La Comisión Regional de Indecopi en Cajamarca, Perú impuso una multa de 3,49 UIT, equivalente a S/ 18.671,50, al Banco Pichincha S.A.A. por no implementar medidas de seguridad adecuadas que evitaron transacciones fraudulentas superiores a S/ 4.000 en la tarjeta de crédito de un cliente. La sanción, confirmada en segunda instancia administrativa, responde a la falta de autenticación reforzada en operaciones digitales, incumpliendo el artículo 19° del Código de Protección y Defensa del Consumidor. Además, la entidad deberá reembolsar S/ 4.245,50 al afectado, incluyendo S/ 36 por tasas administrativas, en un plazo de 15 días hábiles.

El caso, originado en agosto de 2024, involucró tres cargos no autorizados detectados en menos de 30 minutos en la tarjeta de crédito de un consumidor de Cajamarca. Según la resolución de Indecopi, las transacciones incluyeron un cargo de S/ 1 en la aplicación Didi (posteriormente anulado), S/ 3.699 bajo el concepto “Xiamo” (probablemente una compra de un celular Xiaomi) y S/ 546,50 en Cineplanet. Estas operaciones, realizadas el 29 de agosto de 2024 entre las 9:27 p.m. y 9:50 p.m., fueron denunciadas por el cliente, quien afirmó no haberlas autorizado.

Fraude y respuestas del banco

Tras la denuncia, Indecopi inició un procedimiento administrativo sancionador el 17 de diciembre de 2024. Banco Pichincha argumentó que las transacciones se realizaron con datos sensibles de la tarjeta, como el número, CVV2 y fecha de vencimiento, cuya custodia, según la entidad, era responsabilidad del cliente. Además, señaló que la tarjeta no estaba reportada como robada y que Cineplanet reembolsó temporalmente los S/ 546,50. La entidad también afirmó haber enviado mensajes de texto al cliente como medida de seguridad. Además, indicó que los cargos no se desviaban del comportamiento histórico del usuario.

Sin embargo, Indecopi desestimó estos argumentos, concluyendo que el banco no aplicó un segundo factor de autenticación, como un código dinámico enviado por SMS, obligatorio para transacciones en línea. La autoridad determinó que el uso exclusivo de datos de la tarjeta, considerados como “algo que el usuario conoce”, no cumplía con los estándares de autenticación reforzada. El planteamiento dejó al consumidor vulnerable a fraudes digitales.

Antecedentes de la sanción

La multa refleja la creciente preocupación por la seguridad en transacciones digitales en Perú. Las entidades financieras están obligadas a implementar medidas robustas para proteger a los usuarios. El artículo 19° del Código de Protección y Defensa del Consumidor exige a los proveedores garantizar la idoneidad de sus servicios. La garantía incluye sistemas de seguridad que prevengan fraudes. En este caso, la omisión de Banco Pichincha permitió que terceros realizaran compras no autorizadas, afectando directamente al cliente.

Este no es el primer caso en el que Banco Pichincha enfrenta sanciones en Perú. En septiembre de 2024, Indecopi impuso una multa de 90 UIT (S/ 463.500) a la entidad. La multa se realizó luego de que se establecieran criterios de edad discriminatorios para el acceso a préstamos, según resolución 2395-2024/SPC-Indecopi. Estas sanciones subrayan la necesidad de que las instituciones financieras fortalezcan sus políticas de seguridad y cumplan con las normativas de protección al consumidor.

Impacto y medidas correctivas

Como parte de la resolución, Banco Pichincha tiene hasta 15 días hábiles desde la notificación para devolver los S/ 4.245,50 al cliente afectado, desglosados en S/ 3.699, S/ 546,50 y S/ 36 por tasas administrativas. La resolución, identificada como N.º 0193-2025/INDECOPI-CAJ, es firme y está disponible para consulta pública. Este caso refuerza la importancia de que las entidades financieras adopten medidas de autenticación reforzada. Alternativas como claves dinámicas o validaciones biométricas, podrían prevenir fraudes en canales digitales.

Indecopi continúa supervisando el cumplimiento de las normativas de protección al consumidor, mientras los usuarios son instados a reportar cualquier irregularidad en sus transacciones financieras. Este incidente destaca la relevancia de la ciberseguridad en el sector bancario y la responsabilidad de las instituciones de salvaguardar los intereses de sus clientes.