La Comisión de la Oficina Regional del Indecopi Áncash – sede Chimbote confirmó una sanción contra BBVA Perú al concluir que la entidad permitió la realización de cuatro operaciones no reconocidas efectuadas mediante banca móvil. El caso se originó tras una denuncia presentada por una usuaria por operaciones registradas durante abril de 2025, respecto de las cuales la entidad sostuvo que sí habían sido autorizadas mediante sus mecanismos de seguridad.
El procedimiento avanzó por dos instancias administrativas y se centró en determinar si el banco cumplió con las exigencias previstas en el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad. La hecho estuvo vinculado al uso del token digital, la autenticación reforzada y los mecanismos empleados para validar operaciones realizadas mediante canales digitales:
Confirmar la Resolución Final 0156-2025/PS0-INDECOPI-CHT del 31 de octubre de 2025, emitida por el Órgano Resolutivo de Procedimientos Sumarísimos de Protección al Consumidor de la Oficina Regional del Indecopi Ancash – Sede Chimbote, que resolvió sancionar a Banco BBVA Perú S.A. […] al haberse acreditado que permitió que en forma indebida el 11 y 12 de abril de 2025, se realicen cuatro (04) operaciones con cargo a la Tarjeta de Débito de titularidad de la denunciante.
Denuncia se presentó por cuatro operaciones registradas en abril
La resolución señala que el procedimiento comenzó el 6 de junio de 2025, cuando la usuaria presentó una denuncia contra la entidad bancaria por una presunta infracción al Código de Protección y Defensa del Consumidor. Según la imputación formulada posteriormente por el órgano resolutivo, el banco «no habría adoptado las medidas de seguridad necesarias» para impedir cuatro operaciones realizadas los días 11 y 12 de abril de 2025, las cuales «no fueron realizadas por su persona y no corresponden a su comportamiento habitual».
Inscríbete aquí Más información
La imputación precisó que las operaciones observadas correspondían a movimientos identificados como PagoEfectivo Soles, registrados en dos fechas distintas y efectuados con cargo a una tarjeta de débito vinculada a la denunciante. A partir de ello se inició el procedimiento administrativo sancionador mediante Resolución 01 del 27 de agosto de 2025.
BBVA sostuvo que operaciones fueron autorizadas mediante token digital
Durante sus descargos, presentados el 11 de septiembre de 2025, el banco afirmó que la usuaria «se encontraba correctamente enrolada y con Token Digital como medida de seguridad para la validación de las transacciones». También señaló que la cliente «habría iniciado sesión de manera válida en su Banca Móvil con sus credenciales, esto es, su DNI y clave de acceso».
La entidad indicó además que «para la autorización de las operaciones de transferencia se habría utilizado un código único de autenticación (CUA), al cual le denominan clave token». Agregó que dicho mecanismo «sería generado a partir de los datos de cada operación solicitada, es decir, de manera individual».
El banco también alegó que «respecto al primer paso del proceso de autenticación reforzada» utilizó «una combinación de dos factores de autenticación que corresponderían a categorías diferentes». Según sostuvo, empleó «la credencial o contraseña de acceso de seis dígitos» y «el Softoken o Token digital».
Lea más l Indecopi multa a BBVA con más de S/1.5 millones por realizar llamadas spam
Primera instancia concluyó que las operaciones fueron permitidas indebidamente
Mediante Resolución Final 0156-2025 emitida el 31 de octubre de 2025, el Órgano Resolutivo de Procedimientos Sumarísimos concluyó que quedó acreditado que BBVA «permitió que en forma indebida» se efectuaran las operaciones cuestionadas. Asimismo, ordenó como medida correctiva la devolución de los montos involucrados y el pago de costas del procedimiento.
Posteriormente, el banco interpuso recurso de apelación el 21 de noviembre de 2025. En dicho recurso sostuvo que «la autoridad ha realizado una interpretación incorrecta» de sus argumentos y afirmó que «el Token Digital y el OTP […] son factores diferentes». También señaló que la decisión emitida resultaba «arbitraria» y solicitó revocar la resolución.
Comisión evaluó los requisitos de autenticación reforzada
Durante el análisis del caso, la Comisión indicó que el artículo 19 del Reglamento de Ciberseguridad exige el cumplimiento de tres pasos para la autenticación reforzada: «utilizar una combinación de factores de autenticación», «generar un código de autenticación mediante métodos criptográficos» y «notificar los datos de la operación al usuario».
La resolución señaló que quedó acreditado que la denunciante se encontraba afiliada a la banca móvil y tenía activo el token digital antes de las operaciones observadas. Sin embargo, precisó que ello no resolvía la controversia respecto del cumplimiento de los demás requisitos previstos por la regulación aplicable.
Comisión descartó interpretación presentada por la entidad bancaria
Al resolver la apelación, la autoridad administrativa indicó que «si la clave token ha sido utilizada como uno de los factores de autenticación […] no puede ser utilizado como control ante ataques de hombre en el medio». Agregó que una interpretación distinta implicaría aplicar el Reglamento de Ciberseguridad «con alcances distintos a los expresamente previstos».
La resolución añadió además que, aun cuando un oficio de la SBS señaló que la clave token podía constituir un mecanismo válido frente a determinados ataques, el propio documento precisaba que dicho mecanismo «debía ser generado fuera de banda», aspecto que «no ha sido probado».
Resolución confirmó sanción y agotó vía administrativa
Al revisar el caso en segunda instancia, la Comisión confirmó los fundamentos desarrollados por el órgano resolutivo y mantuvo la sanción económica impuesta. La resolución precisó que para la graduación de la multa se evaluó el «nivel de afectación», el «tamaño del infractor» y el «periodo de duración de la infracción». Respecto a este último criterio, señaló que la conducta «se cometió en un solo acto, dada su naturaleza instantánea».
Asimismo, la Comisión indicó que las ventas anuales de la entidad financiera «superaron las 2300 UIT», circunstancia que permitió acreditar la condición de «gran empresa». También concluyó que «no verifica la existencia de circunstancias atenuantes ni agravantes», razón por la cual confirmó la multa de 3.78 UIT impuesta contra BBVA.
