La Comisión para el Mercado Financiero (CMF) de Chile ha aprobado la Norma de Carácter General Nº 538 (NCG 538), una regulación que entrará en vigor en julio de 2026 y que supondrá un cambio significativo en la manera en que las entidades financieras gestionan la autenticación de sus clientes en canales digitales.
Esta normativa establece la obligatoriedad de implementar mecanismos de Autenticación Reforzada del Cliente (ARC), alineándose con estándares internacionales como la directiva PSD2 europea. El objetivo principal es reducir el riesgo de fraude digital y fortalecer la seguridad en operaciones electrónicas mediante la verificación más robusta de la identidad de los usuarios.
¿Qué es la Autenticación Reforzada del Cliente?
La autenticación reforzada o SCA (Strong Customer Authentication) es un procedimiento que exige el uso de al menos dos factores de autenticación independientes, provenientes de distintas categorías: algo que el usuario sabe (como una contraseña o un PIN), algo que tiene (como un dispositivo móvil o un token) y algo que es (como una característica biométrica).
La normativa chilena reconoce explícitamente la biometría como un factor válido en la categoría de inherencia, incluyendo tecnologías de reconocimiento facial, huellas dactilares, voz y datos conductuales.
Esta nueva exigencia busca elevar el nivel de protección en múltiples escenarios digitales, como el alta de clientes, la modificación de datos personales o dispositivos de confianza, la gestión de claves de acceso y la ejecución de transferencias electrónicas, entre otros.
¿A quién aplica la norma NCG 538?
La NCG 538 tiene carácter obligatorio para una amplia gama de entidades del sistema financiero chileno. Esto incluye bancos, sociedades de apoyo al giro, cooperativas de ahorro y crédito, y emisores de tarjetas de pago. Todas estas organizaciones deberán revisar y, en muchos casos, rediseñar sus sistemas de autenticación para adaptarse a los nuevos requisitos antes de julio de 2026.
Además de implementar la autenticación multifactor, la norma exige una serie de requisitos técnicos y operativos. Entre ellos se encuentran la independencia entre los factores utilizados, la protección y cifrado de los datos relacionados con la autenticación, la capacidad de auditar todos los eventos y transacciones relacionados, y el monitoreo continuo para detectar patrones anómalos que puedan indicar posibles fraudes.
Uno de los aspectos más relevantes de la norma es que establece que la responsabilidad por el funcionamiento de los mecanismos de autenticación, incluyendo los biométricos, recae directamente sobre el emisor. Esto implica que incluso si se contratan soluciones tecnológicas a terceros, la entidad financiera sigue siendo responsable ante la CMF por su eficacia y nivel de seguridad.
La propuesta de Facephi ante la NCG 538
Facephi ofrece soluciones de autenticación digital que ya cumplen con los requisitos de la NCG 538. Muchas entidades de la región como Cencosud Scotiabank (Chile), Banco Industrial (Centroamérica) ya están integrando las soluciones de verificación de identidad de Facephi procesos críticos como el onboarding, la gestión de credenciales y las transacciones electrónicas.
Las soluciones de Facephi están diseñadas para garantizar la independencia de factores exigida por la normativa, y ha sido certificada internacionalmente por organismos como NIST e iBeta. Al tratarse de una solución tecnológica propia, se asegura el control completo del proceso de autenticación, sin depender de terceros.
Con presencia técnica en Latinoamérica, Facephi también ofrece soporte local y acompañamiento en todas las etapas del proyecto, desde la integración hasta la operación en producción.
Una oportunidad para fortalecer la seguridad digital
Más allá del cumplimiento normativo, la entrada en vigor de la NCG 538 representa una oportunidad para mejorar la infraestructura de seguridad en las operaciones digitales. La evolución del fraude y la demanda de una mejor experiencia digital por parte de los usuarios impulsan la adopción de modelos de autenticación más avanzados.
Prepararse con antelación permitirá a las entidades mitigar riesgos, optimizar procesos y posicionarse como referentes en confianza digital. Actuar a tiempo es clave para evitar posibles sanciones y asegurar una transición ordenada hacia el nuevo marco regulatorio.