Documentos de Académico
Documentos de Profesional
Documentos de Cultura
EXPEDIENTE 0258-2022/PS0-INDECOPI-CAJ
EXPEDIENTE : 0258-2022/PS0-INDECOPI-CAJ
AUTORIDAD : ÓRGANO RESOLUTIVO DE PROCEDIMIENTOS SUMARÍSIMOS
ADSCRITO A LA OFICINA REGIONAL DEL INDECOPI DE
CAJAMARCA (OPS DE CAJAMARCA)
DENUNCIANTE : LUIS ALBERTO CAMPOS BECERRA (SEÑOR CAMPOS)
DENUNCIADO : CMAC PIURA S.A.C. (CMAC PIURA)
MATERIA : IDONEIDAD DEL PRODUCTO Y/O SERVICIO
ACTIVIDAD : OTROS TIPOS DE INTERMEDIACIÓN MONETARIA
I. ANTECEDENTES
1. El 14 de noviembre de 2022 el señor Campos denunció a CMAC Piura1 por una presunta infracción a la
Ley 29571, Código de Protección y Defensa del Consumidor (en adelante, el Código). En su escrito
señaló los siguientes hechos: (i) era titular de una cuenta de ahorros n° 210-01-****9392, aperturada
en la entidad financiera del denunciado; (ii) el 10 de octubre de 2022 se quedó “sin servicio” en su
celular, lo que atribuyó a problemas técnicos por parte de su empresa de telecomunicaciones; no
obstante, decidió acercarse al establecimiento del denunciado para revisar el estado de su cuenta y
verificó que había sido bloqueada y que se había realizado una transferencia de S/ 6770.38 a través
del aplicativo móvil, la cual no había autorizado, y; (iii) finalmente indicó que presentó un reclamo por
los hechos sucedidos; sin embargo, fue declarado improcedente.
3. El 2 de diciembre de 2022 CMAC Piura en sus descargos señaló lo siguiente: (i) el señor Campos
mantenía la cuenta de ahorros n° 210-01-****939 con su entidad, en la cual se realizó la operación
cuestionada; además, estaba vinculada a la tarjeta de débito 4558-****-****-0192; (ii) según la
Resolución N° 504-2021, Reglamento de Seguridad de la Información y Ciberseguridad, los factores
utilizados para verificar la identidad de un usuario pueden corresponder a tres categorías: a) algo
que solo el usuario conoce; b) algo que solo el usuario posee, y; c) algo que solo el usuario es, que
incluye características biometrías; (iii) la transferencia cuestionada fue realizada válidamente,
utilizando dos (2) factores de autenticación, primero el uso conjunto del número de la tarjeta de
débito (algo que el usuario posee) y la clave secreta de internet (algo que el usuario conoce), y
segundo la clave token digital (algo que el usuario conoce), como se puede verificar en su “Log
Transaccional”; (iv) respecto al comportamiento habitual, estaba conformado por retiros de efectivo
entre S/ 1000.00 a S/ 6000.00 y transferencias entre S/ 1000.00 y S/ 10 000.00, y; (v) la realización
de la operación cuestionada generó una alerta en su sistema de prevención de fraude, por lo que se
procedió a realizar un bloqueo preventivo de la cuenta de ahorros del señor Campos.
1 RUC: 20113604248.
M-OPS-03/03
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL
Jirón Amazonas Nº 785, Cajamarca – Perú / Teléfonos (01) 224-7777 o 0800 4 40 40 + opción 6 + 7601
E-mail: vgarcia@indecopi.gob.pe / Web: www.indecopi.gob.pe
1/8
ÓRGANO RESOLUTIVO DE PROCEDIMIENTOS SUMARÍSIMOS
OFICINA REGIONAL DEL INDECOPI DE CAJAMARCA
EXPEDIENTE 0258-2022/PS0-INDECOPI-CAJ
II. ANÁLISIS
5. El segundo párrafo del artículo 104 del Código establece que la atribución de responsabilidad al
proveedor debe analizarse conforme a la norma que regula la carga de la prueba; es decir, primero
corresponde al consumidor acreditar la existencia de un defecto en el producto o servicio y luego
será el proveedor quien debe demostrar que aquel defecto no le es imputable debido a la existencia
de circunstancias que lo eximen de responsabilidad porque existe una ruptura del nexo causal4.
7. En tal sentido, el titular es la persona que celebra el contrato de tarjeta de débito y autoriza que se
carguen los consumos o disposiciones; las entidades financieras las emiten y son responsables por
su activación, bloqueo y cargar las transacciones de acuerdo con las correspondientes órdenes de
pago6, y; el establecimiento afiliado, proporciona un bien o servicio aceptando la tarjeta de débito
como medio de pago y, además, verifica que la operación se efectúe válidamente7.
M-OPS-03/03
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL
Jirón Amazonas Nº 785, Cajamarca – Perú / Teléfonos (01) 224-7777 o 0800 4 40 40 + opción 6 + 7601
E-mail: vgarcia@indecopi.gob.pe / Web: www.indecopi.gob.pe
2/8
ÓRGANO RESOLUTIVO DE PROCEDIMIENTOS SUMARÍSIMOS
OFICINA REGIONAL DEL INDECOPI DE CAJAMARCA
EXPEDIENTE 0258-2022/PS0-INDECOPI-CAJ
8. Sobre el particular, el Reglamento de Tarjetas, en sus artículos 15, 16 y 17 establece las diversas
medidas de seguridad que las entidades supervisadas por la Superintendencia de Banca, Seguros y
AFP (en adelante, SBS) deben implementar, tanto en las tarjetas de crédito como de débito, así
como en las operaciones que se efectúen a través de ellas:
“(…)
Artículo 15°. - Medidas de seguridad incorporadas en las tarjetas
Las tarjetas deberán contar con un circuito integrado o chip que permita almacenar y procesar la
información del usuario y sus operaciones, cumpliendo estándares internacionales de
interoperabilidad para el uso y verificación de las tarjetas, así como para la autenticación de pagos;
para lo cual deberá cumplirse como mínimo con los requisitos de seguridad establecidos en el
estándar EMV, emitido por EMVCo. Al respecto, las empresas deberán aplicar, entre otras, las
siguientes medidas:
1. Reglas de seguridad definidas en el chip de las tarjetas, que deben ser utilizadas para verificar la
autenticidad de la tarjeta, validar la identidad del usuario mediante el uso de una clave o firma u otros
mecanismos de autenticación.
(…)
4. Disponer de mecanismos para aplicar instrucciones sobre el chip de las tarjetas en respuesta a
una transacción en línea, a fin de modificar los límites establecidos según perfiles de riesgo, así
como bloquear o deshabilitar aquellas tarjetas que hayan sido extraviadas o sustraídas.
(…)
Artículo 16°. - Medidas de seguridad respecto a los usuarios
(…)
4. Para las operaciones de disposición o retiro de efectivo, compras y otras operaciones que la
empresa identifique con riesgo de fraude en perjuicio de los usuarios, deberá otorgar a estos la
opción de habilitar un servicio de notificaciones que les informe de las operaciones realizadas con
sus tarjetas, inmediatamente después de ser registradas por la empresa, mediante mensajes de
texto a un correo electrónico y/o un teléfono móvil, entre otros mecanismos que pueden ser pactados
con los usuarios.
5. Poner a disposición de los usuarios, la posibilidad de comunicar a la empresa que realizarán
operaciones con su tarjeta desde el extranjero, antes de la realización de estas operaciones.
6. En aquellos casos en los que se permita a los usuarios realizar operaciones de micropago, deberá
establecer el monto máximo por operación que podrá efectuarse.
Las empresas cargarán en la cuenta de depósitos el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta
de débito adquiera o pague utilizándola, de acuerdo con las órdenes de pago que este suscriba o autorice; el monto empleado
como consecuencia del uso de alguno de los servicios descritos en el artículo 13 del Reglamento, en caso corresponda; así
como las demás obligaciones asumidas en el contrato, conforme a la legislación vigente sobre la materia.
Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas electrónicas
sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal efecto, conforme al
marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el titular de la tarjeta de débito.
M-OPS-03/03
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL
Jirón Amazonas Nº 785, Cajamarca – Perú / Teléfonos (01) 224-7777 o 0800 4 40 40 + opción 6 + 7601
E-mail: vgarcia@indecopi.gob.pe / Web: www.indecopi.gob.pe
3/8
ÓRGANO RESOLUTIVO DE PROCEDIMIENTOS SUMARÍSIMOS
OFICINA REGIONAL DEL INDECOPI DE CAJAMARCA
EXPEDIENTE 0258-2022/PS0-INDECOPI-CAJ
Las empresas deben adoptar como mínimo las siguientes medidas de seguridad con respecto a las
operaciones con tarjetas que realizan los usuarios:
1. Contar con sistemas de monitoreo de operaciones, que tengan como objetivo detectar aquellas
operaciones que no corresponden al comportamiento habitual de consumo del usuario.
2. Implementar procedimientos complementarios para gestionar las alertas generadas por el sistema
de monitoreo de operaciones.
3. Identificar patrones de fraude, mediante el análisis sistemático de la información histórica de las
operaciones, los que deberán incorporarse al sistema de monitoreo de operaciones.
(…).”
9. De los artículos transcritos, se evidencia que el Reglamento de Tarjetas considerará que una
operación es válida únicamente cuando se hayan adoptado todas las medidas de seguridad
establecidas para evitar fraudes, esto es, cuando sea posible constatar que verificó si constituían -
respecto a su información histórica- operaciones inusuales según el sistema de monitoreo
implementado y si alertó al consumidor oportunamente; así como, si se ingresaron los requisitos de
autenticación, como uso de tarjeta activa, habilitada e ingreso de claves secretas.
10. En este sentido y siguiendo lo señalado de la Sala Especializada en Protección al Consumidor (en
adelante, la Sala), este órgano resolutivo concluye que cuando se denuncian presuntas operaciones
no reconocidas efectuadas con tarjetas de débito, primero se deberá verificar si resultaban acordes
al movimiento histórico de transacciones del denunciante, a fin de determinar si a propósito de su
realización la entidad financiera debía generar una alerta, porque constituían –razonablemente–
actuaciones fuera de su patrón de consumo.
11. Luego de dicha verificación, corresponderá determinar si las entidades financieras implementaron
medidas de seguridad para evidenciar la concurrencia de requisitos que validen la identidad del
usuario mediante el uso de una clave o firma u otros mecanismos de autenticación de las
operaciones cuestionadas por el consumidor, siendo usualmente, el uso conjunto de lo siguiente:
tarjeta activa, canal de uso habilitado e ingreso correcto de las claves o firmas respectivas.
M-OPS-03/03
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL
Jirón Amazonas Nº 785, Cajamarca – Perú / Teléfonos (01) 224-7777 o 0800 4 40 40 + opción 6 + 7601
E-mail: vgarcia@indecopi.gob.pe / Web: www.indecopi.gob.pe
4/8
ÓRGANO RESOLUTIVO DE PROCEDIMIENTOS SUMARÍSIMOS
OFICINA REGIONAL DEL INDECOPI DE CAJAMARCA
EXPEDIENTE 0258-2022/PS0-INDECOPI-CAJ
13. Ahora bien, queda claro que el sistema de monitoreo que se exige a las entidades financieras tiene
por finalidad evitar la realización de futuras operaciones fraudulentas cuando se ha detectado un
patrón inusual; siendo así, en el presente caso, corresponde verificar si CMAC Piura adoptó las
medidas necesarias para detectar la transferencia de S/ 6770.38 del 10 de octubre de 2022, que el
señor Campos indicó que no formaba parte de su patrón de consumo y no había efectuado.
16. Concluir lo contrario, implicaría impedir y/o limitar que los consumidores utilicen sus tarjetas de
débito por primera vez en cualquiera de los canales implementados para hacerlo, tales como:
ventanillas de atención, cajeros automáticos, banca por internet, entre otros, generando costos
adicionales a las entidades financieras porque tendrían que reportar como sospechosa y/o
fraudulenta cada primera operación, restando fluidez a las transacciones financieras.
17. Sin perjuicio de lo señalado en los párrafos anteriores, en sus descargos CMAC Piura señaló que la
operación cuestionada por el señor Campos generó una alerta en su sistema de monitoreo porque
era la primera transferencia vía CCE, por lo cual procedió a realizar un bloqueo preventivo de la
tarjeta de débito asociada a la cuenta de ahorros n° 210-01-****939, lo que evitó que se efectúen
operaciones posteriores. Para acreditar su afirmación presentó el siguiente reporte de su sistema:
menos, correspondan a dos categorías distintas y que sean independientes uno del otro.
b) Generar un código de autenticación mediante métodos criptográficos, a partir de los datos específicos de cada operación, el
cual debe utilizarse por única vez.
c) Cuando la operación sea exitosa, notificar los datos de la operación al usuario.
M-OPS-03/03
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL
Jirón Amazonas Nº 785, Cajamarca – Perú / Teléfonos (01) 224-7777 o 0800 4 40 40 + opción 6 + 7601
E-mail: vgarcia@indecopi.gob.pe / Web: www.indecopi.gob.pe
5/8
ÓRGANO RESOLUTIVO DE PROCEDIMIENTOS SUMARÍSIMOS
OFICINA REGIONAL DEL INDECOPI DE CAJAMARCA
EXPEDIENTE 0258-2022/PS0-INDECOPI-CAJ
18. Por otro lado, siguiendo el criterio desarrollado en los párrafos anteriores, ahora corresponde
determinar si para procesar la transferencia de S/ 6770.38, efectuada el 10 de octubre de 2022, se
siguieron todos los requisitos de autenticación de la tarjeta de débito vinculada a la cuenta de
ahorros n° 210-01-****939 del señor Campos, de conformidad con lo establecido en el artículo 19
del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad
19. Al respecto, si bien corresponde al consumidor acreditar el defecto en el servicio brindado, existen
circunstancias que convierten este requisito en una exigencia de imposible cumplimiento. Así,
existen casos en los que por la naturaleza de las imputaciones no es viable que los consumidores
aporten pruebas que permitan determinar la existencia del defecto, en tal sentido la carga de la
prueba debe caer en aquel que se encuentre en mejor posición para asumirla.
20. En el presente caso, no podría imponerse al señor Campos la carga de probar este extremo de la
imputación denunciada, porque se sustenta en un hecho negativo, en tanto, señaló que no
reconocía la transferencia de S/ 6770.38, efectuada el 10 de octubre de 2022 en su cuenta de
ahorros, por lo tanto, le corresponde a CMAC Piura acreditar que se realizó válidamente.
21. Al respecto, CMAC Piura señaló que la operación cuestionada era válida porque se efectuó
cumpliendo con los mecanismos de seguridad necesarios, considerando que se concretó con el uso
de manera conjunta del número de la tarjeta de débito, la clave secreta de internet; además, del
ingreso del token digital. Así, para acreditar sus afirmaciones presentó como medios probatorios
cuatro (4) prints del reporte de su sistema “Log Transaccional” de la transferencia cuestionada:
MONTO DE LA
OPERACIÓN, TIPO DE
SIN OPERACIÓN
COMISIÓN.
FECHA Y
HORA
CANAL
UTILIZADO
M-OPS-03/03
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL
Jirón Amazonas Nº 785, Cajamarca – Perú / Teléfonos (01) 224-7777 o 0800 4 40 40 + opción 6 + 7601
E-mail: vgarcia@indecopi.gob.pe / Web: www.indecopi.gob.pe
6/8
ÓRGANO RESOLUTIVO DE PROCEDIMIENTOS SUMARÍSIMOS
OFICINA REGIONAL DEL INDECOPI DE CAJAMARCA
EXPEDIENTE 0258-2022/PS0-INDECOPI-CAJ
VALIDACIÓN
DE CLAVE
SECRETA.
MONTO CON
LA COMISIÓN
22. Ahora bien, de los reportes antes mencionados, se verifica que la transferencia de S/ 6770.38 fue
realizada el 10 de octubre de 2022 a las 18:59:48 horas, mediante “App de Caja Piura”, para ello se
ingresó a dicha plataforma con el numero de la tarjeta y la clave de internet (primer factor de
autentificación), y luego fue validada con el ingreso de la Clave Token Digital (segundo factor de
autentificación), por lo cual, en aplicación del principio procesal de la libre valoración de la prueba,
estos medios probatorios causan convicción de la validez de la operación.
23. Por lo expuesto, corresponde archivar la denuncia planteada contra CMAC Piura, en tanto, está
acreditado que adoptó las medidas de seguridad necesarias para detectar que la transferencia de S/
6770.38, efectuada el 10 de octubre de 2022 desde la cuenta de ahorro n° 210-01-****939 del señor
Campos, fue válidamente autorizada.
III. RESOLUCIÓN
PRIMERO: archivar el procedimiento administrativo sancionador iniciado contra CMAC Piura S.A.C., por
presunta infracción al artículo 19 del Código de Protección y Defensa del Consumidor, en tanto, está
acreditado que adoptó las medidas de seguridad necesarias para detectar que la transferencia de S/
6770.38, efectuada el 10 de octubre de 2022 desde la cuenta de ahorro n° 210-01-****939 del señor Luis
Alberto Campos Becerra, fue válidamente autorizada.
SEGUNDO: informar a las partes del procedimiento que la presente Resolución tiene vigencia desde el día
de su notificación y no agota la vía administrativa. En tal sentido, se informa que de conformidad con lo
dispuesto en el artículo 32 de la Directiva Nº 001-2021/COD-INDECOPI, contra lo dispuesto por la presente
M-OPS-03/03
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL
Jirón Amazonas Nº 785, Cajamarca – Perú / Teléfonos (01) 224-7777 o 0800 4 40 40 + opción 6 + 7601
E-mail: vgarcia@indecopi.gob.pe / Web: www.indecopi.gob.pe
7/8
ÓRGANO RESOLUTIVO DE PROCEDIMIENTOS SUMARÍSIMOS
OFICINA REGIONAL DEL INDECOPI DE CAJAMARCA
EXPEDIENTE 0258-2022/PS0-INDECOPI-CAJ
jefatura procede el recurso impugnativo de apelación. Cabe señalar que dicho recurso deberá ser presentado
ante el Órgano Resolutivo de Procedimientos Sumarísimos adscrito a la Oficina Regional del Indecopi de
Cajamarca en un plazo máximo de quince (15) días hábiles contados a partir del día siguiente de su
notificación9, caso contrario la Resolución quedará consentida10.
TERCERO: informar a las partes que, de conformidad con el artículo 34 de la Directiva Nº 001-2021/COD-
INDECOPI11, las resoluciones de los Órganos Resolutivos de Procedimientos Sumarísimos de Protección al
Consumidor que ponen fin al procedimiento no requieren de una declaración de consentimiento expreso.
10 TEXTO ÚNICO ORDENADO DE LA LEY 27444, LEY DEL PROCEDIMIENTO ADMINISTRATIVO GENERAL, APROBADO
POR DECRETO SUPREMO 004-2019-JUS.
Artículo 222.- Acto firme
Una vez vencidos los plazos para interponer los recursos administrativos se perderá el derecho a articularlos quedando firme el
acto.
M-OPS-03/03
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL
Jirón Amazonas Nº 785, Cajamarca – Perú / Teléfonos (01) 224-7777 o 0800 4 40 40 + opción 6 + 7601
E-mail: vgarcia@indecopi.gob.pe / Web: www.indecopi.gob.pe
8/8