Desde este 1.º de enero del 2024, todos los datáfonos en Costa Rica deben estar actualizados para permitir a los clientes ingresar el PIN de sus tarjetas en compras superiores a ¢50.000. En caso contrario y de comprobarse un fraude, ahora los comercios están obligados a responder por el monto afectado, según la normativa del Banco Central de Costa Rica (BCCR), vigente desde diciembre.
La responsabilidad de que el comercio afiliado asuma el costo reclamado por el cliente, una vez confirmado mediante un procedimiento definido, fue establecida en una reforma del Reglamento del Sistema de Tarjetas de Pago, vigente desde el 19 de diciembre pasado.
En Costa Rica, el Banco Central estima que hay alrededor de 190.000 datáfonos activos, cifra que podría haberse reducido tras la actualización de los sistemas para permitir transacciones de todas las tarjetas en un mismo dispositivo, independientemente de la entidad financiera emisora. El ente regulador está actualizando el inventario, según confirmó Carlos Melegatti, director de la División de Sistemas de Pago.
Melegatti explicó que los comercios que contraten servicios de adquirencia que no permitan la autenticación reforzada del PIN, o que fragmenten un pago de alto valor en varios pagos deberán asumir el costo del fraude reclamado por el cliente.
La solicitud del PIN (Personal Identification Number), el mismo código de cuatro dígitos que se utiliza en cajeros automáticos para transacciones como el retiro de efectivo, puede modificarse sin costo en los canales proporcionados por cada entidad financiera.
La normativa establece la obligatoriedad del adquirente (entidades financieras) de actualizar las terminales punto de venta (POS por sus siglas en inglés) para que el cliente pueda autenticarse en pagos presenciales de mediante la digitación de un PIN. Melegatti aclaró que no basta con que la tarjeta tenga habilitada la funcionalidad de PIN, sino que el datáfono también debe estar configurado para ello.
Melegatti indicó que la autenticación del PIN que ahora se requiere en compras superiores a ¢50.000, es una medida para minimizar los riesgos de fraude y garantizar la seguridad en las transacciones ante pérdida o robo de las tarjetas.
La responsabilidad para el comercio
El funcionario explicó que la junta directiva del BCCR incluyó en el reglamento la responsabilidad de los comercios, ya que son quienes seleccionan el uso del datáfono de una determinada entidad financiera. “Queremos que el comercio seleccione aquellos datáfonos que estén preparados para solicitar el PIN, que el banco haya hecho la tarea de preparar su infraestructura”, indicó Melegatti.
Por otro lado, el vocero explicó que puede darse el caso de que el datáfono ubicado en el comercio ya esté actualizado para solicitar el PIN, pero se ha comprobado casos en los que cajeros de los comercios indican al consumidor que, al no recordar el número clave, pueden dividir el monto de la transacción superior a ¢50.000 en varias de menor cuantía, pasando por alto la medida de autenticación establecida.
Alonso Elizondo, director ejecutivo de la Cámara de Comercio de Costa Rica (CCCR), dijo que durante la consulta pública en la reforma del reglamento, reclamaron al Banco Central por estar endosando a los comercios una responsabilidad que no les corresponde, ya que solo se encargan de contratar los datáfonos de las entidades financieras.
“Entendemos que nos están utilizando a los comerciantes como mecanismo de presión para que los adquirentes (entidades financieras) migren todos al tema del PIN”, señaló Elizondo, aunque afirmó que serán respetuosos de la normativa vigente. Aclaró que, en la práctica, para evitar el riesgo, los comercios solo utilizarán datáfonos que requieran el PIN de autenticación.
Elizondo dijo desconocer la cantidad de datáfonos que están pendientes de actualizarse pero consideró que era una cantidad “mínima”.
Las terminales que no se actualizaron al 31 de diciembre del año continuarán operando normalmente, es decir, a pesar de que la tarjeta de pago tenga habilitada la funcionalidad de PIN, el datáfono no le solicitará la digitación del número al cliente y las personas seguirán usando los métodos de autenticación tradicionales, como mostrar el documento de identidad y firmar el correspondiente voucher en el comercio.
Aquí Melegatti indicó que en caso de presentarse un fraude por la no utilización del PIN, el reglamento especifica también la responsabilidad del proveedor del servicio ante tal situación.
El Banco Central indicó que el valor de ¢50.000 se ajustó en diciembre del 2022 a solicitud de los bancos emisores de tarjetas y entró en vigencia desde el pasado 12 de febrero del 2023.
Melegatti señaló que si alguna entidad financiera presentó un incumplimiento “importante” en la cantidad de datáfonos actualizados al 31 de diciembre, el caso será presentado ante la Junta Directiva del BCCR, y se determinará la sanción específica según la normativa vigente.
La actualización
Sobre la actualización de los datáfonos, el Banco Nacional (BN), por medio de la subgerencia General de Operaciones, indicó, a finales de diciembre, que realizará el proceso de implementación masiva en los primeros meses del 2024 y prevé concluirlo en el primer semestre. La entidad indicó que tiene 57.000 dispositivos en comercios pero no respondió sobre el porcentaje actualizado.
Respecto a la causa del incumplimiento al plazo establecido por el BCCR, el BN respondió que se debió a elementos técnicos y que se priorizó la implementación de billeteras electrónicas con pago desde dispositivos como celulares y relojes digitales, con los cuales no se requiere digitar el PIN. La entidad argumentó, también, por medio de la oficina de prensa, que se han dedicado a la implementación del pago electrónico en el transporte público.
Por su parte, el Banco de Costa Rica (BCR) informó de que tiene instalados alrededor de 23.000 datáfonos y el proceso de actualización remota del 100% de los dispositivos se realizó al finalizar diciembre. La entidad indicó que las transacciones que se paguen con las billeteras electrónicas: Beep, Apple Pay y Google Pay no requerirán digitar el PIN, ya que utilizan la seguridad de los dispositivos como mecanismos de autenticación.
En tanto, Laura Moreno, vicepresidenta de Relaciones Corporativas, Mercadeo y Sostenibilidad de BAC, indicó que la actualización del software se encuentra al 95%, y las terminales que faltan son únicamente las que los comercios utilizan como respaldo en caso de fallas en la operación principal. Confirmó que completarán el proceso el 31 de enero.
El Banco Popular (BP), por medio de la Oficina de Comunicación, indicó que la entidad no cuenta con el servicio de datáfonos, por lo que se enfocan en la actualización de las tarjetas para que cuenten con la tecnología y lineamientos necesarios para cumplir con la nueva medida.