En ese sentido, la resolución precisó que la sola mención del desfase horario no resulta suficiente para desvirtuar las inconsistencias detectadas, considerando además que la entidad financiera cuenta con los recursos técnicos necesarios para sustentar la trazabilidad completa de sus operaciones.
La Comisión decidió confirmar íntegramente la sanción impuesta tras evaluar los argumentos presentados por el banco. También rechazó el pedido de reducción o anulación de la multa al determinar que fue calculada conforme a la normativa vigente y a la gravedad del caso. Asimismo, ordenó la devolución de S/ 9.000 al cliente junto con los intereses correspondientes, el pago de S/ 36 por costas del procedimiento y la inscripción de la entidad en el registro de infracciones de Indecopi.
Las implicancias del fallo refuerzan la obligación de las entidades financieras de garantizar no solo mecanismos de autenticación robustos, sino también sistemas de alerta verificables y oportunos. Asimismo, se establece que la notificación inmediata de operaciones constituye un elemento esencial para la reacción del usuario ante posibles movimientos sospechosos, y que la carga de la prueba recae en el proveedor del servicio financiero para demostrar el cumplimiento de los estándares de seguridad exigidos.
La segunda instancia de Indecopi ratificó una sanción contra Banco BBVA Perú tras no acreditar la validez de tres retiros en cajeros automáticos desconocidos por un cliente. La autoridad determinó que la entidad financiera incumplió los estándares de seguridad exigidos por la normativa vigente, lo que derivó en una multa y en la obligación de devolver el dinero involucrado.
El procedimiento se inició a partir de una denuncia presentada en noviembre de 2025, luego de que el usuario reportara tres operaciones de S/ 3.000 cada una realizadas en días consecutivos. Aunque el banco defendió la validez de las transacciones, la evaluación administrativa identificó fallas en el proceso, especialmente en la notificación oportuna de los movimientos, considerada clave para la detección de fraudes.
Origen del caso bancario
De acuerdo con el expediente, los retiros se efectuaron mediante cajeros automáticos los días 26, 27 y 28 de octubre de 2025, acumulando un total de S/ 9,000. El cliente negó haber realizado dichas operaciones, lo que motivó la denuncia por presuntas infracciones al Código de Protección y Defensa del Consumidor.
En primera instancia, el órgano resolutivo concluyó que el banco no logró demostrar de manera suficiente que las operaciones cumplieron con los estándares de seguridad exigidos. En consecuencia, impuso una multa de 3,78 UIT (S/ 20,790) y ordenó la devolución del monto total, además del pago de los intereses generados desde la última transacción.
Criterios de evaluación Indecopi
La Comisión evaluó el cumplimiento del “deber de idoneidad”, que exige que los servicios financieros respondan a las expectativas razonables del consumidor. En este análisis también se consideraron las obligaciones del reglamento de ciberseguridad aplicable a canales digitales, como los cajeros automáticos.
En una evaluación inicial, la autoridad estableció que la entidad financiera no acreditó de forma suficiente que las operaciones se ejecutaron bajo los estándares de seguridad requeridos. Además, se revisaron tres elementos clave: la utilización de al menos dos factores de autenticación, la generación de un código único por operación y la notificación inmediata al usuario tras cada transacción.
La entidad financiera logró demostrar el uso de tarjeta y clave secreta como dos factores de autenticación válidos, además de la generación de códigos criptográficos; sin embargo, la autoridad detectó inconsistencias en el cumplimiento del tercer requisito exigido. El punto determinante del caso fue la ausencia de evidencia que acreditara la notificación inmediata de las operaciones al cliente. Los registros revisados evidenciaron diferencias entre la hora de ejecución de los retiros y el momento en que estos fueron comunicados al usuario.
Notificaciones y defensa bancaria
El Banco BBVA Perú sostuvo que las diferencias horarias respondían al uso del horario en sus sistemas, lo que generaba un desfase de cinco horas respecto al horario peruano. No obstante, la Comisión concluyó que esta explicación no estuvo respaldada por pruebas suficientes que acreditaran la correspondencia exacta entre ambas referencias horarias.
En ese sentido, la resolución precisó que la sola mención del desfase horario no resulta suficiente para desvirtuar las inconsistencias detectadas, considerando además que la entidad financiera cuenta con los recursos técnicos necesarios para sustentar la trazabilidad completa de sus operaciones.
La Comisión decidió confirmar íntegramente la sanción impuesta tras evaluar los argumentos presentados por el banco. También rechazó el pedido de reducción o anulación de la multa al determinar que fue calculada conforme a la normativa vigente y a la gravedad del caso. Asimismo, ordenó la devolución de S/ 9.000 al cliente junto con los intereses correspondientes, el pago de S/ 36 por costas del procedimiento y la inscripción de la entidad en el registro de infracciones de Indecopi.
Las implicancias del fallo refuerzan la obligación de las entidades financieras de garantizar no solo mecanismos de autenticación robustos, sino también sistemas de alerta verificables y oportunos. Asimismo, se establece que la notificación inmediata de operaciones constituye un elemento esencial para la reacción del usuario ante posibles movimientos sospechosos, y que la carga de la prueba recae en el proveedor del servicio financiero para demostrar el cumplimiento de los estándares de seguridad exigidos.
