CAJERO AUTOMÁTICO, DATAFONO, FUNCIONAMIENTO ENCRIPTADOS Concepto 2006062599-001 del 29 de noviembre de 2006. - MENSAJES Síntesis: Aspectos generales sobre la forma como operan los cajeros automáticos y datáfonos para la realización de transacciones en un establecimiento de comercio; corresponderá al banco efectuar precisiones técnicas en la medida en que cada institución financiera es la responsable de la prestación de los servicios a sus clientes, con independencia de los medios a través de los cuales opere. Mensajes encriptados, definición y finalidad. «(…) solicita informe o designe un perito para que verifique y conceptúe sobre las inquietudes formuladas, en relación con el proceso ordinario promovido por (…) contra el Banco (…), nos permitimos efectuar las siguientes consideraciones: (…) (…) a título informativo nos permitimos resolver las inquietudes formuladas en el mismo orden en que fueron presentadas, a saber: “Como (sic) opera o como (sic) se realiza una transacción a través de cajeros automáticos y/o una transacción de un establecimiento de comercio”: En términos generales nos permitimos ilustrarlo sobre la forma como opera un cajero automático, así como los datáfonos para la realización de transacciones en un establecimiento de comercio, sin entrar en los detalles técnicos, cuyas precisiones corresponderá efectuar al banco (…), en la medida en que cada institución financiera es la responsable de la prestación de los servicios a sus clientes, con independencia de los medios a través de los cuales opere, esto es, cajeros, datáfonos, internet, call center, IVR, propios o de terceros. Ahora, dicho servicio debe prestarse en condiciones de seguridad, transparencia y eficiencia y, para ello, esta Superintendencia ha impartido instrucciones como las contenidas en el numeral 8 capítulo 1 Título II de la Circular Básica Jurídica 007 de 1996, en la que se establecieron reglas mínimas de seguridad para la realización de transacciones a través de tarjetas de crédito y débito, terminales, cajeros automáticos, puntos de servicio en oficinas y establecimientos comerciales (numeral 8), entre otros. Ahora bien, en punto al funcionamiento de un cajero automático, nos permitirnos ilustrar la forma general como opera sin perder de vista que cada institución financiera, dentro de su autonomía pueda establecer variantes operativas acordes a sus políticas. Con esta premisa, digamos que un cajero automático funciona de la siguiente manera: • Requiere la autenticación o identificación del cliente a través de mecanismos tales como la tarjeta y su correspondiente clave o la huella en aquellos que cuentan con el dispositivo biométrico que permite su captura. Esta identificación se puede realizar al inicio o al finalizar la operación, dependiendo de las políticas de seguridad de la institución financiera. • La información leída de la banda magnética de la tarjeta y la clave de identificación personal digitada o la huella, se cifran (encriptan) y se transmiten al servidor (computador autorizador) de la institución financiera para surtir el correspondiente proceso de validación, esto es, que la cuenta esté vigente y activa, que la tarjeta no esté bloqueada, que la clave personal corresponda a la respectiva tarjeta, entre otras. • En caso de que el resultado de la validación sea exitoso el cajero desplegará las correspondientes opciones que le permitirán al cliente realizar la transacción deseada (consulta de saldo, retiro en efectivo, transferencias, pagos, entre otros). • De toda operación queda un registro interno (log de transacciones) para control de la institución financiera y se debe generar el respectivo comprobante para el cliente. En cuanto a las operaciones realizadas desde un establecimiento de comercio a través de datáfonos, el proceso de autenticación, en tratándose de tarjetas débito, es similar al descrito para el cajero automático. Tratándose de tarjeta de crédito, el proceso de autenticación se limita a la lectura de la información registrada en la banda magnética del respectivo plástico. Surtido este trámite se procede a debitar la cuenta del cliente por el valor de la transacción y acreditar posteriormente dicho valor en la cuenta del establecimiento de comercio. De igual forma, el establecimiento de comercio debe generar el comprobante respectivo al término de cada operación. “Si un retiro por cajero automático y/o una transacción en un establecimiento de comercio tiene éxito con la inserción de una clave distinta a la clave que corresponde al titular de la cuenta debitada”. De acuerdo a lo explicado al resolver la inquietud anterior, para la realización de una transacción sea por un cajero automático o una compra en un establecimiento de comercio, se requiere necesariamente de la clave y la tarjeta respectiva. “Si un retiro por cajero automático y/o una transacción en un establecimiento de comercio tiene éxito sin la inserción del plástico o tarjeta debido (sic)” Reiterando el procedimiento señalado en precedencia, debemos señalar que, salvo para los casos diferentes a aquellos en los que el cajero automático cuenta con un dispositivo biométrico que permite capturar la huella, en los demás se hace necesario el uso del plástico y la clave respectiva. “Que (sic) es un mensaje encriptado en materia de operaciones electrónicas.” De acuerdo con la definición que trae la página Web: http://es.wikipedia.orq/wiki/Portada “La criptografía (del griego kryptos, “ocultar’, y grafos, “escribir”, literalmente “escritura oculta’) es el arte o ciencia de cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes de manera que sólo puedan ser leídos por las personas a quienes van dirigidos. Con más precisión, cuando se habla de esta área de conocimiento como ciencia se debería hablar de criptología, que engloba tanto las técnicas de cifrado, la criptografía propiamente dicha, como sus técnicas complementarias: el criptoanálisis, que estudia los métodos que se utilizan para romper textos cifrados con objeto de recuperar la información original en ausencia de la clave. La finalidad de la criptografía es, en primer lugar, garantizar el secreto en la comunicación entre dos entidades (personas, organizaciones, etc.) y, en segundo lugar, asegurar que la información que se envía es auténtica en un doble sentido: que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado, habitualmente denominado criptograma, no haya sido modificado en su tránsito. En la actualidad, la criptografía no sólo se utiliza para comunicar información de forma segura ocultando su contenido a posibles fisgones. Una de las ramas de la criptografía que más ha revolucionado el panorama actual de las tecnologías informáticas es el de la firma digital: tecnología que busca asociar al emisor de un mensaje con su contenido de forma que aquel no pueda posteriormente repudiarlo.” (…).»