El 1 de agosto de 2026 no es una fecha más en el calendario del sector financiero chileno. Es el día en que la Norma de Carácter General N°538 de la CMF entra en régimen obligatorio para bancos, emisores de tarjetas, cooperativas y fintechs reguladas: desde esa fecha, ninguna transferencia electrónica, onboarding digital ni cambio de datos sensibles podrá completarse sin Autenticación Reforzada del Cliente (ARC). Quedan casi dos meses.
La norma no es nueva. La CMF la emitió el 17 de junio de 2025, hace casi un año. El plazo de transición fue diseñado para dar tiempo suficiente. La pregunta que deben responder los CISOs del sector financiero esta semana es directa: ¿está tu institución lista o no?
Qué exige la NCG 538
La autenticación reforzada implica validar la identidad del cliente mediante al menos dos factores independientes: algo que sabe (contraseña), algo que tiene (dispositivo) y algo que es (biometría — huella dactilar, reconocimiento facial, voz). Para operaciones de bajo riesgo, la combinación mínima es contraseña más dispositivo. Para transferencias de montos significativos o cambios de datos críticos, la norma empuja hacia la incorporación del factor biométrico.
Lo que la CMF deja en claro en sus considerandos es el contexto que justifica la urgencia: el fraude digital impulsado por IA está erosionando la efectividad de los mecanismos tradicionales. Los sistemas de phishing de nueva generación pueden capturar credenciales en tiempo real. Las tarjetas de coordenadas, que durante años fueron el estándar, son hoy un control insuficiente frente a ataques automatizados.
Según datos del informe de Endeavor Data Unit e Incode Technologies, Chile registró más de 27.600 millones de intentos de ciberataque en 2025, con la banca entre los principales blancos. El costo promedio de una filtración en el país alcanza US$ 3,81 millones. Ese es el escenario de riesgo que la NCG 538 busca mitigar.
La excepción que no es una salida
En marzo de 2026, la CMF puso en consulta una modificación puntual a la norma: permitir que grupos específicos de clientes con dificultades de adopción tecnológica — adultos mayores, personas con limitaciones de accesibilidad o desplazamiento — sigan utilizando tarjetas de coordenadas transitoriamente. Sin embargo, esta excepción no posterga el deadline ni reduce la obligación central. Las instituciones que opten por mantener este grupo deberán informarlo a la CMF antes del 1 de agosto, con justificación documentada, criterios objetivos y cifras exactas de los clientes incluidos.
Dicho de otro modo: la excepción genera su propia carga de cumplimiento. No es una puerta trasera para quienes no alcanzaron a implementar ARC.
Lo que el CISO debe verificar ahora
La NCG 538 no solo establece obligaciones técnicas sobre los sistemas de autenticación. También transfiere la responsabilidad a la institución financiera cuando utiliza soluciones tecnológicas de terceros para cumplir con la norma. El proveedor puede fallar — la obligación regulatoria no se delega.
Los equipos de seguridad y cumplimiento deben responder, como mínimo, tres preguntas antes del 1 de agosto: primero, ¿todos los flujos de operaciones críticas están cubiertos por ARC, o hay canales (web, app móvil, sucursal digital) que aún operan con factores simples? Segundo, ¿la arquitectura de CIAM (Customer Identity and Access Management) está preparada para escalar con la demanda de agosto, cuando la norma entre en vigencia simultáneamente para todo el mercado? Tercero, ¿los contratos con proveedores de biometría o MFA establecen SLAs alineados con los requisitos de disponibilidad que exige la CMF?
Esta regulación es también una oportunidad para revisar la estrategia de identidad más allá del cumplimiento puntual. En un sector donde la IA genera vulnerabilidades que eluden el 2FA, el piso regulatorio de la NCG 538 es exactamente eso: un piso, no un techo. Y en un ecosistema donde el fraude digital se ha industrializado, las instituciones que solo corran a cumplir el mínimo estarán rezagadas antes de que termine el año.
El 1 de agosto llegará. La pregunta es si llegará con los sistemas listos o con el equipo jurídico redactando un plan de acción.
Fuente: CMF Chile — https://www.cmfchile.cl/normativa/ncg_538_2025.pdf