La Superintendencia de Banca, Seguros y AFP (SBS) aprobó la Resolución SBS 03289-2025, que modifica el artículo 17 del Reglamento de Tarjetas de Crédito y Débito, con el fin de fortalecer las medidas de seguridad frente a fraudes en operaciones financieras.
La norma establece que las entidades financieras deberán implementar sistemas de monitoreo de operaciones distintos a los mecanismos de autenticación, con el objetivo de detectar transacciones atípicas que no correspondan al comportamiento habitual de los usuarios. Asimismo, se precisa que el monitoreo no constituye por sí mismo un mecanismo de validación de operaciones, sino que forma parte de la gestión de riesgos de cada empresa.
Entre las nuevas obligaciones, se contempla la identificación de patrones de fraude a partir de información histórica, la fijación de límites y controles en los diferentes canales de atención, así como la posibilidad de aplicar medidas adicionales como autenticaciones reforzadas en operaciones de alto riesgo o la contratación de pólizas de seguro para cubrir pérdidas eventuales.
Modifican el artículo 17 del Reglamento de Tarjetas de Crédito y Débito, aprobado mediante la Resolución SBS N° 6523-2013
RESOLUCIÓN SBS N° 03289-2025
Lima, 17 de setiembre de 2025
EL SUPERINTENDENTE DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES
CONSIDERANDO:
Que, mediante Resolución SBS N° 6523-2013 se aprobó el Reglamento de Tarjetas de Crédito y Débito, el cual establece disposiciones generales aplicables a las tarjetas de crédito y débito, entre estas, aquellas referidas a la implementación de sistemas de monitoreo de operaciones y a las responsabilidades de las empresas cuando se realizan operaciones, así como a las validaciones necesarias requeridas para verificar la identidad de cada tarjetahabiente;
Que, mediante Resolución SBS N° 2286-2024 se modificó el marco normativo para el uso de tarjetas, estableciendo que las empresas del sistema financiero deben asumir la responsabilidad de los procedimientos de validación de identidad de los usuarios y la obtención de su consentimiento al momento de realizar operaciones, ante casos de operaciones no reconocidas y de aquellas que fueron procesadas sin requerir autenticación reforzada, así como las obligaciones de las empresas asociadas al cumplimiento de disposiciones de carácter imperativo;
Que, es necesario definir los alcances de la implementación de los sistemas de monitoreo, como parte de la gestión de riesgos a cargo de cada empresa, con la finalidad de precisar que estos sistemas no forman parte y son distintos al proceso de autenticación del usuario para efectuar operaciones con tarjetas;
Que, asimismo, las empresas del sistema financiero pueden incorporar medidas adicionales al sistema de monitoreo, como parte de su gestión de riesgos, tales como la aplicación de límites de monto según operación, métodos de autenticación adicionales para operaciones de alto riesgo, la adquisición de pólizas de seguro para cubrir posibles pérdidas, entre otros;
Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Regulación y Jurídica y, de las Gerencias de Riesgo y de Conducta de Mercado e Inclusión Financiera; y,
En uso de las atribuciones conferidas en los numerales 7 y 9 del artículo 349 y, de conformidad con la Trigésima Segunda Disposición Final y Complementaria de la Ley N° 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, y sus modificatorias;
Inscríbete aquí Más información
RESUELVE:
Artículo Primero.- Se modifica el artículo 17 del Reglamento de Tarjetas de Crédito y Débito, aprobado mediante la Resolución SBS N° 6523-2013 y sus modificatorias, conforme se indica a continuación:
Artículo 17°.- Medidas de seguridad respecto al monitoreo de las operaciones
17.1 Las empresas deben adoptar, como mínimo, las siguientes medidas de seguridad con respecto al monitoreo de las operaciones con tarjetas que realizan los usuarios:
1. Contar con sistemas de monitoreo de operaciones, distintos a los mecanismos de autenticación de operaciones establecidos en el numeral 7 del artículo 16° del Reglamento, que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual de consumo del usuario.
2. Implementar procedimientos para gestionar las alertas generadas por el sistema de monitoreo de operaciones, que incluyan el alcance de este sistema, el tipo de información considerada como patrones de fraude, los supuestos que determinan cuándo una operación es atípica, la aplicación de límites de monto según operación, métodos de autenticación adicionales para operaciones de alto riesgo, entre otros.
3. Identificar patrones de fraude, mediante el análisis sistemático de la información histórica de las operaciones, los que deberán incorporarse al sistema de monitoreo de operaciones.
4. Establecer límites y controles en los diversos canales de atención, que permitan mitigar el riesgo de pérdidas por fraude.
17.2 Las medidas de seguridad que dispongan las empresas como resultado del monitoreo de las operaciones son parte de su gestión de riesgos. El monitoreo no forma parte del proceso de autenticación de operaciones, ni determina por sí solo la validez de una operación. La responsabilidad de las empresas del sistema financiero sobre las operaciones realizadas por los usuarios se determina de acuerdo con lo dispuesto en el artículo 23° del Reglamento.
Artículo Segundo.- La presente resolución entra en vigencia a partir del día siguiente de su publicación en el Diario Oficial El Peruano.
Regístrese, comuníquese y publíquese.
SERGIO JAVIER ESPINOSA CHIROQUE
Superintendente de Banca, Seguros y AFP
