Un proyecto normativo introduce cambios en materia de doble autenticación para algunas operaciones
La Superintendencia de Servicios Financieros del Banco Central del Uruguay (BCU), publicó en los últimos días un proyecto normativo que introduce modificaciones en materia de obligaciones para los emisores de instrumentos electrónicos “en aras de proteger a los usuarios de eventuales fraudes”.
La iniciativa incorpora un artículo que refiere a la autenticación reforzada de clientes. Por esa vía, se extiende la obligación de los emisores actualmente vigente de aplicar un doble factor de autenticación en las siguientes operaciones: transferencias o pagos a terceros realizados desde una cuenta bancaria, transferencias a cuentas propias del usuario en otra institución, y en las solicitudes de préstamos que fueran realizadas en forma no presencial.
Los instrumentos electrónicos son aquellos que permiten realizar operaciones con los cajeros automáticos, por internet o por vía telefónica, las transferencias electrónicas de fondos, y las tarjetas de crédito y débito.
Un factor de autenticación es una categoría independiente de credencial utilizada para verificar la identidad de una persona, según explica la Agesic.
La normativa vigente del BCU dice que para aplicar el doble factor de autenticación se deben combinar al menos dos factores de categorías distintas.
Por ejemplo, dentro de los que se agrupan en la categoría de factor de “conocimiento” se encuentran un PIN o una contraseña, explica la Agesic.
Otra categoría es el factor de “posesión” que puede ser un mensaje de texto o un número aleatorio (tokens o llave digital).
Finalmente, en la categoría de “inherencia” se incluye información biométrica como huellas dactilares o sonido de la voz, entre otros.
La aplicación de múltiples factores de autenticación busca incrementar la seguridad en la verificación de la identidad de una persona. Si alguien accede a la contraseña de un usuario, para acceder al resto de la información deberá conocer el segundo factor de autenticación que se haya elegido.
Por otro lado, y respecto a las notificaciones al usuario, el proyecto del BCU “sustituye la obligación de ofrecer al usuario la posibilidad de recibir notificaciones cada vez que procesa una transacción por la obligación de remitir al usuario las referidas notificaciones”.
Y se mantiene la posibilidad de que, posteriormente, el usuario modifique los parámetros de esas notificaciones o decida no recibirlas, señala el regulador. En esos casos, el emisor debe guardar la constancia de la decisión informada del cliente de no recibir dichas notificaciones por medios que permitan su verificación.
El proyecto normativo se puso a consideración del mercado hasta el próximo 20 de setiembre. Los cambios propuestos entrarían a regir desde enero de 2025.
Además, el BCU informó que la Superintendencia continúa trabajando en otros aspectos en materia de seguridad de instrumentos electrónicos “contemplando los riesgos de los mismos, así como la eficiencia del sistema financiero y de pagos”.
En ese sentido, explican, se están analizando excepciones a la aplicación del doble factor de autenticación para operaciones que conlleven menor riesgo para el usuario.
