Sudeban: Circular sobre la implementación y uso de tecnología de proximidad sin contacto (Conctactless)

Circular enviada a todas las Instituciones Bancarias, Compañías Emisoras o Administradoras de Tarjetas de Crédito, Débito, Prepagadas y demás Tarjetas de Financiamiento o Pago Electrónico, Instituciones de Tecnología Financiera (ITFB) y Redes Interbancarias, relativa a:

La Implementación y uso de Tecnología de Proximidad sin Contacto (Contactless)

Me dirijo a usted de conformidad con lo previsto en los numerales 9, 13 y 26 del artículo 171, en consonancia con el numeral 7 del artículo 172 del Decreto con Rango, Valor y Fuerza de Ley de Instituciones del Sector Bancario y con la Resolución No 063.15 de fecha 12 de junio de 2015, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela No 40.809 del 14 de diciembre de 2015, contentiva de las «Normas relativas a la Protección de los Usuarios y Usuarias de los Servicios Financieros», en concordancia con la Resolución No 641.1O de fecha 23 de diciembre de 201O, contentiva de las «Normas que Regulan el uso de los Servicios de la Banca Electrónica».

Visto el surgimiento de la tecnología de comunicación sin contacto, que accede al intercambio de datos entre dos dispositivos de forma rápida, proporcionando a cualquier usuario la facilidad para realizar un pago con sólo acercar su tarjeta de débito, crédito y demás tarjetas de financiamiento o pago electrónico; así como, en dispositivos inteligentes a un terminal; todo ello, sin la necesidad de tener que hacer uso del lector de chip.

Visto las directrices del Ejecutivo Nacional enmarcadas hacia una economía digital que impulsa el uso de nuevas tecnologías, manteniendo un sistema de pago completamente electrónico y accesible para la población en general, lo cual implica adecuaciones en el marco normativo de este Ente Regulador.

Considerando la incorporación de este tipo de tecnología inalámbrica de corto alcance NFC («Near Field Communications») en las tarjetas de pago electrónico o financiamiento y terminales de puntos de ventas, que permite la transmisión de datos entre dispositivos que se encuentren a unos cuantos centímetros de distancia sin introducir el instrumento de pago en el equipo; es decir, sin contacto (Contactless) para la ejecución de transacciones de pago, aun cuando, mantiene la posibilidad de ser utilizada a través de la lectura del chip, en los casos que se requieran.

En virtud de lo expuesto, esta Superintendencia le instruye a esa Institución, que deberá remitir ante la Superintendencia de las Instituciones del Sector Bancario, la solicitud de autorización del proyecto respectivo, en caso que estime implementar en el servicio de puntos de venta la tecnología de proximidad sin contacto (Contactless), conforme a los lineamientos emitidos por este Ente Regulador, para el Proceso autorizatorio de proyectos, enmarcados en la transformación digital que promuevan el uso de las nuevas tecnologías, medios de pago electrónico y cambios en la plataforma tecnológica crítica que impacta a los cliente.

Visto que la Resolución No 641.1O antes identificada, en sus artículos 5, 15 y 26 establece la utilización de factores de autenticación para verificar la identidad de sus clientes, montos máximos diarios para cada canal electrónico, con base en los estudios realizados por la Unidad de Administración Integral de Riesgo (UAIR) y mecanismos automáticos para bloquear preventivamente el acceso del usuario a la Banca Electrónica cuando se detecte comportamiento transaccional irregular.

No obstante lo anterior, este Ente Supervisor le otorga una excepción regulatoria para el cumplimiento de lo señalado en el artículo 5 de la Resolución No 641.1O, relativa a las «Normas que Regulan el Uso de los Servicios de la Banca Electrónica», específicamente en cuanto al uso del Factor de Autenticación Categoría 2, para la transacción o transacciones de pago efectuadas por el cliente con tarjetas de proximidad sin contacto (Contactless), hasta el Monto límite inferior diario (MLID), según corresponda.

En ese sentido, para implementar la tecnología de proximidad sin contacto (Contactless) deberá, contemplar; entre otros controles, para fortalecer el uso y mitigar el fraude, en los medios de pago con tecnología de proximidad sin contacto (Contactless) los siguientes:

1.- Establecer rangos de montos límites diarios asociados al uso de tarjetas de proximidad sin contacto (Contactless), considerando los escenarios en los cuales requieran o no el ingreso de la contraseña conocida solo por el cliente; así como, la lectura del chip.

Dichos rangos deberán ser definidos y actualizados al menos con frecuencia semestral, con base en los estudios realizados por la Unidad de Administración Integral de Riesgo (UAIR) de esa Institución, con la debida aprobación del Comité de Riesgos, considerando lo siguiente:

1. MLID: Monto límite inferior diario que no requiere validación del cliente mediante Factor de Autenticación Categoría 2.
2. MLSD: Monto límite superior diario que requiere validación del cliente mediante Factor de Autenticación Categoría 2.
3. Tx: Valor de la transacción.

Los montos podrán ser por una sola transacción o por la suma de varias transacciones en el día, ofreciendo alternativas al cliente de parametrizar (sin superar los límites diarios) en cualquier medio electrónico.

2.- Requerir el uso del Factor de Autenticación Categoría 2 establecido en la Resolución No 641.1O relativa a las «Normas que Regulan el uso de los Servicios de la Banca Electrónica», para confirmar la transacción de pago efectuada por el cliente con tarjetas de proximidad sin contacto (Contactless), cuando superen el Monto Límite Inferior Diario (MLID).

3.- Introducir la tarjeta de proximidad sin contacto (Contactless) en el dispositivo de pago, con el propósito de validar los parámetros para autorizar la operación de pago (cédula de identidad, tipo de cuenta y contraseña), en caso, que el valor de la transacción o la sumatoria de las transacciones del día, excedan el Monto Límite Superior Diario (MLSD) definido.

4.- Parametrizar opciones que permitan al cliente habilitar o restringir la utilización del servicio.

5.- Reforzar las labores de monitoreo de operaciones realizadas; a través, del uso de la tecnología de proximidad de pago sin contacto (Contactless), para la detección en tiempo real de las transacciones no habituales o inusuales realizadas por los clientes; así como, las consideradas como irregulares o como posibles fraudes, entre las cuales debe aplicar lo siguiente:

• Evaluación de tendencias transaccionales.
• Activación de alertas tempranas cuando el comportamiento del cliente no se corresponda al habitual.
• Notificación a los clientes sobre la presunta operación inusual de sus cuentas.
• Bloqueo o suspensión de los accesos al canal de pago, cuando se identifiquen actividades irregulares que pudiera comprometer la información del cliente, siempre y cuando se verifique con el titular la no aceptación de la operación o no sea posible contactar al cliente.

6.- Notificar a los clientes en forma inmediata (por medio electrónico y SMS) las operaciones realizadas con la precitada tecnología. El mensaje deberá incluir, como información mínima lo señalado a continuación:

• Fecha.
• Hora.
• Tipo de operación.
• Monto de la operación.
• Serial o número de referencia de la operación.
• Canal electrónico utilizado.
• Nombre y número de teléfono de la Institución.

7.- Disponer de medios de comunicac1on efectivos, a los cuales los clientes puedan acceder en forma directa, a fin de efectuar notificaciones, reclamos y/o posibles fraudes, que genere un número de requerimiento con la fecha y hora del reporte como soporte y realizar el posterior seguimiento.

8.- Mantener actualizados los procedimientos relativos a la afiliación al servicio, contemplando la definición por parte del cliente de la cuenta financiera que estará asociada al uso de la tecnología de proximidad sin contacto (Contactless); así como, los relacionados con la atención de notificaciones, reclamos y/o posibles fraudes.

El incumplimiento de lo aquí indicado será sancionado de conformidad con lo previsto en el Decreto con Rango, Valor y Fuerza de Ley de Instituciones del Sector Bancario, sin perjuicio de las medidas administrativas e instrucciones que este Ente Supervisor pueda imponer en atención a sus competencias.

Sírvase girar las instrucciones pertinentes a los fines de dar cumplimiento a lo antes señalado.