tarjeta. 19. Usuario: persona natural que se encuentra autorizada para utilizar la tarjeta.
Artculo 3.- Tarjeta de crdito La tarjeta de crdito es un instrumento que permite, de acuerdo con lo pactado entre la empresa emisora y el titular, realizar operaciones con cargo a una lnea de crdito revolvente, otorgada por la empresa emisora a favor del titular. Con esta tarjeta, el usuario puede adquirir bienes o servicios en los establecimientos afiliados que los proveen, pagar obligaciones o, de as permitirlo la empresa emisora y no mediar renuncia expresa por parte del titular, hacer uso del servicio de disposicin de efectivo u otros servicios asociados, dentro de los lmites y condiciones pactados; obligndose a su vez, a pagar el importe de los bienes y servicios adquiridos, obligaciones pagadas, y dems cargos, conforme a lo establecido en el respectivo contrato.
Artculo 4.- Tarjeta de dbito La tarjeta de dbito es un instrumento que permite, de acuerdo con lo pactado entre la empresa emisora y el titular, realizar operaciones con cargo a depsitos previamente constituidos. Con esta tarjeta, el usuario puede adquirir bienes o servicios en los establecimientos afiliados que los proveen, pagar obligaciones, efectuar el retiro de los depsitos realizados a travs de los canales puestos a disposicin por la empresa emisora u otros servicios asociados, dentro de los lmites y condiciones pactados, debitndose los montos correspondientes de sus depsitos.
CAPTULO II DISPOSICIONES GENERALES APLICABLES A LAS TARJETAS DE CRDITO
Artculo 5.- Contenido mnimo del contrato El contrato de tarjeta de crdito deber contener, como mnimo, la siguiente informacin: 1. Las condiciones aplicables para la reduccin o aumento de la lnea de crdito y los mecanismos aplicables para requerir el consentimiento previo del usuario en caso se busque realizar un aumento de la lnea conforme lo dispone el artculo 30 del Reglamento de Transparencia, cuando corresponda. 2. Forma y medios de pago permitidos. 3. Procedimientos y responsabilidades de las partes en caso de extravo de la tarjeta de crdito o de la sustraccin, robo o hurto de esta o la informacin que contiene. 4. Casos en los que procede el bloqueo o anulacin de la tarjeta de crdito y la resolucin del contrato. 5. Condiciones aplicables a la renovacin del contrato, de ser el caso. 6. Periodicidad con la que se pondr a disposicin o entregar los estados de cuenta. 21
7. A nombre de quin se emitirn los estados de cuenta, titular o usuario, de ser el caso. 8. Condiciones de emisin y remisin o puesta a disposicin, segn corresponda, del estado de cuenta en forma fsica o electrnica y plazo de aceptacin del estado de cuenta. 9. El orden de imputacin aplicable para el pago de la lnea de crdito deber ser claro y no podr conllevar un agravamiento desproporcionado del monto adeudado, salvo que la empresa acredite la existencia efectiva de negociacin e informe adecuadamente al titular en documento aparte sobre las consecuencias e implicancias econmicas de la regla de imputacin de pagos negociada.
Se entender que existe un agravamiento desproporcionado, cuando el orden de imputacin de pagos aplicado por la empresa genera un perjuicio econmico al titular. No se genera un perjuicio econmico, cuando se amortiza en orden decreciente la deuda, inicindose la aplicacin de los pagos a aquellas obligaciones diferenciadas que generan una mayor carga por concepto de intereses, al corresponderles una tasa de inters mayor, hasta llegar a aquellas que generan una menor carga por dicho concepto.
Asimismo, para efectos de lo dispuesto en el presente numeral se entiende que existe efectiva negociacin cuando pueda evidenciarse que la clusula no constituye una condicin masiva que forma parte del contrato de adhesin y que condicione su suscripcin; es decir, cuando puede evidenciarse que el titular ha influido en el contenido de la clusula. 10. Las condiciones generales en las que opera la autorizacin del exceso de lnea de crdito, que debern ser fijadas hasta por un monto razonable que responda, entre otros criterios, a la capacidad de pago del titular, as como al perfil ordinario de montos de consumo de este. 11. Informacin sobre la prestacin de los servicios asociados a las tarjetas de crdito sealados en el artculo 7 del Reglamento. 12. Condiciones generales en las que opera la supresin y reactivacin de los servicios sealados en el artculo 7 del Reglamento, cuando corresponda; as como el tratamiento que se otorgar, con relacin a estos servicios, a las tarjetas adicionales. 13. Otros que establezca la empresa o la Superintendencia, mediante oficio mltiple.
Artculo 6.- Informacin mnima, condiciones y vigencia aplicable a la tarjeta de crdito Las tarjetas de crdito se expedirn con carcter de intransferible y debern contener la siguiente informacin mnima: 1. Denominacin social de la empresa que expide la tarjeta de crdito o nombre comercial que la empresa asigne al producto; y la identificacin del sistema de tarjeta de crdito (marca) al que pertenece, de ser el caso. 2. Nmero de la tarjeta de crdito. 3. Nombre del usuario de la tarjeta de crdito y su firma. Las firmas podrn ser sustituidas o complementadas por una clave secreta, firma electrnica u otros mecanismos que permitan identificar al usuario antes de realizar una operacin, de acuerdo con lo pactado. 4. Fecha de vencimiento.
El plazo de vigencia de las tarjetas de crdito no podr exceder de cinco (5) aos, pudindose acordar plazos de vencimiento menores.
Artculo 7.- Servicios asociados a las tarjetas de crdito Las empresas, en funcin a sus polticas internas, darn a los titulares la posibilidad de hacer uso de uno o ms de los siguientes servicios: 1. Disposicin de efectivo: deber otorgrsele la posibilidad, para cada operacin, de decidir si estas disposiciones debern ser cargadas en cuotas fijas mensuales y el nmero de cuotas aplicable a estas. 2. Operaciones de compra, consumos o pagos por internet, a travs de una pgina web distinta a la de la empresa. 3. Consumos u operaciones efectuadas en el exterior, con presencia fsica de la tarjeta. 4. Otras previstas por la empresa en los contratos. 22
Los servicios aludidos pueden otorgarse al momento de contratar o posteriormente. Su supresin o reactivacin a voluntad del titular ser posible a travs de los mecanismos establecidos por las empresas, los que no podrn ser ms complejos que los ofrecidos para contratar la tarjeta de crdito.
Esta posibilidad deber informarse en forma destacada, previa a la celebracin del contrato y contemplarse como parte de su contenido.
Artculo 8.- Tarjeta de crdito adicional La tarjeta de crdito adicional es emitida a un usuario, a solicitud y bajo la responsabilidad del titular, al amparo del contrato celebrado con el titular y de la misma lnea de crdito otorgada a este o parte de ella.
La tarjeta de crdito adicional a la tarjeta principal solo podr emitirse cuando exista autorizacin expresa de su titular, utilizando los medios establecidos por las empresas para dicho efecto.
Artculo 9.- Cargos Las empresas cargarn el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de crdito adquiera o pague utilizndola, de acuerdo con las rdenes de pago que este suscriba o autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artculo 7 del Reglamento, en caso corresponda; as como las dems obligaciones sealadas en el contrato de tarjeta de crdito, conforme a la legislacin vigente sobre la materia.
Las rdenes de pago y firmas podrn ser sustituidas por autorizaciones a travs de medios electrnicos y/o firmas electrnicas sujetas a verificacin por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, as como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de crdito.
Artculo 10.- Contenido mnimo de los estados de cuenta El estado de cuenta debe contener como mnimo lo siguiente:
1. Nombre del titular o usuario, segn lo establecido en el contrato, al que se le asigna una tarjeta de crdito. 2. Nmero de identificacin de la tarjeta de crdito, entendiendo por este como mnimo a los ltimos cuatro (4) dgitos de la tarjeta de crdito. 3. Periodo del estado de cuenta y fecha mxima de pago. 4. Monto mnimo de pago, conforme a la Circular de pago mnimo. Se deber desglosar el monto que ser utilizado para el pago del principal, los intereses, comisiones y cualquier otro concepto aplicable, conforme a la referida Circular. 5. Pagos efectuados durante el periodo informado; es decir, antes de la fecha de corte, indicando la fecha en que se realiz el pago y el monto. 6. Deber indicarse la relacin de todos los consumos u otras operaciones, y el establecimiento afiliado en que se realizaron, de ser el caso; as como la fecha y el monto de las operaciones registradas en el periodo informado. En el caso de consumos u otras operaciones en cuotas fijas, se deber indicar el nmero de cuotas pactadas. 7. La cuota fija total que corresponda al periodo de facturacin; es decir la suma de las cuotas fijas por los consumos u otras operaciones efectuadas que corresponde pagar en el periodo. Asimismo, deber desglosarse la cuota fija total y cada cuota fija que la compone precisando el monto que corresponde al principal, intereses y las comisiones y gastos, en caso corresponda. En el supuesto de que por razones operativas, debidamente justificadas ante la Superintendencia, no se pueda mostrar el desglose por cada cuota antes indicado, las empresas debern informar solo la informacin que corresponde a la cuota fija total del perodo. 8. Saldo adeudado a la fecha de corte. 9. Monto total y monto disponible en la lnea de crdito. 23
10. Tasa de inters compensatorio efectiva anual aplicable a cada consumo u operacin bajo modalidad revolvente o cuotas fijas, as como la tasa de inters moratorio efectiva anual o penalidad por incumplimiento aplicable a la fecha del estado de cuenta. Se presentar la informacin desagregada por cada consumo u operacin en aquellos casos en los que la empresa ofrezca tasas diferenciadas. 11. Fecha en la cual se har el cargo por la renovacin de la membresa, el periodo al que corresponde el referido cargo y el monto correspondiente, en caso se realicen cobros por este concepto. 12. La informacin que se detalla a continuacin deber presentarse en el anverso del estado de cuenta, en forma destacada y fcilmente identificable, con tipo de letra sombreado o resaltado y con un tamao no menor a tres (3) milmetros de acuerdo con el siguiente texto:
INFORMACIN IMPORTANTE:* Si solo realiza el pago mnimo de su deuda en soles y no realiza ms operaciones, esta se cancelar en ____ meses, pagando S/. _____ de intereses y S/._____ por comisiones y gastos. Si solo realiza el pago mnimo de su deuda en dlares y no realiza ms operaciones, esta se cancelar en ____ meses, pagando US$_____ de intereses y US$_____ por comisiones y gastos. *La informacin referida a la deuda en dlares americanos se presentar en caso resulte aplicable.
13. La informacin que se detalla a continuacin deber ser presentada en el estado de cuenta con un tamao no menor a tres (3) milmetros: La informacin referida al clculo del pago mnimo y sus ejemplos se encuentra a su disposicin a travs de los siguientes canales ___________________. - Si hubiera pactado la posibilidad de: a) disposicin de efectivo; b) compras, consumos o pagos por internet a travs de una pgina web distinta a la de la empresa; o, c) consumos u operaciones en el exterior con presencia fsica de la tarjeta, recuerde que tiene el derecho de solicitar su supresin a travs de los siguientes canales________.
Artculo 11.- Puesta a disposicin o envo y recepcin del estado de cuenta y procedimiento de reclamos Las empresas debern remitir o poner a disposicin de los titulares de tarjetas de crdito el estado de cuenta por lo menos mensualmente. Para tal efecto, debern otorgar a los titulares la posibilidad de elegir la recepcin de la mencionada informacin a travs de uno o ambos de los mecanismos sealados a continuacin: 1. Medios fsicos (remisin al domicilio sealado por el titular). 2. Medios electrnicos (por medio de la presentacin de dicha informacin a travs de la pgina web, correo electrnico, entre otros).
Las empresas y los titulares podrn pactar que no se remita o ponga a disposicin el estado de cuenta, en caso no exista saldo deudor.
Asimismo, en caso de incumplimiento en el pago, cesar la obligacin de las empresas de remitir los estados de cuenta, siempre que hayan transcurrido cuatro (4) meses consecutivos de incumplimiento. Las empresas y los titulares podrn pactar un plazo menor al sealado anteriormente.
Las empresas debern entregar los estados de cuenta en un plazo no menor a cinco (5) das hbiles previos a su fecha mxima de pago. Si los titulares no recibieran los estados de cuenta oportunamente tendrn el derecho de solicitarlos a las empresas y estas la obligacin de proporcionar copia de estos, en las 24
condiciones establecidas en los contratos, incluso en aquellos casos en que la no remisin se debiera a lo dispuesto en el prrafo anterior.
Los titulares podrn observar el contenido de los estados de cuenta dentro del plazo establecido en el contrato, el cual no podr ser menor a los treinta (30) das siguientes contados a partir de su fecha de entrega. Transcurrido el plazo de treinta (30) das antes referido o el que se hubiese pactado, se presume que se ha agotado la va interna para presentar reclamos sobre el estado de cuenta en las empresas. Cabe precisar que esta presuncin no enerva los derechos de los titulares establecidos en el ordenamiento legal vigente para reclamar en las instancias administrativas, judiciales y/o arbitrales correspondientes.
CAPTULO III DISPOSICIONES APLICABLES A LAS TARJETAS DE DBITO
Artculo 12.- Informacin mnima, condiciones y vigencia aplicable a las tarjetas de dbito Las tarjetas de dbito se expedirn con carcter de intransferible y debern contener la siguiente informacin mnima: 1. Denominacin social de la empresa que expide la tarjeta o nombre comercial; y la identificacin del sistema de tarjeta de dbito (marca) al que pertenece, de ser el caso. 2. Nmero de la tarjeta de dbito. 3. Fecha de vencimiento. 4. Para su uso, requieren adicionalmente la presencia de una clave secreta, firma, firma electrnica u otros mecanismos que permitan identificar al usuario, de acuerdo con lo pactado.
El plazo de vigencia de las tarjetas de dbito no podr exceder de cinco (5) aos, pudindose acordar plazos de vencimiento menores.
Artculo 13.- Servicios asociados a tarjetas de dbito Las empresas, en funcin a sus polticas internas, darn a los titulares la posibilidad de hacer uso, de uno o ms de los siguientes servicios, segn corresponda: 1. Operaciones de compra, consumos o pagos por internet a travs de una pgina web distinta a la de la empresa. 2. Consumos u operaciones efectuadas en el exterior con presencia fsica de la tarjeta. 3. Otras previstas por la empresa, en los contratos.
Los servicios aludidos pueden otorgarse al momento de contratar o posteriormente. Su supresin o reactivacin a voluntad del titular ser posible a travs de los mecanismos establecidos por las empresas, los que no podrn ser ms complejos que los ofrecidos para celebrar el contrato de depsito o de la tarjeta de dbito.
Esta posibilidad deber informarse en forma destacada, previa a la celebracin del contrato y contemplarse como parte del contenido del contrato de depsito o de la tarjeta de dbito.
Artculo 14.- Cargos Las empresas cargarn en la cuenta de depsitos el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de dbito adquiera o pague utilizndola, de acuerdo con las rdenes de pago que este suscriba o autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artculo 13 del Reglamento, en caso corresponda; as como las dems obligaciones asumidas en el contrato, conforme a la legislacin vigente sobre la materia.
25
Las rdenes de pago y firmas podrn ser sustituidas por autorizaciones a travs de medios electrnicos y/o firmas electrnicas sujetas a verificacin por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, as como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de dbito.
CAPTULO IV OTROS ASPECTOS APLICABLES A LAS TARJETAS DE CRDITO Y DBITO
SUBCAPTULO I MEDIDAS DE SEGURIDAD APLICABLES A TARJETAS DE CRDITO Y DBITO
Artculo 15.- Medidas de seguridad incorporadas en las tarjetas Las tarjetas debern contar con un circuito integrado o chip que permita almacenar y procesar la informacin del usuario y sus operaciones, cumpliendo estndares internacionales de interoperabilidad para el uso y verificacin de las tarjetas, as como para la autenticacin de pagos; para lo cual deber cumplirse como mnimo con los requisitos de seguridad establecidos en el estndar EMV, emitido por EMVCo. Al respecto, las empresas debern aplicar, entre otras, las siguientes medidas: 1. Reglas de seguridad definidas en el chip de las tarjetas, que deben ser utilizadas para verificar la autenticidad de la tarjeta, validar la identidad del usuario mediante el uso de una clave o firma u otros mecanismos de autenticacin. 2. Aplicar procedimientos criptogrficos sobre los datos crticos y claves almacenadas en el chip de las tarjetas, as como sobre aquellos existentes en los mensajes intercambiados entre las tarjetas, los terminales de punto de venta, los cajeros automticos y las empresas emisoras. 3. En caso las empresas emisoras permitan la autorizacin de operaciones fuera de lnea, deben aplicar un mtodo de autenticacin de datos que brinde adecuadas condiciones de seguridad, sin afectar la calidad y el rendimiento del servicio provisto al usuario. Dichas operaciones se realizarn conforme a los lmites y condiciones pactadas con el cliente, que incluirn por ejemplo lmites al nmero de operaciones consecutivas procesadas fuera de lnea. 4. Disponer de mecanismos para aplicar instrucciones sobre el chip de las tarjetas en respuesta a una transaccin en lnea, a fin de modificar los lmites establecidos segn perfiles de riesgo, as como bloquear o deshabilitar aquellas tarjetas que hayan sido extraviadas o sustradas.
Artculo 16.- Medidas de seguridad respecto a los usuarios Las empresas deben adoptar, como mnimo, las siguientes medidas de seguridad con respecto a los usuarios: 1. Entregar la tarjeta y, en caso corresponda, las tarjetas adicionales al titular, excepto cuando este haya instruido en forma expresa que se entreguen a una persona distinta, previa verificacin de su identidad y dejando constancia de su recepcin. 2. En caso la empresa genere la primera clave o nmero secreto de la tarjeta, esta deber ser entregada segn las condiciones del numeral anterior, obligando su cambio antes de realizar la primera operacin que requiera el uso de dicha clave. 3. En caso de que se utilice la clave como mtodo de autenticacin, permitir que el usuario pueda cambiar dicha clave o nmero secreto, las veces que lo requiera. 4. Para las operaciones de disposicin o retiro de efectivo, compras y otras operaciones que la empresa identifique con riesgo de fraude en perjuicio de los usuarios, deber otorgar a estos la opcin de habilitar un servicio de notificaciones que les informe de las operaciones realizadas con sus tarjetas, 26
inmediatamente despus de ser registradas por la empresa, mediante mensajes de texto a un correo electrnico y/o un telfono mvil, entre otros mecanismos que pueden ser pactados con los usuarios. 5. Poner a disposicin de los usuarios, la posibilidad de comunicar a la empresa que realizarn operaciones con su tarjeta desde el extranjero, antes de la realizacin de estas operaciones. 6. En aquellos casos en los que se permita a los usuarios realizar operaciones de micropago, deber establecer el monto mximo por operacin que podr efectuarse.
Artculo 17.- Medidas de seguridad respecto al monitoreo y realizacin de las operaciones Las empresas deben adoptar como mnimo las siguientes medidas de seguridad con respecto a las operaciones con tarjetas que realizan los usuarios: 1. Contar con sistemas de monitoreo de operaciones, que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual de consumo del usuario. 2. Implementar procedimientos complementarios para gestionar las alertas generadas por el sistema de monitoreo de operaciones. 3. Identificar patrones de fraude, mediante el anlisis sistemtico de la informacin histrica de las operaciones, los que debern incorporarse al sistema de monitoreo de operaciones. 4. Establecer lmites y controles en los diversos canales de atencin, que permitan mitigar las prdidas por fraude. 5. Requerir al usuario la presentacin de un documento oficial de identidad, cuando sea aplicable, o utilizar un mecanismo de autenticacin de mltiple factor. La Superintendencia podr establecer, mediante oficio mltiple, montos mnimos a partir de los cuales se exija la presentacin de un documento oficial de identidad. 6. En el caso de operaciones de retiro o disposicin de efectivo, segn corresponda, u otras con finalidad informativa sobre las operaciones realizadas u otra informacin similar, deber requerirse la clave secreta del usuario, en cada oportunidad, sin importar el canal utilizado para tal efecto. Artculo 18.- Medidas en materia de seguridad de la informacin Son exigibles, a las empresas, las normas vigentes emitidas por la Superintendencia sobre gestin de seguridad de la informacin y de continuidad del negocio.
Asimismo, en torno al almacenamiento, procesamiento y transmisin de los datos de las tarjetas que emitan, las empresas debern implementar los siguientes controles especficos de seguridad: 1. Implementar y mantener la configuracin de cortafuegos o firewalls, enrutadores y equipos similares que componen la red interna, adoptando configuraciones estandarizadas y restringiendo permisos para evitar accesos no autorizados. 2. Implementar polticas para evitar el uso de clave secreta y parmetros de seguridad predeterminados provistos por los proveedores de servicios de tecnologa. 3. Implementar polticas de almacenamiento, retencin y de eliminacin de datos, as como para el manejo de llaves criptogrficas, que permitan limitar la cantidad de datos a almacenar y el tiempo de retencin a lo estrictamente necesario segn requerimientos legales, regulatorios y de negocio. 4. Implementar mecanismos de cifrado para la transmisin de los datos del usuario en redes pblicas. 5. Implementar y actualizar software y programas antivirus en computadores y servidores. 6. Mantener sistemas informticos y aplicaciones seguras; para el caso de software provisto por terceros, establecer procedimientos para identificar vulnerabilidades y aplicar actualizaciones; para el caso de desarrollos de sistemas propios, adoptar prcticas que permitan reducir las vulnerabilidades de seguridad de dichos sistemas. 27
7. Implementar polticas que restrinjan el acceso a los datos de los usuarios solo al personal autorizado, reducindolo al estrictamente necesario. 8. Implementar polticas de asignacin de un identificador nico a cada persona que acceda a travs de software a los datos de los usuarios. 9. Implementar controles de acceso fsico para proteger los datos de los usuarios, restringindolo nicamente a personal autorizado, propio o de terceros. 10. Registrar y monitorear todos los accesos a los recursos de red y a los datos de los usuarios. 11. Efectuar anlisis de vulnerabilidades peridicos a la red interna y pruebas de penetracin externas e internas, as tambin luego de cambios significativos en la red o sistemas informticos. 12. Implementar lineamientos y procedimientos de seguridad de la informacin especficos, incluyendo un programa formal de capacitacin en seguridad de la informacin, en funcin a las responsabilidades del personal, controles aplicables a los proveedores de servicios y un plan de respuesta a eventos de violacin de seguridad que sea probado anualmente.
Artculo 19.- Medidas de seguridad en los negocios afiliados Las empresas deben adoptar las medidas de seguridad apropiadas para determinar la validez de la tarjeta, as como para dar cumplimiento a las condiciones de uso sealados en el Reglamento, por parte de los operadores o establecimientos afiliados.
En ese sentido, cuando las empresas suscriban contratos con los operadores o establecimientos afiliados, debern asegurarse de incluir como obligaciones de estos, de ser el caso, los siguientes aspectos: 1. Contar con procedimientos de aceptacin de las operaciones, incluyendo entre otros la verificacin de la validez de la tarjeta, la identidad del usuario, y la firma en caso de ser aplicable. 2. No guardar o almacenar en bases de datos manuales o computarizadas la informacin de la tarjeta, ms all de utilizarla para solicitar la autorizacin de una operacin. 3. Cumplir con los requerimientos de seguridad del presente Reglamento, en lo que les sea aplicable.
Artculo 20.- Requerimientos de seguridad en caso de subcontratacin En los casos de subcontratacin, que las empresas realicen para la provisin de servicios con tarjetas, es de aplicacin la regulacin vigente sobre subcontratacin; en particular, debe formalizarse en los acuerdos con terceros para la aceptacin de las tarjetas, la necesidad del cumplimiento de estndares internacionales de seguridad, aplicables al procesamiento de operaciones con tarjetas.
SUBCAPTULO II OBLIGACIONES ADICIONALES DE LAS EMPRESAS
Artculo 21.- Mecanismo de comunicacin a disposicin de los usuarios Las empresas debern contar con infraestructura y sistemas de atencin, propios o de terceros, que permitan a los usuarios comunicar el extravo o sustraccin de la tarjeta o de su informacin, los cargos indebidos y las operaciones que los usuarios no reconozcan. Dicha infraestructura deber encontrarse disponible las veinticuatro (24) horas del da, todos los das del ao.
Se debern registrar las comunicaciones de los usuarios, de tal forma que sea posible acreditar de manera fehaciente su fecha, hora y contenido. Por cada comunicacin, se deber generar un cdigo de registro a ser informado al usuario como constancia de la recepcin de dicha comunicacin. Asimismo, se deber enviar al titular de las tarjetas una copia del registro de la comunicacin efectuada, a travs de medios fsicos o electrnicos, segn eleccin del propio usuario.
28
La informacin referida a los mecanismos de comunicacin establecidos por la empresa, para dar cumplimiento a lo dispuesto en los prrafos precedentes, deber encontrarse publicada en la parte inicial de la pgina web de la empresa, en las oficinas y en cualquier otro medio a criterio de la empresa, siempre que sea fcilmente identificable.
Lo expuesto en el presente artculo resulta aplicable, sin perjuicio de las dems exigencias establecidas por el marco normativo vigente en materia de atencin de reclamos.
Artculo 22.- Seguimiento de operaciones que pueden corresponder a patrones de fraude Las empresas deben contar con procedimientos para el seguimiento de operaciones que puedan corresponder a patrones de fraude, los cuales deben incluir por lo menos los siguientes aspectos: 1. Mecanismos para la comunicacin inmediata al usuario sobre las posibles operaciones de fraude. 2. Acciones para proceder con el bloqueo temporal o definitivo de la tarjeta, en caso sea necesario.
Artculo 23.- Responsabilidad por operaciones no reconocidas Ante el rechazo de una transaccin o el reclamo por parte del usuario de que esta fue ejecutada incorrectamente, las empresas sern responsables de demostrar que las operaciones fueron autenticadas y registradas.
El usuario no es responsable de ninguna prdida por las operaciones realizadas en los siguientes casos, salvo que la empresa demuestre su responsabilidad: 1. Cuando estas hayan sido realizadas luego de que la empresa fuera notificada del extravo, sustraccin, robo, hurto o uso no autorizado de la tarjeta, o de la informacin que contiene. 2. Por incumplimiento de lo dispuesto por el artculo 21 del Reglamento. 3. Cuando las tarjetas hayan sido objeto de clonacin. 4. Por el funcionamiento defectuoso de los canales o sistemas puestos a disposicin de los usuarios por las empresas para efectuar operaciones. 5. Por la manipulacin de los cajeros automticos de la empresa titular u operadora de estos o los ambientes en que estos operan. 6. Cuando se haya producido la suplantacin del usuario en las oficinas. 7. Operaciones denominadas micropago, pactadas con el titular. 8. Operaciones realizadas luego de la cancelacin de la tarjeta o cuando esta haya expirado.
En caso el usuario no se encuentre conforme con los fundamentos efectuados por la empresa para no asumir responsabilidad por las operaciones efectuadas, podr presentar un reclamo o denuncia, de acuerdo con lo establecido por el marco normativo vigente.
Artculo 24.- Traslado de costos por la contratacin de seguros y/o creacin de mecanismos de proteccin o contingencia Las empresas no podrn trasladar a los usuarios como gasto o comisin, segn corresponda, el costo asociado a la contratacin de plizas de seguro y/o mecanismos de proteccin o contingencia, que tengan por objeto cubrir las prdidas generadas como consecuencia de la realizacin de operaciones no reconocidas, que son de responsabilidad de estas de acuerdo con lo establecido en el artculo 23 del Reglamento.
Artculo 25.- Devolucin o destruccin En caso de anulaciones de tarjetas, con excepcin de los casos de extravo o sustraccin, las empresas procurarn la devolucin fsica de la tarjeta encargndose de su destruccin en presencia del titular o del usuario. La misma disposicin resulta aplicable cuando se expidan duplicados o nuevas tarjetas en reemplazo de las deterioradas, o en caso de la resolucin o trmino del contrato suscrito. En caso de que 29
la devolucin fsica de la tarjeta no sea posible, el titular o usuario de esta ser responsable de su destruccin. Las empresas debern comunicar a los establecimientos afiliados la invalidez en los casos de tarjetas anuladas o sustituidas antes del trmino de su vigencia.
SUBCAPTULO III EN MATERIA DE SUPERVISIN
Artculo 26.- Comunicacin para expedir tarjetas Las empresas autorizadas, que decidan iniciar la expedicin de tarjetas, debern comunicarlo a la Superintendencia, en un plazo no menor a los treinta (30) das anteriores al inicio de la referida expedicin.
Artculo 27.- Manuales aplicables por la expedicin y administracin de tarjetas Las empresas debern contar con manuales relacionados con la expedicin y administracin de tarjetas, considerando para tal efecto el cumplimiento de las obligaciones desarrolladas en el Reglamento.
Adicionalmente, dichos manuales debern considerar los procedimientos, plazos, controles y medidas de seguridad utilizados en la elaboracin fsica, asignacin de clave, transporte, entrega y custodia de las tarjetas.
DISPOSICIONES FINALES Y TRANSITORIAS Primera.- Reglamento de Transparencia Resultan aplicables las disposiciones reguladas en el Reglamento de Transparencia. Segunda.- Cuentas Bsicas Las tarjetas que se otorguen como consecuencia de la contratacin de una cuenta bsica, y exclusivamente para el uso de dicha cuenta, no se encuentran obligadas a cumplir con las disposiciones contempladas en el artculo 15 del Reglamento sobre el uso de tarjetas con circuito integrado o chip ni las obligaciones establecidas en la cuarta disposicin final y transitoria del Reglamento que se encuentren asociadas a la implementacin y puesta a disposicin de tarjetas con circuito integrado o chip. La referida disposicin podr aplicarse a otros productos financieros previa autorizacin de la Superintendencia. Tercera.- Remisin de reportes Las empresas debern remitir a la Superintendencia, dentro de los quince (15) das siguientes posteriores al cierre de cada mes, el Reporte N 7 Tarjetas de Crdito del Manual de Contabilidad para las Empresas del Sistema Financiero, va SUCAVE, de acuerdo con las instrucciones contenidas en el reporte. Cuarta.- Plazo de adecuacin Para cumplir con las exigencias contempladas en el Reglamento, sern de aplicacin los siguientes plazos mximos: 1. A partir del 31 de diciembre de 2014, todas las nuevas tarjetas de dbito y crdito debern ser emitidas con chip, conforme a lo establecido en el artculo 15 del Reglamento. Asimismo, a partir de esa fecha, las empresas debern dar la posibilidad a los usuarios de cambiar sus tarjetas con banda magntica por tarjetas con chip. 2. Para implementar lo requerido en los artculos 7, 10, 13, el numeral 4 del artculo 16, as como lo sealado en el artculo 17, las empresas tendrn un plazo de adecuacin hasta el 31 de diciembre de 2014. 3. A partir del 31 de diciembre de 2015, las empresas debern asegurar que las redes de cajeros automticos, que brindan a sus clientes para sus operaciones (ya sean redes propias o redes contratadas con terceros en el territorio nacional), puedan autenticar las tarjetas emitidas, a travs del uso del chip o circuito integrado, incorporado en la tarjeta para realizar las operaciones solicitadas por los clientes. 4. A partir del 31 de diciembre de 2015, las empresas que permitan la realizacin de operaciones, sin utilizar el circuito integrado o chip incorporado en las tarjetas, debern 30
asumir los riesgos y, por lo tanto, los costos de dichas operaciones, en caso no sean reconocidas por los usuarios. 5. Para implementar lo requerido en el artculo 18, las empresas tendrn un plazo de adecuacin hasta el 31 de diciembre de 2015.
Artculo Segundo.- El Reglamento de Tarjetas de Crdito y Dbito, aprobado por el Artculo Primero de la presente Resolucin, entrar en vigencia el 1 de abril de 2014, fecha en la cual quedar derogado el Reglamento de Tarjetas de Crdito, aprobado por la Resolucin SBS N 264-2008 y sus normas modificatorias, as como el artculo 32 del Reglamento de Transparencia de Informacin y Disposiciones Aplicables a la Contratacin con Usuarios del Sistema Financiero, aprobado por la Resolucin SBS N 1765-2005 y sus normas modificatorias.
Regstrese, comunquese y publquese.
DANIEL SCHYDLOWSKY ROSENBERG Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones