El Indecopi sancionó a un banco tras determinar que no pudo demostrar técnicamente que una operación digital cuestionada por un cliente fue realmente autorizada, reforzando así el criterio de que la carga de probar la validez de la transacción recae en la entidad financiera. El caso se originó cuando un usuario denunció que, luego de recibir una llamada de una persona que se hizo pasar por representante de una entidad financiera, descubrió que desde su cuenta se había realizado una transferencia vía aplicativo móvil por S/ 1,550 que aseguró nunca haber autorizado. El cliente indicó que bloqueó inmediatamente su cuenta y posteriormente acudió a una agencia bancaria, donde —según relató— se le informó que no podrían devolverle el dinero porque su cuenta no tenía un seguro asociado.

Durante el procedimiento, la entidad sostuvo que la operación cuestionada cumplió con sus mecanismos de seguridad y que incluso generó alertas internas, tras lo cual se habría contactado al cliente para validar la transacción. Sin embargo, el Indecopi consideró que esas afirmaciones no fueron sustentadas con pruebas técnicas suficientes, como registros de autenticación, logs de acceso o grabaciones que acreditaran que el titular autorizó realmente la operación. Además, recordó que, en este tipo de casos, corresponde al banco demostrar la validez de la transacción debido a que posee el control y acceso a la información técnica del sistema financiero.

Bajo ese análisis, el órgano resolutivo concluyó que la entidad financiera incumplió el deber de idoneidad previsto en el Código de Protección y Defensa del Consumidor, al no garantizar condiciones razonables de seguridad en el servicio digital brindado. Como consecuencia, ordenó devolver al consumidor los S/ 1,550 correspondientes a la operación no reconocida, impuso una multa de 1 UIT y dispuso el pago de costas del procedimiento.

Bancos deberán acreditar técnicamente operaciones cuestionadas en fraudes digitales | Foto: Istock

La carga de la prueba en operaciones digitales

Víctor Valdez, socio de Valdez & Cía, señaló que en los casos de transferencias no reconocidas no existe una responsabilidad automática del banco solo porque el consumidor desconozca la operación. No obstante, aclaró que una vez acreditada la existencia de la transacción y el reclamo del usuario, la entidad financiera debe demostrar técnicamente que la operación fue autenticada, autorizada y registrada correctamente, ya que es quien administra el canal digital y conserva toda la información técnica. El abogado sostuvo que no es razonable exigir al consumidor probar cómo se ejecutó internamente una operación dentro del sistema del banco ni acreditar un hecho negativo, como no haber realizado la transferencia.

Por ello, la discusión probatoria se traslada hacia la entidad financiera, que debe aportar registros de autenticación, trazabilidad, logs de acceso y demás elementos técnicos que permitan reconstruir la transacción cuestionada. En esa línea, Waldo Borda, asociado senior de Hernández & Cía., consideró que el Indecopi viene adoptando una posición cada vez más exigente respecto de las medidas de seguridad implementadas por los bancos. Sin embargo, advirtió que el consumidor también debería aportar ciertos elementos mínimos y que, en algunos casos, la autoridad estaría trasladando de forma muy amplia la carga probatoria al banco.

La validez de claves, tokens y autenticación

Valdez indicó que no basta con que la entidad financiera afirme que se utilizaron correctamente las claves, el token o el dispositivo del usuario. Según explicó, el banco debe acreditar específicamente cómo operaron sus mecanismos de seguridad en la transacción concreta cuestionada y demostrar que la autenticación reforzada exigida por la SBS funcionó adecuadamente.

En esa línea, Borda explicó que los mecanismos de seguridad existen precisamente para validar la voluntad del usuario en operaciones digitales. El sistema se basa, según indicó, en que las claves secretas, tokens dinámicos y demás elementos de autenticación permanezcan bajo control exclusivo del cliente. Si el banco logra acreditar técnicamente que dichos mecanismos fueron utilizados correctamente, en principio la operación debería considerarse válida, consideró.

Sin embargo, señaló que la discusión actual ya no se concentra únicamente en la autenticación, sino también en la capacidad de las entidades financieras para detectar operaciones inusuales o patrones anómalos de consumo antes de que se concrete un fraude. Para ello, mencionó que las entidades deberían presentar evidencia técnica verificable, como registros de autenticación, identificación del dispositivo, dirección IP, factores de autenticación utilizados, alertas generadas, códigos criptográficos y comunicaciones remitidas al usuario.

Respecto a los casos de phishing, llamadas falsas o ingeniería social, Valdez sostuvo que estos hechos no liberan automáticamente de responsabilidad a las entidades financieras, aunque tampoco implican que el banco responda de forma automática. Cada caso debe analizarse individualmente considerando si la entidad cumplió adecuadamente con sus obligaciones de autenticación, monitoreo, alertas, bloqueo y conservación de evidencia, según explicó.

Asimismo, indicó que una entidad financiera podría exonerarse de responsabilidad si demuestra que actuó diligentemente, aplicó correctamente las medidas de seguridad exigidas y que el perjuicio se produjo por una causa externa atribuible al usuario o a terceros. Borda coincidió en que muchos fraudes digitales terminan involucrando situaciones en las que el propio usuario entrega o expone sus credenciales mediante engaños o descuidos.

Fraudes digitales y banca móvil: los límites de responsabilidad que analiza Indecopi. (Foto: iStock)

Valdez explicó que, aunque el cliente puede haber fallado en custodiar sus claves, dispositivos o tokens de autenticación —lo que trasladaría parte de la responsabilidad hacia el consumidor—, incluso en esos casos surge un nuevo debate sobre el deber del banco de monitorear operaciones sospechosas, cambios abruptos de consumo o patrones de riesgo que activen alertas preventivas. A su criterio, resoluciones como esta podrían elevar los estándares de ciberseguridad y trazabilidad en el sistema financiero: las entidades ya no solo deberán implementar controles, sino también conservar evidencia auditable suficiente para demostrar, operación por operación, que sus mecanismos funcionaron correctamente. En ese contexto, señaló que probablemente se reforzarán sistemas de monitoreo antifraude, alertas tempranas, conservación de logs, gestión de dispositivos y mecanismos de respuesta frente a incidentes digitales.

Por su parte, Borda consideró que la resolución comentada no representa necesariamente un cambio drástico de criterio, pues el caso concreto estuvo marcado por la ausencia de documentación técnica suficiente por parte del banco. Sin embargo, advirtió que este tipo de controversias son cada vez más frecuentes debido al crecimiento de las operaciones digitales y al aumento de fraudes mediante aplicativos y canales no presenciales.

Gerardo Rosales Diaz linkedin

Abogado especialista encargado de Enfoque Legal en Diario Gestión - Actualmente, ocupa la posición de analista legal en el área de Economía en el Diario Gestión.

Leer artículo completo en gestion.pe →