Indecopi sanciona a banco y le obliga a devolver a cliente S/ 9.000 tras retiros no reconocidos en cajeros: el detalle del caso

Indecopi confirmó en segunda instancia una sanción contra Banco BBVA Perú por no acreditar la validez de tres retiros realizados en cajeros automáticos que un cliente desconoció. La autoridad concluyó que la entidad financiera no cumplió con todos los requisitos de seguridad exigidos por la normativa vigente, lo que derivó en una multa y en la obligación de devolver el dinero afectado.

El caso se originó a partir de una denuncia presentada en noviembre de 2025, luego de que el usuario reportara operaciones por S/ 3.000 cada una, efectuadas en días consecutivos. Aunque el banco sostuvo que las transacciones eran válidas, la evaluación administrativa determinó que existieron fallas en el proceso, especialmente en la notificación oportuna de los movimientos, un elemento clave para detectar posibles fraudes.

Retiros cuestionados y origen del conflicto

Según el expediente, los retiros se realizaron los días 26, 27 y 28 de octubre de 2025 mediante cajeros automáticos, sumando un total de S/ 9.000. El cliente negó haber efectuado dichas operaciones, lo que motivó la denuncia por presuntas infracciones al Código de Protección y Defensa del Consumidor.

En primera instancia, el órgano resolutivo determinó que el banco no pudo demostrar de manera suficiente que las transacciones se realizaron conforme a las condiciones de seguridad exigidas. Por ello, impuso una multa de 3,78 UIT y ordenó la devolución del dinero, además de intereses generados desde la última operación.

¿Qué evaluó Indecopi para tomar su decisión?

La Comisión analizó el cumplimiento del llamado “deber de idoneidad”, que implica que los servicios financieros deben ajustarse a lo que razonablemente espera el consumidor. En este caso, también se consideraron las obligaciones establecidas en el reglamento de ciberseguridad aplicable a canales digitales como los cajeros automáticos.

Entre los criterios revisados, se incluyeron tres elementos fundamentales: el uso de al menos dos factores de autenticación, la generación de un código único para cada operación y la notificación inmediata al usuario tras ejecutarse la transacción.

Aunque se comprobó que el retiro implicó el uso de tarjeta y clave secreta —dos factores válidos de autenticación—, así como la generación de códigos criptográficos, la autoridad detectó inconsistencias en el tercer requisito.

La falla clave: notificaciones fuera de tiempo

El punto decisivo fue la falta de evidencia que demostrara que las operaciones fueron notificadas al cliente de forma inmediata. Los registros mostraron diferencias entre la hora de ejecución de los retiros y el momento en que se comunicaron al usuario.

El banco argumentó que la discrepancia se debía al uso del horario UTC en sus sistemas, lo que generaba un desfase de cinco horas respecto al horario peruano. Sin embargo, la Comisión concluyó que esta explicación no estuvo respaldada por pruebas suficientes que acreditaran la correspondencia exacta entre ambas horas.

En ese sentido, la resolución señala que la sola afirmación del desfase horario no basta para desvirtuar la inconsistencia detectada, especialmente considerando que la entidad financiera cuenta con mayores recursos para demostrar la trazabilidad de sus operaciones.

Multa confirmada y devolución obligatoria

Tras evaluar los argumentos del banco, la Comisión decidió confirmar íntegramente la sanción impuesta. También rechazó el pedido de la entidad de anular o reducir la multa, al considerar que fue calculada conforme a la metodología legal vigente y en función de la gravedad del caso.

Además, se ratificó la medida correctiva que obliga al banco a devolver los S/ 9.000 al cliente, junto con los intereses correspondientes. La entidad también deberá pagar S/ 36 por concepto de costas del procedimiento y será inscrita en el registro de infracciones del Indecopi.

Implicancias para el sistema financiero

El fallo refuerza la obligación de las entidades financieras de garantizar no solo mecanismos de autenticación robustos, sino también sistemas de alerta eficaces y verificables. La notificación inmediata de operaciones es considerada una herramienta esencial para que los usuarios puedan reaccionar ante movimientos sospechosos.

Asimismo, la resolución deja en claro que, ante controversias por operaciones no reconocidas, la carga de la prueba recae en el proveedor del servicio financiero, quien debe demostrar que cumplió con todos los estándares de seguridad exigidos.