En agosto de 2025, la Comisión Regional de Indecopi en Cajamarca sancionó a Banco Pichincha S.A.A. con una multa de 3,49 UIT (Unidad Impositiva Tributaria), equivalente a S/ 18 671,50 (USD ≈ 5 046,35), debido a deficiencias en sus sistemas de seguridad digital. La sanción surge tras determinar que la entidad no aplicó autenticación reforzada en transacciones realizadas por internet que resultaron fraudulentas, vulnerando el artículo 19° del Código de Protección y Defensa del Consumidor, relacionado con el deber de idoneidad.
Como medida correctiva, Indecopi ordenó al banco devolver S/ 4 245,50 (USD ≈ 1 147,43) al consumidor afectado, monto compuesto por S/ 3 699 (USD ≈ 999,73) y S/ 546,50 (USD ≈ 147,70), además de S/ 36 por la tasa administrativa pagada por el denunciante. El banco cuenta con un plazo de 15 días hábiles desde la notificación para cumplir con estas disposiciones.
Tabla de contenidos
Detalles del fraude detectado
El caso se remonta a la noche del 29 de agosto de 2024, cuando un cliente en Cajamarca identificó tres cargos no reconocidos en su tarjeta de crédito en menos de 30 minutos:
- 9:27 p.m.: Cargo de S/ 1 (USD ≈ 0,27) en la app de taxi Didi (posteriormente anulado).
- 9:41 p.m.: Cargo de S/ 3 699 (USD ≈ 999,73) bajo el concepto “Xiamo”, posiblemente relacionado con una compra de un celular Xiaomi.
- 9:50 p.m.: Cargo de S/ 546,50 (USD ≈ 147,70) en Cineplanet.
El consumidor presentó la denuncia ante Indecopi, que abrió un procedimiento administrativo sancionador.
Descargos del banco y fallo de Indecopi
Banco Pichincha argumentó que las operaciones se realizaron válidamente en comercios electrónicos utilizando la información sensible de la tarjeta (número, CVV2, fecha de vencimiento), datos que, según la entidad, debía resguardar el cliente. También señaló que la tarjeta no había sido reportada como robada o extraviada y que los cargos estaban dentro del comportamiento histórico del cliente; además, Cineplanet habría realizado un reembolso temporal de S/ 546,50 (USD ≈ 147,70). El banco destacó que envió mensajes de texto al cliente como medida de seguridad.
Sin embargo, Indecopi determinó que estas medidas fueron insuficientes, ya que el banco no aplicó un método adicional de autenticación (como código dinámico por SMS), lo que habría sido necesario dada la naturaleza de las operaciones en línea. La autoridad concluyó que la entidad bancaria incumplió el deber de idoneidad y protección al consumidor.
