OPERACIONES CONTACTLESS O SIN CONTACTO, VOUCHER, MONTO MÁXIMO PERMITIDO
Concepto 2017096637-002 del 22 de septiembre de 2017
Síntesis: Las operaciones contactless o sin contacto no requieren voucher por cuanto el monto máximo permitido para estas operaciones monetarias está definido hasta 2 SMDLV de 2017(…). Las operaciones sin contacto están concebidas para realizar pagos rápidos, generalmente donde se deben atender muchos clientes en poco tiempo, razón por la cual la impresión del voucher y su firma no resultan procedentes. Ahora bien, en el numeral 3.2.4 del Capítulo I, Título III de la Parte I de la Circular Básica Jurídica (C.E 029 de 2014), se establecen algunas reglas que deben cumplir las entidades vigiladas respecto del suministro de información al consumidor financiero, entre las cuales se dispone que para las operaciones que se realicen hasta 2 SMDLV, como son las que cursan por contactless (sin contacto), se ejecuten sin la necesidad de generar soportes impresos.
«(…) correos electrónicos mediante los cuales formula varias preguntas relacionadas con las operaciones contactless y la tecnología NFC y su regulación en Colombia, las cuales serán atendidas en el orden propuesto: Veamos:
- “¿Cuál es la normatividad que regula las operaciones “contactless” (sic) o sin contacto en colombia? ¿en qué norma se encuentra sustentada dicha tecnología? (…)”
En primer lugar, es preciso señalar que las comunicaciones y medios de pago basados en tecnologías de proximidad o también llamadas sin contacto están surgiendo en todo el mundo, siendo una de ellas la basada en la tecnología de proximidad NFC (por sus siglas en inglés Near Field Communication).
Estas operaciones contacless o sin contacto, pueden ser realizadas, entre otros, a través de tarjetas débito y crédito que cuentan con la antena de radiofrecuencia y el chip incorporado a la tarjeta respectiva, que permite pagar una transacción acercando el dispositivo a un lector de la correspondiente terminal, no siendo necesario, por ende leerlo de forma física a través de una ranura, servicio que es ofrecido por algunos establecimientos bancarios, de acuerdo con los convenios que éstos establezcan con las franquicias.
En torno a su inquietud, es preciso indicar que en las instrucciones que hasta la fecha ha expedido esta Superintendencia a las entidades objeto de vigilancia, no se ha impartido ninguna en particular sobre la implementación de las operaciones contactless y la tecnología NFC.
Sin perjuicio de lo anterior, es importante señalar que esta Superintendencia ha impartido a sus vigiladas instrucciones en materia de seguridad y calidad de la información, así como las reglas relativas a la administración del riesgo operativo SARO, entre otras, que son de obligatorio cumplimiento por parte de las entidades vigiladas por esta Superintendencia objeto de su aplicación, aspectos regulados en la Circular Externa 029 de 2014 (Circular Básica Jurídica) y en la Circular Externa 100 de 1995 de esta Superintendencia (Circular Básica Contable y Financiera) y que tienen plena aplicación frente a los servicios de operaciones contactless implementados por las entidades vigiladas, instructivos que están disponibles para el público y pueden ser consultadas a través de nuestra página Web: www.superfinanciera.gov.co, siguiendo esta ruta: Normativa / Normativa General.
En efecto, la Circular Externa 029 de 2014, es la instrucción más reciente, mediante la cual se realizó la reexpedición de la Circular Básica Jurídica, la cual incorporó en el numeral 2 del Capítulo I, Título II de la Parte I, en materia de seguridad y calidad la precitada Circular establece una serie de requerimientos de carácter general previstos en el numeral 2.3.3. del citado Capítulo, Título y Parte; y otras de carácter particular para cada uno de los canales de distribución de servicios financieros, dentro de los cuales destacamos los requerimientos que se exigen para los Datáfonos[1] previstos en el numeral 2.3.4.5, así como las Obligaciones específicas para tarjetas débito y crédito contemplados en el numeral 2.3.4.12.
- “Porqué (sic) no requiere voucher y porque son hasta 2 smdlv?” y “he encontrado muy poca información y toda coincide en que no requiere la firma de un vouhcer (sic) y que son operaciones hasta por 2 salarios diarios legales sin embargo dicha información no se encuentra sustentada.”
Las operaciones contactless o sin contacto no requieren voucher por cuanto el monto máximo permitido para estas operaciones monetarias está definido hasta 2 SMDLV de 2017, esto es $49.180. Las operaciones sin contacto están concebidas para realizar pagos rápidos, generalmente donde se deben atender muchos clientes en poco tiempo, razón por la cual la impresión del voucher y su firma no resultan procedentes.
Ahora bien, en el numeral 3.2.4 del Capítulo I, Título III de la Parte I de la Circular Básica Jurídica (C.E 029 de 2014), se establecen algunas reglas que deben cumplir las entidades vigiladas respecto del suministro de información al consumidor financiero, entre las cuales se dispone que para las operaciones que se realicen hasta 2 SMDLV, como son las que cursan por contactless (sin contacto), se ejecuten sin la necesidad de generar soportes impresos, así:.
“3.2.4. A través de los diversos canales de prestación de servicios
La información que se suministre a través de los distintos canales de prestación u ofrecimiento de los productos o servicios de las entidades vigiladas debe cumplir con las siguientes condiciones:
“(…)
3.2.4.6. Generar un soporte al momento de la realización de cada operación monetaria. Dicho soporte debe contener al menos la siguiente información: fecha, hora (hora y minuto), código del dispositivo (para Internet: la dirección IP desde la cual se hizo la misma; para dispositivos móviles: el número desde el cual se hizo la conexión), número de la operación, costo para el cliente o usuario, tipo de operación, entidades involucradas (si a ello hay lugar) y número de las cuentas que afectan. Se deben ocultar los números de las cuentas con excepción de los últimos 4 caracteres, salvo cuando se trate de la cuenta que recibe una transferencia. Cuando no se pueda generar el soporte, se debe advertir previamente al cliente o usuario de esta situación. Para el caso de IVR y dispositivos móviles se entenderá cumplido el requisito establecido en este numeral cuando se informe el número de la operación. Tratándose de pagos inferiores a 2 salarios mínimos legales diarios vigentes SMLDV, no será obligatoria la generación del soporte al que se refiere el presente numeral.” (la negrilla y el resaltado son nuestros)
El límite del monto de 2 SMMLV previsto en el instructivo antes transcrito, está dado por el análisis de riesgo que en su momento esta Superintendencia realizó para este tipo de operaciones.
- “Qué es tecnología NFC y como se regula?” y “asimismo, se dice que funciona bajo la tecnología NFC pero tampoco se encuentra información sobre la regulación de esta tecnología y si la misma aplica o no en colombia.”
La tecnología NFC (Near Field Communication) o comunicación de campo cercano es una tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia que permite el intercambio de datos entre dispositivos.
Tal y como se indica en el documento “ INTERCAMBIO DE INFORMACIÓN Y PAGOS A TRAVÉS DE DISPOSITIVOS MÓVILES CON TECNOLOGÍA NFC”[2], “NFC (Near Field Communication): es una tecnología abierta pensada para la identificación, recogida e intercambio de información, pero sobre todo para realizar pagos. Desde el inicio para teléfonos y dispositivos móviles y su enfoque, más que para la transmisión de grandes cantidades de datos, es para la comunicación instantánea. Su punto fuerte está por lo tanto en la velocidad de comunicación y en el reducido alcance que exige (se mueve en un rango máximo de 20 cm y para que sea óptima se necesitan 4 cm), que hace que los datos que se transmiten sean casi imposibles de hackear (Rodríguez, 2013)”. Para mayor información puede consultar este documento en el siguiente link:
(…)
(…).»
[1] Los requerimientos señalados en el numeral 2.3.4.5. Pos (incluye PIN PAD) del Capítulo I, Título II de la Parte I de la Circular Externa 029 de 2014 –Circular Básica Jurídica -, aplica para los datafonos.
[2] Documento de investigación desarrollado para el Centro de Innovación en Gobierno Electrónico del Ministerio TIC, en el marco del programa Talento Digital, a partir del estudio realizado en la Escuela de Organización Industrial para el grado de Master Executive en Gestión de Telecomunicaciones y Tecnologías de la Información.