Indecopi multa a BBVA con S/20.790 por transferencia no reconocida validada con Token digital en banca móvil de clienta
BBVA defendió la validez de las operaciones argumentando que se usaron mecanismos de autenticación como el token digital. Sin embargo, Indecopi determinó que no se cumplieron todos los requisitos necesarios para prevenir el fraude.
- ¿Por qué te piden mostrar el ticket al salir del supermercado si al final no revisan tu compra?
- MTC suspendió la emisión de licencias de conducir electrónicas a nivel nacional por transferencias de competencias a la MML
La Comisión de la Oficina Regional del Indecopi Áncash, sede Chimbote, confirmó una multa de 3.78 UIT, equivalente a aproximadamente S/20.790, contra BBVA tras concluir que la entidad permitió indebidamente cuatro operaciones no reconocidas por un total de S/5.700 realizadas en abril de 2025 mediante la banca móvil de una clienta. La resolución determinó que las transacciones fueron efectuadas con cargo a la tarjeta de débito de la usuaria.
A través de la Resolución 0156-2025/PS0-INDECOPI-CHT, la autoridad también ratificó la medida correctiva que ordena la devolución de los montos involucrados a la afectada y el pago de las costas del procedimiento. Durante el proceso, el banco sostuvo que las operaciones sí habían sido autorizadas mediante mecanismos de seguridad como el Token digital y autenticación reforzada.
TE RECOMENDAMOS
CÉSAR ACUÑA CULPA A LA PRENSA DE SU FRACASO, URRESTI REAPARECE Y YONHY LESCANO EN VIVO | ARDE TROYA
BBVA habría autorizado cuatro operaciones realizadas en abril de 2025
El caso comenzó el 6 de junio de 2025, cuando la usuaria presentó una denuncia contra BBVA por presuntas operaciones no reconocidas identificadas como PagoEfectivo Soles. Aunque Indecopi señaló que el banco no habría adoptado las medidas de seguridad necesarias para evitar las transacciones registradas los días 11 y 12 de abril de 2025, la entidad bancaria indicó que la clienta se encontraba correctamente afiliada a la banca móvil y contaba con token digital activo para validar las operaciones.
Asimismo, sostuvo que la usuaria habría ingresado a la aplicación utilizando sus credenciales personales, como su DNI, y empleó un código único de autenticación (CUA), denominado clave token. BBVA también afirmó que aplicó autenticación reforzada mediante dos factores distintos: la contraseña de acceso de seis dígitos y el Softoken o Token digital. Con esos argumentos, el banco buscó demostrar que las operaciones sí fueron autorizadas conforme a sus protocolos de seguridad.
Comisión concluyó que BBVA no acreditó todos los requisitos de autenticación reforzada
Aunque la autoridad reconoció que la denunciante tenía activa la banca móvil y el token digital antes de las operaciones observadas, indicó que ello no acreditaba el cumplimiento de los demás requisitos exigidos por la normativa vigente. En ese sentido, precisó que la controversia se centró en determinar si el banco aplicó correctamente los mecanismos de validación frente a posibles ataques informáticos.
La Comisión también rechazó la interpretación presentada por la entidad financiera y señaló que la clave token no podía ser utilizada simultáneamente como factor de autenticación y como mecanismo de control frente a ataques “hombre en el medio”. Asimismo, advirtió que BBVA no logró probar que dicho mecanismo hubiera sido generado “fuera de banda”, tal como exigía un oficio de la SBS citado durante el procedimiento.
Finalmente, la autoridad administrativa confirmó la sanción económica contra el banco tras considerar el nivel de afectación, el tamaño de la empresa y la duración de la infracción.
Prefiero a La República en Google
