Sumario: 1. Introducción; 2. La seguridad en la banca digital: de mecanismo tecnológico a estándar jurídico; 3. Pronunciamientos de Indecopi sobre la responsabilidad en banca digital; 4. Seguridad razonable vs. responsabilidad objetiva: ¿qué exige la ley?; 5. Conclusiones y recomendaciones; 6. Referencias bibliográficas.
1. Introducción
1.1. Contexto de la banca digital y su impacto en los consumidores
La banca digital ha transformado radicalmente la interacción de los consumidores con los servicios financieros, desplazando gran parte de las operaciones de los canales presenciales hacia plataformas en línea y móviles.
Este cambio ha generado ventajas significativas, como la accesibilidad 24/7, la reducción de tiempos de espera y la posibilidad de supervisar transacciones en tiempo real. Sin embargo, también ha introducido riesgos complejos, especialmente relacionados con fraudes electrónicos, suplantación de identidad, ataques cibernéticos y errores operativos.
Los consumidores se enfrentan a un entorno donde la responsabilidad sobre la seguridad de sus operaciones se comparte entre el banco y el propio usuario, lo que requiere una comprensión clara de los mecanismos de protección disponibles y de las obligaciones legales del proveedor financiero.
La experiencia práctica demuestra que, pese a los avances tecnológicos, la mayoría de los incidentes de fraude digital derivan de deficiencias en la implementación de medidas de seguridad razonables o del desconocimiento de los usuarios sobre cómo proteger sus credenciales y dispositivos.
En este contexto, la banca digital no solo implica eficiencia operativa, sino también un deber jurídico explícito de garantizar la seguridad de las transacciones y de proteger los derechos de los consumidores.
La normativa peruana, junto con los pronunciamientos de Indecopi, ha consolidado este estándar, estableciendo que la protección frente a fraudes no depende únicamente del azar o de la ocurrencia de hechos externos, sino de la adopción de medidas preventivas, tecnología adecuada y procedimientos internos robustos. Este escenario resalta la importancia de que los consumidores comprendan sus derechos y que los bancos adopten un enfoque proactivo en la gestión de riesgos digitales.
1.2. Propósito del artículo
El presente artículo tiene como objetivo principal examinar cómo la normativa peruana y los pronunciamientos de Indecopi han consolidado la seguridad razonable como un estándar jurídico exigible en la banca digital. Se busca ofrecer un análisis crítico que no solo describa las obligaciones legales de los proveedores financieros, sino que también evalúe la eficacia práctica de estas medidas y los desafíos que enfrentan los consumidores.
El artículo pretende destacar la distinción entre seguridad razonable y responsabilidad objetiva, mostrando cómo la primera exige la adopción de medidas preventivas y verificables por parte de los bancos, mientras que la segunda implicaría asumir responsabilidad automática frente a cualquier incidente de fraude.
Además, se analizará el rol de la tecnología, incluyendo herramientas de inteligencia artificial y soluciones Regtech, como instrumentos que permiten a los proveedores cumplir con estas obligaciones de manera más efectiva y proactiva.
Asimismo, se busca que el lector comprenda las implicancias prácticas de la regulación: cómo las medidas de seguridad impactan directamente en la protección de los consumidores y en la mitigación de riesgos para los bancos, y cómo la interpretación administrativa de Indecopi ha ido precisando los límites de la responsabilidad de los proveedores frente a operaciones no reconocidas y fraudes digitales.
En síntesis, el artículo combina análisis doctrinal, casos prácticos y tendencias tecnológicas para ofrecer una visión integral sobre la seguridad jurídica en productos financieros digitales.
2. La seguridad en la banca digital: de mecanismo tecnológico a estándar jurídico
2.1. Evolución de la seguridad en la banca digital
La seguridad en la banca digital ha experimentado una evolución significativa, pasando de ser un mecanismo tecnológico complementario a convertirse en un estándar jurídico exigible que protege los derechos de los consumidores.
Inicialmente, los sistemas de seguridad se centraban en la eficiencia operativa, la disponibilidad de los servicios y la reducción de errores humanos. Sin embargo, el incremento de fraudes electrónicos, ataques cibernéticos y operaciones no reconocidas ha transformado la seguridad en un elemento central de la confianza del usuario y de la responsabilidad legal de los bancos.
En este proceso, la normativa y la supervisión administrativa han ido incorporando estándares más precisos que definen qué se entiende por seguridad razonable.
Se reconoce que no basta con la existencia de medidas técnicas; estas deben ser efectivas, actualizadas y acompañadas de procedimientos internos que aseguren la protección integral del consumidor.
La evolución tecnológica, incluyendo sistemas de autenticación multifactor, monitoreo en tiempo real y análisis de transacciones, ha permitido que los bancos detecten irregularidades de manera más temprana y reduzcan la exposición al riesgo.
Los pronunciamientos de Indecopi reflejan esta tendencia: las sanciones impuestas a diferentes bancos muestran que los sistemas deben cumplir con criterios objetivos y verificables de seguridad, y que la simple adopción de tecnología no exime de responsabilidad.
De esta forma, la evolución de la seguridad en la banca digital no solo responde a avances tecnológicos, sino también a una mayor exigencia legal y administrativa, que convierte la seguridad en un estándar de diligencia obligatoria para los proveedores financieros.
Este cambio paradigmático implica que los consumidores pueden exigir protección efectiva frente a fraudes, y que los bancos deben adoptar medidas preventivas y proactivas, incluyendo el uso de inteligencia artificial y soluciones Regtech, para cumplir con la obligación de seguridad razonable. En este contexto, la seguridad deja de ser solo un soporte tecnológico y se consolida como un elemento central de la responsabilidad jurídica en la banca digital.
2.2. ¿Qué entiende el sistema jurídico por seguridad razonable?
En el contexto peruano, la seguridad razonable en productos financieros digitales es un estándar jurídico exigible que va más allá de la implementación tecnológica, exigiendo medidas objetivas y verificables para proteger a los consumidores.
El Reglamento de Tarjetas de Crédito y Débito aprobado mediante Resolución SBS 6523-2013 establece un marco claro sobre la seguridad razonable que deben garantizar las entidades financieras en la banca digital, particularmente a través de los artículos 15 al 18. Estos artículos definen medidas concretas para proteger tanto los sistemas tecnológicos como la información y los derechos de los consumidores.
El artículo 15 impone que las tarjetas cuenten con un chip o circuito integrado que cumpla estándares internacionales de interoperabilidad y autenticación, como los definidos por EMVCo. Exige reglas de seguridad en el chip para verificar la autenticidad de la tarjeta y validar la identidad del usuario, procedimientos criptográficos sobre datos críticos, métodos seguros de autorización fuera de línea y mecanismos para modificar límites, bloquear o deshabilitar tarjetas extraviadas. Esto refleja que la seguridad razonable no solo depende de la tecnología, sino de la correcta implementación y gestión de los controles internos.
El artículo 16 se centra en la seguridad respecto a los usuarios, estableciendo obligaciones como la entrega segura de tarjetas, generación y cambio de claves, notificaciones inmediatas sobre transacciones, control de operaciones internacionales, micropagos y autenticación con múltiples factores según el tipo de operación. La exigencia de autenticación de dos factores para operaciones con tarjeta presente o no presente y para billeteras móviles de terceros refuerza la obligación de proteger al consumidor mediante medidas verificables y proporcionales al riesgo.
El artículo 17 regula el monitoreo y gestión de operaciones, imponiendo sistemas para detectar comportamientos inusuales, procedimientos para gestionar alertas, identificación de patrones de fraude, aplicación de límites de operación y controles en canales de atención. Estas medidas integran la seguridad razonable al exigir monitoreo activo y gestión de riesgos, diferenciando la seguridad de la mera autenticación de operaciones y vinculando directamente la responsabilidad del banco a la correcta supervisión.
Finalmente, el artículo 18 aborda la seguridad de la información, obligando a las empresas a implementar firewalls, políticas de cifrado, control de acceso físico y lógico, gestión de llaves criptográficas, actualización de software y análisis de vulnerabilidades, así como planes de respuesta ante incidentes. Además, se regula la tokenización de tarjetas para operaciones con terceros, asegurando que los datos del usuario estén protegidos incluso fuera del sistema del banco.
Por su lado, el Reglamento de Ciberseguridad y Seguridad de la Información, aprobado mediante Resolución SBS 504-2021 establece medidas específicas que refuerzan la seguridad razonable.
El artículo 12 impone la adopción de controles de acceso físico y lógico, seguridad en operaciones y comunicaciones, gestión de incidentes, criptografía y protección de activos de información.
Los artículos 14 y 15 obligan a las entidades a mantener un programa permanente de ciberseguridad y reportar incidentes significativos a la Superintendencia, incluyendo pérdida de información, fraude o interrupción de operaciones, con análisis forense detallado.
Los artículos 16 y 17 regulan el intercambio de información de ciberseguridad y los procesos de autenticación de usuarios, mientras que los artículos 18 y 19 exigen el enrolamiento seguro de los usuarios y la implementación de autenticación reforzada para operaciones críticas a través de canales digitales. Estas disposiciones demuestran que la seguridad razonable es un deber activo, que exige medidas objetivas, supervisión continua y actualización tecnológica.
El Artículo 49 del Reglamento de Gestión de Conducta de Mercado del Sistema Financiero, aprobado mediante Resolución SBS 3274-2017 establece que, para la celebración de contratos de productos financieros a través de canales digitales y durante su ejecución, las empresas deben aplicar las normas vigentes sobre seguridad de la información y ciberseguridad. Además, permite la implementación de factores de autenticación, que pueden incluir dispositivos físicos o virtuales, firmas, claves de identificación, medios biométricos o certificados digitales.
Este artículo refuerza la obligación de los bancos de asegurar que las transacciones y la contratación digital se realicen bajo estándares de protección tecnológica y verificación de identidad.
La Ley de Protección de Datos Personales, aprobada mediante Ley 29733 consolida la seguridad razonable al establecer obligaciones sobre la protección, confidencialidad y gestión de los datos personales de los consumidores.
El Artículo 9 impone al titular y encargado del banco de datos adoptar medidas técnicas, organizativas y legales apropiadas según la categoría de los datos. El Artículo 16 exige que se evite alteración, pérdida o acceso no autorizado, prohibiendo el uso de bancos de datos que no cumplan los estándares de seguridad.
El Artículo 17 asegura la confidencialidad de los datos, incluso tras finalizar la relación con el titular, salvo excepciones legales o con consentimiento expreso.
Finalmente, el Artículo 30 regula que los terceros que procesen datos solo pueden utilizarlos para los fines acordados, debiendo eliminarlos al finalizar el servicio, salvo autorización expresa bajo condiciones de seguridad adecuadas.
El análisis doctrinal respalda estos requerimientos normativos. Machuca Vílchez (2021) destaca que la seguridad razonable implica mecanismos integrales de autenticación, monitoreo de transacciones y alertas efectivas. Aznar Martín y Vázquez Torres (2013) indican que la seguridad razonable combina tecnología y procedimientos internos robustos que aseguren la fiabilidad de los sistemas electrónicos.
Vishnuvardhan, Manjula y Lakshman Naik (2020) y Hashem (2025) señalan que la ciberseguridad activa y el monitoreo continuo son esenciales frente a amenazas complejas.
Ghosal, Jindal y Padhy (2024) muestran que la inteligencia artificial permite anticipar fraudes y reducir riesgos, mientras que Subramanian (2015) subraya que la supervisión humana es imprescindible para garantizar la eficacia de los sistemas.
Kour et al. (2026) destacan que las soluciones Regtech automatizan el cumplimiento normativo y el monitoreo de riesgos, permitiendo que los bancos cumplan con la normativa de manera proactiva, reforzando la seguridad razonable y la protección de los consumidores frente a operaciones no reconocidas y fraudes digitales.
En conjunto, la base normativa y la evidencia doctrinal muestran que la seguridad razonable exige un enfoque integral: tecnología avanzada, procedimientos internos sólidos y supervisión activa, constituyendo una obligación legal clara y verificable para los proveedores financieros.
3. Pronunciamientos de Indecopi sobre la responsabilidad en banca digital
3.1. Análisis de los casos en los que Indecopi ha intervenido en temas de seguridad bancaria
El análisis de las resoluciones de la Sala Especializada en Protección al Consumidor del Indecopi revela que la autoridad sanciona a los bancos cuando los sistemas de seguridad no cumplen con los estándares exigidos por la normativa.
Por ejemplo, en la Resolución 1626-2026/SPC-INDECOPI del 6 de mayo de 2026, Banco BBVA Perú S.A. fue sancionado por deficiencias en la notificación de transacciones no reconocidas y falta de monitoreo proactivo.
Similarmente, la Resolución 1085-2026/SPC-INDECOPI del 27 de marzo de 2026) y Resolución 1537-2026/SPC-INDECOPI del 29 de abril de 2026 impuso severes sanciones a Banco Interamericano de Finanzas S.A. y a Scotiabank Perú S.A.A. por fallas en la autenticación de usuarios y control de operaciones irregulares.
La Resolución 1430-2026/SPC-INDECOPI del 23 de abril de 2026 y la Resolución 1535-2026/SPC-INDECOPI del 29 de abril de 2026, correspondientes a Banco Internacional del Perú S.A.A. y Banco de Crédito del Perú S.A., respectivamente, evidencian deficiencias similares en la gestión de alertas y en la respuesta frente a fraudes electrónicos.
Estos casos muestran que Indecopi considera el fraude digital como un riesgo inherente al negocio bancario, pero establece que este riesgo debe ser mitigado mediante medidas preventivas objetivas y verificables.
En todos los casos sancionados se identificaron lapsos en la implementación de sistemas de alerta y supervisión de transacciones, demostrando que la mera existencia de tecnología no cumple con la obligación de seguridad razonable.
De manera crítica, estas resoluciones evidencian que, aunque los bancos adoptan plataformas digitales avanzadas, la protección efectiva del consumidor depende de la correcta implementación de protocolos y procedimientos internos. La reiteración de sanciones sugiere que existen brechas en la cultura de cumplimiento y gestión de riesgos, que la normativa por sí sola no resuelve.
Por último, estos casos muestran que la integración de inteligencia artificial y Regtech podría mejorar la gestión de riesgos y el cumplimiento de estándares de seguridad, permitiendo monitoreo en tiempo real, auditorías automáticas y detección proactiva de operaciones irregulares. Así, la autoridad administrativa refuerza que la seguridad razonable es una obligación legal ineludible, no una opción tecnológica.
3.2. La postura de Indecopi sobre la responsabilidad de los proveedores ante fraudes digitales y operaciones no reconocidas
Las resoluciones recientes de Indecopi reflejan una postura clara sobre la responsabilidad de los bancos frente a fraudes digitales: los proveedores son responsables cuando no cumplen con la obligación de implementar medidas de seguridad razonables y verificables, y no simplemente por la ocurrencia de un fraude aislado.
La Resolución 1626-2026/SPC-INDECOPI (Banco BBVA Perú S.A.) enfatiza que la falta de monitoreo proactivo y alertas efectivas constituye incumplimiento de los deberes de seguridad, imponiendo sanciones incluso cuando el fraude no fue causado directamente por negligencia del usuario.
De manera similar, la Resolución 1085-2026/SPC-INDECOPI (Banco Interamericano de Finanzas S.A.) destaca que la responsabilidad surge de la insuficiencia de controles internos y de la ausencia de protocolos de prevención claros.
La autoridad considera que la seguridad digital no es solo una cuestión tecnológica, sino también administrativa: los bancos deben garantizar que los procedimientos internos, la supervisión del personal y las herramientas de monitoreo operen de manera efectiva.
Las Resoluciones 1430-2026 y 1535-2026/SPC-INDECOPI refuerzan esta interpretación, mostrando que la diligencia objetiva se mide por la capacidad de anticipar riesgos, detectar irregularidades y responder oportunamente a operaciones no reconocidas.
Esto implica que la responsabilidad no es automática, sino que se activa ante la constatación de que las medidas preventivas no fueron adoptadas, implementadas o supervisadas correctamente.
Desde una perspectiva crítica, estos pronunciamientos revelan que la obligación de seguridad razonable requiere un enfoque proactivo y verificable, que combine tecnología avanzada como inteligencia artificial o Regtech con gestión administrativa robusta.
Los bancos que dependen únicamente de la implementación tecnológica sin supervisión humana efectiva o sin protocolos claros quedan expuestos a sanciones, lo que refuerza la postura de Indecopi de que la seguridad no es opcional, sino un estándar jurídico obligatorio en la banca digital.
Esta interpretación protege al consumidor y establece límites claros sobre cómo debe evaluarse la responsabilidad de los proveedores frente a fraudes y operaciones no reconocidas.
4. Seguridad razonable vs. responsabilidad objetiva: ¿qué exige la ley?
4.1. Distinción clave en la normativa: seguridad razonable frente a responsabilidad automática
La normativa peruana, junto con los pronunciamientos de Indecopi, ha establecido una distinción central en la responsabilidad de los proveedores financieros: la seguridad razonable frente a la responsabilidad automática.
En el contexto de la Ley de Protección de Datos Personales, los artículos 9, 16, 17 y 30 refuerzan la seguridad razonable al exigir que los bancos y terceros que manejen datos personales adopten medidas técnicas, organizativas y legales que aseguren la protección, confidencialidad y uso adecuado de la información.
Estas disposiciones garantizan que la responsabilidad de los proveedores frente a incidentes solo surge si no se cumplen las medidas exigidas, evitando la aplicación de responsabilidad automática.
Así, la Ley contribuye a consolidar un estándar de seguridad verificable y pro consumidor, complementando los requisitos de autenticación, monitoreo y gestión de incidentes establecidos por los reglamentos de tarjetas y de ciberseguridad.
En el contexto de la normativa peruana, los artículos 15 al 18 del Reglamento de Tarjetas de Crédito y Débito establecen que los bancos deben garantizar la seguridad de las tarjetas, la autenticación de usuarios, el monitoreo de operaciones y la protección de la información.
Estas disposiciones configuran un marco objetivo para evaluar la diligencia de los proveedores financieros, de modo que la responsabilidad se activa únicamente si no se adoptan estas medidas verificables y proporcionales al riesgo.
Así, la normativa refuerza la distinción entre seguridad razonable y responsabilidad automática, destacando que la protección efectiva del consumidor depende tanto de la tecnología como de la correcta implementación y supervisión de los sistemas.
Por su parte, el Reglamento de Ciberseguridad y Seguridad de la Información, a través de los artículos 12, 14, 15, 16, 17, 18 y 19, establece obligaciones que refuerzan la seguridad razonable en la banca digital, sin configurar responsabilidad automática.
Los artículos 12 y 14 exigen medidas mínimas de protección de la información y la implementación de un programa permanente de ciberseguridad, incluyendo la gestión de incidentes y planes de mejora continua.
Los artículos 15 y 16 regulan el reporte de incidentes significativos y el intercambio de información de ciberseguridad, mientras que los artículos 17, 18 y 19 establecen procesos de autenticación, enrolamiento seguro y autenticación reforzada para operaciones de alto riesgo.
Estas disposiciones configuran un marco objetivo y verificable, donde la responsabilidad de los bancos solo surge si las medidas exigidas no se implementan adecuadamente o no operan correctamente. Esto permite diferenciar claramente la seguridad razonable, basada en diligencia activa y controles comprobables, de la responsabilidad automática, que no evalúa la actuación preventiva del proveedor. En consecuencia, la normativa establece que la protección efectiva del consumidor depende tanto de la tecnología como de su correcta supervisión y actualización, consolidando un estándar jurídico equilibrado y aplicable frente a fraudes digitales.
De manera complementaria, el artículo 49 del Reglamento de Gestión de Conducta de Mercado del Sistema Financiero refuerza la seguridad en la contratación digital de productos financieros, exigiendo que las entidades apliquen las normas de seguridad de la información y ciberseguridad, y que implementen factores de autenticación como dispositivos físicos o virtuales, claves, firmas o medios biométricos.
Este artículo asegura que la diligencia del proveedor se extienda a todos los canales de contratación y ejecución de productos digitales, consolidando la seguridad razonable como un estándar verificable y pro consumidor.
Las resoluciones de Indecopi refuerzan esta interpretación. La Resolución 1626-2026/SPC-INDECOPI (BBVA), la Resolución 1085-2026/SPC-INDECOPI (Banco Interamericano de Finanzas) y la Resolución 1537-2026/SPC-INDECOPI (SCOTIABANK) muestran que la responsabilidad surge cuando los sistemas de seguridad no son adecuados o no se aplican correctamente, diferenciándose de la responsabilidad automática que no toma en cuenta la diligencia del proveedor.
La Resolución 1430-2026/SPC-INDECOPI (Interbank Perú) y la Resolución 1535-2026/SPC-INDECOPI (BCP) subrayan que la diligencia se evalúa considerando la capacidad de anticipar riesgos, detectar irregularidades y responder oportunamente, consolidando la seguridad razonable como un estándar verificable.
El análisis doctrinal complementa esta perspectiva. Machuca Vílchez (2021) enfatiza que la seguridad razonable requiere mecanismos integrales de autenticación, monitoreo de transacciones y alertas efectivas.
Aznar Martín y Vázquez Torres (2013) indican que la combinación de tecnología y procedimientos internos robustos asegura la fiabilidad de los sistemas electrónicos.
Vishnuvardhan, Manjula y Lakshman Naik (2020) y Hashem (2025) resaltan la importancia de la ciberseguridad activa y el monitoreo continuo frente a amenazas complejas.
Ghosal, Jindal y Padhy (2024) muestran cómo la inteligencia artificial permite anticipar fraudes y reducir riesgos, mientras que Subramanian (2015) recuerda que la supervisión humana sigue siendo indispensable.
Kour et al. (2026) destacan que las soluciones Regtech automatizan el cumplimiento normativo y el monitoreo de riesgos, garantizando que las medidas de seguridad sean proactivas y verificables.
En conclusión, la distinción normativa entre seguridad razonable y responsabilidad automática tiene implicancias prácticas relevantes. La seguridad razonable exige un enfoque integral que combine tecnología avanzada, procedimientos internos sólidos y supervisión activa, asegurando que la responsabilidad de los bancos solo se active cuando efectivamente se incumple la obligación de proteger al consumidor.
Esta interpretación protege a los usuarios sin imponer cargas desproporcionadas a los proveedores, estableciendo un equilibrio entre seguridad y proporcionalidad en la imputación de responsabilidades.
4.2. Cómo los pronunciamientos de Indecopi han influido en esta interpretación
Los pronunciamientos recientes de Indecopi han sido determinantes para consolidar la distinción entre seguridad razonable y responsabilidad automática en la banca digital.
Las resoluciones de la Sala Especializada en Protección al Consumidor (BBVA, Interamericano de Finanzas, Interbank Perú y BCP) establecen criterios claros sobre cuándo los bancos pueden ser considerados responsables por fraudes electrónicos y operaciones no reconocidas.
La autoridad ha señalado que la responsabilidad no se activa automáticamente con la ocurrencia de un fraude; más bien, depende de la comprobación de que la entidad financiera no adoptó medidas de seguridad razonables, objetivas y verificables.
Por ejemplo, la Resolución 1626-2026/SPC-INDECOPI (BBVA) y la Resolución 1085-2026/SPC-INDECOPI (Banco Interamericano de Finanzas) destacaron que la insuficiencia en la supervisión de transacciones y la falta de protocolos claros de alerta constituyen incumplimiento de la obligación de seguridad, activando la responsabilidad del proveedor.
De manera similar, la Resolución 1430-2026/SPC-INDECOPI (Interbank Perú) y la Resolución 1535-2026/SPC-INDECOPI (BCP) subrayan que la responsabilidad surge únicamente cuando las medidas preventivas no fueron implementadas correctamente o fueron insuficientes, reforzando que la diligencia del proveedor es el eje para evaluar la responsabilidad.
Estos pronunciamientos han influido directamente en la interpretación práctica de la normativa peruana. Primero, consolidan que la seguridad razonable es un estándar activo, que exige monitoreo constante, procedimientos internos robustos y actualización tecnológica.
Segundo, diferencian claramente la responsabilidad de los bancos frente a incidentes inevitables o externos, evitando que se imponga una responsabilidad automática que no refleje la diligencia aplicada.
Finalmente, refuerzan la necesidad de integrar tecnología avanzada y herramientas de gestión de riesgos, como inteligencia artificial y Regtech, para cumplir con la normativa de manera proactiva y verificable.
Desde un enfoque crítico, la postura de Indecopi evidencia que los bancos no solo deben adoptar sistemas tecnológicos, sino también garantizar su correcta operación y supervisión.
Esto tiene implicancias prácticas importantes: orienta a los proveedores sobre cómo organizar sus controles internos, capacitar a su personal y estructurar sus protocolos de monitoreo, mientras protege a los consumidores asegurando que solo se atribuye responsabilidad cuando efectivamente se incumple la obligación de seguridad razonable.
5. Conclusiones y recomendaciones
5.1. Resumen de las conclusiones clave sobre la seguridad jurídica en productos financieros digitales
El análisis desarrollado en este artículo permite extraer varias conclusiones clave respecto de la seguridad jurídica en la banca digital. En primer lugar, la seguridad razonable se ha consolidado como un estándar jurídico exigible en el Perú, definido por la combinación de normativa específica, supervisión administrativa y buenas prácticas tecnológicas.
Normas como el Reglamento de Tarjetas de Crédito y Débito, el Reglamento de Ciberseguridad y Seguridad de la Información, el Reglamento de Gestión de Conducta de Mercado y la Ley de Protección de Datos Personales establecen obligaciones claras sobre autenticación de usuarios, monitoreo de transacciones, respuesta ante incidentes y protección de datos personales, configurando un marco de diligencia objetiva para los proveedores financieros.
En segundo lugar, los pronunciamientos de Indecopi, evidenciados en las resoluciones recientes contra BBVA, Banco Interamericano de Finanzas, Interbank Perú y BCP, refuerzan que la responsabilidad de los bancos frente a fraudes electrónicos y operaciones no reconocidas depende de la correcta implementación de medidas preventivas y verificables.
La autoridad administrativa diferencia claramente entre la seguridad razonable y la responsabilidad automática, evitando que los bancos sean responsables por hechos inevitables cuando han adoptado medidas diligentes y eficaces.
En tercer lugar, la doctrina y los estudios académicos resaltan que la seguridad razonable combina tecnología avanzada, como inteligencia artificial y sistemas de detección de fraude, con procedimientos internos robustos y supervisión humana constante.
Las soluciones Regtech, por su parte, permiten automatizar el cumplimiento normativo y el monitoreo de riesgos, garantizando que las medidas de seguridad sean proactivas, auditables y efectivas.
Finalmente, el conjunto de normativa, pronunciamientos y doctrina evidencia que la seguridad jurídica en la banca digital no es solo un requisito formal: es un instrumento de protección real para los consumidores que obliga a los bancos a implementar medidas efectivas, actualizar sus sistemas continuamente y garantizar la transparencia y fiabilidad de las operaciones. Esto consolida un equilibrio entre la protección del usuario y la proporcionalidad en la imputación de responsabilidades a los proveedores financieros.
5.2. Recomendaciones para los consumidores y entidades financieras
Con base en el análisis anterior, se proponen las siguientes recomendaciones:
La creciente digitalización de los productos financieros exige tanto a consumidores como a proveedores adoptar medidas proactivas para minimizar riesgos y fortalecer la seguridad.
A partir del análisis normativo y de los pronunciamientos de Indecopi, se pueden formular recomendaciones específicas:
Para los consumidores:
- Educación y conciencia digital: es esencial que los usuarios comprendan los riesgos asociados a la banca digital, incluyendo fraudes por phishing, malware y accesos no autorizados. Conocer los mecanismos de autenticación y monitoreo de sus cuentas permite detectar operaciones sospechosas de manera temprana.
- Uso adecuado de factores de autenticación: activar todos los mecanismos disponibles, como PIN, tokens, biometría o notificaciones de transacciones, fortalece la protección de los recursos financieros.
- Monitoreo activo de sus operaciones: revisar periódicamente los movimientos, configurar alertas automáticas y reportar inmediatamente cualquier actividad no reconocida garantiza una respuesta rápida ante posibles fraudes.
- Protección de dispositivos y datos personales: mantener actualizados los sistemas operativos, antivirus y aplicaciones bancarias, y no compartir credenciales, es clave para cumplir con la seguridad razonable exigida por la normativa.
Para las entidades financieras:
- Implementación integral de seguridad: adoptar los estándares técnicos y normativos exigidos por los reglamentos de tarjetas de crédito, ciberseguridad y gestión de conducta de mercado, así como la Ley de Protección de Datos Personales, asegurando la correcta integración de autenticación reforzada, monitoreo de transacciones y programas de ciberseguridad.
- Monitoreo proactivo y análisis de riesgos: incorporar sistemas de detección de fraudes basados en inteligencia artificial y herramientas Regtech permite anticipar patrones de riesgo y prevenir incidentes antes de que afecten al consumidor.
- Transparencia y comunicación: mantener canales de comunicación claros para informar a los usuarios sobre cambios, incidentes de seguridad y medidas preventivas, fortaleciendo la confianza y cumpliendo con las obligaciones de notificación inmediata.
- Capacitación constante del personal: todo el personal debe estar entrenado en protocolos de seguridad, gestión de incidentes y protección de datos personales, garantizando una cultura de cumplimiento y responsabilidad compartida.
- Evaluación periódica y actualización tecnológica: la seguridad debe ser dinámica. Evaluar y actualizar regularmente los sistemas de autenticación, cifrado y gestión de incidentes permite adaptarse a nuevas amenazas y estándares internacionales.
En conjunto, estas recomendaciones buscan crear un entorno en el que los consumidores estén empoderados y las entidades financieras cumplan con su deber de seguridad razonable, fortaleciendo la protección del usuario sin imponer responsabilidad automática. La adopción de estas prácticas contribuye a reducir riesgos, minimizar pérdidas por fraude y consolidar la confianza en la banca digital.
6. Referencias bibliográficas
- ALibrahim, O., & Alshehri, S. (2026). A review of security mechanisms in electronic payment systems. Journal of Computer Sciences Institute, 38, 32–42. Disponible aquí.
- Aznar Martín, José María, and Ángel Luis Vázquez Torres. Derecho de los consumidores y usuarios de servicios financieros. Ediciones Experiencia, 2013. Digitalia. Disponible aquí.
- Ghosal, I., Jindal, P., & Padhy, S. C. (Eds.). (2024). Banktech 4. 0 : the Next Wave of Transformative Banking (First edition.). Nova Science Publishers.
- Hassan, M. A., Shukur, Z., Hasan, M. K., & Al-Khaleefa, A. S. (2020). A Review on Electronic Payments Security. Symmetry (Basel), 12(8), 1344. Disponible aquí.
- Hashem, S. D. (2025). Investigating the Cybersecurity Risks on Digital Banking System. Lex Localis-Journal of Local Self-Government, 23(S6), 289–305. Disponible aquí.
- Kour, M., Taneja, S., Özen, E., Sūda, K., & Grima, S. (Eds.). (2026). Financial Landscape Transformation : Technological Disruptions (First edition.). Emerald Publishing Limited.
- Machuca Vílchez, J. Manual del consumidor financiero peruano: Aspectos legales y procedimentales. Universidad Peruana de Ciencias Aplicadas (UPC), 2021. Digitalia. Disponible aquí.
- Montague, D. A. (2010). Essentials of online payment security and fraud prevention (1st ed.). Wiley.
- Subramanian, R. (2015). Bank fraud : using technology to combat losses (1st edition). Wiley
- Vishnuvardhan, B., Manjula, B., & Lakshman Naik, R. (2020). A Study of Digital Banking: Security Issues and Challenges. In M. R. Murty, B. P. Rani, R. Sridevi, K. S. Raju, & A. Govardhan (Eds.), Proceedings of the Third International Conference on Computational Intelligence and Informatics (Vol. 1090, pp. 163–185). Springer. Disponible aquí.
