SUDEBAN
SIB-11-GGIR-GRT -GGR-GNP-# 07736
Caracas.
CIRCULAR ENVIADA A TODAS LAS INSTITUCIONES BANCARIAS, COMPAÑÍAS EMISORAS O ADMINISTRADORAS DE TARJETAS DE CRÉDITO, DÉBITO, PREPAGAOAS Y DEMÁS TARJETAS DE FINANCIAMIENTO O PAGO ELECTRÓNICO, INSTITUCIONES DE TECNOLOGÍA FINANCIERA (ITFB), Y REDES INTERBANCARIAS, RELATIVA A:
LA IMPLEMENTACIÓN Y USO DE TECNOLOGÍA DE PROXIMIDAD SIN CONTACTO (CONTACTLESS).
Me dirijo a usted de conformidad con lo previsto en los numerales 9, 13 y 26 del artículo en consonancia con el numeral 7 del artículo 172 del Decreto con Rango, Valor y Fuerza de Ley de Instituciones del Sector Bancario y con la Resolución N» 063.15 de fecha 12 de junio de 2015, publicada en la Gaceta Oficial de la República Bolivariana de Venezuela N» 40.809 del14 de diciembre de 201 5, contentíva de las «Normas relativas a la Protección de tos Usuarios y Usuarias de los Servicios Financieros•, en concordancia con la Resolución N» 641.1 O de fecha 23 de diciembre de 201O, contentíva de las •Normas que Regulan el uso de los Servicios de la Banca Electrónica».
Visto el surgimiento de la tecnología de comunicación sin contacto, que accede al intercambio de datos entre dos dispositivos de forma rápida, proporcionando a cualquier usuario la facilidad para realizar un pago con sólo acercar su tarjeta de débito, créárto y demás tarjetas de financiamiento o pago electrónico: así como, en dispositivos inteligentes a un terminal; todo ello, sin la necesidad de tener que hacer uso del lector de chip.
Visto las directrices del Ejecutivo Nacional enmarcadas hacia una economla digital que impulsa el uso de nuevas tecnologlas, manteniendo un sistema de pago completamente electrómco y accesible para la población en general, lo cual implica adecuaciones en el marco normativo de este Ente Regulador.
Considerando la incorporación de este tipo de tecnologfa inalámbrica de corto alcance NFC («Near Field Communicatlons») en las tarjetas de pago electrónico o financiamiento y terminales de puntos de ventas, que permite la transmisión de datos entre dispositivos que se encuentren a unos cuantos centímetros de distancia sin introducir el instrumento de pago en el equipo; es decir, sin contacto (Contactless) para la ejecución de transacciones de pago, aún cuando, mantiene la posibilidad de ser utilizada a través de la lectura del chip, en los casos que se requieran.
En virtud de lo expuesto, esta Superintendencia le instruye a esa Institución, que deberá remitir ante la Superintendencia de las Instituciones del Sector Bancario. la solicitud de autorización del proyecto respectivo, en caso que estime implementar en el servicio de puntos de venta la tecnologfa de proximidad sin contacto (Contactless), conforme a los lineamientos emitidos por este Ente Regulador, para el Proceso autorizatorio de proyectos, enmarcados en la transformación digital que promuevan el uso de las nuevas tecnologfas, medios de pago electrónico y cambios en la plataforma tecnológica critica que impacta a los cliente.
Visto que la Resolución N» 641 .1 O antes identificada, en sus articules 5, 15 y 26 establece la utilización de factores de autenticación para verificar la identidad de sus clientes, montos máximos diarios para cada canal electrónico, con base en los estudios realizados por la Unidad de Administración Integral de Riesgo (UAIR) y mecanismos automáticos para bloquear preventivamente el acceso del usuario a la Banca Electrónica cuando se detecte comportamiento transaccional irregular.
No obstante lo anterior, este Ente Supervisor le otorga una excepc~ón regulatoria para el cumplimiento de lo sel’\alado en el articulo 5 de la Resolución N» 641 .1 O, relativa a las «Normas que Regulan el Uso de los Servicios de la Banca Electrónica», específicamente en cuanto al uso del Factor de Autenticación Categorla 2, para la transacción o transacciones de pago efectuadas por el cliente con tarjetas de proXImidad sin contacto (Contactless), hasta el Monto limite inferior diario (MUO). según corresponda.
En ese sentido, para implementar la tecnologfa de proximidad sin contacto (Contactless) deberá, contemplar; entre otros controles, para fortalecer el uso y mitigar el fraude, en los medios de pago con tecnologla de proxtmldad sin contacto (Contactless) los siguientes.
- Establecer rangos de montos limites diarios asociados al uso de tarjetas de proximidad sin contacto (Contactless), considerando los escenarios en los cuales requieran o no el ingreso de la contrasella conocida solo por el cliente; así como, la lectura del chip.
Dichos rangos deberán ser definidos y actualizados al menos con frecuencia semestral, con base en los estudios realizados por la Unidad de Administración Integral de Riesgo (UAIR) de esa Institución, con la debida aprobación del Comité de Ríesgos, considerando lo siguiente:
Tlpo de Parámetro de Validación
Rango de
1
Monto
Tecnoloala
Tx < MLIO Sin Contacto NIA MUO > Tx < MLSD Sin Contacto Factor de AutenbcaCión C MLSO
Lectura Chio
lonaitud mfnll’!la de cuatro 141 caracteres
a. MUO: Monto lfm1te inferior díarfo que no requ¡ere valid3CI6n del cliente mediante Factor de Autenticacíón Categorfa 2.
b MLSO· Monto llmíte superlor diario que requiere validación del dlellle med131lle Fac~a< de AutenticaGi6n Categorfa 2.
c. Tx· Valor de la transacai6n
Los montos podrán ser por una sola transacción o por la suma de varias transacciones en el dla, ofreciendo alternativas al d iente de parametrizar (sin superar los limites dianos} en cualquier medio electrónico.
- Requerir el uso del Factor de Autenticación Categorla 2 establecido en la Resolución N» 64110 relativa a las «Normas que Regulan el uso de los Servicios de la Banca Electrónica», para confirmar la transacción de pago efectuada por el cliente con tarjetas de proximidad sin contacto (Contactless), cuando superen el Monto Limite Inferior Diario (MUO}.
- Introducir la tarjeta de proximidad sin contacto (Contactless) en el disposítivo de pago, con el propósito de validar los parámetros para autorizar la operación de pago (cédula de identidad, tipo de cuenta y contrasena), en caso, que el valor de la transacción o la sumatona de las transacciones del dia, excedan el Monto Limite Superior Diario (MLSD) definido.
4 Parametrizar opciones que perm1tan al diente habilitar o restringir la utilizae~ón del serviCIO
5 Reforzar las labores de monrtoreo de operaciones realizadas; a través. del uso de la tecnologla de proximidad de pago sm contacto (Contactless), para la detecClón en tiempo real de las transacciones no habituales o lnusuales realizadas por los clientes, asl como, las cons1deradas como Irregulares o como posibles fraudes, entre las cuales debe aplicar lo siguiente:
EvaluaCIÓn de tendencias transaccionales
ActivaCIÓn de alertas tempranas cuando el comportamiento del d iente no se corresponda al habitual
Nobficaaón a los clientes sobre la presunta operación inusual de sus cuentas
Bloqueo o suspensión de los accesos al canal de pago. cuando se identifiquen actividades irregulares que pudiera comprometer la información del cUente, siempre y cuando se verifique con el titular la no aceptación de la operación o no sea posible contactar al cliente.
- NoTIFICACIÓN a los clientes en forma inmediata (por medio electrónico y SMS) las operaciones realizadas con la precitada tecnologla. El mensaje deberá Incluir, como mforrnación minima lo senaJado a contilluaclón:
- Fecha.
- Hora
- Tipo de operaclón.
- Monto de la operación.
- Senal o número de referencia de la operación.
- Canal electrónico utilizado
- nombre y número de teléfono de la Institución.
- Disponer de medios de comunicación efectivos, a los cuales los clientes puedan acceder en forma directa, a fin de efectuar notificaciones, reclamos y/o posibles fraudes, que genere un número de requerimiento con la fecha y hora del reporte como soporte y realizar el posterior seguimiento.
- Mantener actualizados los procedimientos relativos a la afiliación al servicio, contemplando la definición por parte del cliente de la cuenta financiera que estará asociada al uso de la tecnologla de proximidad sin contacto (Contactless); así como, los relacionados con la atención de notificaciones, reclamos y/o posibles fraudes.
El incumplimiento de lo aquí indicado será sancionado de conformidad con lo previsto en el Decreto con Rango, Valor y Fuerza de Ley de Instituciones del Sector Bancario, sin perjuicio de las medidas administrativas e instrucciones que este Ente Supervisor pueda imponer en atención a sus competencias.
Slrvase girar las instrucciones pertinentes a los fines de dar cumplimiento a lo antes senalado.
https://mega.nz/file/hk8SHRoC#DgS9JEN6gzuh8uWumjqe6AV72lSp_Pt88nwWWdaRUIs