La Comisión de la Oficina Regional del Indecopi en Cajamarca, en segunda instancia administrativa, sancionó al Banco Pichincha con 3.49 UIT, equivalentes a S/ 18 671,50, por no haber implementado las medidas de seguridad necesarias que garantizaran la protección de sus clientes y que hubieran impedido que se realizaran operaciones fraudulentas por un monto superior a S/ 4 000 cargadas a la tarjeta de crédito del consumidor denunciante.
Según las indagaciones realizadas por el Indecopi, la entidad financiera vulneró el artículo 19° del Código de Protección y Defensa del Consumidor, que establece el deber de idoneidad, al no implementar medidas de autenticación reforzada necesarias para aprobar las operaciones fraudulentas que se llevaron a cabo desde un canal digital, específicamente a través de internet.”
Detalles de las operaciones fraudulentas
El caso que originó la denuncia se remonta a agosto de 2024, cuando el cliente de Cajamarca reportó tres cargos desconocidos en su tarjeta de crédito. Estos cargos, que el consumidor declaró no reconocer, sumaron un monto considerable, destacando dos operaciones principales. Las transacciones en cuestión fueron realizadas en un lapso muy breve, de tan solo 30 minutos.
Específicamente, el jueves 29 de agosto de 2024 a las 9:27 p.m. se registró un cargo de S/1 por la aplicación de taxi Didi, aunque este fue desestimado. Poco después, a las 9:41 p.m. del mismo día, se cargó un monto de S/ 3,699 bajo el concepto de “Xiaomi”, sugiriendo la compra de un celular. Finalmente, a las 9:50 p.m., se efectuó un cargo de S/ 546.50 por compras en Cineplanet.
Como medida correctiva, Indecopi ordenó al banco la devolución inmediata de los importes cargados indebidamente a la línea de crédito del afectado. Los montos a reembolsar suman S/ 4,245.50, desglosados en S/ 3,699 y S/ 546.50, además de S/ 36 por la tasa administrativa pagada. Banco Pichincha tiene un plazo de 15 días hábiles para cumplir con estas disposiciones desde la notificación oficial de la resolución.
LEE TAMBIÉN: De Aramco a UNO Corp: los giros inesperados en la venta de Primax por parte del Grupo Romero
Descargos del Banco Pichincha
En respuesta a la denuncia, Banco Pichincha presentó sus descargos iniciales, argumentando que las operaciones se realizaron válidamente. La entidad bancaria sostuvo que los movimientos se concretaron a través de comercios electrónicos utilizando información sensible de la tarjeta de crédito del cliente. Esta información incluía el número de tarjeta, el código CVV2 y la fecha de vencimiento.
El banco también señaló que la información utilizada para las transacciones era obligatoria en establecimientos virtuales y que su resguardo era responsabilidad del cliente. Pese a ello, precisaron que la operación de S/ 546.50 por Cineplanet había sido reembolsada temporalmente a la tarjeta por el comercio. Además, indicaron que la tarjeta no había sido reportada como robada o extraviada en esa fecha.
Pichincha concluyó que adoptó las medidas de seguridad adecuadas, afirmando que emitieron mensajes de texto al cliente por las operaciones. Adicionalmente, el banco indicó que las operaciones de S/3.699 y S/546.50 no rompían el comportamiento histórico del cliente, y que su entidad aplicó los mecanismos de seguridad respectivos.
La respuesta contundente de Indecopi
A pesar de los argumentos presentados por Banco Pichincha, Indecopi declaró infundado su descargo, basándose en la insuficiencia de factores de seguridad. Indecopi explicó que el factor de autenticación utilizado por el banco, que consistía en los datos del plástico de la tarjeta, corresponde a la categoría “Algo que el usuario conoce”.
Sin embargo, Indecopi enfatizó que el denunciado no demostró ni probó el empleo de ningún otro método de seguridad adicional al señalado. Esto significó que, en el caso particular, Banco Pichincha no observó el primer paso requerido para una autenticación reforzada. Por lo tanto, para que las compras de S/3.699 y S/546.50 fueran válidas, no solo se requerían los datos del plástico.
Indecopi aclaró que, adicionalmente a la exigencia de los datos del plástico, el proveedor debió haber requerido el empleo de otro factor de las categorías “Algo que el usuario posee” o “Algo que el usuario es”. Un ejemplo claro de esto sería la validación mediante una clave de seguridad dinámica remitida vía mensaje de texto al cliente. Esta ausencia fue clave en la decisión de Indecopi.
