El 16 de julio del corriente año, el Banco Central del Uruguay (“BCU”) puso a disposición un proyecto normativo que introduce modificaciones a la Recopilación de Normas de Regulación y Control del Sistema Financiero (“RNRCSF”).
Dicho proyecto crea nuevas obligaciones para los emisores de instrumentos electrónicos y modifica algunas ya existentes las cuales, de aprobarse el proyecto, regirán a partir del 1º de enero de 2022. A continuación, detallamos los puntos más relevantes:

• Se incorpora en el artículo 362 de la RNRCSF a las Empresas de Transferencia de Fondos, esto implica que les será aplicable la normativa mencionada con las respectivas modificaciones.

• Dentro de las obligaciones que deberá cumplir el emisor del instrumento electrónico (el “Emisor”) establecidas en el artículo 364 de la RNRCSF se incorporan:

1) Demostrar, en caso de un reclamo del usuario en relación con las transacciones efectuadas, que las mismas han sido correctamente autenticadas, debiendo poner a disposición del cliente la siguiente información:

• fechas y horas de las operaciones;
• contenidos de los mensajes;
• identificación de operadores, emisores y receptores;
• cuentas y montos involucrados;
• mecanismo de autenticación del usuario utilizado en la operación;
• identificación de la terminal desde la cual se operó (ej: dirección IP);
• si la operación fue realizada en forma presencial o remota; y
• si la operación se realizó en un sitio seguro o no.

2) En caso de que la información provista sea insuficiente para acreditar que la transacción ha sido autenticada de acuerdo con la metodología establecida, se deberán brindar los elementos que permitan demostrar tal extremo, independientemente de si el instrumento se utilizó en el país o en el exterior, no siendo por lo tanto oponible las condiciones de los contratos que el emisor hubiese firmado con terceros. En caso contrario, el emisor será responsable de todos los importes que hayan sido imputados en la cuenta del cliente.

3) Las transferencias o pagos a terceros que se realicen desde una cuenta bancaria requerirán como mínimo un doble factor de autenticación.

4) Establecer medidas de monitoreo y control de forma que se puedan detectar hechos irregulares que se encuentren relacionados con el uso del instrumento o el sistema en el que opera. Los hechos irregulares incluirían, los cambios e intentos de cambio de contraseña, número de identificación personal, dirección teléfono y correo electrónico de contracto como también los medios establecidos para recibir comunicaciones entre otros.

5) El sistema que se utiliza para operar deberá ahora resguardar: a) los mecanismos de autenticación del usuario, b) la identificación de la terminal desde la cual se operó c) si la operación se realizó en forma presencial o remota y de un sitio seguro.

6) En cuanto a la información que proporciona el cliente para recibir comunicaciones, notificaciones o avisos con relación al instrumento electrónico la misma deberá ser verificada por el Emisor mediante instrumentos idóneos. Dicha verificación deberá realizarse al momento de celebración del contrato y toda vez que se solicite su modificación.

7) El Emisor deberá comunicarle al usuario: (i) la comisión de cualquier ilícito o hecho irregular vinculado con el instrumento electrónico, la cual deberá ser comunicada al detectarlo o al momento que toma conocimiento de este y (ii) todo intento o solicitud de modificación de los datos (clave, número de identificación personal, dirección, teléfono y correo electrónico de contacto, medios establecidos para recibir comunicaciones, entre otros). Cuando se trate de la información de contacto del cliente la comunicación deberá dirigirse como mínimo a dos direcciones de contacto que hayan sido validadas previamente. Cada vez que se lleve a cabo una modificación se deberá comunicar tal extremo al usuario.

8) El Emisor deberá notificar al usuario mediante medios electrónicos (correo electrónico, mensajería instantánea, SMS, etc.) cada vez que se procese una transacción vinculada al instrumento electrónico de su titularidad. Dicha notificación deberá ser sin costo y se deberá indicar los medios disponibles para realizar consultas o reclamos sobre dicha transacción. A su vez se deberá permitir al usuario dar de baja o modificar las condiciones de dicha notificación.

• Se crea una multa aplicable en caso de incumplimiento a las obligaciones establecidas en el artículo 364 de la RNRCSF para los emisores de instrumentos electrónicos aplicable a las Empresas Administradoras de Créditos, Empresas de Transferencia de Fondos, Empresas de Transporte de Valores, Empresas Prestadoras de Servicios de Arrendamiento y Custodia de Cofres de Seguridad, Prestadores de Servicios de Administración, Contabilidad o Procesamiento de Datos, y Empresas Administradoras de Plataformas para Préstamos entre Personas.

El plazo para enviar los comentarios al Banco Central del Uruguay vencerá el 6 de agosto de 2021.