Nueva regulación del BCU refuerza la seguridad en instrumentos electrónicos
El Banco Central del Uruguay (BCU), a través de la Superintendencia de Servicios Financieros, aprobó la Circular N.º 2497 el 29 de diciembre de 2025, introduciendo una revisión integral de la normativa aplicable a la seguridad de los instrumentos electrónicos.
El objetivo es claro: proteger a los usuarios frente a fraudes y usos indebidos en entornos digitales, en un contexto donde los medios de pago electrónicos y los canales digitales se han vuelto predominantes en el sistema financiero.
Alcance amplio: bancos y fintech
La norma alcanza a instituciones de intermediación financiera, empresas administradoras de crédito, entidades otorgantes de crédito, empresas de servicios financieros, casas de cambio, empresas de transferencia de fondos y plataformas de préstamos entre personas.
Con esto, el regulador consolida un enfoque transversal de gestión de riesgo en medios de pago electrónicos.
Mayor responsabilidad para los emisores
Entre los principales cambios, se refuerzan las obligaciones de los emisores de instrumentos electrónicos, estableciendo la responsabilidad de implementar medidas razonables de seguridad sobre el entorno operativo del instrumento.
Las instituciones deberán garantizar la correcta autenticación de las operaciones, conservar evidencias técnicas suficientes y poder demostrar, ante reclamos del usuario, que una transacción fue correctamente autenticada y no afectada por fallas técnicas.
Si no pueden demostrarlo, la responsabilidad recaerá sobre el emisor.
Monitoreo antifraude más exigente
La Circular incorpora requisitos explícitos de monitoreo y control. Las instituciones deberán contar con sistemas capaces de detectar hechos irregulares o potencialmente fraudulentos, identificar transacciones inusuales respecto al comportamiento habitual del cliente, verificar la geolocalización de las operaciones y detectar el uso de dispositivos desconocidos.
Además, deberán evaluar periódicamente la eficacia del sistema de monitoreo y adoptar medidas correctivas cuando se detecten desvíos.
Autenticación reforzada y doble factor obligatorio
Se amplía la exigencia de doble factor de autenticación (2FA) para operaciones de alto riesgo, incluyendo el acceso a canales digitales, transferencias, pagos desde cuentas bancarias, solicitudes de préstamos no presenciales y modificación de datos sensibles.
La norma reconoce el uso de dispositivos de confianza, passkeys y firma electrónica avanzada como mecanismos válidos, bajo determinadas condiciones.
Entrada en vigencia y sanciones
El régimen sancionatorio se extiende a todas las entidades alcanzadas por la norma, con multas proporcionales a la responsabilidad patrimonial básica de cada institución.
La entrada en vigencia general está prevista para el 1.º de octubre de 2026, aunque algunas disposiciones pueden aplicarse desde la publicación de la resolución.
La Circular 2497 consolida una expectativa regulatoria clara: las instituciones que operan instrumentos electrónicos deberán adoptar un enfoque preventivo, basado en riesgo, con controles técnicos robustos, monitoreo continuo y autenticación fuerte como pilares centrales de la gestión de fraude.
