Hay decisiones que parecían técnicas, pero en realidad eran de sentido común. El retiro de la tarjeta de coordenadas fue una de ellas.
Durante años, los bancos en Chile protegieron operaciones sensibles con un cartón plastificado que, si bien fue útil en su momento, hoy equivalía a dejar la llave pegada en la puerta: cómodo, pero altamente vulnerable.
Hasta hace unos días, la norma de la Comisión para el Mercado Financiero (CMF) establecía que la tarjeta de coordenadas desaparecería el 1 de agosto de 2025, dando paso obligatorio a la Autenticación Reforzada de Clientes (ARC) en operaciones críticas.
Sin embargo, la institución anunció que la medida se postergaba un año: sería exigida recién a partir del 1 de agosto de 2026, para dar más tiempo a los bancos para ajustar sistemas, capacitar personal y asegurar soluciones inclusivas para todos los usuarios.
¿Ponía esto a Chile a la vanguardia global? No. Pero sí lo alineaba —aunque más tarde— con estándares internacionales como la Strong Customer Authentication (SCA) del reglamento PSD2 europeo, que exigía múltiples factores independientes y, como elemento clave, el vínculo dinámico: un mecanismo que ataba la autenticación al monto y al destinatario de la operación, invalidándola automáticamente si algo cambiaba.
Este modelo, bien aplicado, reducía drásticamente el fraude en pagos remotos y mejoraba la trazabilidad del sistema.
La evidencia era clara: Microsoft calculaba que activar múltiples factores de autenticación disminuía en un 99 % el riesgo de cuentas comprometidas.
Google, por su parte, reportó cero incidentes de phishing tras adoptar llaves de seguridad con estándares FIDO, que operaban con códigos temporales generados desde hardware y con verificación criptográfica real.
En Chile, el debate público giró en torno a la inclusión: ¿qué pasaba con los adultos mayores que no usaban smartphones? La respuesta existía y ya estaba en marcha: tokens físicos equivalentes, enrolamiento asistido en sucursales y soporte accesible.
La seguridad no tenía por qué ser excluyente si se diseñaba bien.
Con un año extra sobre la mesa, el riesgo era que el impulso se diluyera. Que la prórroga fuera excusa para demorar inversiones o postergar mejoras.
La autenticación reforzada no debía convertirse en una promesa eterna; tenía que ser una experiencia simple, medible y accesible.
El enrolamiento debía tomar minutos, no semanas. Los tokens debían estar disponibles en sucursal sin burocracia.
El soporte debía funcionar a la primera. Y debían existir métricas públicas que demostraran avances concretos: usuarios activos, reducción de fraudes, éxito en la activación de biometría.
La CMF ya reguló y entregó nuevos plazos. La banca tenía ahora tiempo extra para perfeccionar la implementación.
Y los usuarios, la oportunidad de prepararse: activar biometría, familiarizarse con nuevos métodos y no aprobar nunca lo que no iniciamos.
Si cada actor aprovechaba este año adicional, el resultado seguía siendo tangible: menos fraude, más confianza y un sistema donde la seguridad dejara de depender de un papel impreso para integrarse, de verdad, en cada transacción.
