Concepto 2016039922-003 del 19 de abril de 2016

Síntesis: En la Circular Externa 029 de 2014-Circular Básica Jurídica.no se establece como requisito esencial para realizar transacciones con tarjeta débito la presentación de la cédula de ciudadanía, en la medida en que para la utilización de dicho instrumento siempre va acompañado del deber de digitar la clave o PIN que permite verificar los datos del titular de la tarjeta débito; por el contrario, frente a las operaciones monetarias realizadas con tarjetas crédito (entre los cuales se encuentran los pagos efectuados en establecimientos de comercio), y que no exigen clave o PIN para su perfeccionamiento, la Circular precitada sí plantea el deber que  “(…) en los convenios que se suscriben con los establecimientos de comercio la obligación de verificar la firma y exigir la presentación del documento de identidad del cliente.

«(…)  correo electrónico radicado en esta Superintendencia bajo el número arriba indicado el pasado 15 de abril, mediante el cual solicita información sobre la ley que regula la obligatoriedad o no de solicitar el documento de identidad a la persona que va a realizar el pago en un establecimiento comercial con tarjeta débito o crédito, para lo cual plantea cuatro situaciones: i) “tarjeta de débito (sic)  sin solicitud de clave o código PIN”, ii) tarjeta de débito (sic) con solicitud de clave o código PIN, iii) tarjeta de crédito (sic) sin solicitud de clave o código PIN; y iv) tarjeta de crédito (sic) con solicitud de clave o código PIN”.

Sobre el particular, proceden las siguientes consideraciones:

  1. En primer lugar, es preciso indicar que frente al tema de su consulta, no existe una norma que particularmente regule sobre la obligatoriedad o no de exigir la presentación de la cédula de ciudadanía, como prerrequisito para realizar pagos en establecimientos de comercio con tarjetas débito y/o crédito.
  • Sin perjuicio de lo anterior, es preciso indicar que esta Superintendencia, en desarrollo de sus facultades legales, ha expedido varios instructivos, que propenden por la seguridad y calidad para la realización de operaciones, entre los cuales se encuentra la Circular Externa 052 de 2007, modificada por las Circulares Externas 022 de 2010 y 042 de 2012, incorporadas en el Capítulo XII, Título Primero de la Circular Básica Jurídica (Circular Externa 007 de 1996), y la Circular Externa 029 de 2014, mediante la cual se realizó la reexpedición de la Circular Básica Jurídica. Los criterios fijados en estos instructivos, son de obligatorio cumplimiento. 
  • La Circular Externa 029 del 3 de octubre de 2014, es la instrucción más reciente,  que incorporó en los numerales 1.1. y 1.3 del Capítulo I, Título II de la Parte I, como canales e instrumentos de prestación de servicios financieros a las Oficinas, Cajeros Automáticos (ATM), Receptores de cheques, Receptores de dinero en efectivo, POS (incluye PIN Pad), Sistemas de Audio Respuesta (IVR), Centro de atención telefónica (Call Center, Contact Center), Sistemas de acceso remoto para clientes (RAS), Internet y Banca móvil.

Y estableció, que “Como complemento a los canales señalados, se reconocen dentro de los instrumentos adecuados en la prestación de estos servicios las tarjetas, debito, crédito, los móviles y las órdenes electrónicas para la transferencia de fondos, como los elementos a través de los cuales se imparten las órdenes que materializan las operaciones a través de los canales de distribución.” (la negrilla es nuestra).

  • Por su parte, de acuerdo con el subnumeral 2.2. del precitado Capítulo I, Título II de la Parte I de la referida Circular Básica Jurídica, las entidades vigiladas deben incluir en sus políticas y procedimientos relativos a la administración de la información, definiciones, criterios y requerimientos mínimos relativos a seguridad y calidad de la información que se maneja a través de canales e instrumentos para la realización de operaciones, entre otras la relacionada con la Autenticación, que consiste en el “Conjunto de técnicas y procedimientos utilizados para verificar la identidad de un cliente, entidad o usuario. Los factores de autenticación son: algo que se sabe, algo que se tiene, algo que se es” (se resalta).
  • Ahora, de acuerdo con la definición que trae el subnumeral 2.2.6 del mismo Título y Capítulo de la citada Circular, se entienden como mecanismos fuertes de autenticación, los siguientes: Biometría, Certificados de firma digital de acuerdo a lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios, OTP (One Time Password), en combinación con un segundo factor de autenticación, Tarjetas que cumplan el estándar EMV, en combinación con un segundo factor de autenticación y el Registro y validación de algunas características de los computadores o equipos móviles desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación.
  • En virtud de tales mecanismos de autenticación se obtiene la información contenida en la tarjeta débito y la clave que permite verificar los datos del titular de la tarjeta débito. Por lo anterior, no constituye un requisito esencial para realizar transacciones con tarjeta débito la presentación de la cédula de ciudadanía.
  • Frente a las Obligaciones específicas para tarjetas débito y crédito, previstas en el numeral  2.3.4.12 de la Parte I, Título II del Capítulo I de la precitada Circular, se dispone lo siguiente:

2.3.4.12.1.  Establecer y documentar los procedimientos, controles y medidas de seguridad necesarias para la emisión, transporte, recepción, custodia, entrega, devolución y destrucción de las tarjetas. Se debe estipular el tiempo máximo de permanencia de las tarjetas en cada una de estas etapas.

2.3.4.12.2.  Cifrar la información de los clientes que sea remitida a los proveedores y fabricantes de tarjetas, para mantener la confidencialidad de la misma.

2.3.4.12.3.  Velar porque los centros de operación en donde se realizan procesos tales como: realce, estampado, grabado y magnetización de las tarjetas, entre otros, así como de la impresión del sobreflex, mantengan procedimientos, controles y medidas de seguridad orientadas a evitar que la información relacionada pueda ser copiada, modificada o utilizada con fines diferentes a los de la fabricación de la misma.

2.3.4.12.4.  Velar porque en los centros donde se realicen los procesos citados en el numeral anterior, apliquen procedimientos y controles que garanticen la destrucción de aquellas tarjetas que no superen las pruebas de calidad establecidas para su elaboración, así como la información de los clientes utilizada durante el proceso. Iguales medidas se deberán aplicar a los sobreflex.

2.3.4.12.5.  Establecer los procedimientos, controles y medidas de seguridad necesarias para la creación, asignación y entrega de las claves a los clientes.

2.3.4.12.6.  Cuando la clave (PIN) asociada a una tarjeta débito haya sido asignada por la entidad vigilada, esta deberá ser cambiada por el cliente antes de realizar su primera operación.

2.3.4.12.7   Ofrecer a sus clientes mecanismos que brinden la posibilidad inmediata de cambiar la clave de la tarjeta débito en el momento que éstos lo consideren necesario.

2.3.4.12.8.  Establecer en los convenios que se suscriben con los establecimientos de comercio la obligación de verificar la firma y exigir la presentación del documento de identidad del cliente para las operaciones monetarias que se realicen con tarjeta de crédito.  (la negrilla es nuestra)

2.3.4.12.9.  Emitir tarjetas personalizadas que contengan al menos la siguiente información: nombre del cliente, indicación de si es crédito o débito, nombre de la entidad emisora, fecha de expiración, espacio para la firma del cliente y número telefónico de atención al cliente.

2.3.4.12.10.            Al momento de la entrega de la tarjeta a los clientes, ésta deberá estar inactiva. Las entidades deben definir un procedimiento para su respectiva activación, el cual contemple, al menos, dos de tres factores de autenticación. En cualquier caso, se deben entregar las tarjetas exclusivamente al cliente o a quien este autorice.

2.3.4.12.11 Entregar a sus clientes tarjetas débito y/o crédito que manejen internamente mecanismos fuertes de autenticación, siempre que los cupos aprobados superen 2 SMMLV. Dichas tarjetas deben servir indistintamente para realizar operaciones en cajeros automáticos (ATM) y en puntos de pago (POS).

Sin perjuicio de otras medidas de seguridad, los mecanismos fuertes de autenticación no son obligatorios en tarjetas débito asociadas a productos utilizados para canalizar recursos provenientes de programas de ayuda y/o subsidios otorgados por el Estado Colombiano siempre que estos no superen dos (2) SMMLV.

  • Nótese, que si bien los establecimientos de comercio no son vigilados por este Organismo de Control y Vigilancia, la Superintendencia Financiera si ha emitido una instrucción (numeral 2.3.4.12.8., atrás citado), para que se establezca en los convenios que se suscriben entre los bancos emisores de las tarjetas y el comercio, la exigencia de verificar la firma y requerir la presentación de la cédula frente a las compras (operaciones monetarias) que se realizan con tarjeta de crédito.

Sin embargo, los establecimientos comerciales podrán implementar los mecanismos y controles internos adicionales a los anteriores, que consideren necesarios para efectos de conferir una mayor seguridad en las transacciones que realicen con este instrumento de prestación de servicios financieros, situación que bien puede obedecer a exigencias derivadas de las políticas de seguridad impuestas por el mismo banco adquirente con quien tiene vínculos comerciales el respectivo establecimiento de comercio, o en criterios de valoración de riesgo propios.

  • Finalmente, es preciso indicar que cualquier inquietud o reclamo relacionado con los Establecimientos de Comercio, deberá presentarlo ante la Superintendencia de Industria y Comercio, por ser de su competencia.

En conclusión, en nuestro instructivo no se establece como requisito esencial para realizar transacciones con tarjeta débito la presentación de la cédula de ciudadanía, en la medida en que para la utilización de dicho instrumento siempre va acompañado del deber de digitar la clave o PIN que permite verificar los datos del titular de la tarjeta débito; por el contrario, frente a las operaciones monetarias realizadas con tarjetas crédito (entre los cuales se encuentran los pagos efectuados en establecimientos de comercio), y que no exigen clave o PIN para su perfeccionamiento, la Circular Básica Jurídica precitada sí plantea el deber que  “(…) en los convenios que se suscriben con los establecimientos de comercio la obligación de verificar la firma y exigir la presentación del documento de identidad del cliente (…)”.

(…).»

Abrir chat
Hola
¿En qué podemos ayudarte?
Pago en línea