En ese contexto, el Indecopi sancionó a un banco al concluir que no logró demostrar técnicamente que una operación digital cuestionada por un cliente fue realmente autorizada, reforzando el criterio de que la carga de probar la validez de la transacción recae en la entidad financiera.
LEA TAMBIÉN: Louis Vuitton denuncia a empresa peruana ante Indecopi por carteras similares: ¿quién ganó el caso?
El caso se originó luego de que un usuario denunciara que, tras recibir una llamada de una persona que se hizo pasar por representante de una entidad financiera, descubrió que desde su cuenta se había realizado una transferencia vía aplicativo móvil por S/ 1,550 que aseguró nunca haber autorizado.
El cliente indicó que bloqueó inmediatamente su cuenta y posteriormente acudió a una agencia bancaria, donde —según relató— se le informó que no podrían devolverle el dinero porque su cuenta no tenía un seguro asociado.
Durante el procedimiento, la entidad sostuvo que la operación cuestionada cumplió con sus mecanismos de seguridad y que incluso generó alertas internas, tras lo cual se habría contactado al cliente para validar la transacción.
Sin embargo, el Indecopi consideró que esas afirmaciones no fueron sustentadas con pruebas técnicas suficientes, como registros de autenticación, logs de acceso o grabaciones que acreditaran que el titular autorizó realmente la operación. Además, recordó que, en este tipo de casos, corresponde al banco demostrar la validez de la transacción debido a que posee el control y acceso a la información técnica del sistema financiero.
Bajo ese análisis, el órgano resolutivo concluyó que la entidad financiera incumplió el deber de idoneidad previsto en el Código de Protección y Defensa del Consumidor, al no garantizar condiciones razonables de seguridad en el servicio digital brindado.
Como consecuencia, ordenó devolver al consumidor los S/ 1,550 correspondientes a la operación no reconocida, impuso una multa de 1 UIT y dispuso el pago de costas del procedimiento.
Bancos deberán acreditar técnicamente operaciones cuestionadas en fraudes digitales | Foto: Istock
LEA TAMBIÉN: Cambio en Indecopi: el nombre que toma fuerza para reemplazar al presidente saliente
La carga de la prueba en operaciones digitales
Víctor Valdez, socio de Valdez & Cía, explicó que en los casos de transferencias no reconocidas no existe una responsabilidad automática de la entidad financiera solo porque el consumidor desconozca la operación.
Sin embargo, señaló que una vez acreditada la existencia de la transacción y el reclamo del usuario, corresponde al banco demostrar técnicamente que la operación fue autenticada, autorizada y registrada correctamente, debido a que es quien administra el canal digital y conserva toda la información técnica de la operación.
El abogado sostuvo que no resulta razonable exigir al consumidor probar cómo se ejecutó internamente una operación dentro del sistema del banco ni acreditar un hecho negativo, como no haber realizado la transferencia.
Por ello, indicó que la discusión probatoria se traslada hacia la entidad financiera, que debe aportar registros de autenticación, trazabilidad, logs de acceso y demás elementos técnicos que permitan reconstruir la transacción cuestionada.
En esa línea, Waldo Borda, asociado senior de Hernández & Cía., consideró que el Indecopi viene adoptando una posición cada vez más exigente respecto de las medidas de seguridad implementadas por las entidades financieras.
No obstante, advirtió que el consumidor también debería aportar ciertos elementos mínimos y que, en algunos casos, la autoridad estaría trasladando de forma muy amplia la carga probatoria al banco.
La validez de claves, tokens y autenticación
Valdez indicó que no basta con que la entidad financiera afirme que se utilizaron correctamente las claves, el token o el dispositivo del usuario. Según explicó, el banco debe acreditar específicamente cómo operaron sus mecanismos de seguridad en la transacción concreta cuestionada y demostrar que la autenticación reforzada exigida por la SBS funcionó adecuadamente.
Para ello, mencionó que las entidades deberían presentar evidencia técnica verificable, como registros de autenticación, identificación del dispositivo, dirección IP, factores de autenticación utilizados, alertas generadas, códigos criptográficos y comunicaciones remitidas al usuario.
Por su parte, Borda explicó que los mecanismos de seguridad existen precisamente para validar la voluntad del usuario en operaciones digitales. Según indicó, el sistema se basa en que las claves secretas, tokens dinámicos y demás elementos de autenticación permanezcan bajo control exclusivo del cliente.
En ese sentido, consideró que si el banco logra acreditar técnicamente que dichos mecanismos fueron utilizados correctamente, en principio la operación debería considerarse válida.
Sin embargo, señaló que la discusión actual ya no se concentra únicamente en la autenticación, sino también en la capacidad de las entidades financieras para detectar operaciones inusuales o patrones anómalos de consumo antes de que se concrete un fraude.
Fraudes digitales y banca móvil: los límites de responsabilidad que analiza Indecopi. (Foto: iStock)
LEA TAMBIÉN: Caso alambrón: empresas llevan a segunda instancia fallo antidumping del Indecopi
Phishing, ingeniería social y responsabilidad del usuario
Sobre los casos de phishing, llamadas falsas o ingeniería social, Valdez sostuvo que estos hechos no liberan automáticamente de responsabilidad a las entidades financieras, aunque tampoco implican que el banco responda de forma automática. Según explicó, cada caso debe analizarse individualmente considerando si la entidad cumplió adecuadamente con sus obligaciones de autenticación, monitoreo, alertas, bloqueo y conservación de evidencia.
Asimismo, indicó que una entidad financiera podría exonerarse de responsabilidad si demuestra que actuó diligentemente, aplicó correctamente las medidas de seguridad exigidas y que el perjuicio se produjo por una causa externa atribuible al usuario o a terceros.
Borda coincidió en que muchos fraudes digitales terminan involucrando situaciones en las que el propio usuario entrega o expone sus credenciales mediante engaños o descuidos.
Según explicó, pueden existir casos en los que el cliente no custodió adecuadamente sus claves, dispositivos o tokens de autenticación, lo que podría trasladar parte de la responsabilidad hacia el consumidor.
No obstante, precisó que incluso en esos escenarios surge una nueva discusión vinculada al deber de monitoreo del banco frente a operaciones sospechosas, cambios abruptos de consumo o patrones de riesgo que podrían activar alertas preventivas.
Seguridad digital y nuevos estándares
Valdez consideró que este tipo de resoluciones podrían elevar los estándares de ciberseguridad y trazabilidad dentro del sistema financiero. A su criterio, las entidades ya no solo deberán implementar controles de seguridad, sino también conservar evidencia auditable suficiente para demostrar, operación por operación, que sus mecanismos funcionaron correctamente.
En ese contexto, señaló que probablemente se reforzarán sistemas de monitoreo antifraude, alertas tempranas, conservación de logs, gestión de dispositivos y mecanismos de respuesta frente a incidentes digitales.
Por su parte, Borda consideró que la resolución comentada no necesariamente representa un cambio drástico de criterio, ya que el caso concreto estuvo marcado por la ausencia de documentación técnica suficiente por parte del banco.
Sin embargo, advirtió que este tipo de controversias son cada vez más frecuentes debido al crecimiento de las operaciones digitales y al aumento de fraudes realizados mediante aplicativos y canales no presenciales.
LEA TAMBIÉN: Llamadas spam persisten a un año de ley que las prohíbe: ¿por qué no se teme al Indecopi?
Abogado especialista encargado de Enfoque Legal en Diario Gestión - Actualmente, ocupa la posición de analista legal en el área de Economía en el Diario Gestión.
