Se registra un aumento interanual de 50% en la cantidad de reclamos por operaciones no reconocidas
Por aumento de fraudes en el uso de tarjetas de crédito y débito, la Comisión Nacional de Bancos y Seguros (CNBS) aprobó cambios en el sector que implican la doble autenticación de los clientes en las transacciones, entre otras medidas.
Según la Gerencia de Protección al Usuario Financiero (GPUF) adscrita a la CNBS, ha observado “un aumento interanual de aproximadamente 50% en la cantidad de reclamos realizados por los usuarios financieros por operaciones no reconocidas a través de los productos de tarjeta de débito y tarjetas de crédito y financiamiento”.
Para mitigar el aumento del riesgo de fraudes y operaciones sospechosas, la GPUF considera necesario que las “instituciones supervisadas fortalezcan sus controles para coadyuvar a la prevención y mitigación de fraudes contra los usuarios financieros, asociados a operaciones no reconocidas por medio de estos productos”.
Es así que la CNBS consideró “procedente emitir disposiciones orientadas a fortalecer el marco de control implementado por las instituciones supervisadas”, y aprobó los “Lineamientos mínimos para la prevención de operaciones no reconocidas relacionadas con tarjeta de débito y tarjetas de crédito y financiamiento“.
Las medidas entrarán en vigencia en un plazo de dos meses.
Monitoreo y riesgos
Sistema de monitoreo. Las Instituciones Supervisadas deben monitorear de forma continua las operaciones realizadas por los tarjetahabientes, en busca de patrones inusuales o sospechosos que puedan causar posibles fraudes. El tarjetahabiente debe confirmar haber realizado dicha operación y de lo contrario, se debe proceder con el bloqueo de la tarjeta.
El análisis realizado por la institución debe considerar al menos lo siguiente: a) Perfil transaccional del tarjetahabiente; b) Ubicación geográfica desde donde se realizan las operaciones presenciales y cuando aplique las no presenciales; y, c) Identificación del dispositivo utilizado para operaciones no presenciales, en los casos que aplique.
Deben notificar en tiempo real (inmediatamente) a los tarjetahabientes cuando se realice cualquier operación en los productos de tarjetas. De igual manera, debe notificarse al tarjetahabiente cuando se realicen transacciones no monetarias como cambios de PIN, actualización de número telefónico o correo electrónico, entre otros.
Estas notificaciones deben realizarse, para operaciones aprobadas al menos, mediante dos medios: correo electrónico, mensaje de texto, aplicaciones móviles, llamada telefónica o cualquier otro medio que la institución considere pertinente y que haya sido autorizado por el tarjetahabiente.
Gestión de riesgos. Deben contar con mecanismos que les permitan identificar las nuevas tipologías de fraudes con tarjetas que estén ocurriendo en el país y en la región, e implementar los controles correspondientes para mitigar su ocurrencia.
Comercio, reclamos y responsabilidades
Responsabilidad de comercios. Las instituciones supervisadas que brinden el servicio de adquirencia, deben requerir a los comercios afiliados realizar el proceso de cobro de las transacciones monetarias a la vista y en presencia del tarjetahabiente, identificando plenamente al titular de la tarjeta.
Tendrán la obligación de incluir una cláusula en sus contratos con los comercios afiliados referente a lo establecido en el presente Artículo, con la finalidad de que se dé fiel cumplimiento. En el caso de incumplimiento por parte de los comercios afiliados, dichas instituciones deben exigirle las acciones correctivas que correspondan. De mantenerse el incumplimiento por un período mayor a 30 días calendario, deben suspender la prestación del servicio al comercio afiliado.
Autenticación para operaciones no presenciales. Deben contar con al menos uno de los siguientes controles de autenticación que valide al propietario legítimo de la tarjeta al momento de realizar las operaciones no presenciales:
a) Autorización por parte del tarjetahabiente desde la aplicación móvil u otro canal establecido por la institución.
b) Código de Seguridad Dinámico.
c) Código OTP (One Time Password) enviado a través de dos de cualquiera de los siguientes medios: Correo electrónico, mensaje de texto o aplicación móvil, entre otros.
d) Otros controles, siempre y cuando estén basados en un análisis de riesgos que contemple las tipologías de fraude existentes.
Además deben poner a disposición de los tarjetahabientes, canales de comunicación con servicio las veinticuatro horas del día, con el propósito de reportar oportunamente casos de operaciones no reconocidas y proceder al bloqueo de la tarjeta.
Cuando el tarjetahabiente presente un reclamo, la institución pondrá en suspenso los montos asociados con dicha transacción, a fin de efectuar el proceso de investigación correspondiente. Si estas transacciones resultan legalmente correctas, procederá a revocar o eliminar el suspenso aplicado, con los intereses y cargos autorizados, de lo contrario, los eliminará del saldo deudor en forma definitiva.
El tarjetahabiente podrá formular sus reclamos, dentro de los treinta (30) días hábiles siguientes al recibo del estado de cuenta. En el caso de las tarjetas de débito, el plazo antes referido será el que determinen las Normas de Transparencia vigentes, emitidas por la Comisión Nacional de Bancos y Seguros.
Investigación. Las instituciones deben realizar una investigación exhaustiva de todos los reclamos por transacciones monetarias no reconocidas presentadas por los tarjetahabientes, la cual debe estar debidamente documentada y disponible en caso de ser requerida por la CNBS.
Vigilancia. Deben realizar evaluaciones a la gestión operativa y la efectividad del ambiente de control en los procesos relacionados con los productos de tarjetas, según corresponda, incluyendo el proceso de venta, emisión y entrega de la tarjeta.
Responsabilidad. Los entes supervisados que ofrecen productos de tarjetas, “serán responsables de la totalidad del monto reclamado en las transacciones monetarias no reconocidas por los tarjetahabientes en los siguientes casos:
a) Cuando se realicen operaciones después de que el tarjetahabiente haya notificado el robo, hurto o extravío de su tarjeta o de su información; se exceptúan transacciones de pago recurrentes, como: membresías, cuotas, intereses, o cualquier transacción donde el tarjetahabiente dio previamente su autorización a la institución supervisada.
b) Cuando la tarjeta haya sido clonada.
c) Por fallas en los canales de servicios o sistemas, propios o arrendados, puestos a disposición de los tarjetahabientes.
d) Por la manipulación de un tercero, de los cajeros automáticos, propios o arrendados, o de los ambientes en que estos operan.
e) Cuando se haya producido la suplantación del tarjetahabiente a lo interno de las Instituciones Supervisadas.
f) Operaciones realizadas luego del bloqueo, cancelación o expiración de la tarjeta.
g) Cuando en el proceso de supervisión y/o investigación de reclamos por parte de la CNBS, se identifiquen incumplimientos en los controles establecidos en los presentes lineamientos.
La inversión que realicen las instituciones supervisadas en la aplicación de los presentes lineamientos no debe generar ningún costo para el tarjetahabiente, señala la Comisión.
Los casos no previstos en los presentes lineamientos serán resueltos por la CNBS. La normativa establece sanciones y un plazo de adecuación de dos meses a partir del presente mes.