Lineamiento de seguridad bancaria para detectar y prevenir las operaciones bancarias no reconocidas o fraudulentas de las tarjetas de crédito o débito

El autor es doctor en Derecho y Ciencias Políticas. Magíster en Derecho Civil y Comercial por la Universidad Nacional de Piura. También, Magíster en Gestión y Dirección de Empresas Constructoras e Inmobiliarias por la Universidad Católica del Perú y la Universidad Politécnica de Madrid (España). Estudios de especialidad en Justicia Constitucional y Derechos Humanos por la Universidad de Pisa (Italia).

Sumilla: 1. Introducción; 2. La tarjeta de crédito como medio de pago; 2.1. Origen y evolución; 2.2. Concepto; 2.3. La cantidad de tarjetas de crédito en circulación; 3. Operaciones bancarias no reconocidas o transacciones fraudulentas; 4. Modalidades de fraude; 4.1. El robo o usurpación de identidad; 4.2. El skimming, 4.3. El phishing; 4.4. El smishing; 5. La responsabilidad de las entidades bancarias por las operaciones no reconocidas o fraudulentas, 6. Lineamientos de seguridad para prevenir operaciones no reconocidas o transacciones fraudulentas con las tarjetas de crédito; 6.1. Medidas de seguridad con respecto a las tarjetas de crédito; 6.2. Medidas de seguridad con respecto a los usuarios; 6.3. Medidas de seguridad con respecto al monitoreo y realización de las operaciones; 6.4. Medidas de seguridad en materia de información.


1. Introducción

La globalización[1] y digitalización de la economía facilita la masificación del comercio. Este proceso de transformación digital está cambiando la vida de las personas. La innovación cibernética alcanza todos los aspectos, incluido la forma del pago. Hoy en día, muchas personas usan las tarjetas de crédito y débito como medio de pago en remplazo del dinero en efectivo. Esta situación ha traído consigo muchos beneficios; sin embargo, este modo de pago ha dado lugar a operaciones bancarias no reconocidas o fraudulentas realizado mediante diversos actos delictivos catalogados como delitos informáticos que recae sobre el sistema financiero en perjuicio de los tarjetahabientes.

En los últimos tiempos, en especial en la emergencia sanitaria, las operaciones bancarias sospechosas y los fraudes de las tarjetas de crédito aumentaron considerablemente. Estos hechos delictivos, en su mayoría son actos cometidos en perjuicio de los tarjetahabientes, bajo las siguientes modalidades: (i) suplantación de identidad, (ii) clonación de tarjeta de crédito, y el (iii) robo de información personal mediante la suplantación de una entidad bancaria. En todas estas operaciones no reconocidas se hicieron uso indebido o fraudulento de las tarjetas de crédito o débito[2] como medio de pago.

Al respecto, la Directora de Relaciones con el Consumidor de Asbanc, ha señalado que, “en el sector financiero, el fraude y la estafa se encuentran relacionados a la acción desarrollada por delincuente, quienes buscan a través de engaños, apropiarse de los fondos de los ahorristas o utilizar sus líneas de crédito en beneficio propio, aprovechándose del desconocimiento o distracción de los usuarios” [3].

Frente a esta situación, el Código de Protección y Defensa del Consumidor demanda a las entidades bancarias adoptar medidas de seguridad para detectar y prevenir riesgos

2. La tarjeta de crédito como medio de pago

  • Origen y evolución

El origen de la tarjeta de crédito como medio de pago es un tema que genera mucha discusión en la doctrina financiera. Los autores solo coinciden que a mediados del siglo XX surgió la tarjeta de crédito como medio de pago; sin embargo, aún existe incertidumbre respecto al lugar donde se originó este instrumento financiero. La doctrina mayoritaria señala que el origen de la tarjeta de crédito se remonta a las “tarjetas comerciales” emitidas por compañías de hostelería de New York en los E.E.U.U., que con el fin de facilitar a sus clientes el pago aplazado se emitieron esas tarjetas, y, posteriormente, en las décadas siguientes, en Europa se empezaron a emitir tarjeta de crédito[4]. Por el contrario, en la doctrina minoritaria, se sindica a Europa Occidental -especialmente a Francia, Inglaterra y Alemania-, como lugar de origen de la tarjeta de crédito, que, posteriormente, se extendió y tomó auge en los Estados Unidos[5].

El surgimiento de la tarjeta de crédito se da como consecuencia del avance tecnológico y el desarrollo económico de la sociedad contemporánea[6]. Y con el devenir del tiempo, el uso progresivo de este instrumento financiero en las relaciones comerciales, como medio de pago, ha cobrado vital importancia que probablemente en un futuro muy cercano reemplace por completo al dinero en efectivo como tradicional medio de pago.

La tarjeta de crédito, desde su creación hasta hoy en día, no es más que el último eslabón en la cadena evolutiva del intercambio financiero. El crecimiento económico y uso frecuente en las relaciones comerciales hacen que la tarjeta de crédito deja de ser un instrumento clasista –como fue en sus inicios[7]– para convertirse en un medio de pago accesible para todas las personas como consecuencia de las facilidades que ofrecen las entidades financieras, lo que ha generado un crecimiento mucho más acelerado de las operaciones comerciales[8].

  • Concepto

La tarjeta de crédito hoy en día es una poderosa herramienta financiera que es usada en las actividades comerciales[9]. Estos instrumentos de pago se usan con mayor frecuencia para generar relaciones económicas, financieras y jurídicas.

La tarjeta de crédito –como instrumento financiero- es un medio de pago representado en un soporte de plástico personalizado, emitido por una entidad financiera que tiene una banda magnética y un chip, mediante la cual el titular dispone de una cuenta de ahorro o de una línea de crédito para adquirir bienes y servicios con pagos a futuro[10]. Esta tarjeta permite al titular ahorrar dinero en la cuenta o disponer del monto otorgado con la obligación de pagar en cuotas más los intereses establecidos.

En la doctrina jurídica se han postulado diversas definiciones sobre la tarjeta de crédito. Al respecto, Ghersi[11] señala que “la tarjeta de crédito es aquel por el cual una empresa especializada estipula con el cliente la apertura de un crédito a su favor, a efectos de que este contrate bienes y servicios en determinados establecimientos, con los cuales, a su vez, la empresa tiene pactada una respectiva comisión”. También se define como un documento nominativo, legítimamente intransferible, cuya finalidad es permitir al usuario beneficiarse con las facilidades de pago pactadas con el emisor, los proveedores y los usuarios[12]. Esta definición dogmática fue construida a partir del funcionamiento de la mencionada tarjeta.

La Superintendencia de Banca y Seguros, a través del Reglamento de tarjetas de crédito y débito, aprobado por Resolución SBS N° 6523-2013[13] -y modificado por la Resolución SBS N° 5570-2019[14]– conceptualiza a la tarjeta de crédito como un instrumento financiero que permite realizar operaciones de índole patrimonial al consumidor o usuario.

Artículo 3.- tarjeta de crédito

La tarjeta de crédito es un instrumento de pago que puede tener soporte físico o representación electrónica o digital y que está asociado a una (1) línea de crédito, otorgada por la empresa emisora. De acuerdo con lo establecido en el respectivo contrato, a través de la tarjeta de crédito, el titular (o usuario) puede realizar el pago por bienes, servicios u obligaciones, así como hacer uso de los servicios adicionales conforme a lo establecido en este reglamento.

Por nuestra parte, en atención a la definición dogmática y jurídica, conceptualizamos a la tarjeta de crédito como un documento mercantil, instrumental y electrónico, mediante el cual su titular tiene acceso a una cuenta de ahorros o a una línea de crédito asociada a una relación contractual previamente acordada[15]. En este mismo sentido, sostenemos que la tarjeta de crédito hoy en día se ha convertido en una forma de pago que ofrece muchos beneficios, tales como un incremento en el poder de compra, una flexibilidad en el pago y una facilidad en el acceso a dinero en efectivo.

Para gozar de este beneficio, es necesario celebrar un contrato de apertura de crédito entre las partes, con la finalidad que el usuario lo emplee en la adquisición de bienes o en el pago de servicios proporcionados por establecimientos comerciales afiliados al sistema, vinculados al emisor por el respectivo contrato de afiliación, que obliga a dichos establecimientos comerciales aceptar el pago mediante el uso de la tarjeta y a la entidad emisora a pagar a futuro las adquisiciones o servicios”[16].

  • La cantidad de tarjeta de crédito en circulación

Según la Superintendencia de Banca, Seguros y Administradora de Fondos de Pensiones, en el Perú existe un gran número de tarjetas de créditos emitidos por las entidades bancarias y financieras. Y posterior a la crisis sanitaria, el uso y la emisión de la tarjeta de crédito aumentaron considerablemente.

Al respecto, en la actualidad, existen 31 empresas bancarias, financieras, cajas municipales y rurales de ahorro y crédito que emiten tarjetas de crédito de diferentes marcas, v.gr: Visa, MasterCard, American expres, Diners, etc.; de las cuales, la marca Visa es la principal tarjeta de crédito emitida y en circulación con un 69%, la marca MasterCard es la segunda tarjea de crédito en circulación con un 19%. En lo que respecta a las tarjetas de débito, la marca Visa sigue teniendo la preferencia con un 79% de las tarjetas de crédito en circulación mientras que la marca MasterCard con un 21%[17]. (para mayores detalles ver el cuadro N° 1)

CUADRO N° 1

PORCENTAJE DE TARJETA DE CRÉDITO Y DÉBITO SEGÚN LA MARCA

MARCA DE TARJETA

TARJETA DE CRÉDITO

TARJETA DE DÉBITO

 

Tarjeta Visa

 

69%

 

79%

Tarjeta MasterCard 19% 21%
Tarjeta American Express 5%
Tarjeta Diners 5%
Otras marcas de tarjetas 2%
 TOTAL  100%  100%

 

CUADRO DE ELABORACIÓN PROPIOFUENTE: Indecopi (2022)

En lo que respecto a la cantidad de tarjetas de crédito en circulación, en el año 2019, antes de la crisis sanitaria, la Superintendencia de Banca y Seguros contabilizó un total de 6´071,830 tarjetas emitidos por la entidad bancaria[18]. En el 2021, debido a la recesión económica a causa de la crisis sanitaria, se redujo el número de tarjetas de crédito en circulación, es así que, en mayo de ese año, según la Asbanc, se registró un total de 6´059,185 tarjetas activas y en movimiento sujetas a facturación[19].

En el año 2022, posterior a la crisis sanitaria, como consecuencia de la reactivación económica post-pandemia, se incrementó considerablemente la emisión y el uso de las tarjetas de crédito para adquirir bienes y servicios. Es así que, en enero de 2022, la Superintendencia de Banca, Seguros y Administradora de Fondos de Pensiones, contabilizó un total de 6´081,450[20] tarjetas de crédito en circulación a nivel nacional. De la cantidad de tarjetas emitidas, el Banco Falabella Perú, ocupa el primer lugar de las preferencias con 1 ‘446,680 de emisiones, en segundo lugar, el Banco Interbank con 1 ‘090,809 y, en tercer lugar, el Banco de Crédito del Perú con 1 ‘031,750 de tarjetas. (para mayores detalles ver el cuadro N° 2)

CUADRO N° 2

CANTIDAD DE TARJETAS DE CRÉDITO EN CIRCULACIÓN (31 DE ENERO DE 2022)

ENTIDAD BANCARIA

 CANTIDAD DE TARJETAS

 

Banco BBVA

 

677,989

Banco de Comercio 1,033
Banco de Crédito del Perú 1 ‘031,750
Banco Pichincha 250,306
Banco Interamericano de Finanzas 62,772
Banco Scotiabank Perú 381,150
Citibank 2,656
Banco Interbank 1 ‘090,809
Banco GNB 4,283
Banco Falabella Perú 1 ‘446,680
Banco Ripley 1132,022
   TOTAL  6’081 450


CUADRO DE ELABORACIÓN PROPIO
– FUENTE: Reporte 7 número de tarjeta de la SBS (31 de enero de 2022)

Para julio de 2022, la Superintendencia de Banca, Seguros y Administradora de Fondos de Pensiones contabilizó un total de 6´612,873 tarjetas de crédito en circulación en el sistema financiero peruano. Esta cifra nos permite deducir que la reactivación económica post-pandemia es alentadora para el sistema financiero, pues en seis meses se incrementó en un 8.03% (531,423) la cantidad de las tarjetas de crédito activas y en movimiento sujetas a facturación en el sistema financiero peruano.

En este reporte, la Superintendencia de Banca y Seguros identifica a cuatro entidades bancarias como las preferidas por los tarjetahabientes para disponer del crédito o línea de asignado para adquirir bienes y servicios. Estas entidades son: en primero lugar, el Banco Falabella con un total de 1´518,125 créditos de consumo; en segundo lugar, el Banco Interbank con 1´237,225 créditos de consumo; en tercer lugar, el Banco Ripley con 1´147,743 créditos de consumo; en cuarto lugar, el Banco de Crédito del Perú con 1´113,496 créditos de consumo. (para mayores detalles ver el cuadro N° 3)

CUADRO N° 3

NÚMERO DE TARJETAS DE CRÉDITO POR EMPRESA (31 DE JULIO DE 2022)

 ENTIDAD BANCARIA

 CRÉDITOS DE CONSUMO

 CANTIDAD DE TARJETAS

 

Banco BBVA Perú

 

797,952    

 

827,796    

Banco de Comercio 1,015 1,015    
Banco de Crédito del Perú 1´113,496 1´156,041    
Banco Pichincha 268,476     269,070    
Banco Interamericano de Finanzas 47,719     62,512    
Banco Scotiabank Perú 383,863     386,514    
Citibank –     2,859    
Banco Interbank 1´237,225     1´237,225    
Banco GNB 3,971     3,971    
Banco Falabella Perú 1´518,125     1´518,127    
Banco Ripley 1´147,743     1´147,743    
TOTAL BANCA MÚLTIPLE        6,519,585     6´612,873    


CUADRO DE ELABORACIÓN PROPIA – FUENTE: Reporte 7, Número de tarjetas de crédito.

Como se puede observar, existe una gran cantidad de tarjetas de crédito en circulación en el sistema financiero peruano. Y en los últimos años aumentó considerablemente la cantidad de tarjetahabientes. Esto a raíz que estos medios de pago ofrecen muchas ventajas, entre ellas, la conveniencia de poder comprar lo que se necesita ahora y pagar después, o la seguridad de no tener que llevar consigo dinero en efectivo[21].

Sin embargo, el tener una tarjeta de crédito no solo ofrece ventajas y beneficios a los tarjetahabientes, sino, también les genera una serie de peligros. El uso de las tarjetas de crédito implica una gran responsabilidad y riesgo a la vez, por las consecuencias que puede generar que terceras personas las utilicen de forma fraudulenta en perjuicio de los tarjetahabientes.

3. Operaciones bancarias no reconocidas o transacciones

El cambio de paradigma socio-económico de las personas al momento de pagar con la tarjeta de crédito y/o débito y el rápido incremento de las ventas online, han generado una mayor exposición de las tarjetas colocándoles en una situación altamente vulnerable para las transacciones fraudulentas[22]. Es así que, las operaciones bancarias no reconocidas o transacciones fraudulentas son un grave problema para el sistema financiero que en los últimos años aumentó considerablemente.

Las operaciones bancarias no reconocidas o transacciones fraudulentas son aquellas operaciones que los usuarios indican no haber realizado ni aprobado, la cual puede ser realizado mediante una tarjeta de crédito o débito y/o con la información de esta[23]. En el Perú, la Superintendencia de Banca y Seguros, en el año 2019, Indecopi reportó 12,9241 reclamos contra los bancos y el sistema financiero; de las cuales, el 47% de reclamos corresponde a casos de cobros indebidos y operaciones bancarias no reconocidas. En ese primer semestre del 2019, la institución financiera que más reclamos registró fueron el Banco de Crédito del Perú (BCP) con un 15.5% del total, la Financiera Oh! con 12,36%, el Interbank con 11,29%, el Scotiabank con 9.2% y el Banco BBVA con 8.41%[24].

Por otro lado, es de señalar que el fraude cibernético es dinámico y constante porque a pesar que las entidades financieras adoptan mecanismos para prevenir y detectar estas prácticas ilegales, los cibercriminales también perfeccionan sus métodos y la forma de evitar ser detectados al momento de la comisión de estos hechos.

4. Modalidades de fraudes

Las operaciones bancarias no reconocidas son perpetradas por tercera persona bajo las modalidades del robo o usurpación de identidad, el skimming, el phishing, el smishing, etc.

  • El robo o usurpación de identidad

La modalidad del robo o usurpación de identidad consiste en la suplantación de la identidad de una persona para acceder a un crédito y/o adquirir bienes y servicios en nombre de la persona suplantada.

La finalidad del ciberdelincuente, al usurpar la identidad del tarjetahabiente, es obtener créditos o contratar servicios a nombre la víctima y acceder a las cuentas bancarias para sustraer los ahorros que posee la víctima.

Esta modalidad de fraude genera graves consecuencias en la víctima como por ejemplo generar un endeudamiento que puede afectar gravemente el buen historial crediticio sin perjuicio del daño económico que puede ocasionar a su patrimonio

  • El skimming

La modalidad de skimming o clonación radica en el robo de información de la tarjeta de crédito durante el uso en una transacción comercial cuando se inserta la tarjeta en algún cajero automático. Este robo de información sirve para clonar la tarjeta de crédito o débito para su posterior uso fraudulento en la adquisición de bienes y servicios.

Para la comisión de este acto fraudulento se suele usar el skimmers para copiar la banda magnética, en la cual se almacenan datos perceptibles, de la tarjeta de crédito.

Este fraude electrónico es una práctica muy frecuente que recae sobre los cajeros automáticos de las entidades financieras en todo el mundo debido a que es de fácil adquisición y rápida implementación y suele generar muy buenos resultados a los cibercriminales.

  • El phishing

La modalidad del phishing es una modalidad de estafa que utiliza el envío de un correo electrónico suplantando el sitio web (mediante el uso de los colores y logotipos de la entidad financiera) con el objetivo de obtener datos personales de los usuarios como la cuenta bancaria, número de tarjeta de crédito y la clave para luego ser empleados fraudulentamente[25].

El phishing es un tipo de ciberataque muy frecuente. En este tipo de fraude, la víctima recibe un correo electrónico, de una supuesta entidad financiera de confianza, en la contiene un enlace para verificar y corroborar sus datos personales, pero resulta que dicho enlace es una plataforma falsa que sirve para robar información confidencial como contraseña y/o datos de la tarjeta de crédito. El phishing más frecuente, en este tipo de fraudes, es aquel en el que el victimario clona una página web para dar cierta apariencia de originalidad y así poder otorgarle cierta confianza a la víctima para que ésta digitalice sus datos personales.

Este tipo de fraude es una de las principales amenazas a las que se ve enfrentado el usuario de la banca móvil o aquellos que realizan transacciones en internet de forma frecuente.

  • El smishing

La modalidad de smishing es un tipo de fraude que se realiza mediante un celular, en donde los ciberdelincuentes envían mensajes para que las víctimas accedan a un enlace para que su información telefónica sea hackeado.

En este tipo de fraude se emplea los celulares de los usuarios financieros, para que los delincuentes pretendan suplantar la identidad, con la finalidad de acceder, mediante el mensaje de texto a un link y así poder hackear el celular.

5. La responsabilidad de las entidades bancarias por las operaciones no reconocidas o fraudulentas

Las entidades emisoras de las tarjetas de crédito son responsable por las operaciones financieras no reconocidas o transacciones fraudulentas en los siguientes supuestos: (i) se realiza una operación después de que el usuario haya notificado del extravío, sustracción, robo, hurto o uso no autorizado de la tarjeta de crédito o de la información que contiene; (ii) cuando la empresa emisora no cuenta con una infraestructura y sistemas de atención, que permitan a los usuarios comunicar el extravío o sustracción de la tarjeta o de su información, así como los cargos indebidos y las operaciones que no reconozcan; y (iii) cuando las tarjetas hayan sido clonadas.

La entidad bancaria, frente a un rechazo de una transacción o el reclamo por parte del usuario de que esta fue ejecutada incorrectamente, la empresa es responsable de realizar la evaluación correspondiente y de demostrar la inexistencia del nexo causal con dicha operación fraudulenta, caso contrario será responsable por el deber exigido en el artículo 18 y 19 del Código de Protección al Consumidor.

Por otro lado, en la última modificatoria del artículo 23° del Reglamento de tarjetas de crédito y débito[26] -tras su modificatoria ha señalado que las entidades bancarias, son responsables de la pérdida por las operaciones bancarias no reconocidas en los siguientes supuestos:

1. Por el incumplimiento de lo dispuesto en el artículo 21 del reglamento.

2. Cuando las tarjetas hayan sido objeto de clonación.

3. Por el funcionamiento defectuoso de los canales o sistemas puestos a disposición de los usuarios para efectuar operaciones.

4. Por la manipulación de los cajeros automáticos o de los ambientes en que estos operan, puestos a disposición por la empresa emisora o por terceros con los cuales esta tiene convenio.

5. Cuando se haya producido la suplantación del usuario en las oficinas.

6. Operaciones denominadas micropago.

7. Operaciones realizadas luego del bloqueo o cancelación de la línea de crédito o de la tarjeta o cuando la tarjeta haya expirado.

8. Operaciones asociadas a servicios no solicitados o habilitados por el titular conforme a lo dispuesto en los artículos 7 y 13 del presente reglamento.

9. Cuando el esquema de autenticación del cliente para la realización de estas operaciones no cumpla con los requerimientos mínimos de seguridad establecidos en la normativa vigente.

Y en caso que no se cumple con ninguno de los supuestos antes señalados, también incurrirá en responsabilidad la entidad bancaria siempre que después de que se haya comunicado a la empresa el extravío, la sustracción, el robo, el hurto o uso no autorizado de la tarjeta, o de la información que contiene, se lleven a cabo operaciones sospechosas o no autorizadas.

6. Lineamientos de seguridad para prevenir operaciones no reconocidas o transacciones fraudulentas con las tarjetas de crédito

A pesar que las entidades financieras son cada vez más conscientes del riesgo que supone sufrir un ataque cibernético, no hay ningún método infalible para evitarlo. Es por ello que se deben tomar acciones de ciberseguridad e implementar mecanismos que impulsan la protección de las operaciones financieras a través de inteligencia artificial, tecnología blockchain, datos biométricos y procesos de autentificación, para así procurar la seguridad tanto de la entidad financiera como del usuario.

  • Medidas de seguridad con respecto a las tarjetas de crédito

Es por eso que, las entidades bancarias, en atención al artículo 18 y 19 del Código de Protección al Consumidor, deben implementar mecanismos de seguridad en las tarjetas de crédito para evitar realizar operaciones fraudulentas en perjuicio de la entidad bancaria y del tarjetahabiente.

Al respecto, las tarjetas deberán contar con un circuito integrado o chip que permita almacenar y procesar la información del usuario y sus operaciones, cumpliendo estándares internacionales de interoperabilidad para el uso y verificación de las tarjetas, así como para la autenticación de pagos; para lo cual deberá cumplirse como mínimo con los requisitos de seguridad establecidos en el estándar EMV, emitido por EMVCo.

En ese sentido, para una mayor seguridad en las tarjetas de crédito, las entidades bancarias deberán implementar: (i) reglas de seguridad definidas en el chip de las tarjetas, que deben ser utilizadas para verificar la autenticidad de la tarjeta, validar la identidad del usuario mediante el uso de una clave o firma u otros mecanismos de autenticación; (ii) aplicar procedimientos criptográficos sobre los datos críticos y claves almacenadas en el chip de las tarjetas, así como sobre aquellos existentes en los mensajes intercambiados entre las tarjetas, los terminales de punto de venta, los cajeros automáticos y las empresas emisoras; y, (iii) disponer de mecanismos para aplicar instrucciones sobre el chip de las tarjetas en respuesta a una transacción en línea, a fin de modificar los límites establecidos según perfiles de riesgo, así como bloquear o deshabilitar aquellas tarjetas que hayan sido extraviadas o sustraídas.

En el caso que las entidades bancarias permitan la autorización de operaciones fuera de línea, estas deben aplicar un método de autenticación de datos que brinde adecuadas condiciones de seguridad, sin afectar la calidad y el rendimiento del servicio provisto al usuario. Dichas operaciones se realizarán conforme a los límites y condiciones pactadas con el cliente, que incluirán por ejemplo límites al número de operaciones consecutivas procesadas fuera de línea

Y cuando se realiza alguna transacción en línea haciendo uso del chip de las tarjetas u otros mecanismos, se debe incluir como mínimo la solicitud de autorización realizada, la respuesta a la solicitud, la cual debe ser generada desde el sistema autorizador de la empresa, así como la indicación de haber aprobado o declinado la transacción generada. De igual manera, cuando la operación se realiza haciendo uso del chip u otro mecanismo sin contacto, la autenticación de la tarjeta debe utilizar criptografía dinámica, de manera que pueda verificarse que no hubo alteración de la transacción entre la tarjeta y el terminal.

Es importante que cuando se utilice otro soporte distinto a la tarjeta física, además de asegurar mecanismos de autenticación, se debe evitar exponer el número de la tarjeta.

  • Medidas de seguridad con respecto a los usuarios

En lo que respecta a la seguridad de los usuarios, las entidades bancarias deben adoptar, como mínimo, algunas de las siguientes medidas de seguridad:

1. Entregar la tarjeta y, en caso corresponda, las tarjetas adicionales al titular, excepto cuando este haya instruido en forma expresa que se entreguen a una persona distinta, previa verificación de su identidad y dejando constancia de su recepción.

2. En caso la empresa genere la primera clave o número secreto de la tarjeta, esta deberá ser entregada según las condiciones del numeral anterior, obligando su cambio antes de realizar la primera operación que requiera el uso de dicha clave.

3. En caso de que se utilice la clave como método de autenticación, permitir que el usuario pueda cambiar dicha clave o número secreto, las veces que lo requiera.

4. Para las operaciones de disposición o retiro de efectivo, compras y otras operaciones que la empresa identifique con riesgo de fraude en perjuicio de los usuarios, deberá otorgar a estos la opción de habilitar un servicio de notificaciones que les informe de las operaciones realizadas con sus tarjetas, inmediatamente después de ser registradas por la empresa, mediante mensajes de texto a un correo electrónico y/o un teléfono móvil, entre otros mecanismos que pueden ser pactados con los usuarios.

5. Poner a disposición de los usuarios, la posibilidad de comunicar a la empresa que realizarán operaciones con su tarjeta desde el extranjero, antes de la realización de estas operaciones.

6. En aquellos casos en los que se permita a los usuarios realizar operaciones de micropago, deberá establecer el monto máximo por operación que podrá efectuarse.

  • Medidas de seguridad con respecto al monitoreo y realización de las operaciones

En lo que respecta a la seguridad del monitoreo y realización de las operaciones, las entidades bancarias deben adoptar, como mínimo, algunas de las siguientes medidas de seguridad:

1. Contar con sistemas de monitoreo de operaciones, que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual de consumo del usuario.

2. Implementar procedimientos complementarios para gestionar las alertas generadas por el sistema de monitoreo de operaciones.

3. Identificar patrones de fraude, mediante el análisis sistemático de la información histórica de las operaciones, los que deberán incorporarse al sistema de monitoreo de operaciones.

4. Establecer límites y controles en los diversos canales de atención, que permitan mitigar las pérdidas por fraude.

5. Requerir al usuario la presentación de un documento oficial de identidad, cuando sea aplicable, o utilizar un mecanismo de autenticación de múltiple factor. La Superintendencia podrá establecer, mediante oficio múltiple, montos mínimos a partir de los cuales se exija la presentación de un documento oficial de identidad.

6. En el caso de operaciones de retiro o disposición de efectivo, según corresponda, u otras con finalidad informativa sobre las operaciones realizadas u otra información similar, deberá requerirse la clave secreta del usuario, en cada oportunidad, sin importar el canal utilizado para tal efecto.

  • Medidas de seguridad en materia de información

En lo que respecta a las medidas de seguridad de la información, las entidades bancarias deben cumplir con las normas vigentes, emitidas por la Superintendencia de Banca y Seguros, sobre gestión de seguridad de la información y de continuidad del negocio.

En cuanto al almacenamiento, procesamiento y transmisión de los datos de las tarjetas que emitan, las empresas deberán implementar los siguientes controles específicos de seguridad:

1. Implementar y mantener la configuración de cortafuegos o firewalls, enrutadores y equipos similares que componen la red interna, adoptando configuraciones estandarizadas y restringiendo permisos para evitar accesos no autorizados.

2. Implementar políticas para evitar el uso de clave secreta y parámetros de seguridad predeterminados provistos por los proveedores de servicios de tecnología.

3. Implementar políticas de almacenamiento, retención y de eliminación de datos, así como para el manejo de llaves criptográficas, que permitan limitar la cantidad de datos a almacenar y el tiempo de retención a lo estrictamente necesario según requerimientos legales, regulatorios y de negocio.

4. Implementar mecanismos de cifrado para la transmisión de los datos del usuario en redes públicas.

5. Implementar y actualizar software y programas antivirus en computadores y servidores.

6. Mantener sistemas informáticos y aplicaciones seguras; para el caso de software provisto por terceros, establecer procedimientos para identificar vulnerabilidades y aplicar actualizaciones; para el caso de desarrollos de sistemas propios, adoptar prácticas que permitan reducir las vulnerabilidades de seguridad de dichos sistemas.

7. Implementar políticas que restrinjan el acceso a los datos de los usuarios solo al personal autorizado, reduciéndolo al estrictamente necesario.

8. Implementar políticas de asignación de un identificador único a cada persona que acceda a través de software a los datos de los usuarios.

9. Implementar controles de acceso físico para proteger los datos de los usuarios, restringiéndolo únicamente a personal autorizado, propio o de terceros.

10. Registrar y monitorear todos los accesos a los recursos de red y a los datos de los usuarios.


[1] La globalización significa la perceptible pérdida de fronteras del quehacer cotidiano en las distintas dimensiones de la economía, la información, la ecología, la técnica, los conflictos transculturales y la sociedad civil y, relacionada básicamente con todo esto, una cosa que es el mismo tiempo familiar e inasible –difícilmente captable-, que modifica a todas luces con perceptible violencia a la vida cotidiana: Posada Maya, Ricardo (2009). El derecho penal en la era de la globalización vs. El derecho penal de la globalización alternativa. Cuaderno de Derecho Penal N° 2. Disponible en: https://www.usergioarboleda.edu.co/derecho_penal/cuadernos-de-derecho-penal/cdp2/ricardoposadamaya2.pdf]; El fenómeno de la globalización contemporánea ha sido estudiado principalmente desde sus ángulos más favorables, los relacionados con las ventajas económicas, comerciales, tecnológicas y comunicacionales que ha traído consigo: Corcuera Portugal, Julio; Sánchez Benavides, Oscar (2020). Oscura globalización. Ensayos sobre el crimen como fenómeno mundial, Editorial UPC, p. 9.

[2] Delgado Béjar, Javier (2021). Los fraudes con tarjeta de crédito. By Dimensión Mercantil.

[3] Céspedes, Eva (25-03-2021). Las cuatro modalidades de fraudes en tarjetas de crédito con mayor incidencia vía online en Perú. Gestión.

[4] Zunzunegui, Fernando (2006). ¿Qué son las tarjetas de crédito?, Revista de derecho del mercado financiero – RDMF, p. 1: En las décadas siguientes los grandes sistemas de tarjetas se extendieron a Europa. Y con el tiempo las entidades financieras se fueron convirtiendo en los principales emisores de las tarjetas. Surgen así las tarjetas bancarias, en las que junto al comerciante y el cliente aparece un tercero, la entidad financiera emisora de la tarjeta. En esta misma línea, San Migue Sinche, Vladimir [(2021). Los beneficios del contrato de la tarjeta de crédito en el contexto de la crisis por la COVID-19. Editorial IUSTITIA, Lima], señala que el surgimiento de la tarjeta de crédito, como lo conocemos hoy, se da en Estados Unidos en 1950, a raíz que dos abogados estadounidenses, que se encontraban cenando con algunos clientes en un restaurante de New York, al no contar con suficiente efectivo, pensaron en un “sistema de pago” alternativo al dinero en efectivo, motivo por el cual idearon la primera tarjeta de crédito.

[5] Vide: Sandoval López, Ricardo (1994). Tratado de derecho comercial: nuevas operaciones mercantiles. Santiago: Jurídica Conosur; Álvarez Arce, Marta (2003). Tarjeta de crédito bancario. Memoria de prueba. Universidad de Concepción. Fernández Gonzáles, Cristian (2003). Aspectos prácticos y normativos de la tarjeta de crédito bancaria. Memoria de prueba

[6] San Migue Sinche, Vladimir (2021). Los beneficios del contrato de la tarjeta de crédito en el contexto de la crisis por la COVID-19. Lima: Editorial IUSTITIA, p. 55.

[7] En 1914 apareció las tarjetas de crédito emitidos por Wester Unión, las cuales solo fueron para sus clientes preferenciales. En 1950, se emitió la tarjeta Diners Club la cual fue aceptada por un grupo variado de comercios. En 1951, el Franklin National Blank de Long Island de New York emitieron tarjetas que fueron aceptados por los comercios locales. Sin embargo, estas tarjetas solo eran accesibles para muy pocas personas: Ramírez Duarte, Diana (2015). El impacto del manejo inapropiado de las tarjetas de crédito en la economía de los hogares colombianos. Bogotá: Universidad Militar Nueva Granada.

[8] Cfr. Rodríguez, Bethania (2002). Origen y evolución de las tarjetas de crédito. Disponible en: https://www.gestiopolis.com/origen-y-evolucion-historica-de-las-tarjetas-de-credito/ [fecha de consulta: 27 de setiembre de 2022].

[9] Practical Money Skills (2018). Guía práctica de finanzas: concepto básico de las tarjetas de crédito. Lo que necesita saber sobre cómo administrar sus tarjetas de crédito, p. 1.

[10] Cfr. Superintendencia de Banca, Seguros y AFP. Tarjeta de crédito. Infórmate sobre tus derechos, p. 4: La tarjeta de crédito es intransferible y su plazo de vigencia es no mayor de 5 años. El usuario es responsable de pagar a la empresa emisora de la tarjeta, el importe de los bienes y servicios que haya utilizado y demás cargos aplicables según el contrato suscrito.

[11] Ghersi, Carlos Alberto (2007). Contratos civiles y comerciales. Argentina: Editorial Jurídica Nova, p. 237.

[12] Fariña, Juan M. (1997). Contratos comerciales modernos, 2ª edición. Buenos Aires: Astrea, p. 443.

[13] La Resolución SBS N° 6523-2013 “Reglamento de tarjetas de crédito y débito” fue publicado 2 de noviembre de 2013 en el diario El Peruano.

[14] La Resolución SBS N° 5570-2019 “Modifican Reglamento de Tarjetas de Crédito y Débito, el Reglamento para la administración de riesgo de sobre endeudamiento de deudores minoristas, el Reglamento para el requerimiento de patrimonio efectivo por riesgo de crédito y otros dispositivos legales”, fue publicado el 28 de noviembre de 2019 en el diario El Peruano.

[15] Davara Rodríguez, Miguel Ángel (2005). Manual de derecho informático, séptima edición. Navarra: Aranzadi, p. 305.

[16] Sandoval López, Ricardo (1994). Tratado de derecho comercial: nuevas operaciones mercantiles. Santiago: Jurídica Conosur, p. 201.

[17] Indecopi (2021). Estudios de mercado de los servicios de pagos con tarjetas en Perú, p. 4.

[18] Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (2020). Reporte número de tarjetas de crédito por empresa bancaria.

[19] Departamento de Estadística de Asbanc (2021). Tarjetas de crédito de bancos. Mayo.

[20] Superintendencia de Banca, Seguros y Administradora de Fondos de Pensiones (2022). Reporte 7. Número de tarjetas (31 de enero).

[21] Finanzas Prácticas (2014). Guía práctica de finanzas personales. Conceptos básicos de las tarjetas de crédito “lo que necesita saber sobre cómo administrar sus tarjetas de crédito”.

[22] Existen innumerables denuncias por las transacciones no reconocidas (fraudes): Resolución Final N° 2498-2022/CC1: en la resolución primera, se declaró fundada la denuncia interpuesta por la denunciante contra el Banco Internacional del Perú S.A.A – Interbank, por la infracción de los artículos 18° y 19° de la Ley N° 29571 “Código de Protección y Defensa del Consumidor”, toda vez que no ha quedado acreditado que la entidad bancaria adoptará las medidas de seguridad pertinente, al permitir que se efectúen tres (3) operaciones no reconocidas por el monto total de S/ 7,560.00 con cargo a la tarjeta de crédito de titularidad de la denunciante. Resolución N° 1971-2017-SPC-INDECOPI: en la resolución primera, se declaró fundada la denuncia contra el Banco de Crédito del Perú S.A., por la infracción de los artículos 18° y 19° de la Ley N° 29571 “Código de Protección y Defensa del Consumidor”, al no haber acreditado la validez de las dos (2) operaciones realizadas a través de Agentes BCP el 18 de diciembre de 2015, las cuales no fueron reconocidas por la denunciante.

[23] Superintendencia de Banca, Seguros y AFP (2016). Reporte de operaciones realizadas con tarjetas de crédito y/o débito no reconocidas por los usuarios – Circular N° 2234-2016 operaciones realizada”

[24] Vargas, Juan (2019). Perú: el sistema financiero deja cinco mil afectados al día. Ojo público. recuperado en https://ojo-publico.com/1431/peru-el-sistema-financiero-deja-cinco-mil-afectados-al-dia [fecha de consulta 4 de setiembre de 2022].

[25] Superintendencia de Banca, seguros y AFP (2015). ¿Cómo evitar ser víctimas de fraudes financieros?, p. 4.

[26] La Resolución SBS N° 6523-2013 “Reglamento de tarjetas de crédito y débito” fue publicado 2 de noviembre de 2013 en el diario El Peruano fue modificado por la Resolución SBS N° 5570-2019, el 28 de noviembre de 2019.

Comentarios: