La seguridad en las transacciones financieras en Perú recibirá un impulso significativo gracias a la implementación del doble factor de autenticación. La Superintendencia de Banca, Seguros y AFP (SBS) ha decidido extender hasta el 1 de abril de 2026 el plazo para que todas las tarjetas de crédito y débito emitidas en el país incorporen este sistema de seguridad reforzado. Esta medida busca fortalecer la protección de los usuarios ante el creciente número de delitos informáticos que afectan al sector financiero.
Según la investigación publicada por Gestión, la modificación a la Resolución Nº 2286-2024 fue publicada el 25 de junio y establece directrices para robustecer la seguridad en las tarjetas que sean emitidas a partir de esa fecha por las entidades financieras a nivel nacional.
La SBS fundamenta esta actualización en la necesidad de alinear el sistema financiero peruano con los estándares internacionales más exigentes. La complejidad creciente de las operaciones financieras en línea exige medidas más robustas para proteger a los usuarios. De hecho, el auge del comercio electrónico, que experimentó un crecimiento del 40% en el último año según datos de la Cámara de Comercio de Lima, ha incrementado la exposición a fraudes y ciberataques.
El contexto actual refuerza la urgencia de esta implementación. Durante el año 2024, la Policía Nacional del Perú (PNP) registró más de 42,000 denuncias por delitos informáticos, lo que representa un alarmante incremento de casi el 40% en comparación con el año anterior. Las modalidades más comunes incluyen la clonación de tarjetas, el phishing (suplantación de identidad para obtener datos personales) y las estafas a través de redes sociales, lo que evidencia la vulnerabilidad del sistema actual.
En cuanto a la implementación práctica, la SBS ha establecido directrices claras para las distintas modalidades de operación. En las transacciones con tarjeta presente, como las realizadas en puntos de venta (POS), se exigirán dos factores de autenticación: el chip de la tarjeta o su representación digital, junto con la clave secreta. Esta medida se aplicará a las tarjetas emitidas desde la entrada en vigor del reglamento. Para las operaciones con tarjeta no presente, es decir, las compras en línea, se requerirán los datos de la tarjeta (física o digital) y un código de verificación dinámico, que suele enviarse por SMS o correo electrónico.
Adicionalmente, la normativa aborda el caso de las billeteras móviles de terceros, como Plin o Yape, que utilizan la tokenización para facilitar los pagos. En estos casos, la afiliación de la tarjeta deberá autenticarse mediante la tokenización y un segundo factor de distinta naturaleza, garantizando así una mayor seguridad en el proceso. Empresas especializadas en seguridad como Nuek, compañía de Minsait (Grupo Indra), resaltan que la autenticación de dos factores se ha convertido en una condición indispensable para salvaguardar la integridad de las transacciones.
Expertos como José Pablo Gil, Client Sales Lead para la Región Andina de Nuek, enfatizan la importancia de soluciones como 3DS (Three Domain Secure) y la tokenización móvil. Estas tecnologías permiten ajustar el nivel de verificación según el riesgo de la operación, mediante el uso de contraseñas de un solo uso (OTP), que ofrecen una capa adicional de protección sin afectar la experiencia del usuario. La adopción de servicios en la nube también se presenta como una alternativa eficiente para las entidades financieras, ya que reduce costos, garantiza la continuidad operativa y facilita la actualización tecnológica permanente.
