En respuesta a la creciente necesidad de proteger a los usuarios del sistema financiero frente a los fraudes digitales, la Comisión para el Mercado Financiero (CMF) lanzó una propuesta normativa que busca elevar los estándares de seguridad en los medios de pago electrónicos en Chile. Esta iniciativa se enmarca en las facultades otorgadas por la Ley de Fraudes y responde a la transformación digital que ha intensificado el uso de canales electrónicos para transacciones financieras.
El proyecto, actualmente en consulta pública hasta el 5 de mayo de 2025, establece exigencias concretas para bancos, emisores de tarjetas, cooperativas de ahorro y crédito, así como para las sociedades de apoyo al giro que estén sujetas a fiscalización por parte de la CMF.
La propuesta busca establecer una infraestructura de seguridad más robusta y homogénea para proteger tanto a instituciones como a consumidores, especialmente en un contexto donde los delitos informáticos y el phishing se han vuelto cada vez más sofisticados.
La digitalización del sistema financiero ha traído consigo múltiples beneficios, como mayor acceso, rapidez y comodidad para los usuarios. Sin embargo, también ha expuesto a los clientes a nuevos riesgos, como el robo de datos, suplantaciones de identidad y transacciones no autorizadas. En este contexto, la Ley de Fraudes y su modificación reciente mandataron a la CMF a establecer criterios técnicos y operativos para mitigar el fraude financiero, en especial en los pagos digitales.
Esta propuesta no solo responde a ese mandato legal, sino también a la necesidad urgente de contar con una regulación clara y estandarizada sobre autenticación y seguridad, algo que hoy varía significativamente entre instituciones.
Principales objetivos de la normativa propuesta por la CMF
Según explicó la entidad reguladora, el propósito central de la normativa es garantizar niveles mínimos de seguridad, autenticación y trazabilidad en las transacciones electrónicas. Los tres pilares fundamentales que busca abordar la CMF son:
- Seguridad en la identificación del cliente: Evitar suplantaciones de identidad.
- Trazabilidad de las transacciones: Permitir el seguimiento de operaciones sospechosas.
- Protección proactiva frente a fraudes: Implementar mecanismos que prevengan conductas atípicas antes de que generen perjuicio.
Una de las principales herramientas para lograr esto será la autenticación reforzada de clientes, inspirada en estándares internacionales como la Directiva PSD2 de la Unión Europea.
La autenticación reforzada —también conocida como ARC— es un sistema que exige al menos dos factores de verificación independientes para validar la identidad de un usuario al momento de realizar ciertas operaciones financieras. Este mecanismo se basa en tres tipos de factores:
- Conocimiento: algo que el cliente sabe (por ejemplo, una contraseña o PIN).
- Posesión: algo que el cliente tiene (como un teléfono, token o tarjeta).
- Inherencia: algo que el cliente es (biometría como huella digital, reconocimiento facial o iris).
Este modelo de seguridad, ampliamente adoptado a nivel internacional, tiene como fin evitar que el acceso a cuentas o movimientos de dinero pueda ser realizado por terceros, incluso si estos logran obtener una contraseña o acceso al dispositivo.
Vea también: SMU invertirá USD 600 millones en su plan de desarrollo a cinco años
¿Cuándo será obligatorio aplicar autenticación reforzada?
La propuesta normativa de la CMF establece claramente los casos en los que la autenticación reforzada será obligatoria. Estas situaciones son consideradas de mayor riesgo desde el punto de vista de la seguridad informática y de protección del cliente:
- Ingreso a plataformas digitales como banca online o aplicaciones móviles.
- Modificación de credenciales o datos personales del usuario.
- Adición de nuevos destinatarios frecuentes o beneficiarios de pagos.
- Movimientos de fondos o contratación de productos financieros.
- Operaciones inusuales o atípicas en relación al comportamiento del usuario.
Estas medidas apuntan a cubrir los momentos de mayor exposición para el cliente, donde la suplantación de identidad o acceso indebido puede generar fraudes significativos.
¿Existen excepciones a la autenticación reforzada?
Sí. La normativa contempla algunos casos específicos donde la aplicación de autenticación reforzada no será obligatoria, en atención al bajo riesgo o por razones prácticas:
- Pagos de bajo monto, definidos como operaciones menores a $20.000 y con un acumulado diario inferior a $80.000.
- Pagos recurrentes, que ya han sido validados por el cliente en instancias previas.
- Transacciones en terminales desatendidos, como máquinas expendedoras o parquímetros.
- Transferencias entre cuentas del mismo titular.
Estas excepciones están alineadas con lo que proponen otros marcos regulatorios internacionales, que buscan un equilibrio entre seguridad y experiencia de usuario.
Además de las exigencias sobre autenticación, la CMF también propone un conjunto de requisitos técnicos para los emisores de medios de pago, con el objetivo de fortalecer la infraestructura tecnológica y operativa del sistema financiero.
Entre las principales exigencias se incluyen:
- Uso de sistemas de cifrado robustos para proteger la integridad y confidencialidad de las transacciones.
- Implementación de registros trazables que permitan auditar operaciones.
- Monitoreo constante de patrones de comportamiento, para detectar actividades inusuales.
- Control riguroso sobre los dispositivos de autenticación, como celulares o tokens.
Un punto clave que destaca el proyecto es que los factores de autenticación no deben depender del mismo canal. Es decir, si se utiliza un teléfono para recibir un código, no debería ser el mismo dispositivo donde se ejecuta la biometría. Esta separación minimiza el riesgo de vulneraciones simultáneas.
La normativa también aborda cómo deben actuar las instituciones frente a intentos sospechosos de acceso. Entre las medidas obligatorias, se exige:
- Caducidad automática de los códigos de autenticación en caso de múltiples intentos fallidos.
- Bloqueo temporal o permanente si se detectan comportamientos anómalos.
- Validación rigurosa de los dispositivos confiables, que deberán ser previamente registrados por el cliente a través de un proceso que acredite su propiedad y uso exclusivo.
Estas acciones buscan prevenir accesos no autorizados, incluso si un tercero logra obtener datos del cliente mediante técnicas de ingeniería social o malware.
Uno de los aspectos más relevantes de esta propuesta es que las entidades financieras serán responsables por los perjuicios causados a los usuarios si no cumplen con las exigencias establecidas en la norma. Esto representa un cambio significativo, ya que traslada el peso de la prueba al emisor del medio de pago.
En palabras de la propia CMF: “Los emisores serán responsables de los perjuicios causados a los usuarios por el incumplimiento de los estándares de seguridad, registro y autenticación establecidos en la presente norma”.
Esto implicará que los bancos y otras instituciones deberán redoblar esfuerzos en capacitación, inversión tecnológica y supervisión interna para evitar sanciones o indemnizaciones.
¿Qué impacto tendrá esta norma en el sistema financiero?
La CMF reconoce que la implementación de estas nuevas exigencias implicará costos operativos importantes para las instituciones reguladas. Sin embargo, sostiene que estos costos son compensados por los beneficios en términos de seguridad, confianza y reputación del sistema.
Entre los beneficios esperados destacan:
- Mayor confianza del usuario final en los medios de pago digitales.
- Reducción del fraude financiero y las pérdidas asociadas.
- Disminución de reclamos por operaciones no reconocidas.
- Mejora en la relación entre las entidades financieras y sus clientes.
Asimismo, la existencia de estándares claros y públicos puede ayudar a mitigar fenómenos como el autofraude —es decir, cuando los clientes denuncian operaciones que sí realizaron para obtener devoluciones—, ya que se establece una línea base de seguridad que debe ser respetada por todas las partes.
La CMF ha abierto un proceso de consulta pública que estará disponible hasta el 5 de mayo de 2025. Durante este período, tanto las instituciones financieras como organizaciones de consumidores y público general podrán enviar observaciones o propuestas sobre la normativa.
Este proceso es parte del enfoque participativo que busca el regulador para garantizar que la norma refleje la realidad operativa del sistema financiero, sin perder de vista la protección del usuario final.
Una vez finalizado el período de consulta, se analizarán los comentarios recibidos y la CMF emitirá una versión definitiva de la norma, junto con un cronograma de implementación gradual.

