Ponemos en su conocimiento que con fecha 2 de enero de 2025, el Banco Central del Uruguay (el “BCU”) publicó la Circular N°2472 (la “Circular”), a través de la que introdujo modificaciones a la Recopilación de Normas de Regulación y Control del Sistema Financiero (la “RNRCSF”) en relación con las obligaciones de los emisores de instrumentos electrónicos (los “Emisores”), es decir, aquellos que permiten realizar operaciones por medios electrónicos (p.ej., por Internet o por vía telefónica, incluyendo transferencias electrónicas de fondos o información, y tarjetas de crédito y débito).

Son Emisores a los efectos de la RNRCSF los bancos, casas financieras, cooperativas de intermediación financiera, bancos de inversión, instituciones financieras externas, administradoras de grupo de ahorro previo, casas de cambio, empresas administradoras de crédito, entidades otorgantes de crédito, empresas de servicios financieros y empresas administradoras de plataformas para préstamos entre personas.

En particular, la Circular (i) modificó el literal i. del artículo 364 de la RNRCSF, y (ii) incorporó un artículo 364.1 a la RNRCSF, que comentaremos individualmente a continuación.

Asimismo, señalamos que la Circular tiene origen en un proyecto normativo publicado por la Superintendencia de Servicios Financieros del BCU con fecha 23 de agosto de 2024 (el “Proyecto”), al que también haremos referencia, puesto que la Circular no recoge totalmente las disposiciones proyectadas en el mismo.

1. Doble Factor de Autenticación para Solicitudes de Préstamos Realizadas en Forma no Presencial

El literal i. del artículo 364 de la RNRCSF obliga a los Emisores a establecer medidas que permitan garantizar razonablemente la seguridad del sistema en que opera el instrumento, incluyendo metodologías de autenticación según el riesgo de la transacción y niveles de acceso para asegurar que las operaciones sean efectuadas por personas autorizadas.

A dichos efectos, dispone que las transferencias o pagos a terceros realizados desde una cuenta bancaria requerirán como mínimo el doble factor de autenticación (el “DFA”). La Circular amplía el alcance de esta obligación al incluir las solicitudes de préstamos realizadas en forma no presencial dentro de los supuestos que requieren la implementación del DFA.

Señalamos que el Proyecto buscaba incluir también entre las operaciones mediante instrumentos electrónicos para las que se exige el DFA a las transferencias a cuentas propias del usuario en otra institución, disposición que no quedó finalmente comprendida en la Circular. En consecuencia, en materia de transferencias actualmente sólo las transferencias o pagos a terceros desde cuenta bancaria requieren el DFA.

2. Categorías de DFA y Autenticación Reforzada Mediante Firma Electrónica Avanzada

Este artículo lleva por nombre «Autenticación Reforzada de Clientes» y aclara que los casos en que es aplicable el DFA conforme el literal i. del artículo 364 de la RNRCSF, se deben combinar al menos dos factores de categorías distintas: conocimiento (p.ej., una contraseña), posesión (p.ej., un token) e inherencia (p.ej., la biometría).

Asimismo, se admite como mecanismo de autenticación reforzada de clientes para solicitudes de préstamos realizadas de forma no presencial el uso de la firma electrónica avanzada basada en (i) certificados (reconocidos) por prestadores de servicios de certificación acreditados ante la Unidad de Certificación Electrónica (órgano desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento – AGESIC –) en el marco de la Ley N°18.600, de 21 de septiembre de 2009, o (ii) certificados que sean reconocidos como equivalentes cuando hayan sido emitidos por entidades no establecidas en el territorio uruguayo.

Entendemos que el numeral (ii) alude al artículo 24 de la ley mencionada, que admite a los certificados reconocidos emitidos por entidades extranjeras como equivalentes a los nacionales, siempre que exista un convenio internacional vigente o un acuerdo de reconocimiento recíproco con la Unidad de Certificación Electrónica, y que cumplan con los requisitos legales y reglamentarios aplicables.

3. Comentario final sobre el Proyecto

Ponemos de manifiesto que el Proyecto pretendía modificar el literal n. del artículo 364 de la RNRCSF, a efectos de disponer como regla para los Emisores remitir notificaciones a los usuarios vía medios electrónicos cada vez que se procesa una transacción vinculada al instrumento electrónico de su titularidad, sin perjuicio de la posibilidad de brindarle la opción de modificar los parámetros de las notificaciones o decidir no recibirlas.

En la redacción actual del literal anteriormente mencionado, que se mantiene incambiada por la Circular, los Emisores están obligados a ofrecer al usuario la posibilidad de recibir dichas notificaciones.

---

Quedamos a disposición por cualquier consulta o aclaración adicional.