Qué establece la norma NCG 538 de Chile: Guía técnica

Qué establece la norma NCG 538 de Chile: Guía técnica
Compartir

Índice

El mejor contenido en tu bandeja de entrada

Qué establece la norma NCG 538 de Chile: Guía técnica

El sector financiero chileno está experimentando una transformación sin precedentes impulsada por la necesidad de mitigar el fraude digital y proteger a los consumidores. En el centro de esta revolución regulatoria se encuentra la Norma de Carácter General N.º 538 (NCG 538) publicada por la Comisión para el Mercado Financiero (CMF), un marco normativo que redefine por completo los estándares de seguridad exigidos a las instituciones al establecer la implementación obligatoria de la Autenticación Reforzada del Cliente (ARC) en los canales remotos.

Esta normativa va mucho más allá de una simple exigencia legal. Representa una oportunidad estratégica para que bancos, cooperativas y empresas Fintech se posicionen como líderes indiscutibles en ciberseguridad, eficiencia operativa y experiencia de usuario. En este artículo, analizaremos a nivel técnico, operativo y estratégico qué establece exactamente la NCG 538, cómo la Autenticación Reforzada de Cliente (ARC) cambia las reglas del juego y por qué el momento de actuar es ahora para convertir este reto tecnológico en una ventaja competitiva directa.

Descarga cómo adaptar tu entidad a la norma NCG 528 y lidera la transición hacia la Autenticación Reforzada (ARC)

Descargar ebook gratis

¿Qué es la NCG 538 de la CMF y a quiénes afecta?

La NCG 538 es una directriz regulatoria de obligado cumplimiento en Chile. Su promulgación nace como una respuesta directa y necesaria a las exigencias planteadas por la Ley 20.009 (comúnmente conocida como la Ley de Fraudes), la cual limita la responsabilidad de los usuarios frente a fraudes con tarjetas de pago y transacciones electrónicas, trasladando gran parte de la carga probatoria y el riesgo financiero a las instituciones.

El objetivo principal de la NCG 538, emitida por la Comisión para el Mercado Financiero (CMF) de Chile, es establecer estándares mínimos de seguridad, control y gestión de riesgos que las entidades deben implementar para prevenir accesos no autorizados, fraudes transaccionales y suplantación de identidad en canales digitales. Esta normativa busca no solo proteger los activos de los clientes, sino también fortalecer la resiliencia del sistema financiero nacional frente a amenazas cibernéticas cada vez más sofisticadas, asegurando que las plataformas tecnológicas operen bajo un marco de confianza digital inquebrantable y garanticen la continuidad operativa del negocio.

Sujetos obligados: ¿A quiénes aplica esta normativa?

El alcance de este marco normativo es sumamente amplio y transversal dentro de la industria financiera chilena. Su diseño estratégico busca blindar cualquier punto de contacto donde se realicen transacciones económicas o se procesen datos sensibles. De esta forma, se evitan brechas de vulnerabilidad entre los actores tradicionales y los nuevos modelos de negocio cien por cien digitales, garantizando un estándar de protección uniforme y robusto para todos los consumidores en un mercado cada vez más interconectado. Por consiguiente, el cumplimiento estricto de estas obligaciones afecta directamente a:

  • Bancos e instituciones financieras tradicionales: Obligados a asegurar todos sus canales de banca electrónica y aplicaciones móviles.
  • Emisores y operadores de tarjetas de pago: Tanto de crédito, débito como tarjetas de prepago.
  • Sociedades de apoyo al giro bancario y medios de pago: Infraestructuras transaccionales y pasarelas.
  • Cooperativas de ahorro y crédito: Aquellas fiscalizadas por la CMF.
  • Empresas Fintech y plataformas de finanzas abiertas: Que interactúen con datos financieros de clientes o procesen pagos, adaptándose así a las directrices que también impulsa la Ley Fintech en Chile.

Estas entidades están ahora obligadas a integrar la prevención del fraude de forma nativa en la arquitectura misma de sus sistemas. Esto exige que la validación de la identidad del usuario deje de ser un control secundario para convertirse en un proceso inquebrantable, completamente auditable y capaz de resistir las tácticas de evasión o suplantación más sofisticadas.

Gráfico que guarda relación directa con la norma NCG 538.

¿Qué es la Autenticación Reforzada de Cliente (ARC)?

La Autenticación Reforzada del Cliente (ARC) es un mecanismo de seguridad que constituye el corazón tecnológico de la NCG 538, siendo un concepto equivalente al Strong Customer Authentication (SCA) establecido en Europa por la directiva PSD2. La adopción de este modelo supone un salto cualitativo vital para el mercado chileno, ya que eleva significativamente las barreras de defensa contra los ciberdelincuentes y protege de forma proactiva las operaciones digitales de los usuarios frente a técnicas de ataque automatizadas.

La ARC es un estándar de seguridad que exige validar la identidad de un usuario utilizando al menos dos factores de autenticación independientes. La independencia es clave: la vulneración de uno de los factores no debe comprometer la fiabilidad del otro, asegurando que el sistema mantenga su integridad operativa y proteja los datos sensibles incluso bajo asedio.

Para garantizar esta robustez y cumplir con los requisitos técnicos de la normativa, las instituciones deben implementar una combinación adecuada de estos elementos. Estos factores se dividen en tres categorías universales:

  • Conocimiento (algo que solo el usuario sabe): Contraseñas, PIN de seguridad o respuestas a preguntas secretas.
  • Posesión (algo que solo el usuario tiene): Un dispositivo móvil registrado, un token de hardware o una tarjeta inteligente.
  • Inherencia (algo que el usuario es): Variables biométricas, como el reconocimiento facial, la huella dactilar, el escaneo del iris o la biometría del comportamiento (cómo teclea o sostiene el dispositivo).

Bajo los estándares de la NCG 538, métodos tradicionales como la tarjeta de coordenadas o los SMS OTP quedan obsoletos por su alta vulnerabilidad ante ataques de phishing y SIM Swapping. Para eliminar estos eslabones débiles, la ARC exige a la banca chilena evolucionar hacia una combinación segura e inquebrantable de Posesión (app en dispositivo vinculado) e Inherencia (biometría facial).

Casos de uso: ¿Cuándo es obligatoria la ARC según la norma?

La NCG 538 no exige una fricción constante en cada clic del usuario, sino que aplica un enfoque basado en el riesgo. La ARC debe desplegarse obligatoriamente en escenarios críticos y transaccionales donde el riesgo de daño patrimonial o robo de identidad es alto:

  • Onboarding digital de nuevos clientes: El momento más crítico. Al abrir una cuenta bancaria a distancia, la entidad debe asegurarse de que la persona al otro lado de la pantalla es quien dice ser y que su documento de identidad es legítimo y no ha sido alterado.
  • Transferencias electrónicas de fondos: Especialmente cuando se transfiere dinero a nuevos destinatarios o por montos que superan el perfil transaccional habitual del cliente.
  • Modificación de datos personales y credenciales: Cambios de domicilio, actualización de correos electrónicos, números de teléfono o reseteo de contraseñas. Un atacante suele cambiar estos datos primero para aislar a la víctima de las alertas del banco.
  • Enrolamiento o reemplazo de dispositivos de confianza: Cuando un usuario instala la aplicación bancaria en un nuevo teléfono móvil, el proceso de vinculación de ese hardware al perfil del cliente requiere la máxima seguridad biométrica.

Implementar la autenticación Reforzada en estos puntos de contacto críticos no solo garantiza el cumplimiento estricto de las exigencias regulatorias, sino que también protege el entorno digital de la entidad. Para evitar que estos controles obligatorios penalicen la experiencia del cliente, resulta vital apoyarse en soluciones tecnológicas avanzadas como las de Tecalis, las cuales automatizan la verificación biométrica y documental en tiempo real, transformando la prevención del fraude en un proceso fluido e invisible para el usuario legítimo.

El impacto de la NCG 538 en las entidades financieras chilenas

La implementación de la NCG 538 representa un desafío tecnológico verdaderamente monumental para la infraestructura de las entidades financieras y empresas Fintech en Chile. Adaptarse a estas exigencias supone replantear por completo la interacción con los usuarios en los canales digitales, exigiendo inversiones significativas en ciberseguridad y modernización de plataformas. Este cambio de paradigma normativo obliga a las instituciones a actuar con agilidad, percibiendo su impacto directo en tres dimensiones principales:

  1. Modernización de la deuda técnica: Muchos bancos operan sobre arquitecturas heredadas diseñadas para un mundo analógico o de baja digitalización. Integrar motores de autenticación multifactor (MFA) en tiempo real requiere modernizar los core bancarios, adoptar microservicios y migrar hacia entornos Cloud escalables.
  2. El delicado equilibrio entre seguridad y experiencia de Usuario: A mayor seguridad, suele haber mayor fricción. Si un banco obliga a sus clientes a pasar por procesos de verificación lentos, engorrosos o que fallan constantemente, la tasa de abandono se disparará. El impacto comercial de un mal diseño de ARC es la pérdida directa de clientes frente a competidores más ágiles.
  3. Reducción del impacto financiero del fraude: Con la Ley 20.009, los bancos asumen las pérdidas por fraude si no logran demostrar negligencia grave del usuario. La NCG 538, al forzar la ARC, actúa como un "escudo financiero" a mediano y largo plazo, reduciendo drásticamente los reembolsos por transacciones no reconocidas.

Superar con éxito estos tres retos operativos no solo garantiza el estricto cumplimiento frente al regulador, sino que consolida a la entidad como un referente en confianza digital capaz de fidelizar a sus clientes mediante transacciones ágiles y totalmente seguras.

Automatiza el cumplimiento de la NCG 538 sin fricciones

Contacta con nuestros expertos

La lucha contra el fraude por la IA y los deepfakes en el sector financiero

Para comprender la urgencia de la normativa NCG 538, es necesario analizar la rápida evolución de las amenazas cibernéticas en el sector financiero. Hoy en día, las instituciones ya no se enfrentan a estafadores solitarios usando programas básicos de edición gráfica; la verdadera amenaza reside en el uso de IA avanzada por parte de mafias digitales organizadas. Estas redes criminales han sofisticado sus métodos para vulnerar sistemáticamente los canales bancarios, lanzando ofensivas automatizadas que exigen medidas de ciberseguridad mucho más dinámicas y robustas.

En este escenario, el peligro inminente de los deepfakes y la creación de identidades sintéticas se ha posicionado como un vector de ataque crítico. Los ciberdelincuentes utilizan redes neuronales para fabricar vídeos hiperrealistas a partir de fotografías robadas. Mediante ataques de inyección de video, donde el atacante puentea la cámara del dispositivo e inyecta un archivo pregrabado directamente en la aplicación bancaria, intentan engañar al reconocimiento facial tradicional. Asimismo, la táctica de combinar un RUT real con un rostro creado por IA está en alarmante crecimiento para abrir cuentas mulas destinadas al lavado de dinero.

Ante esta sofisticación, resulta evidente que la biometría simple ya no es suficiente para proteger el perímetro transaccional. La NCG 538 obliga a la industria a subir su estándar tecnológico, asumiendo que la simple comparación de rostros bidimensionales es inútil frente a la IA. Las entidades están forzadas a implementar tecnologías de Prueba de Vida avanzada. El sistema no solo debe verificar "quién" es la persona, sino determinar sin margen de error que es un ser humano vivo, físicamente presente frente al dispositivo en ese instante, descartando el uso de máscaras de silicona, pantallas de alta resolución o videos inyectados.

Aplicaciones concretas de la biometría ante la NCG 538

Ante las exigencias de inherencia de la Autenticación Reforzada del Cliente y la amenaza constante de suplantación, la biometría se consolida como la principal línea de defensa del sector financiero. Su implementación permite cumplir la normativa chilena, erradicar métodos de validación vulnerables y garantizar operaciones fluidas al convertir el rostro del usuario en la llave de acceso y autorización definitiva. Sus aplicaciones prácticas dentro de este marco de cumplimiento incluyen:

  • Prueba de vida pasiva en el onboarding: A diferencia de la validación activa (donde se le pide al usuario sonreír o girar la cabeza, lo cual genera fricción y puede ser imitado por IA), el modelo pasivo captura la imagen en milisegundos y analiza la profundidad de los píxeles, la refracción de la luz en la piel y micromovimientos indetectables para el ojo humano. Todo ocurre en segundo plano, ofreciendo máxima seguridad con cero fricción para el usuario legítimo.
  • Autenticación transaccional continua: Uso del reconocimiento facial nativo o integrado directamente en la aplicación del banco para autorizar transferencias de alto valor. Esta metodología reemplaza definitivamente al SMS, vinculando la criptografía de la transacción directamente con el rostro del titular de la cuenta.
  • Análisis documental forense (KYC): La biometría facial se cruza en tiempo real con la validación criptográfica de la Cédula de Identidad chilena. Tecnologías de Reconocimiento Óptico de Caracteres (OCR) leen el documento, verifican hologramas, detectan manipulaciones digitales y aseguran que la persona que sostiene la cédula es exactamente la misma que aparece registrada en el documento oficial.
Hombre realizando una transacción con su móvil y tarjeta, junto a un esquema de las aplicaciones biométricas para cumplir la norma NCG 538.

¿Cómo prepararse para la nueva normativa de la CMF?

Cumplir con estos nuevos criterios regulatorios demanda replantear por completo la estrategia de validación de identidad. Lejos de ser una simple actualización de software, representa un cambio de paradigma en cada punto de contacto con el usuario. Las entidades financieras deben dejar de percibir estas integraciones como una carga operativa y empezar a valorarlas como una inversión crítica para blindar sus ecosistemas, acompañando este proceso con la capacitación de sus equipos y la orientación adecuada a sus clientes.

Para ejecutar esta transformación tecnológica con éxito, la hoja de ruta de las instituciones debe estructurarse en los siguientes pasos:

  1. Diagnóstico de seguridad interno: Analizar la infraestructura existente para detectar puntos ciegos y medir su nivel de resistencia real ante técnicas de fraude avanzadas.
  2. Mapeo de cumplimiento normativo: Contrastar las herramientas de validación que posee la entidad con las exigencias técnicas específicas de la Autenticación Reforzada (ARC) para identificar y cerrar las áreas de mejora.
  3. Implementación de autenticación adaptativa: Desplegar sistemas que combinen múltiples factores independientes y calibren el nivel de verificación exigido basándose exclusivamente en el nivel de riesgo y la criticidad de la operación en curso.
  4. Foco en la fluidez comercial: Integrar estas nuevas barreras defensivas de manera totalmente nativa, garantizando que el usuario legítimo no sufra fricciones ni bloqueos que puedan derivar en el abandono del canal digital.

Plazos de implementación: ¿Cuándo entra en vigor la NCG 538?

El cumplimiento de este marco normativo ya no es un proyecto a futuro, sino una realidad ineludible. Habiendo alcanzado la fecha límite definitiva estructurada por el regulador en su calendario oficial, el periodo de adaptación tecnológica ha concluido, y las instituciones financieras deben operar ya bajo estos estrictos estándares para evitar sanciones inmediatas y riesgos operativos graves.

  • Marco General (NCG 538): (1 de agosto de 2025): Implementación de estándares mínimos de seguridad, monitoreo y protección de datos.
  • Inicio legal ARC: (1 de julio de 2026): Comienzo normativo de la obligación de aplicar la Autenticación Reforzada de Cliente.
  • Prórroga Práctica (NCG 544): (Agosto 2026): Plazo límite definitivo para la adaptación tecnológica e implementación operativa de la ARC.

La culminación de este periodo de aplicación obligatorio significa que el margen de maniobra tecnológico se ha agotado por completo. Con la entrada en vigor definitiva de la ARC este mismo mes de agosto de 2026, la urgencia regulatoria es máxima. Las entidades que aún no hayan consolidado completamente estas integraciones se enfrentan ahora a una carrera a contrarreloj, viéndose forzadas a desplegar estas soluciones de seguridad en tiempo récord para no interrumpir la continuidad de sus servicios ni exponerse a las penalizaciones de la CMF.

Sanciones por incumplimiento: El costo de no adaptarse a la NCG 538

El incumplimiento de estos estándares no solo obliga a las instituciones a asumir directamente la responsabilidad económica por los fraudes sufridos por sus usuarios, sino que las expone a severas penalizaciones por parte de la CMF. Conforme a las reglas establecidas en el Título III del DL N°3.538 de 1980, las sanciones van desde la censura institucional hasta multas millonarias a beneficio fiscal, las cuales pueden determinarse bajo los siguientes criterios:

  • Multas globales: Hasta 100.000 UF por sociedad, monto que puede multiplicarse por cinco en casos de reincidencia probada.
  • Multas operacionales: Hasta el 30% del valor total de las transacciones sancionadas.
  • Multas sobre beneficios: Hasta el doble de las ganancias obtenidas como producto de dichas operaciones irregulares.

Tecalis: tu aliado para el cumplimiento estratégico de la NCG 538

Adaptarse a las exigencias de la CMF no tiene por qué traducirse en procesos digitales lentos o en un desarrollo técnico complejo desde cero. Al contrario, es la oportunidad perfecta para optimizar la infraestructura tecnológica de la entidad financiera y agilizar el alta de clientes. Las soluciones avanzadas de Tecalis Identity y el entorno de orquestación omnicanal Customer Hub permiten resolver de manera nativa la dicotomía entre el cumplimiento normativo estricto y una experiencia de usuario fluida, automatizando los flujos de control sin penalizar la conversión del negocio a través de las siguientes capacidades:

  • Identidad KYC avanzada: Extracción automatizada de datos de la Cédula de Identidad (RUT) mediante tecnología OCR y validación documental en tiempo real para asegurar que el documento es legítimo y vigente.

  • Prueba de vida pasiva certificada: Cumplimiento inmediato del factor de inherencia exigido por la ARC. El sistema detecta y bloquea intentos de suplantación avanzados y grabaciones de video en milisegundos, manteniendo el proceso transparente para el cliente real.

  • Prueba de vida pasiva certificada: Cumplimiento inmediato del factor de inherencia exigido por la ARC. El sistema detecta y bloquea intentos de suplantación avanzados y grabaciones de video en milisegundos, manteniendo el proceso transparente para el cliente real.

Al eliminar las fricciones innecesarias y unificar la verificación biométrica con la firma de contratos en un solo paso, la plataforma minimiza drásticamente las tasas de abandono. Las entidades financieras y empresas Fintech logran así blindarse legalmente ante la NCG 538, erradicar los riesgos de fraude y habilitar un proceso de registro robusto que convierte a los usuarios en clientes activos en menos de tres minutos.

Preguntas Frecuentes FAQ
  • ¿Cuál es la diferencia principal entre la Ley 20.009 y la norma NCG 538? La Ley 20.009 responsabiliza financieramente a las entidades por fraudes si no demuestran negligencia del usuario. La NCG 538 es la regla técnica que exige usar Autenticación Reforzada para bloquear estos ataques preventivamente.
  • ¿Qué tecnologías se pueden usar para cumplir con la norma 538? Se deben utilizar soluciones que integren al menos dos factores independientes de autenticación. La combinación más segura y fluida es el uso de un dispositivo móvil vinculado (posesión) junto a biometría facial con prueba de vida pasiva (inherencia).
  • ¿Aplica la NCG 538 a las Fintech en Chile? Sí, la normativa abarca a bancos, emisores de tarjetas, operadores de pago y empresas Fintech bajo la supervisión de la CMF. Toda institución que procese transacciones digitales críticas debe integrar estos controles obligatoriamente.
  • ¿Qué pasa si no cumplo la norma 538 a tiempo? Las instituciones que no tengan la ARC operativa para agosto de 2026 enfrentarán multas y severas sanciones de la CMF. Además, asumirán directamente el costo total de las pérdidas económicas generadas por cualquier transacción fraudulenta.
  • ¿Qué es la autenticación reforzada? Es un modelo que exige validar la identidad mediante factores de autenticación independientes y ajustar el nivel de verificación según el riesgo de cada transacción.
  • ¿Cuándo entra en vigencia la NCG 538? La norma 538 entra en vigencia el 1 de agosto de 2026, tras una prórroga regulatoria que extendió el plazo original previsto para julio del mismo año.

¿Tu entidad está preparada para la fecha límite de agosto de 2026?

Evita sanciones y descubre Tecalis en acción
Etiquetas
El mejor contenido en tu bandeja de entrada
Financial TimesAI FintechRegtechÉticaTechBehemothsFinnovatingECIJA

Servicios de confianza, identidad y automatización

Tecalis crea producto digital disruptivo para hacer crecer y evolucionar a las empresas más innovadoras. Impulsamos procesos de crecimiento y transformación digital para llevar el futuro a las empresas hoy.
Identidad

Las soluciones y servicios KYC (Know Your Customer) de Verificación de Identidad por Vídeo, Onboarding Digital y Autenticación (MFA/2FA) permiten a nuestros clientes proporcionar a sus usuarios una experiencia ágil y segura.

Nuestro software de automatización RPA (Robot Process Automation) permite crear modelos de negocio sostenibles, escalables, productivos y eficientes a través del BPM (Gestión por Procesos de Negocio) para crecer sin límites.

Digitalización

La Firma Electrónica Avanzada y Cualificada y los servicios de Comunicación Certificada (Burofax Electrónico) permiten que los procesos de adquisición de clientes, contratación y aceptación que antes tomaban días o semanas sean finalizados y aprobados en minutos o segundos.

El Customer Onboarding (eKYC), los servicios de Firma Digital (eSignature) y la Prevención del Fraude Automatizada están haciendo posible a las compañías operar online y sin fronteras.

Confianza

Como Tercero de Confianza (Trust Services Provider) certificado por la UE y partner RegTech consolidado, ayudamos a las organizaciones a cumplir con los estándares normativos más exigentes de su sector y región, incluyendo las regulaciones AML (Anti-Money Laundering), eIDAS (Electronic IDentification, Authentication and etrust Services), GDPR (Reglamento General de Protección de Datos), SCA (Strong Customer Authentication) o PSD2 (Payment Services Directive) gracias a Controles Anti-Fraude y Verificación de Documentos Tecalis.