Banco Pichincha sancionado por permitir cargos no autorizados de S/4,000 en tarjeta de cliente

Indecopi multa a Banco Pichincha por no implementar medidas de seguridad adecuadas ante operaciones fraudulentas

En una reciente resolución, la autoridad de protección al consumidor en Cajamarca sancionó al Banco Pichincha con una multa equivalente a 18,671.50 soles (3.49 UIT), tras detectar que la entidad financiera no adoptó las medidas de seguridad necesarias para prevenir transacciones no autorizadas en tarjetas de crédito de sus clientes. La sanción se fundamenta en que el banco permitió operaciones por un monto superior a los 4,000 soles sin contar con los protocolos de autenticación reforzada requeridos por la ley.

El caso se remonta a agosto de 2024, cuando un cliente de Cajamarca denunció tres cargos no reconocidos en su tarjeta, realizados en un lapso de 30 minutos. Estas transacciones incluyeron un cargo de un sol en una plataforma de taxis, posteriormente rechazado; un débito de 3,699 soles por una compra en Xiaomi; y otro de 546,50 soles en Cineplanet. La denuncia fue formalizada ante Indecopi, que inició una investigación y posteriormente dictó la sanción.

Según los hallazgos, el banco no aplicó autenticación reforzada — un método que requiere un segundo factor además de la información de la tarjeta — para aprobar operaciones digitales. Esto vulneró el artículo 19 del Código de Protección y Defensa del Consumidor, que establece la obligación de las instituciones financieras de garantizar la idoneidad en la protección de sus usuarios.

Pichincha argumentó que las operaciones se realizaron con datos de la tarjeta que estaban en su poder y que, además, la compra en Cineplanet fue temporalmente reembolsada por el comercio. La entidad también afirmó que las transacciones cumplían con los requisitos de validez y que se adoptaron mecanismos de seguridad, aunque Indecopi consideró que no fue suficiente.

La resolución obliga al banco a devolver los montos cargados indebidamente, que suman aproximadamente 4,245.50 soles, incluyendo una tasa administrativa. El plazo para cumplir con esta medida es de 15 días hábiles desde la notificación. Además, Indecopi resaltó que la autenticación utilizada por Pichincha, basada en datos que el usuario conoce, no cumple con los estándares de autenticación reforzada, que requieren un método adicional como una clave dinámica enviada por mensaje de texto.

Este caso evidencia la necesidad de que las instituciones financieras refuercen sus sistemas de seguridad ante el aumento de fraudes en canales digitales, especialmente en un contexto donde las operaciones en línea se vuelven cada vez más frecuentes y vulnerables a ataques de terceros. La multa a Pichincha se suma a sanciones previas del organismo, que en años anteriores impuso multas superiores a los 400,000 soles por otros incumplimientos relacionados con protección al consumidor.