Indecopi multa a BBVA con S/20.790 por transferencia no reconocida validada con Token digital en banca móvil de clienta

La Comisión de la Oficina Regional del Indecopi Áncash, sede Chimbote, confirmó una multa de 3.78 UIT, equivalente a aproximadamente S/20.790, contra BBVA tras concluir que la entidad permitió indebidamente cuatro operaciones no reconocidas por un total de S/5.700 realizadas en abril de 2025 mediante la banca móvil de una clienta. La resolución determinó que las transacciones fueron efectuadas con cargo a la tarjeta de débito de la usuaria.

A través de la Resolución 0156-2025/PS0-INDECOPI-CHT, la autoridad también ratificó la medida correctiva que ordena la devolución de los montos involucrados a la afectada y el pago de las costas del procedimiento. Durante el proceso, el banco sostuvo que las operaciones sí habían sido autorizadas mediante mecanismos de seguridad como el Token digital y autenticación reforzada.

PUEDES VER: Indecopi sanciona a Tiendas Mass por rechazar moneda de S/5 a adulto mayor y no brindarle atención preferencial

BBVA habría autorizado cuatro operaciones realizadas en abril de 2025

El caso comenzó el 6 de junio de 2025, cuando la usuaria presentó una denuncia contra BBVA por presuntas operaciones no reconocidas identificadas como PagoEfectivo Soles. Aunque Indecopi señaló que el banco no habría adoptado las medidas de seguridad necesarias para evitar las transacciones registradas los días 11 y 12 de abril de 2025, la entidad bancaria indicó que la clienta se encontraba correctamente afiliada a la banca móvil y contaba con token digital activo para validar las operaciones.

Asimismo, sostuvo que la usuaria habría ingresado a la aplicación utilizando sus credenciales personales, como su DNI, y empleó un código único de autenticación (CUA), denominado clave token. BBVA también afirmó que aplicó autenticación reforzada mediante dos factores distintos: la contraseña de acceso de seis dígitos y el Softoken o Token digital. Con esos argumentos, el banco buscó demostrar que las operaciones sí fueron autorizadas conforme a sus protocolos de seguridad.

Comisión concluyó que BBVA no acreditó todos los requisitos de autenticación reforzada

Aunque la autoridad reconoció que la denunciante tenía activa la banca móvil y el token digital antes de las operaciones observadas, indicó que ello no acreditaba el cumplimiento de los demás requisitos exigidos por la normativa vigente. En ese sentido, precisó que la controversia se centró en determinar si el banco aplicó correctamente los mecanismos de validación frente a posibles ataques informáticos.

La Comisión también rechazó la interpretación presentada por la entidad financiera y señaló que la clave token no podía ser utilizada simultáneamente como factor de autenticación y como mecanismo de control frente a ataques “hombre en el medio”. Asimismo, advirtió que BBVA no logró probar que dicho mecanismo hubiera sido generado “fuera de banda”, tal como exigía un oficio de la SBS citado durante el procedimiento.

Finalmente, la autoridad administrativa confirmó la sanción económica contra el banco tras considerar el nivel de afectación, el tamaño de la empresa y la duración de la infracción.