BCU abre a consulta hasta 20 setiembre, nueva normativa para transacciones, medios de pago electrónicos, y prestamos.

En una medida que aplaudimos realmente.  esperada por todos nosotros, los usuarios de los medios de pagos electrónicos, sea por el teléfono celular, la computadora, o un terminal, ayer 23 de agosto 2024, el BCU Superintendencia de Servicios Financieros (SSF) emitió el comunicado poniendo a consideración la propuesta.

El Banco Central del Uruguay abrió un periodo de consultas hasta el 20 de setiembre, antes de emitir un  cambio a la normativa existente en las transacciones electrónicas bancarias.

Los puntos mas importantes de dicha propuesta son;

- doble factor de autenticación de transferencias y pagos

- lo mismo para las solicitudes de préstamos no presenciales, a distancia (online o virtual)

- obligatoriedad de ofrecer al usuario la posibilidad de recibir notificaciones automáticas luego de cada transacción
   (el usuario podra elegir no recibirlas, pero eso sera su opción, no la del banco o entidad financiera)

Se recibirán los comentarios  a la propuesta a través del correo electrónico [email protected] indicando en el tema o asunto del correo remitido el proyecto al que refieren los comentarios,

en un plazo que vencerá el día 20 de setiembre de 2024

Una vez emitida la norma, se publicará en el sitio web del Banco Central de lUruguay el resumen de los comentarios recibidos con su correspondiente análisis

NUEVA NORMATIVA PROPUESTA:  Proyecto_DFA_20240823.pdf

https://www.bcu.gub.uy/Servicios-Financieros-SSF/Documents/Proyectos%20Normativos/Proyecto_DFA_20240823.pdf

COMUNICADO DEL BCU SSF (Superintendencia de Servicios Financieros):  comunicado-banco-central_compress.pdf

ASPECTOS RELEVANTES

a. "Informar por escrito al usuario del instrumento electrónico, previo a la celebración del contrato, de sus obligaciones y responsabilidades en el uso del sistema, indicando como mínimo las que sean aplicables entre las enumeradas en los artículos 366 y 367. Dicha comunicación deberá realizarse en un documento distinto al contrato suscrito por las partes, sin perjuicio de ser incluidas también en él."

b."Revelar el número de identificación personal u otra clave únicamente al usuario."

c. "Entregar solamente aquellos instrumentos electrónicos solicitados expresamente por el cliente, salvo cuando se trate de la renovación de un instrumento electrónico que ya poseía."

Esto es de suma importancia, ya que hoy podemos tener abiertas posibilidades de pago que no utilizamos, y que podrían ser vulneradas, empleadas por ciber delincuentes para robar nuestros fondos, para realizar pagos a terceros en nuestro nombre, o estafas.

d. "Proporcionar al cliente elementos que le permitan comprobar las operaciones realizadas, de los cuales al menos uno deberá ser sin costo para los clientes. "

Muchas veces realizamos un pago electrónico, y no logramos un comprobante del mismo, aunque el dinero transferido fue realmente girado a la entidad. Personalmente nos sucedió dos veces con la recarga del SUCIVE para el pago del peaje en ruta, donde no sabemos a donde fue a parar el dinero, ya que en el peaje no aparece en el DISPLAY correspondiente.

e. "Proporcionar al cliente elementos que le permitan identificar claramente el motivo de una operación no aceptada, salvo en los casos en que se deban respetar requisitos de confidencialidad establecidos legal o reglamentariamente. "

Otra mejora realmente importante. Hoy a todos nos sucede que nos rechazan pagos y no sabemos que sucede, el motivo del rechazo, ante lo cual quedamos en duda si realmente se rechazo, y como proceder luego, emplear otro medio de pago, o volver a intentar, lo que muchas veces nos lleva a duplicar o triplicar pagos inútilmente, con la perdida de ese monto de dinero de nuestros bolsillos.

f. "Informar al cliente sobre los principales riesgos a que está expuesto al utilizar el instrumento electrónico para realizar transacciones financieras, y proporcionarle recomendaciones sobre cómo debe protegerse adecuadamente para mitigar dichos riesgos."

g.  "Informar el procedimiento que deberá seguir el cliente para efectuar la notificación de sustracción, hurto, rapiña o extravío del instrumento electrónico o de alguna de las circunstancias previstas en el literal h) del artículo 366, garantizar la existencia de medios adecuados para realizarla y acreditar que dicha notificación ha sido  efectuada. A estos efectos, el emisor (o la institución por él indicada) proporcionará al usuario un número que identifique su denuncia y señalará la fecha y hora de la misma. Los medios para efectuar la notificación deberán operar todos los días del año, durante las veinticuatro horas. "

l. "Determinar los medios y formas por los cuales la institución se podrá comunicar con el cliente. Deberá indicarle, de ser el caso, que nunca le solicitará que revele sus claves de identificación personal bajo ninguna circunstancia ni por ningún medio."

"El usuario declarará – como mínimo – dos direcciones de contacto (dirección, teléfono, correo electrónico, entre otras) a los efectos de recibir comunicaciones, notificaciones o avisos en relación con el instrumento electrónico, debiendo el emisor establecer medidas que garanticen razonablemente la veracidad de la información proporcionada...."

Para estos puntos f , g  y  l  hoy no existe nada al respecto, ¡BIENVENIDA la nueva norma!

Los numerales h, i, j, k, m y n   no los mencionaremos ni comentaremos aquí, dado su extensión y tecnicismo, pero son requisitos para asegurar registros mínimos y como realizarse las reclamaciones en casos de fallas, y fraudes.

LA DOBLE AUTENTICACION

Con el grado de desarrollo de la denominada "Ingenieria Social",  que mas bien se debería llamar "psicología de la estafa perfecta" o "formulas para el engaño mas rápido y efectivo", la Doble Autenticación se hace imprescindible.  Sobre si tenemos en cuenta que ya hay personas que lo perdieron todo, literalmente quedaron "en la calle", sin nada, porque fueron estafados, robaron sus fondos, sus bienes.

ARTÍCULO 364.1 (AUTENTICACIÓN REFORZADA DE CLIENTES). (NUEVO)
Las medidas de seguridad a que refiere el literal i) del artículo 364 deberán incluir, como mínimo, la aplicación de un doble factor de autenticación para las siguientes operaciones:

a) Transferencias o pagos a terceros realizados desde una cuenta bancaria y transferencias a cuentas propias en otras instituciones.

b) Solicitudes de préstamos que fueran realizadas en forma no presencial.

Para la aplicación del referido doble factor de autenticación se deben combinar al menos dos factores de categorías distintas (conocimiento, posesión e inherencia).

VIGENCIA: Lo dispuesto en el presente artículo regirá a partir del 1° de enero del 2025

REFERENCIAS

Prevención de fraudes y ciberdelito, Octubre 2023 https://www.bcu.gub.uy/Comunicaciones/Jornadas_de_Derecho_BCU/Prevenci%C3%B3n%20de%20fraudes%20y%20ciberdelito-%20Dra.%20Viviana%20Perez%20Benech.pdf