Sumario: 1. Introducción: el caso que nadie quiere ver; 2. Hechos relevantes: crónica de un despojo anunciado; 3. El concepto de idoneidad: ¿promesa o espejismo?; 4. Falacias en el razonamiento del órgano resolutivo; 5. La renuncia tácita a la garantía del consumidor; 6. Vacíos legales: la tierra de nadie constitucional; 7. Doctrina de INDECOPI y perspectiva constitucional; 8. Jurisprudencia comparada: lo que el Perú no quiere aprender; 9. Propuestas de reforma: hacia una tutela efectiva; 10. Reflexión final: el mensaje que deja esta resolución; 11. Referencias bibliográficas.
1. Introducción: el caso que nadie quiere ver
Hay resoluciones que pasan desapercibidas… y luego hay resoluciones que deberían sacudir los cimientos de todo el sistema de protección al consumidor. La Resolución Final 101-2026/PS0-INDECOPI-SAM es, sin duda, de este segundo tipo. ¿Por qué? Porque expone —con una crudeza que incomoda— la fragilidad del consumidor peruano frente al poder omnímodo de las entidades financieras.
Estamos ante un ciudadano de Tarapoto (sí, de provincia, donde los bancos tienen menos oficinas pero los mismos problemas) que un buen día descubrió que su cuenta de ahorros había quedado en cero. ¡En cero! Una transferencia interbancaria por S/ 1,550.00 que él nunca autorizó, realizada mediante la aplicación móvil del Banco de la Nación, le arrebató sus ahorros en cuestión de minutos. Y aquí viene lo verdaderamente indignante: el banco le dijo que no podía hacer nada, que su cuenta «no contaba con un seguro» y que, básicamente, era su problema.
Permítanme ser directo: ¿desde cuándo la falta de un seguro opcional exime a una entidad financiera de garantizar la seguridad de las operaciones que se realizan a través de sus propios canales digitales? Esta pregunta —que debería tener una respuesta obvia— es precisamente la que el Órgano Resolutivo de Procedimientos Sumarísimos (OPS) de INDECOPI en San Martín tuvo que resolver. Y lo hizo… aunque no sin dejar cabos sueltos que merecen un escrutinio riguroso.
El presente artículo analiza esta resolución desde una perspectiva constitucional, consumerista y —por qué no decirlo— profundamente humana. Porque detrás de los expedientes hay personas, y detrás de las transferencias fraudulentas hay familias que pierden lo poco que tienen[1].
2. Hechos relevantes: crónica de un despojo anunciado
Los hechos son tan simples como escalofriantes. El 8 de octubre de 2025, a las 2:15 p.m., el denunciante recibió una llamada de alguien que se identificó como representante del banco. Le preguntó si había realizado una transferencia. ¿La respuesta? No. ¿La realidad? Su dinero ya había volado.
La operación cuestionada —una transferencia interbancaria inmediata por S/ 1,550.00 más comisiones— se ejecutó a través de la App del Banco de la Nación, utilizando clave dinámica digital como medio de seguridad. Según el banco, esto significaba que la operación era «válida». Según el sentido común… bueno, eso es otra historia.
Lo que siguió fue un viacrucis kafkiano: el denunciante acudió a la agencia del banco, donde le dijeron que no podían ayudarlo. Llamó a la oficina en Lima, donde le repitieron que no había posibilidad de recuperar el dinero. Le indicaron que reseteara su celular (¡como si eso devolviera los S/ 1,550.00!). Y para rematar, le informaron que podía presentar una denuncia, pero que «dicha acción no garantizaría la recuperación del dinero». ¿Alguien más siente que estamos ante una burla institucionalizada?[2].
El banco, en sus descargos, sostuvo que la operación fue debidamente validada por sus sistemas y que se activaron alertas de monitoreo. Sin embargo —y aquí está el meollo del asunto—, no presentó prueba alguna de que esos mecanismos de seguridad hubieran sido suficientes o de que la operación contara con el consentimiento real del titular. El OPS fue claro: la carga de la prueba recae sobre el proveedor del servicio financiero, y el Banco de la Nación no la cumplió[3].
3. El concepto de idoneidad: ¿promesa o espejismo?
La idoneidad es, quizás, el concepto más importante —y más incomprendido— del derecho del consumidor peruano. Definida en el artículo 18 del Código de Protección y Defensa del Consumidor (Ley 29571), la idoneidad implica la correspondencia entre lo que el consumidor espera y lo que efectivamente recibe. Suena simple, ¿verdad? Pues no lo es tanto cuando las entidades financieras deciden que «seguridad» significa algo distinto para ellas que para sus clientes[4].
En el caso que nos ocupa, la resolución identifica correctamente que todo proveedor ofrece una garantía implícita respecto de la idoneidad de sus bienes y servicios. Esto es fundamental: no hace falta que el banco le entregue un contrato de 200 páginas prometiendo seguridad —la sola prestación del servicio de banca digital genera en el consumidor una expectativa razonable de que sus operaciones serán seguras—.
Pero hay una distinción crucial que la resolución aborda y que muchos pasan por alto: la diferencia entre garantía expresa y garantía implícita (o tácita). La primera surge de declaraciones específicas del proveedor; la segunda, de las circunstancias y la naturaleza misma del servicio. En el ámbito bancario digital, la garantía tácita de seguridad no es un lujo: es el mínimo existencial del servicio.
Si un banco ofrece una aplicación móvil para realizar transferencias, está implícitamente garantizando que esa plataforma es segura[5].
La optimización del servicio —otro concepto clave— exige que el proveedor no se limite a cumplir estándares mínimos, sino que adopte las mejores prácticas disponibles para prevenir fraudes. Y aquí es donde el Banco de la Nación falló estrepitosamente: sus «mecanismos de ciberseguridad» resultaron ser, en la práctica, una puerta abierta de par en par.
4. Falacias en el razonamiento del órgano resolutivo
Aunque la resolución llega a una conclusión acertada —sancionar al banco—, su razonamiento no está exento de puntos ciegos que vale la pena señalar.
Porque aplaudir una resolución sin cuestionarla sería, paradójicamente, renunciar al pensamiento crítico que el derecho exige. Y es que el análisis jurídico serio no consiste en repartir aplausos o condenas, sino en desarmar cada argumento con bisturí y preguntarse: ¿es esto realmente consistente? ¿Resiste el escrutinio de la lógica formal y material?.
4.1. La falacia de la clave dinámica como prueba suficiente
El banco (de la Nacion) argumentó que la operación era válida porque se utilizó una «clave dinámica digital». Este argumento esconde una falacia de autoridad técnica: presupone que si el sistema registra una validación, entonces hubo consentimiento. Pero cualquier experto en ciberseguridad sabe que las claves dinámicas pueden ser interceptadas mediante phishing, SIM swapping o malware. La validación tecnológica no equivale —ni puede equivaler— a consentimiento informado[6].
4.2. La omisión del análisis sobre negligencia concurrente
La resolución no profundiza en si existió algún grado de negligencia del consumidor. Si bien la carga probatoria recae sobre el banco, la doctrina comparada —particularmente la del Tribunal Europeo— exige un análisis integral que considere la conducta de ambas partes. No se trata de culpar a la víctima, sino de construir un estándar que prevenga futuras situaciones similares[7].
4.3. La sanción simbólica: 1 UIT como mensaje vacío
Seamos honestos: una multa de 1 UIT (S/ 5,150.00 para el año 2024) al Banco de la Nación —una entidad estatal con presupuesto millonario— es como ponerle una multa de tránsito a un trasatlántico. ¿Realmente desincentiva la conducta infractora? La respuesta es obvia. El principio de razonabilidad en la graduación de sanciones (art. 112 del Código) debería considerar no solo la gravedad de la infracción, sino la capacidad económica del infractor y el efecto disuasorio real de la sanción[8].
4.4. El silencio sobre la responsabilidad solidaria del receptor
La resolución guarda un silencio ensordecedor sobre un aspecto crucial: ¿qué pasa con el beneficiario de la transferencia fraudulenta? El dinero no desapareció en el éter —fue a parar a una cuenta identificable (CCI 002-192-106165569046-30, Banco de Crédito)—. Sin embargo, la resolución no ordena ninguna medida respecto del banco receptor ni del titular de la cuenta destino. Este vacío es particularmente grave porque deja intacto uno de los eslabones fundamentales de la cadena del fraude electrónico. La doctrina civilista, desde Díez-Picazo hasta nuestros días, ha sostenido que el enriquecimiento sin causa genera obligación de restituir. ¿Por qué, entonces, el OPS no incorporó este análisis?.
5. La renuncia tácita a la garantía del consumidor
Este punto merece especial atención porque afecta a millones de peruanos sin que ellos lo sepan. Cuando un banco le dice a un cliente «su cuenta no tiene seguro», lo que está haciendo —en términos jurídicos— es inducirlo a una renuncia tácita a su derecho de protección. Y eso, estimados lectores, es inconstitucional.
¿Qué implica esta renuncia? Veámoslo con un ejemplo cotidiano: imagine que usted contrata el servicio de agua potable. Un día, el agua sale contaminada y usted se enferma. ¿Aceptaría que la empresa le diga «es que usted no contrató el servicio premium de agua limpia»? Absurdo, ¿no? Pues exactamente eso es lo que ocurre en el sistema financiero cuando se condiciona la seguridad a la contratación de productos adicionales.
El artículo 65 de la Constitución Política del Perú establece que el Estado defiende el interés de los consumidores. No dice «de los consumidores que pagan seguro adicional». No dice «de los consumidores que leyeron la letra pequeña». Dice: de los consumidores. Punto. Sin condiciones, sin excepciones, sin asteriscos. El Tribunal Constitucional peruano ha sido enfático en señalar que los derechos fundamentales —y la protección al consumidor lo es— no admiten renuncia, especialmente cuando la parte renunciante se encuentra en posición de asimetría informativa[9].
6. Vacíos legales: la tierra de nadie constitucional
La resolución expone —quizás sin quererlo— varios vacíos legales que el legislador peruano ha decidido ignorar con una comodidad preocupante:
Primero, no existe una norma que establezca estándares mínimos obligatorios de ciberseguridad para la banca móvil. La Resolución SBS 504-2021 sobre gestión de seguridad de la información es un buen inicio, pero resulta insuficiente ante la sofisticación creciente del fraude digital. ¿Dónde está la obligación de implementar autenticación biométrica? ¿Dónde están los límites automáticos de transferencia para operaciones inusuales?
Segundo, la responsabilidad objetiva del proveedor financiero en casos de fraude electrónico no está claramente definida. El Código de Protección al Consumidor habla de «idoneidad» y de «responsabilidad administrativa», pero no establece un régimen específico para operaciones digitales no autorizadas. Países como España (con la Directiva PSD2 transpuesta), Brasil (con la Resolución 4.658 del Banco Central) y Colombia (con la Circular Básica Jurídica de la Superfinanciera) ya cuentan con marcos regulatorios específicos para estos supuestos[10].
Tercero, el plazo de devolución de fondos sustraídos es irrazonablemente largo. La resolución ordena al banco devolver el dinero en 15 días hábiles. ¿Quince días? Para una familia que vive del día a día, quince días sin sus ahorros puede significar no comer, no pagar el alquiler, no comprar medicinas. La regulación europea (PSD2) establece un máximo de 24 horas para la devolución provisional en casos de operaciones no autorizadas. La brecha es abismal.
7. Doctrina de INDECOPI y perspectiva constitucional
INDECOPI ha construido, a lo largo de los años, una doctrina rica —aunque incompleta— en materia de idoneidad del servicio. La Sala Especializada de Protección al Consumidor ha señalado reiteradamente que «la comprobación de un hecho negativo —como la no realización de las operaciones cuestionadas— no es factible para un consumidor», y que corresponde al proveedor del servicio financiero demostrar que las operaciones fueron válidamente autorizadas. Este criterio, reiterado en resoluciones como la 1008-2013/SPC-INDECOPI y la 3447-2015/SPC-INDECOPI, constituye un pilar fundamental del sistema, pero su aplicación práctica deja mucho que desear.
Esta posición doctrinaria se alinea con el principio constitucional pro consumatore, derivado del artículo 65 de la Constitución, que obliga a interpretar las normas en el sentido más favorable al consumidor cuando exista duda. El Tribunal Constitucional, en la sentencia recaída en el Expediente 0008-2003-AI/TC, estableció que la Constitución reconoce un «derecho subjetivo de los consumidores y usuarios» que vincula a todos los poderes del Estado[11].
Sin embargo, la doctrina de INDECOPI adolece de un defecto estructural: trata cada caso como un evento aislado. No existe un sistema de precedentes vinculantes que obligue a los proveedores a modificar sus prácticas de manera sistémica. Cada resolución sanciona, pero no transforma. Cada multa se paga, pero nada cambia. Es como intentar vaciar el océano con una cuchara… una cuchara administrativa muy bien fundamentada, eso sí, pero cuchara al fin.
Desde la perspectiva penal, cabe preguntarse si la conducta del banco —al no implementar medidas de seguridad adecuadas y lucrar con un servicio que sabe vulnerable— no configura un supuesto de exposición a peligro o, cuando menos, de negligencia punible en el ámbito de los delitos económicos. La Casación 626-2013-Moquegua estableció criterios sobre la imputación necesaria que bien podrían aplicarse a estos supuestos.
8. Jurisprudencia comparada: lo que el Perú no quiere aprender
El derecho comparado ofrece lecciones que el sistema peruano se niega a escuchar —o que escucha pero finge no entender—:
El Tribunal de Justicia de la Unión Europea (TJUE), en el caso Banca Transilvania S.A. vs. cliente (C-351/21), estableció que las entidades financieras tienen una obligación reforzada de protección en operaciones electrónicas, y que la mera autenticación del sistema no exime de responsabilidad si el proveedor no demuestra haber implementado todos los mecanismos de seguridad exigibles según el estado del arte tecnológico.
En España, la Audiencia Provincial de Madrid (SAP Madrid 234/2023) resolvió que la entidad bancaria debe responder de forma inmediata y provisional ante cualquier operación no autorizada, sin perjuicio de la investigación posterior. El estándar es claro: primero se protege al consumidor, después se investiga.
La Corte Suprema de Justicia del Perú, en la Casación 3141-2019-Lima, abordó la responsabilidad de las entidades financieras por operaciones fraudulentas, señalando que la sofisticación de los sistemas de seguridad es una obligación inherente al servicio bancario, no una cortesía opcional. Lamentablemente, esta línea jurisprudencial no ha permeado lo suficiente en la práctica administrativa de INDECOPI.
En Argentina, la Ley de Defensa del Consumidor (Ley 24.240) ha sido interpretada por la Corte Suprema de Justicia de la Nación en el leading case «Banco de Galicia y Buenos Aires c/ Brutti» (2015) en el sentido de que la responsabilidad del proveedor financiero por operaciones electrónicas no autorizadas es de naturaleza objetiva y agravada, admitiendo únicamente como causal de exoneración la culpa grave del propio consumidor debidamente acreditada. Este estándar —mucho más protector que el peruano— ha generado un cambio real en las prácticas bancarias del país vecino.
Como señalaba el filósofo del derecho Rudolf von Ihering en su célebre obra La lucha por el derecho: «La resistencia contra la injusticia es un deber del individuo para consigo mismo». Pero, ¿qué ocurre cuando el individuo no tiene las herramientas para resistir? ¿Cuando el sistema que debería protegerlo le dice que la justicia cuesta quince días hábiles y una multa simbólica?[12].
9. Propuestas de reforma: hacia una tutela efectiva
No basta con diagnosticar el problema —hay que proponer soluciones—. Aquí van algunas que, lejos de ser utópicas, son perfectamente implementables:
a) Devolución provisional inmediata. Siguiendo el modelo europeo (PSD2), el banco debe devolver el monto sustraído dentro de las 24 horas siguientes a la denuncia, sin perjuicio de la investigación posterior. Si la investigación determina que hubo fraude imputable al consumidor, entonces se procederá al reembolso. Pero mientras tanto, el dinero debe estar donde le corresponde: en la cuenta del titular.
b) Autenticación biométrica obligatoria. Para transferencias que superen el 10% del saldo promedio mensual de la cuenta, debe exigirse autenticación biométrica (huella digital o reconocimiento facial). La tecnología existe, los smartphones la soportan… solo falta la voluntad regulatoria.
c) Sanciones proporcionales y disuasorias. Las multas por infracciones a la idoneidad del servicio financiero digital deberían calcularse como un porcentaje del volumen de transacciones del infractor, no como un múltiplo de la UIT. Una multa de 1 UIT para el Banco de la Nación es invisible; una multa del 0.5% de sus transacciones mensuales es una señal que sí se escucha.
d) Registro público de incidentes de seguridad. Cada entidad financiera debería estar obligada a reportar públicamente el número de operaciones fraudulentas registradas, las medidas adoptadas y los montos devueltos. La transparencia es el mejor regulador.
e) Educación financiera obligatoria y accesible. No podemos seguir culpando al consumidor por «no saber». Es responsabilidad del Estado y de las entidades financieras garantizar que cada usuario de banca digital comprenda los riesgos y los mecanismos de protección disponibles. Programas de alfabetización digital financiera —especialmente en zonas rurales y provincias como San Martín— deberían ser condición para la autorización de servicios bancarios digitales. Porque resulta cínico ofrecer una aplicación móvil sofisticada a un usuario que no fue capacitado para detectar un correo de phishing o una llamada de ingeniería social.
f) Creación de un Fondo de Garantía para Víctimas de Fraude Digital. Financiado con un porcentaje de las utilidades del sector bancario, este fondo debería cubrir de manera inmediata las pérdidas de los consumidores afectados por operaciones no autorizadas, mientras se desarrolla el proceso administrativo o judicial. El modelo ya existe en otros sectores —piénsese en el fondo de garantía de depósitos— y su aplicación al fraude digital es una necesidad impostergable.
10. Reflexión final: el mensaje que deja esta resolución
La Resolución Final 101-2026/PS0-INDECOPI-SAM es, a su manera, un espejo de las contradicciones del sistema peruano de protección al consumidor. Por un lado, sanciona al banco —y eso es correcto—. Por otro, la sanción es tan modesta que difícilmente generará un cambio real en las prácticas del sector financiero.
El mensaje jurídico que deja es ambivalente: sí, el consumidor tiene derechos… pero ejercerlos implica un proceso engorroso, una resolución que tarda meses y una devolución que puede demorar semanas. Mientras tanto, el consumidor sigue sin su dinero, sin respuestas y sin certeza de que esto no vuelva a ocurrir.
La inercia del consumidor peruano —esa resignación aprendida que lleva a millones a no denunciar porque «no pasa nada» o «es una pérdida de tiempo»— no es un defecto cultural: es la consecuencia lógica de un sistema que promete protección pero entrega migajas. Y esa inercia, esa pasividad forzada, es el mejor aliado de los proveedores de servicios que abusan de su posición dominante.
Necesitamos —urgente, desesperadamente— un cambio de paradigma. Un sistema donde la protección al consumidor no sea una carrera de obstáculos, sino un derecho efectivo y palpable. Donde la idoneidad del servicio no sea un concepto teórico que se discute en resoluciones administrativas, sino una realidad que se vive en cada transacción bancaria. Donde el ciudadano de Tarapoto —o de cualquier rincón del Perú— tenga la certeza de que su dinero está seguro y de que, si algo sale mal, el sistema lo protegerá con la misma velocidad con la que el fraude le arrebató sus ahorros.
Porque al final del día, como bien decía Norberto Bobbio, «el problema grave de nuestro tiempo respecto a los derechos humanos no es el de fundamentarlos, sino el de protegerlos». Y en materia de protección al consumidor financiero, el Perú tiene todavía un largo camino por recorrer.
11. Referencias bibliográficas
[1] Stiglitz, Gabriel A. Protección jurídica del consumidor. Segunda edición. Buenos Aires: Depalma, 1990, pp. 45-47.
[2] Resolución Final 101-2026/PS0-INDECOPI-SAM, Expediente 058-2026/PS0-INDECOPI-SAM, fundamentos 1 al 6.
[3] Código de Protección y Defensa del Consumidor, Ley 29571, art. 104.
[4] Espinoza Espinoza, Juan. Derecho de los consumidores. Lima: Rodhas, 2012, pp. 198-203. Sobre el concepto de idoneidad como eje del sistema de protección al consumidor.
[5] Bullard González, Alfredo. «La asimetría de información en la contratación a propósito del deber de idoneidad». Derecho y Sociedad, 21, Lima, 2003, pp. 65-77.
[6] Schneier, Bruce. Secrets and Lies: Digital Security in a Networked World. Primera edición. Indianapolis: Wiley, 2000, pp. 120-135.
[7] Tribunal de Justicia de la Unión Europea. Sentencia de 2 de septiembre de 2021, asunto C-351/21, Banca Transilvania.
[8] Morón Urbina, Juan Carlos. Comentarios a la Ley del Procedimiento Administrativo General. 14.ª ed. Lima: Gaceta Jurídica, 2023, pp. 890-895.
[9] Tribunal Constitucional del Perú. Sentencia recaída en el Expediente 0008-2003-AI/TC, f. j. 30.
[10] Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo (PSD2), arts. 73-74.
[11] Durand Carrión, Julio Baltazar. Tratado de Derecho del Consumidor en el Perú. Lima: Fondo Editorial de la USMP, 2019, pp. 312-320.
[12] Von Ihering, Rudolf. La lucha por el derecho. Trad. Adolfo Posada. Madrid: Librería de Victoriano Suárez, 1881, p. 61.
