Reglamento de Tarjetas de Crédito y Débito, aprobado por la Resolución SBS nº 6523-2013, de 30 de octubre de 2013. (Modificado por artículo séptimo de la Resolución SBS nº 504-2021 de 19 de febrero de 2021)

Lima, 30 de octubre de 2013

Resolución S.B.S. nº 6523 -2013

El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

CONSIDERANDO:

Que, el numeral 34 del artículo 221° de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley n° 26702 y sus normas modificatorias, en adelante Ley General, faculta a las empresas del sistema financiero a expedir y administrar tarjetas de crédito y débito, de acuerdo con lo dispuesto en el Capítulo I del Título III de la Sección Segunda de la Ley General;

Que, el Reglamento de Tarjetas de Crédito, aprobado por la Resolución SBS n° 264-2008 y sus normas modificatorias, establece normas referidas a las condiciones contractuales, remisión de información y medidas de seguridad aplicables, con especial énfasis en la verificación de la identidad del titular o usuario y el establecimiento de límites de responsabilidad en el uso fraudulento de dichas tarjetas;

Que, las tarjetas de crédito y débito constituyen un medio de pago, sustituto del dinero en efectivo, lo que ha estimulado la intensificación de su uso, razón por la cual resulta necesario aprobar disposiciones que refuercen las medidas establecidas, con respecto a la expedición y administración de tarjetas de crédito y establecer medidas similares para el caso de tarjetas de débito;

 Que, asimismo, resulta necesario adecuar y emitir disposiciones sobre tarjetas de crédito y débito, de acuerdo con lo dispuesto por el Reglamento de Transparencia de Información y Contratación con Usuarios del Sistema Financiero aprobado por la Resolución SBS n° 8181-2012 y sus normas modificatorias;

Que, a efectos de recoger las opiniones de los usuarios y del público en general respecto de las propuestas de modificación a la normativa del sistema financiero, se dispuso la prepublicación del proyecto de resolución sobre la materia en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo nº 001-2009-JUS;

Contando con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Riesgos y de Asesoría Jurídica, así como de la Gerencia de Productos y Servicios al Usuario; y,

En uso de las atribuciones conferidas por los numerales 7, 9 y 19 del artículo 349º de la Ley General;

RESUELVE:

Artículo Primero

Aprobar el Reglamento de Tarjetas de Crédito y Débito, según se indica a continuación:

“REGLAMENTO DE TARJETAS DE CRÉDITO Y DÉBITO

CAPÍTULO I.- ASPECTOS GENERALES

Artículo 1°.- Alcance

El presente Reglamento es aplicable a las empresas de operaciones múltiples, a que se refiere el literal A del artículo 16º de la Ley General, autorizadas a expedir y administrar tarjetas de crédito y débito, en adelante empresas.

Artículo 2°.- Definiciones

Para efectos de lo dispuesto en el presente Reglamento, se considerarán las siguientes definiciones:

1. Cajero automático: conforme a la definición del Reglamento de Apertura, Conversión, Traslado o Cierre de Oficinas, Uso de Locales Compartidos, Cajeros Automáticos y Cajeros Corresponsales, aprobado por la Resolución SBS n° 6285-2013 y sus normas modificatorias.

2. Canal: cualquier medio físico o virtual al que accede el usuario para efectuar operaciones monetarias (banca por internet, cajeros automáticos, terminales de punto de venta, entre otros).

3. Circular de pago mínimo: Circular que establece las disposiciones referidas a la metodología del cálculo del pago mínimo en líneas de crédito de tarjetas de crédito y otras modalidades revolventes para créditos a pequeñas empresas, microempresas y de consumo, Circular n° B- 2206-2012, F- 546-2012, CM-394-2012, CR-262-2012, EDPYME-142-2012.

4. Código: Código de Protección y Defensa del Consumidor, aprobado por la Ley n° 29571 y sus normas modificatorias.

5. Comportamiento habitual de consumo del usuario: se refiere al tipo de operaciones que usualmente realiza cada usuario con sus tarjetas, considerando diversos factores, como por ejemplo el país de consumo, tipos de comercio, frecuencia, canal utilizado, entre otros, los cuales pueden ser determinados a partir de la información histórica de las operaciones de cada usuario que registra la empresa.

6. Contrato: documento que contiene todos los derechos y obligaciones que corresponden al titular y a las empresas, incluyendo los anexos que establecen estipulaciones específicas propias de la operación financiera que es objeto del pacto, y que ha sido debidamente celebrado por las partes intervinientes.

7. Días: días calendario.

8. EMV: estándar de interoperabilidad de tarjetas Europay, Mastercard y Visa.

9. Factor de autenticación: conforme a la definición señalada en la Circular G-140-2009, referida a la gestión de la seguridad de la información.

10. Ley General: Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley n° 26702 y sus normas modificatorias.

11. Micropago: operaciones por montos poco significativos determinados por la empresa, en las que no se requiere la clave secreta u otro medio de autenticación por parte de los usuarios al momento de efectuar el consumo u operación.

12. Negocios afiliados: empresas o personas que aceptan tarjetas de crédito o débito como medio de pago por los productos y/o servicios que ofrecen.

13. Reglamento: Reglamento de Tarjetas de Crédito y Débito.

14. Reglamento de Transparencia: Reglamento de Transparencia de Información y Contratación con Usuarios del Sistema Financiero, aprobado por la Resolución SBS N° 8181-2012 y sus normas modificatorias.

15. Superintendencia: Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones.

16. Tarjeta: tarjeta de crédito y/o débito, según corresponda, que puede permitir la realización de retiros y/u otras operaciones a través de los canales ofrecidos por la empresa emisora, así como ser utilizado como medio de pago de bienes o servicios en la red de negocios afiliados.

17. Terminales de punto de venta: dispositivos de acceso tales como terminales de cómputo, teléfonos móviles y programas de cómputo, operados por negocios afiliados o usuarios para efectuar operaciones con tarjetas.

18. Titular: persona natural o jurídica a la que, como consecuencia de la celebración de un contrato con las empresas, se le entrega una tarjeta.

19. Usuario: persona natural que se encuentra autorizada para utilizar la tarjeta.

20. Deuda en cuotas: conforme a la definición de la Circular de Pago Mínimo. (1)

21. Deuda revolvente: conforme a la definición de la Circular de Pago Mínimo. (1)

22. Fecha de corte: fecha en la que se cierra un periodo de facturación. En la fecha de corte se determina la totalidad de la deuda revolvente registrada a dicha fecha, la suma de las cuotas que corresponde pagar en el período, las comisiones, los gastos, el interés compensatorio generado por la deuda revolvente en el periodo de facturación y el interés moratorio o penalidad aplicable en caso de incumplimiento del pago dentro del plazo establecido en el estado de cuenta del periodo de facturación anterior. (1)

Artículo 3°.- Tarjeta de crédito

La tarjeta de crédito es un instrumento que permite, de acuerdo con lo pactado entre la empresa emisora y el titular, realizar operaciones con cargo a una línea de crédito revolvente, otorgada por la empresa emisora a favor del titular. Con esta tarjeta, el usuario puede adquirir bienes o servicios en los establecimientos afiliados que los proveen, pagar obligaciones o, de así permitirlo la empresa emisora y no mediar renuncia expresa por parte del titular, hacer uso del servicio de disposición de efectivo u otros servicios asociados, dentro de los límites y condiciones pactados; obligándose a su vez, a pagar el importe de los bienes y servicios adquiridos, obligaciones pagadas, y demás cargos, conforme a lo establecido en el respectivo contrato.

Artículo 4°.- Tarjeta de débito

La tarjeta de débito es un instrumento que permite, de acuerdo con lo pactado entre la empresa emisora y el titular, realizar operaciones con cargo a depósitos previamente constituidos. Con esta tarjeta, el usuario puede adquirir bienes o servicios en los establecimientos afiliados que los proveen, pagar obligaciones, efectuar el retiro de los depósitos realizados a través de los canales puestos a disposición por la empresa emisora u otros servicios asociados, dentro de los límites y condiciones pactados, debitándose los montos correspondientes de sus depósitos.

CAPÍTULO II.- DISPOSICIONES GENERALES APLICABLES A LAS TARJETAS DE CRÉDITO

Artículo 5°.- Contenido mínimo del contrato

El contrato de tarjeta de crédito deberá contener, como mínimo, la siguiente información:

1. Las condiciones aplicables para la reducción o aumento de la línea de crédito y los mecanismos aplicables para requerir el consentimiento previo del usuario en caso se busque realizar un aumento de la línea conforme lo dispone el artículo 30° del Reglamento de Transparencia, cuando corresponda.

2. Forma y medios de pago permitidos.

3. Procedimientos y responsabilidades de las partes en caso de extravío de la tarjeta de crédito o de la sustracción, robo o hurto de esta o la información que contiene.

4. Casos en los que procede el bloqueo o anulación de la tarjeta de crédito y la resolución del contrato.

5. Condiciones aplicables a la renovación del contrato, de ser el caso.

6. Periodicidad con la que se pondrá a disposición o entregará los estados de cuenta.

7. A nombre de quién se emitirán los estados de cuenta, titular o usuario, de ser el caso.

8. Condiciones de emisión y remisión o puesta a disposición, según corresponda, del estado de cuenta en forma física o electrónica y plazo de aceptación del estado de cuenta.

9. El orden de imputación aplicable para el pago de la línea de crédito debe ser claro y, en el caso de contratos celebrados con usuarios bajo la protección del Código, no puede conllevar un agravamiento desproporcionado del monto adeudado para el titular. (2)

Para tal efecto, la aplicación del pago debe considerar lo siguiente:

9.1 Primero debe aplicarse a cubrir el pago mínimo, considerando los componentes de dicho concepto previstos en la Circular de Pago Mínimo.

9.2 El pago por montos inferiores al pago mínimo se aplica en la forma en la que lo determinen las empresas conforme lo dispone el artículo 87 del Código. Respecto del capital, el pago se aplica primero a la deuda en cuotas, empezando por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor, y posteriormente, a los saldos resultantes del capital de cada deuda revolvente, dividido entre el factor revolvente, siguiendo el orden decreciente descrito.

9.3 Si el monto materia de pago excede el pago mínimo realizado conforme a lo establecido en el numeral 9.1, el exceso se aplica de la siguiente forma:

(i) En primer lugar, a la deuda revolvente existente al momento de pago. En este caso, la aplicación se realiza empezando por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor.

(ii) Si se cubrió totalmente la deuda indicada en el inciso (i) precedente, y aún queda un saldo por aplicar, se debe considerar lo siguiente:

a. Si el saldo es mayor a dos cuotas futuras de aquella operación en cuotas a la que le corresponde una tasa de interés mayor, se aplica el monto como un pago anticipado, procediendo a la reducción del número de cuotas con la consecuente reducción del plazo del crédito.

En caso existan dos o más cuotas futuras con la misma tasa de interés, se prioriza el pago de la más antigua, de lo contrario, se empieza por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor.

b. Si el saldo es menor o igual al equivalente de dos cuotas futuras de aquella operación en cuotas a la que le corresponde una tasa de interés mayor, se aplica el monto a la deuda revolvente que se contraiga, a los intereses de dicha deuda y a otros cargos generados (comisiones o gastos), de ser el caso.

De no existir deuda revolvente, o en caso que el saldo exceda la deuda revolvente a la fecha de corte, este se aplica a las cuotas que se incluyen en el nuevo pago mínimo, empezando por aquellas obligaciones a las que les corresponde una tasa de interés mayor, hasta llegar a las que les corresponde una tasa de interés menor. (3)

9.4 El orden de imputación de pagos establecido en el numeral precedente no resulta aplicable cuando:

(i) Existe efectiva negociación; es decir, cuando se haya informado al titular sobre las consecuencias e implicancias económicas de la regla de imputación de pagos negociada y la cláusula que la contenga no constituya una condición masiva que forme parte del contrato de adhesión y que condicione su suscripción; y se permita evidenciar que el titular ha influido en el contenido de la cláusula; o,

(ii) El cliente, en cada oportunidad en que se realice el pago, solicite su aplicación en orden distinto, en cuyo caso la empresa debe mantener constancia de dicha decisión; o, como pago anticipado, para lo cual resulta aplicable lo indicado en el literal a. del inciso (ii) del numeral 9.3.4

10. Las condiciones generales en las que opera la autorización del exceso de línea de crédito, que deberán ser fijadas hasta por un monto razonable que responda, entre otros criterios, a la capacidad de pago del titular, así como al perfil ordinario de montos de consumo de este.

11. Información sobre la prestación de los servicios asociados a las tarjetas de crédito señalados en el artículo 7° del Reglamento.

12. Condiciones generales en las que opera la supresión y reactivación de los servicios señalados en el artículo 7° del Reglamento, cuando corresponda; así como el tratamiento que se otorgará, con relación a estos servicios, a las tarjetas adicionales.

13. Otros que establezca la empresa o la Superintendencia, mediante oficio múltiple.

Artículo 6°.- Información mínima, condiciones y vigencia aplicable a la tarjeta de crédito

Las tarjetas de crédito se expedirán con carácter de intransferible y deberán contener la siguiente información mínima:

1. Denominación social de la empresa que expide la tarjeta de crédito o nombre comercial que la empresa asigne al producto; y la identificación del sistema de tarjeta de crédito (marca) al que pertenece, de ser el caso.

2. Número de la tarjeta de crédito.

3. Nombre del usuario de la tarjeta de crédito y su firma. Las firmas podrán ser sustituidas o complementadas por una clave secreta, firma electrónica u otros mecanismos que permitan identificar al usuario antes de realizar una operación, de acuerdo con lo pactado.

4. Fecha de vencimiento.

El plazo de vigencia de las tarjetas de crédito no podrá exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.

Artículo 7°.- Servicios asociados a las tarjetas de crédito

Las empresas, en función a sus políticas internas, darán a los titulares la posibilidad de hacer uso de uno o más de los siguientes servicios:

1. Disposición de efectivo: deberá otorgársele la posibilidad, para cada operación, de decidir si estas disposiciones deberán ser cargadas en cuotas fijas mensuales y el número de cuotas aplicable a estas.

2. Operaciones de compra, consumos o pagos por internet, a través de una página web distinta a la de la empresa.

3. Consumos u operaciones efectuadas en el exterior, con presencia física de la tarjeta.

4. Otras previstas por la empresa en los contratos.

Los servicios aludidos pueden otorgarse al momento de contratar o posteriormente. Su supresión o reactivación a voluntad del titular será posible a través de los mecanismos establecidos por las empresas, los que no podrán ser más complejos que los ofrecidos para contratar la tarjeta de crédito.

Esta posibilidad deberá informarse en forma destacada, previa a la celebración del contrato y contemplarse como parte de su contenido.

Artículo 8°.- Tarjeta de crédito adicional

La tarjeta de crédito adicional es emitida a un usuario, a solicitud y bajo la responsabilidad del titular, al amparo del contrato celebrado con el titular y de la misma línea de crédito otorgada a este o parte de ella.

La tarjeta de crédito adicional a la tarjeta principal solo podrá emitirse cuando exista autorización expresa de su titular, utilizando los medios establecidos por las empresas para dicho efecto.

Artículo 9°.- Cargos

Las empresas cargarán el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de crédito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este suscriba o autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artículo 7° del Reglamento, en caso corresponda; así como las demás obligaciones señaladas en el contrato de tarjeta de crédito, conforme a la legislación vigente sobre la materia.

Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de crédito.

Artículo 10°.- Contenido mínimo de los estados de cuenta

El estado de cuenta debe contener como mínimo lo siguiente:

1. Nombre del titular o usuario, según lo establecido en el contrato, al que se le asigna una tarjeta de crédito.

2. Número de identificación de la tarjeta de crédito, entendiendo por este como mínimo a los últimos cuatro (4) dígitos de la tarjeta de crédito.

3. Periodo del estado de cuenta y fecha máxima de pago.

4. Monto mínimo de pago, conforme a la Circular de pago mínimo. Se deberá desglosar el monto que será utilizado para el pago del principal, los intereses, comisiones y cualquier otro concepto aplicable, conforme a la referida Circular.

5. Pagos efectuados durante el periodo informado; es decir, antes de la fecha de corte, indicando la fecha en que se realizó el pago y el monto.

6. Deberá indicarse la relación de todos los consumos u otras operaciones, y el establecimiento afiliado en que se realizaron, de ser el caso; así como la fecha y el monto de las operaciones registradas en el periodo informado. En el caso de consumos u otras operaciones en cuotas fijas, se deberá indicar el número de cuotas pactadas.

7. La cuota fija total que corresponda al periodo de facturación; es decir la suma de las cuotas fijas por los consumos u otras operaciones efectuadas que corresponde pagar en el periodo. Asimismo, deberá desglosarse la cuota fija total y cada cuota fija que la compone precisando el monto que corresponde al principal, intereses y las comisiones y gastos, en caso corresponda. En el supuesto de que por razones operativas, debidamente justificadas ante la Superintendencia, no se pueda mostrar el desglose por cada cuota antes indicado, las empresas deberán informar solo la información que corresponde a la cuota fija total del período.

8. Saldo adeudado a la fecha de corte.

9. Monto total y monto disponible en la línea de crédito.

10. Tasa de interés compensatorio efectiva anual aplicable a cada consumo u operación bajo modalidad revolvente o cuotas fijas, así como la tasa de interés moratorio efectiva anual o penalidad por incumplimiento aplicable a la fecha del estado de cuenta. Se presentará la información desagregada por cada consumo u operación en aquellos casos en los que la empresa ofrezca tasas diferenciadas.

11. Fecha en la cual se hará el cargo por la renovación de la membresía, el periodo al que corresponde el referido cargo y el monto correspondiente, en caso se realicen cobros por este concepto.

12. La información que se detalla a continuación deberá presentarse en el anverso del estado de cuenta, en forma destacada y fácilmente identificable, con tipo de letra sombreado o resaltado y con un tamaño no menor a tres (3) milímetros de acuerdo con el siguiente texto:

“INFORMACIÓN IMPORTANTE:*

Si solo realiza el pago mínimo de su deuda en soles y no realiza más operaciones, esta se cancelará en ____ meses, pagando S/. _____ de intereses y S/._____ por comisiones y gastos.

Si solo realiza el pago mínimo de su deuda en dólares y no realiza más operaciones, esta se cancelará en ____ meses, pagando US$_____ de intereses y US$_____ por comisiones y gastos”.

13. La información que se detalla a continuación deberá ser presentada en el estado de cuenta con un tamaño no menor a tres (3) milímetros:

“La información referida al cálculo del pago mínimo y sus ejemplos se encuentra a su disposición a través de los siguientes canales ___________________”.

– “Si hubiera pactado la posibilidad de:

a) disposición de efectivo;

b) compras, consumos o pagos por internet a través de una página web distinta a la de la empresa; o,

c) consumos u operaciones en el exterior con presencia física de la tarjeta, recuerde que tiene el derecho de solicitar su supresión a través de los siguientes canales________. “

Artículo 11°.- Puesta a disposición o envío y recepción del estado de cuenta y procedimiento de reclamos

Las empresas deberán remitir o poner a disposición de los titulares de tarjetas de crédito el estado de cuenta por lo menos mensualmente. Para tal efecto, deberán otorgar a los titulares la posibilidad de elegir la recepción de la mencionada información a través de uno o ambos de los mecanismos señalados a continuación:

1. Medios físicos (remisión al domicilio señalado por el titular).

2. Medios electrónicos (por medio de la presentación de dicha información a través de la página web, correo electrónico, entre otros).

Las empresas y los titulares podrán pactar que no se remita o ponga a disposición el estado de cuenta, en caso no exista saldo deudor.

Asimismo, en caso de incumplimiento en el pago, cesará la obligación de las empresas de remitir los estados de cuenta, siempre que hayan transcurrido cuatro (4) meses consecutivos de incumplimiento. Las empresas y los titulares podrán pactar un plazo menor al señalado anteriormente.

Las empresas deberán entregar los estados de cuenta en un plazo no menor a cinco (5) días hábiles previos a su fecha máxima de pago. Si los titulares no recibieran los estados de cuenta oportunamente tendrán el derecho de solicitarlos a las empresas y estas la obligación de proporcionar copia de estos, en las condiciones establecidas en los contratos, incluso en aquellos casos en que la no remisión se debiera a lo dispuesto en el párrafo anterior.

Los titulares podrán observar el contenido de los estados de cuenta dentro del plazo establecido en el contrato, el cual no podrá ser menor a los treinta (30) días siguientes contados a partir de su fecha de entrega.

Transcurrido el plazo de treinta (30) días antes referido o el que se hubiese pactado, se presume que se ha agotado la vía interna para presentar reclamos sobre el estado de cuenta en las empresas. Cabe precisar que esta presunción no enerva los derechos de los titulares establecidos en el ordenamiento legal vigente para reclamar en las instancias administrativas, judiciales y/o arbitrales correspondientes.

CAPÍTULO III.- DISPOSICIONES APLICABLES A LAS TARJETAS DE DÉBITO

Artículo 12°.- Información mínima, condiciones y vigencia aplicable a las tarjetas de débito

Las tarjetas de débito se expedirán con carácter de intransferible y deberán contener la siguiente información mínima:

1. Denominación social de la empresa que expide la tarjeta o nombre comercial; y la identificación del sistema de tarjeta de débito (marca) al que pertenece, de ser el caso.

2. Número de la tarjeta de débito.

3. Fecha de vencimiento.

4. Para su uso, requieren adicionalmente la presencia de una clave secreta, firma, firma electrónica u otros mecanismos que permitan identificar al usuario, de acuerdo con lo pactado.

El plazo de vigencia de las tarjetas de débito no podrá exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.

Artículo 13°.- Servicios asociados a tarjetas de débito

Las empresas, en función a sus políticas internas, darán a los titulares la posibilidad de hacer uso, de uno o más de los siguientes servicios, según corresponda:

1. Operaciones de compra, consumos o pagos por internet a través de una página web distinta a la de la empresa.

2. Consumos u operaciones efectuadas en el exterior con presencia física de la tarjeta.

3. Otras previstas por la empresa, en los contratos.

Los servicios aludidos pueden otorgarse al momento de contratar o posteriormente. Su supresión o reactivación a voluntad del titular será posible a través de los mecanismos establecidos por las empresas, los que no podrán ser más complejos que los ofrecidos para celebrar el contrato de depósito o de la tarjeta de débito.

Esta posibilidad deberá informarse en forma destacada, previa a la celebración del contrato y contemplarse como parte del contenido del contrato de depósito o de la tarjeta de débito.

Artículo 14°.- Cargos

Las empresas cargarán en la cuenta de depósitos el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de débito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este suscriba o autorice; el monto empleado como consecuencia del uso de alguno de los servicios descritos en el artículo 13° del Reglamento, en caso corresponda; así como las demás obligaciones asumidas en el contrato, conforme a la legislación vigente sobre la materia.

Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de débito.

CAPÍTULO IV.- OTROS ASPECTOS APLICABLES A LAS TARJETAS DE CRÉDITO Y DÉBITO

SUBCAPÍTULO I.- MEDIDAS DE SEGURIDAD APLICABLES A TARJETAS DE CRÉDITO Y DÉBITO

Artículo 15°.- Medidas de seguridad incorporadas en las tarjetas

Las tarjetas deberán contar con un circuito integrado o chip que permita almacenar y procesar la información del usuario y sus operaciones, cumpliendo estándares internacionales de interoperabilidad para el uso y verificación de las tarjetas, así como para la autenticación de pagos; para lo cual deberá cumplirse como mínimo con los requisitos de seguridad establecidos en el estándar EMV, emitido por EMVCo. Al respecto, las empresas deberán aplicar, entre otras, las siguientes medidas:

1. Reglas de seguridad definidas en el chip de las tarjetas, que deben ser utilizadas para verificar la autenticidad de la tarjeta, validar la identidad del usuario mediante el uso de una clave o firma u otros mecanismos de autenticación.

2. Aplicar procedimientos criptográficos sobre los datos críticos y claves almacenadas en el chip de las tarjetas, así como sobre aquellos existentes en los mensajes intercambiados entre las tarjetas, los terminales de punto de venta, los cajeros automáticos y las empresas emisoras.

3. En caso las empresas emisoras permitan la autorización de operaciones fuera de línea, deben aplicar un método de autenticación de datos que brinde adecuadas condiciones de seguridad, sin afectar la calidad y el rendimiento del servicio provisto al usuario. Dichas operaciones se realizarán conforme a los límites y condiciones pactadas con el cliente, que incluirán por ejemplo límites al número de operaciones consecutivas procesadas fuera de línea.

4. Disponer de mecanismos para aplicar instrucciones sobre el chip de las tarjetas en respuesta a una transacción en línea, a fin de modificar los límites establecidos según perfiles de riesgo, así como bloquear o deshabilitar aquellas tarjetas que hayan sido extraviadas o sustraídas.

Artículo 16°.- Medidas de seguridad respecto a los usuarios

Las empresas deben adoptar, como mínimo, las siguientes medidas de seguridad con respecto a los usuarios:

1. Entregar la tarjeta y, en caso corresponda, las tarjetas adicionales al titular, excepto cuando este haya instruido en forma expresa que se entreguen a una persona distinta, previa verificación de su identidad y dejando constancia de su recepción.

2. En caso la empresa genere la primera clave o número secreto de la tarjeta, esta deberá ser entregada según las condiciones del numeral anterior, obligando su cambio antes de realizar la primera operación que requiera el uso de dicha clave.

3. En caso de que se utilice la clave como método de autenticación, permitir que el usuario pueda cambiar dicha clave o número secreto, las veces que lo requiera.

4. Para las operaciones de disposición o retiro de efectivo, compras y otras operaciones que la empresa identifique con riesgo de fraude en perjuicio de los usuarios, deberá otorgar a estos la opción de habilitar un servicio de notificaciones que les informe de las operaciones realizadas con sus tarjetas, inmediatamente después de ser registradas por la empresa, mediante mensajes de texto a un correo electrónico y/o un teléfono móvil, entre otros mecanismos que pueden ser pactados con los usuarios.

5. Poner a disposición de los usuarios, la posibilidad de comunicar a la empresa que realizarán operaciones con su tarjeta desde el extranjero, antes de la realización de estas operaciones.

6. En aquellos casos en los que se permita a los usuarios realizar operaciones de micropago, deberá establecer el monto máximo por operación que podrá efectuarse.

Artículo 17°.- Medidas de seguridad respecto al monitoreo y realización de las operaciones

Las empresas deben adoptar como mínimo las siguientes medidas de seguridad con respecto a las operaciones con tarjetas que realizan los usuarios:

1. Contar con sistemas de monitoreo de operaciones, que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual de consumo del usuario.

2. Implementar procedimientos complementarios para gestionar las alertas generadas por el sistema de monitoreo de operaciones.

3. Identificar patrones de fraude, mediante el análisis sistemático de la información histórica de las operaciones, los que deberán incorporarse al sistema de monitoreo de operaciones.

4. Establecer límites y controles en los diversos canales de atención, que permitan mitigar las pérdidas por fraude.

5. Requerir al usuario la presentación de un documento oficial de identidad, cuando sea aplicable, o utilizar un mecanismo de autenticación de múltiple factor. La Superintendencia podrá establecer, mediante oficio múltiple, montos mínimos a partir de los cuales se exija la presentación de un documento oficial de identidad.

6. En el caso de operaciones de retiro o disposición de efectivo, según corresponda, u otras con finalidad informativa sobre las operaciones realizadas u otra información similar, deberá requerirse la clave secreta del usuario, en cada oportunidad, sin importar el canal utilizado para tal efecto.

Artículo 18°.- Medidas en materia de seguridad de la información

Son exigibles, a las empresas, las normas vigentes emitidas por la Superintendencia sobre gestión de seguridad de la información y de continuidad del negocio.

Asimismo, en torno al almacenamiento, procesamiento y transmisión de los datos de las tarjetas que emitan, las empresas deberán implementar los siguientes controles específicos de seguridad:

1. Implementar y mantener la configuración de cortafuegos o firewalls, enrutadores y equipos similares que componen la red interna, adoptando configuraciones estandarizadas y restringiendo permisos para evitar accesos no autorizados.

2. Implementar políticas para evitar el uso de clave secreta y parámetros de seguridad predeterminados provistos por los proveedores de servicios de tecnología.

3. Implementar políticas de almacenamiento, retención y de eliminación de datos, así como para el manejo de llaves criptográficas, que permitan limitar la cantidad de datos a almacenar y el tiempo de retención a lo estrictamente necesario según requerimientos legales, regulatorios y de negocio.

4. Implementar mecanismos de cifrado para la transmisión de los datos del usuario en redes públicas.

5. Implementar y actualizar software y programas antivirus en computadores y servidores.

6. Mantener sistemas informáticos y aplicaciones seguras; para el caso de software provisto por terceros, establecer procedimientos para identificar vulnerabilidades y aplicar actualizaciones; para el caso de desarrollos de sistemas propios, adoptar prácticas que permitan reducir las vulnerabilidades de seguridad de dichos sistemas.

7. Implementar políticas que restrinjan el acceso a los datos de los usuarios solo al personal autorizado, reduciéndolo al estrictamente necesario.

8. Implementar políticas de asignación de un identificador único a cada persona que acceda a través de software a los datos de los usuarios.

9. Implementar controles de acceso físico para proteger los datos de los usuarios, restringiéndolo únicamente a personal autorizado, propio o de terceros.

10. Registrar y monitorear todos los accesos a los recursos de red y a los datos de los usuarios.

11. Efectuar análisis de vulnerabilidades periódicos a la red interna y pruebas de penetración externas e internas, así también luego de cambios significativos en la red o sistemas informáticos.

12. Implementar lineamientos y procedimientos de seguridad de la información específicos, incluyendo un programa formal de capacitación en seguridad de la información, en función a las responsabilidades del personal, controles aplicables a los proveedores de servicios y un plan de respuesta a eventos de violación de seguridad que sea probado anualmente.

Artículo 19°.- Medidas de seguridad en los negocios afiliados

Las empresas deben adoptar las medidas de seguridad apropiadas para determinar la validez de la tarjeta, así como para dar cumplimiento a las condiciones de uso señalados en el Reglamento, por parte de los operadores o establecimientos afiliados.

En ese sentido, cuando las empresas suscriban contratos con los operadores o establecimientos afiliados, deberán asegurarse de incluir como obligaciones de estos, de ser el caso, los siguientes aspectos:

1. Contar con procedimientos de aceptación de las operaciones, incluyendo entre otros la verificación de la validez de la tarjeta, la identidad del usuario, y la firma en caso de ser aplicable.

2. No guardar o almacenar en bases de datos manuales o computarizadas la información de la tarjeta, más allá de utilizarla para solicitar la autorización de una operación.

3. Cumplir con los requerimientos de seguridad del presente Reglamento, en lo que les sea aplicable.

Artículo 20°.- Requerimientos de seguridad en caso de subcontratación

En los casos de subcontratación, que las empresas realicen para la provisión de servicios con tarjetas, es de aplicación la regulación vigente sobre subcontratación; en particular, debe formalizarse en los acuerdos con terceros para la aceptación de las tarjetas, la necesidad del cumplimiento de estándares internacionales de seguridad, aplicables al procesamiento de operaciones con tarjetas.

SUBCAPÍTULO II.- OBLIGACIONES ADICIONALES DE LAS EMPRESAS

Artículo 21°.- Mecanismo de comunicación a disposición de los usuarios

Las empresas deberán contar con infraestructura y sistemas de atención, propios o de terceros, que permitan a los usuarios comunicar el extravío o sustracción de la tarjeta o de su información, los cargos indebidos y las operaciones que los usuarios no reconozcan. Dicha infraestructura deberá encontrarse disponible las veinticuatro (24) horas del día, todos los días del año.

Se deberán registrar las comunicaciones de los usuarios, de tal forma que sea posible acreditar de manera fehaciente su fecha, hora y contenido. Por cada comunicación, se deberá generar un código de registro a ser informado al usuario como constancia de la recepción de dicha comunicación. Asimismo, se deberá enviar al titular de las tarjetas una copia del registro de la comunicación efectuada, a través de medios físicos o electrónicos, según elección del propio usuario.

La información referida a los mecanismos de comunicación establecidos por la empresa, para dar cumplimiento a lo dispuesto en los párrafos precedentes, deberá encontrarse publicada en la parte inicial de la página web de la empresa, en las oficinas y en cualquier otro medio a criterio de la empresa, siempre que sea fácilmente identificable.

Lo expuesto en el presente artículo resulta aplicable, sin perjuicio de las demás exigencias establecidas por el marco normativo vigente en materia de atención de reclamos.

Artículo 22°.- Seguimiento de operaciones que pueden corresponder a patrones de fraude Las empresas deben contar con procedimientos para el seguimiento de operaciones que puedan corresponder a patrones de fraude, los cuales deben incluir por lo menos los siguientes aspectos:

1. Mecanismos para la comunicación inmediata al usuario sobre las posibles operaciones de fraude.

2. Acciones para proceder con el bloqueo temporal o definitivo de la tarjeta, en caso sea necesario.

Artículo 23°.- Responsabilidad por operaciones no reconocidas

Ante el rechazo de una transacción o el reclamo por parte del usuario de que esta fue ejecutada incorrectamente, las empresas serán responsables de demostrar que las operaciones fueron autenticadas y registradas.

El usuario no es responsable de ninguna pérdida por las operaciones realizadas en los siguientes casos, salvo que la empresa demuestre su responsabilidad:

1. Cuando estas hayan sido realizadas luego de que la empresa fuera notificada del extravío, sustracción, robo, hurto o uso no autorizado de la tarjeta, o de la información que contiene.

2. Por incumplimiento de lo dispuesto por el artículo 21° del Reglamento.

3. Cuando las tarjetas hayan sido objeto de clonación.

4. Por el funcionamiento defectuoso de los canales o sistemas puestos a disposición de los usuarios por las empresas para efectuar operaciones.

5. Por la manipulación de los cajeros automáticos de la empresa titular u operadora de estos o los ambientes en que estos operan.

6. Cuando se haya producido la suplantación del usuario en las oficinas.

7. Operaciones denominadas micropago, pactadas con el titular.

8. Operaciones realizadas luego de la cancelación de la tarjeta o cuando esta haya expirado.

En caso el usuario no se encuentre conforme con los fundamentos efectuados por la empresa para no asumir responsabilidad por las operaciones efectuadas, podrá presentar un reclamo o denuncia, de acuerdo con lo establecido por el marco normativo vigente.

Artículo 24°.- Traslado de costos por la contratación de seguros y/o creación de mecanismos de protección o contingencia

Las empresas no podrán trasladar a los usuarios como gasto o comisión, según corresponda, el costo asociado a la contratación de pólizas de seguro y/o mecanismos de protección o contingencia, que tengan por objeto cubrir las pérdidas generadas como consecuencia de la realización de operaciones no reconocidas, que son de responsabilidad de estas de acuerdo con lo establecido en el artículo 23° del Reglamento.

Artículo 25°.- Devolución o destrucción

En caso de anulaciones de tarjetas, con excepción de los casos de extravío o sustracción, las empresas procurarán la devolución física de la tarjeta encargándose de su destrucción en presencia del titular o del usuario. La misma disposición resulta aplicable cuando se expidan duplicados o nuevas tarjetas en reemplazo de las deterioradas, o en caso de la resolución o término del contrato suscrito. En caso de que la devolución física de la tarjeta no sea posible, el titular o usuario de esta será responsable de su destrucción.

Las empresas deberán comunicar a los establecimientos afiliados la invalidez en los casos de tarjetas anuladas o sustituidas antes del término de su vigencia.

SUBCAPÍTULO III.- EN MATERIA DE SUPERVISIÓN

Artículo 26°.- Comunicación para expedir tarjetas

Las empresas autorizadas, que decidan iniciar la expedición de tarjetas, deberán comunicarlo a la Superintendencia, en un plazo no menor a los treinta (30) días anteriores al inicio de la referida expedición.

Artículo 27°.- Manuales aplicables por la expedición y administración de tarjetas

Las empresas deberán contar con manuales relacionados con la expedición y administración de tarjetas, considerando para tal efecto el cumplimiento de las obligaciones desarrolladas en el Reglamento.

Adicionalmente, dichos manuales deberán considerar los procedimientos, plazos, controles y medidas de seguridad utilizados en la elaboración física, asignación de clave, transporte, entrega y custodia de las tarjetas.

DISPOSICIONES FINALES Y TRANSITORIAS

Primera

Reglamento de Transparencia

Resultan aplicables las disposiciones reguladas en el Reglamento de Transparencia.

Segunda

Cuentas Básicas

Las tarjetas que se otorguen como consecuencia de la contratación de una cuenta básica, y exclusivamente para el uso de dicha cuenta, no se encuentran obligadas a cumplir con las disposiciones contempladas en el artículo 15° del Reglamento sobre el uso de tarjetas con circuito integrado o chip ni las obligaciones establecidas en la cuarta disposición final y transitoria del Reglamento que se encuentren asociadas a la implementación y puesta a disposición de tarjetas con circuito integrado o chip.

La referida disposición podrá aplicarse a otros productos financieros previa autorización de la Superintendencia.

Tercera

Remisión de reportes

Las empresas deberán remitir a la Superintendencia, dentro de los quince (15) días siguientes posteriores al cierre de cada mes, el Reporte nº 7 “Tarjetas de Crédito” del Manual de Contabilidad para las Empresas del Sistema Financiero, vía SUCAVE, de acuerdo con las instrucciones contenidas en el reporte.

Cuarta

Plazo de adecuación

Para cumplir con las exigencias contempladas en el Reglamento, serán de aplicación los siguientes plazos máximos:

1. A partir del 31 de diciembre de 2014, todas las nuevas tarjetas de débito y crédito deberán ser emitidas con chip, conforme a lo establecido en el artículo 15° del Reglamento. Asimismo, a partir de esa fecha, las empresas deberán dar la posibilidad a los usuarios de cambiar sus tarjetas con banda magnética por tarjetas con chip.

2. Para implementar lo requerido en los artículos 7°, 10°, 13°, el numeral 4 del artículo 16°, así como lo señalado en el artículo 17°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2014.

3. A partir del 31 de diciembre de 2015, las empresas deberán asegurar que las redes de cajeros automáticos, que brindan a sus clientes para sus operaciones (ya sean redes propias o redes contratadas con terceros en el territorio nacional), puedan autenticar las tarjetas emitidas, a través del uso del chip o circuito integrado, incorporado en la tarjeta para realizar las operaciones solicitadas por los clientes.

4. A partir del 31 de diciembre de 2015, las empresas que permitan la realización de operaciones, sin utilizar el circuito integrado o chip incorporado en las tarjetas, deberán asumir los riesgos y, por lo tanto, los costos de dichas operaciones, en caso no sean reconocidas por los usuarios.

5. Para implementar lo requerido en el artículo 18°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2015”.

Artículo Segundo

El Reglamento de Tarjetas de Crédito y Débito, aprobado por el Artículo Primero de la presente Resolución, entrará en vigencia el 1 de abril de 2014, fecha en la cual quedará derogado el Reglamento de Tarjetas de Crédito, aprobado por la Resolución SBS n° 264-2008 y sus normas modificatorias, así como el artículo 32° del Reglamento de Transparencia de Información y Disposiciones Aplicables a la Contratación con Usuarios del Sistema Financiero, aprobado por la Resolución SBS n° 1765-2005 y sus normas modificatorias.

Regístrese, comuníquese y publíquese.

DANIEL SCHYDLOWSKY ROSENBERG. Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

*La información referida a la deuda en dólares americanos se presentará en caso resulte aplicable.

(1) Numeral incorporado por la Resolución n° 652-2016 del 05/02/2016.

(2) Numeral 9 modificado por la Resolución n° 652-2016 del 05/02/2016.

(3) Numeral 9.3 modificado por la Resolución SBS n° 6617-2016 publicada el 25/12/2016, otorga un plazo de adecuación hasta el 30 de junio de 2017.

(4) Numeral 9.4 modificado por la Resolución SBSnN° 6617-2016 publicada el 25/12/2016, otorga un plazo de adecuación hasta el 30 de junio de 2017.