Sudeban ordena a bancos reforzar medidas de seguridad para uso de tarjetas “contactless”

0
1501

La Superintendencia Nacional de Instituciones del Sector Bancario (Sudeban) envió  este lunes 27 de noviembre una circular a todas las instituciones bancarias, relativa al uso de tecnología de proximidad sin contacto o contactless. A través de la misiva ordenó reforzar los parámetros de seguridad y estableció límites de montos para el uso de este tipo de instrumentos.

En la circular número 07735 estableció que las entidades deben someter a aprobación previa del ente regulador sus planes de implantación de esta tecnología y deben reforzar las medidas de control para evitar prácticas fraudulentas.

Igualmente, solicitó a los entes regulados reforzar las labores de monitoreo de las operaciones realizadas con tarjetas sin contacto “para la detección en tiempo real de las transacciones no habituales o inusuales realizadas por los clientes”.

Con relación a los montos límites diarios para los pagos sin contactos,  deberán ser actualizados al menos con frecuencia semestral “con base en los estudios de la Unidad de Administración Integral de Riesgos (UAIR)”.

Los montos podrán ser por una sola transacción o por la suma de varias transacciones en el día, ofreciendo alternativas al cliente de parametrizar (sin superar los límites diarios) en cualquier medio electrónico», se indicó en la circular enviada a los bancos.

La normativa, además, ordenó requerir el factor de autenticación categoría 2 para la realización de pagos con tarjetas contactless cuando superen el Monto Límite Inferior Diario (MLID).

En este sentido,  Sudeban estableció que se debe introducir la tarjeta de proximidad sin contacto en el dispositivo de pago con el propósito de validar los parámetros para autorizar la operación de pago (cédula de identidad, tipo de cuenta y contraseña) en caso de que el valor de la transacción o la sumatoria de las transacciones del día excedan el Monto Límite Superior Diario (MLSD) definido.

También ordenó  que se establezcan parámetros que permitan al cliente habilitar o restringir la utilización del servicio.

Las entidades deberán habilitar un sistema por medio electrónico o SMS para notificar inmediatamente las operaciones realizadas con instrumentos contactless a los clientes con detalles de fecha, hora, tipo de operación, serial o número de referencia de la operación, canal electrónico utilizado, además de nombre y número de teléfono de la institución.