Los usuarios de tarjetas de crédito y/o débito no serán responsables de ninguna pérdida por las operaciones que se hayan realizado cuando sus tarjetas hayan sido objeto de clonación o se haya producido la suplantación del usuario. Tampoco cuando se hayan manipulado los cajeros automáticos o los ambientes en que estos operan, o tales operaciones se realizaron luego de la cancelación de la tarjeta o cuando esta haya expirado. Así lo ha dispuesto el nuevo Reglamento de Tarjetas de Crédito y Débito, aprobado por la Resolución SBS N° 6523-2013.

Asimismo los usuarios no responderán en caso de que las operaciones hayan sido realizadas luego de que la empresa fuera notificada del extravío, sustracción, robo, hurto o uso no autorizado de la tarjeta, o de la información que contiene; así como por el funcionamiento defectuoso de los canales o sistemas puestos a disposición de los usuarios por las empresas para efectuar operaciones. No obstante, para que los usuarios asuman los gastos realizados en los mencionados supuestos, la empresa deberá demostrar que ellos incurrieron en alguna responsabilidad. 

El nuevo reglamento busca reforzar las actuales medidas sobre expedición, administración y seguridad en el uso de tarjetas de crédito y débito. En tal sentido, dispone que tales tarjetas deban contar con un circuito integrado o chip que permita almacenar y procesar información del usuario y sus operaciones, cumpliendo estándares internacionales de interoperabilidad para el uso y verificación de las tarjetas así como para la autenticación de pagos.  Así, a partir del 31 de diciembre de 2014, todas las nuevas tarjetas de débito y crédito deberán ser emitidas con chip; y las empresas del sistema financiero autorizadas a expedir y administrar tarjetas de crédito y débito, a partir de esa fecha, deberán permitir a los usuarios cambiar sus tarjetas con banda magnética por tarjetas con chip.

En cuanto a las medidas de seguridad relativas a los usuarios, el nuevo reglamento establece que las empresas deberán adoptar como mínimo las siguientes precauciones: i) entregar la tarjeta y, en caso corresponda, las tarjetas adicionales al titular, excepto cuando este haya instruido en forma expresa que se entreguen a una persona distinta, previa verificación de su identidad y dejando constancia de su recepción; ii) para las operaciones de disposición o retiro de efectivo, compras y otras operaciones que la empresa identifique con riesgo de fraude en perjuicio de los usuarios, deberá otorgar a estos la opción de habilitar un servicio de notificaciones que les informe de las operaciones realizadas con sus tarjetas, inmediatamente después de ser registradas por la empresa, mediante mensajes de texto a un correo electrónico y/o un teléfono móvil, entre otros mecanismos que pueden ser pactados con los usuarios; entre otras. 

El nuevo reglamento también prevé que las empresas deberán contar con sistemas de monitoreo de operaciones que tengan como objetivo detectar aquellas que no corresponden al comportamiento habitual de consumo del usuario e identificar patrones de fraude mediante el análisis sistemático de la información histórica de las operaciones. Asimismo, se establece que las empresas deberán contar con procedimientos para el seguimiento de operaciones que puedan corresponder a patrones de fraude, los cuales deben incluir por lo menos: i) mecanismos para la comunicación inmediata al usuario sobre posibles fraudes; y, ii) acciones para proceder con el bloqueo temporal o definitivo de la tarjeta, en caso sea necesario. 

Finalmente, debe precisarse que también se establecen los plazos máximos de adecuación para que las empresas se adapten a las disposiciones de este nuevo reglamento, que entrará en vigencia el 1 de abril de 2014. Asimismo, en esa misma fecha quedará derogado el Reglamento de Tarjetas de Crédito, aprobado por Resolución SBS N° 264-2008, así como el artículo 32 del Reglamento de Transparencia de Información y Disposiciones Aplicables a la Contratación con Usuarios del Sistema Financiero, aprobado por la Resolución SBS N° 1765-2005.