El Banco Central del Uruguay (BCU) emitió la Circular N° 2472, con fecha 2 de enero de 2025, estableciendo nuevas obligaciones para las Instituciones Emisoras de Instrumentos Electrónicos y reforzando los mecanismos de autenticación de clientes. Estas disposiciones, que entrarán en vigor el 1° de marzo de 2025, buscan fortalecer la seguridad y la protección del usuario en las transacciones financieras.
Principales Obligaciones para los Emisores destacadas en el Artículo 364 se encuentran:
a. Informar por escrito al usuario del instrumento electrónico, previo a la celebración del contrato, de sus obligaciones y responsabilidades en el uso del sistema, indicando como mínimo las que sean aplicables entre las enumeradas en los artículos 366 y 367. Dicha comunicación deberá realizarse en un documento distinto al contrato suscrito por las partes, sin perjuicio de ser incluidas también en él.
b. Revelar el número de identificación personal u otra clave únicamente al usuario.
c. Entregar solamente aquellos instrumentos electrónicos solicitados expresamente por el cliente, salvo cuando se trate dela renovación de un instrumento electrónico que ya poseía.
d. Proporcionar al cliente elementos que le permitan comprobar las operaciones realizadas, de los cuales al menos uno deberá ser sin costo para los clientes.
e. Proporcionar al cliente elementos que le permitan identificar claramente el motivo de una operación no aceptada, salvo en los casos en que se deban respetar requisitos de confidencialidad establecidos legal o reglamentariamente.
f. Informar al cliente sobre los principales riesgos a que está expuesto al utilizar el instrumento electrónico para realizar transacciones financieras, y proporcionarle recomendaciones sobre cómo debe protegerse adecuadamente para mitigar dichos riesgos.
g. Informar el procedimiento que deberá seguir el cliente para efectuar la notificación de sustracción, hurto, rapiña o extravío del instrumento electrónico o de alguna de las circunstancias previstas en el literal h) del artículo 366, garantizar la existencia de medios adecuados para realizarla y acreditar que dicha notificación ha sido efectuada. A estos efectos, el emisor (o la institución por él indicada) proporcionará al usuario un número que identifique su denuncia y señalará la fecha y hora de la misma. Los medios para efectuar la notificación deberán operar todos los días del año, durante las veinticuatro horas.
h. Demostrar, en caso de un reclamo del usuario en relación con alguna transacción efectuada, y sin perjuicio de cualquier prueba en contrario que el usuario pueda producir, que la transacción:
– ha sido efectuada de acuerdo con los procedimientos acordados con el cliente.
– ha sido registrada y contabilizada correctamente.
– no se ha visto afectada por un fallo técnico o por cualquier otra anomalía.
– ha sido correctamente autenticada de acuerdo con la metodología establecida para la misma, debiendo además poner a su disposición – independientemente si el instrumento fue utilizado en el país o en el exterior – la información resguardada señalada en el literal i) y cualquier otro elemento que permita demostrar que dicha transacción fue realizada por el cliente o por terceros con conocimiento del cliente.
i. Establecer medidas que permitan garantizar razonablemente la seguridad del sistema en que opera el instrumento, que incluyan metodologías de autenticación asociadas a los riesgos de los distintos tipos de transacciones y niveles de acceso para asegurar que las operaciones realizadas en el mismo sean las efectuadas por las personas autorizadas. Sin perjuicio de ello, las transferencias o pagos a terceros realizados desde una cuenta bancaria y las solicitudes de préstamos que fueran realizadas en forma no presencial requerirán como mínimo un doble factor de autenticación. Asimismo, deberán establecer medidas de monitoreo y control que permitan detectar hechos irregulares vinculados con el uso del instrumento o el sistema en el que opera, incluyendo los cambios e intentos de cambios de clave, número de identificación personal, dirección, teléfono y correo electrónico de contacto, medios establecidos para recibir comunicaciones, entre otros.
j. Velar por el correcto funcionamiento del sistema, y la prestación continua del servicio, en circunstancias normales.
k. Anular del sistema a los instrumentos electrónicos el día en que pierdan validez (por vencimiento o por decisión de las partes conforme a los términos del contrato).
l. Determinar los medios y formas por los cuales la institución se podrá comunicar con el cliente. Deberá indicarle, de ser el caso, que nunca le solicitará que revele sus claves de identificación personal bajo ninguna circunstancia ni por ningún medio.
El usuario podrá modificar los parámetros de estas notificaciones o decidir no recibirlas. En este último caso, el emisor deberá guardar la constancia de la decisión informada del cliente de no recibir dichas notificaciones por medios que permitan su verificación, conforme a lo dispuesto por el artículo 496.
Autenticación Reforzada:
El nuevo Artículo 364.1 establece que el doble factor de autenticación deberá combinar al menos dos categorías distintas:
– Conocimiento (ej. contraseña)
– Posesión (ej. token o dispositivo móvil)
– Inherencia (ej. biometría)
Asimismo, se admitirá como mecanismo de autenticación reforzada de clientes para las solicitudes de préstamos que fueran realizadas en forma no presencial, la firma electrónica avanzada brindada por prestadores en el marco de la Ley N° 18.600 de 21 de setiembre de 2009 y sus modificativas y disposiciones reglamentarias.
Entrada en Vigencia:
Estas nuevas normativas comenzarán a regir a partir del 1° de marzo de 2025, otorgando tiempo a las Instituciones Financieras para su adecuada implementación.
Fuente: Página web BCU.