Resolución Final #1179-2024/CC1

COMISIÓN DE PROTECCIÓN AL CONSUMIDOR Nº 1
SEDE CENTRAL
EXPEDIENTE N° 0954-2023/PS2
RESOLUCIÓN FINAL Nº 1179-2024/CC1

PROCEDENCIA : ÓRGANO RESOLUTIVO DE PROCEDIMIENTOS
SUMARÍSIMOS DE PROTECCIÓN AL CONSUMIDOR
Nº 2 (OPS)
DENUNCIANTES : MARCO ANTONIO VARGAS SEMINARIO (SEÑOR VARGAS)
DENUNCIADO : BANCO DE CRÉDITO DEL PERÚ S.A. 1 (BANCO)
MATERIAS : PROTECCIÓN AL CONSUMIDOR
DEBER DE IDONEIDAD
MEDIDAS CORRECTIVAS
GRADUACIÓN DE LA SANCIÓN
ACTIVIDAD : SISTEMA BANCARIO FINANCIERO
SANCIÓN : TRES CON CUARENTA Y NUEVE (3,49) UNIDADES

IMPOSITIVASTRIBUTARIAS (UIT)
Lima, 22 de mayo de 2024
ANTECEDENTES
1. Mediante escrito del 4 de abril de 2023, complementado con escrito del 12 de abril de
2023, el señor Vargas denunció al Banco por presuntas infracciones de la Ley N° 29571,
Código de Protección y Defensa del Consumidor (en adelante, Código)2, manifestando
lo siguiente:
(i) Es titular de la Tarjeta de Crédito N° 4634********3074; no obstante, el 11 de enero

de 2023, el Banco permitió el cargo indebido de una (1) operación a su tarjeta de
crédito, la cual no reconoce haber autorizado, en tanto: (i) fue realizada después
de haber recibido una llamada por parte del denunciado, ofreciéndole el cambio
de su tarjeta con mejores tasas, por lo que, entregó el plástico al motorizado que
fue enviado a su domicilio; (ii) se efectuó sin verificar la identidad del titular; y, (iii)
procesó el consumo, a pesar que informó al denunciado que se habían realizado
operaciones fraudulentas con su tarjeta. La transacción cuestionada respondía al
detalle siguiente:
Cuadro N° 1: Operación no reconocida
(ii) El 17 y 24 de enero de 2023, interpuso ante el Banco los Reclamos N° C13727001

y N° C13895272, respectivamente; no obstante, estos fueron respondidos de
Firmado digitalmente por ROA
QUISPE DE SÁNCHEZ Magda
Eveling FAU 20133840533 hard
forma inadecuada, en tanto la entidad bancaria se limitó a indicar que la operación
Motivo: Doy V° B°
Fecha: 27.05.2024 17:42:41 -05:00 era válida porque se realizó con la presencia de su tarjeta, sin abrir una
investigación y sin facilitar la información del voucher de pago con su firma.
1
RUC: 20100047218.
2
Publicada en el Diario Oficial El Peruano el 2 de septiembre de 2010 y vigente desde el 2 de octubre de 2010, modificada
mediante Decreto Supremo N° 1308, publicado el 30 de diciembre de 2016.
1
M-CPC-05/02
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

Calle De la Prosa 104, San Borja, Lima 41 - Perú Telf: 224 7800 / Fax: 224 0348
E-mail: postmaster@indecopi.gob.pe / Web: www.indecopi.gob.pe
SEDE CENTRAL
(iii) Esta situación evidencia que el Banco habría permitido que se filtre su información
personal, puesto que la persona que se comunicó telefónicamente el 11 de enero
de 2023 contaba con sus datos personales.
2. Mediante Resolución N° 1 del 24 de abril de 2023, el OPS admitió a trámite la denuncia

presentada por el señor Vargas contra el Banco, de conformidad con los siguientes
términos:
“(…)
TERCERO: Iniciar un procedimiento administrativo sancionador, en mérito a la denuncia
de fecha 4 de abril de 2023, complementado con escrito del 12 de abril de 2023,
presentados por el señor Marco Antonio Vargas Seminario contra Banco de Crédito del
Perú S.A., por presuntas infracciones a lo establecido en:
(i) los artículos 1° literal c), 18° y 19° del Código de Protección y Defensa del
Consumidor, digo de Protección y Defensa del Consumidor (en adelante, el Código),
en tanto habría cargado indebidamente una (1) operación en la tarjeta de crédito N°
4634********3074 del denunciante, la cual no reconoce haber autorizado, pues: (i)
fueron realizadas después de haber recibido una llamada por parte del denunciado
en el que le ofrecían el cambio de su tarjeta a una con mejores tasas; por lo que, se
la entregó al motorizado que fue enviado a su domicilio, quién la trituró y le indicó que
quedaba anulada y firmó el nuevo contrato para el cambio de tarjeta; (ii) se efectuaron
sin verificar la identidad del titular; y, (iii) procesaron el último consumo, a pesar de
que le indicó al denunciado que se realizaron operaciones fraudulentas con su tarjeta:
(ii) el artículo 88.1° del Código, en tanto habría atendido inadecuadamente los siguientes
reclamos:
(iii) los artículos 18° y 19° del Código, en tanto, habría permitido que se filtre la
información personal del denunciante, ya que la persona que lo llamó el día 11 de
enero de 2023 por parte del denunciado contaba con su información.
(…)”
3. El 5 de mayo de 2023, el Banco presentó su escrito de descargos y manifestó lo

siguiente:
(i) El consumo cuestionado se realizó en estricto cumplimiento de las medidas de

seguridad implementadas por su entidad para ese tipo de operaciones, esto es, el
2
M-CPC-05/02

SEDE CENTRAL
uso de la tarjeta y la identificación de la identidad del titular por parte del

establecimiento afiliado, para lo cual adjuntó los reportes Coldview Chronological
Journal y Coldview Visa Incoming Financial Detail.
(ii) El código (AUTH CODE) del reporte ColdView Chronological Journal acredita que
se cumplió con los mecanismos de seguridad necesarios; y, los códigos del
reporte Coldview Visa Incoming Financial Detail acreditan el uso del plástico, la
lectura del chip y la firma en el voucher correspondiente; además, adjuntó copia
del voucher del consumo cuestionado.
(iii) La Tarjeta de Crédito N° 4634-****-****-3074 fue bloqueada el 14 de enero de 2023

a las 11:26:41 horas, esto es, luego de la operación denunciada.
(iv) La conducta del denunciante de entregar o proporcionar su tarjeta de crédito a un

tercero configura un supuesto de ruptura del nexo causal, por lo que debe
exonerarse de responsabilidad a su entidad.
(v) El Reclamo N° C13727001 del denunciante fue atendida mediante carta del 19 de
enero de 2023, en la cual detalló los motivos por los cuales la devolución solicitada
no resultaba procedente; y, el Reclamo N° C13895272 fue atendida a través de la
comunicación del 14 de febrero de 2023, mediante la cual informó al señor Vargas
las características de las operaciones cuestionadas y los motivos por los cuales
se desestimó su pedido de devolución.
4. Mediante Resolución N° 2 del 15 de mayo de 2023, el OPS trasladó los descargos

presentados por el Banco a la parte denunciante.
5. Por Resolución Final N° 1026-2023/PS2 del 7 de junio de 2023, el OPS resolvió lo

siguiente:
“(…)
PRIMERO: Archivar el procedimiento administrativo sancionador iniciado contra Banco
de Crédito del Perú, por presunta infracción a lo establecido en los artículos 1° literal c),
18° y 19° del Código de Protección y Defensa del Consumidor, por presuntamente haber
cargado indebidamente una (1) operación en la tarjeta de crédito N° 4634********3074 del
denunciante, la cual no reconoce haber autorizado, sin que se verifiquen los
incumplimientos adicionales alegados por el consumidor:
SEGUNDO: Archivar el procedimiento administrativo sancionador iniciado contra Banco

de Crédito del Perú, por presunta infracción a lo establecido en el artículo 88.1° del
Código de Protección y Defensa del Consumidor, por presuntamente atender de manera
inadecuada los reclamos N° C13727001 y N° C13895272 del 17 y 24 de enero de 2023,
respectivamente, presentados por el denunciante.
TERCERO: Archivar el procedimiento administrativo sancionador iniciado contra Banco

de Crédito del Perú, por presunta infracción a lo establecido en los artículos 18° y 19° del
Código de Protección y Defensa del Consumidor, por supuestamente haber permitido
que se filtre la información personal del denunciante, ya que la persona que lo llamó el
día 11 de enero de 2023 por parte del denunciado contaba con su información.
3
M-CPC-05/02

SEDE CENTRAL
(…)”.
6. El 21 de junio de 2023, el señor Vargas presentó un recurso de apelación contra la

Resolución Final N° 1026-2023/PS2, a través del cual expuso que la entidad bancaria
denunciada debería verificar que la firma puesta en el voucher del consumo, en efecto
le corresponda al titular, mejorando sus controles de validación de operaciones.
7. Mediante Resolución N° 4 del 26 de junio de 2023, el OPS concedió el recurso de

apelación interpuesto por el señor Vargas contra la Resolución Final N° 1026-2023/PS2.
8. Por Memorándum N° 1146-2023-PS2/INDECOPI del 11 de julio de 2023, el OPS elevó

el expediente a la Comisión de Protección al Consumidor N° 1 (en adelante, Comisión),
en mérito al recurso de apelación interpuesto por el señor Vargas.
9. Mediante Resolución N° 1 del 25 de julio de 2023, Secretaría Técnica de la Comisión

puso en conocimiento del Banco el recurso de apelación interpuesto por el señor
Vargas.
10. El 14 de setiembre de 2023, el señor Vargas presentó dos (2) escritos, a través de los
cuales reiteró los argumentos expuestos en su apelación y agregó que el Banco le ha
remitido requerimientos de pago derivados del consumo materia de denuncia.
Asimismo, solicitó que se emita un pronunciamiento a la brevedad.
11. Por Resolución N° 3 del 20 de setiembre de 2023, se agregó al expediente los escritos
presentados por el denunciante y se corrió traslado de los mismos a la parte denunciada.
12. El 15 de octubre de 2023, el señor Vargas presentó un escrito reiterando que

corresponde atribuir responsabilidad administrativa al Banco, en tanto su firma no
coincide con la consignada en el voucher del consumo cuestionado. Asimismo, requirió
que se emita un pronunciamiento a su favor acogiéndose al beneficio del silencio
administrativo positivo; asimismo, se debía considerar la existencia de resoluciones
emitidas por otras sedes del Indecopi que, en casos similares, sancionan a las entidades
bancarias.
13. El 20 de octubre de 2023, el señor Vargas presentó un escrito reiterando los argumentos
expuestos en su escrito del 15 de octubre de 2023.
14. Por Resolución Final N° 2513-2023/PS2 de 24 de octubre de 2023, la Comisión resolvió:
“(…)
PRIMERO: declarar la nulidad parcial de la Resolución Final N° 1026-2023/PS2 del 7 de
junio de 2023, emitida por el Órgano Resolutivo de Procedimientos Sumarísimos de
Protección al Consumidor N° 2, que declaró infundada la denuncia interpuesta por el señor
Marco Antonio Vargas Seminario contra Banco de Crédito del Perú S.A., por infracción de
los artículos 1° literal c), 18° y 19° de la Ley N° 29571, Código de Protección y Defensa
del Consumidor, referido al cargo indebido de una (1) operación en la Tarjeta de Crédito
N° 4634********3074 del denunciante, por vulneración a los principios de motivación y
congruencia, en la medida que el órgano resolutivo de primera instancia no cumplió con
observar y aplicar en el caso particular el Reglamento para la Gestión de la Seguridad de
la Información y la Ciberseguridad, aprobado por Resolución SBS N° 504-2021; así como
4
M-CPC-05/02

SEDE CENTRAL
tampoco, realizar las actuaciones probatorias necesarias y específicas en torno a la

normativa aplicable sobre la materia.
SEGUNDO: ordenar al Órgano Resolutivo de Procedimientos Sumarísimos de Protección

al Consumidor N° 2, que emita un nuevo pronunciamiento respecto a la responsabilidad
de Banco de Crédito del Perú S.A., tomando en consideración lo desarrollado en la
presente resolución.
(…)”
15. Mediante Resolución N° 5 de fecha 4 de diciembre de 2023, el OPS requirió al Banco

que cumpla con informar si notificó a la parte denunciante la operación materia de
cuestionamiento.
16. Mediante escritos del 11 y 15 de diciembre de 2023, el Banco solicitó ampliaciones de

plazo para atender el requerimiento de información, las cuales fueron concedidas por el
OPS mediante las Resoluciones N° 6 y 7 del 13 y 18 de diciembre de 2023,
respectivamente.
17. El 20 de diciembre de 2023, el Banco presentó un escrito y adjuntó los reportes de su

sistema que demuestran la notificación de la realización de la operación a la parte
denunciante.
18. El 27 de diciembre de 2023, el señor Vargas presentó un escrito adicional y manifestó

que:
(i) De acuerdo con la normativa vigente, con la finalidad de evitar que se generen
operaciones fraudulentas, debe utilizarse una combinación de factores de
autenticación.
(ii) En la medida que el fraude fue cometido en enero de 2023 mediante el uso de
un POS en un establecimiento comercial, es responsabilidad del Banco
implementar los controles necesarios establecidos en el Reglamento para la
Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por
Resolución SBS N° 504-2021 (en adelante, el Reglamento de Ciberseguridad).
(iii) El Banco debió aplicar las medidas correspondientes para evitar fraudes,
siendo que, en el presente caso, la firma consignada en la orden de pago no le
corresponde, pese a que debió ser validada por la autenticación reforzada.
19. Por Resolución Final N° 0007-2024/PS2 del 3 de enero de 2024, el OPS resolvió lo
siguiente:
“(…)
PRIMERO: Archivar el procedimiento administrativo sancionador iniciado contra
Banco de Crédito del Perú, por presunta infracción a lo establecido en los artículos
1° literal c), 18° y 19° del Código de Protección y Defensa del Consumidor, por
presuntamente haber cargado indebidamente una (1) operación en la tarjeta de
crédito N° 4634********3074 del denunciante, la cual no reconoce haber autorizado,
sin que se verifiquen los incumplimientos adicionales alegados por el consumidor.
Fecha Hora Detalle Importe S/
11/01/2023 15:49 Nuestra Familia 2 980,00
5
M-CPC-05/02

SEDE CENTRAL
(…)”
20. El 11 de enero de 2024, el señor Vargas presentó un recurso de apelación contra la

Resolución Final N° 0007-2024/PS2, a través del cual expuso que la entidad bancaria
denunciada no ha cumplido con la autenticación reforzada, en la medida que el canal
utilizado para efectuar la operación es considerado un canal digital de acuerdo al
Reglamento de Ciberseguridad. Asimismo, reiteró que la firma consignada en el voucher
presentado por el Banco no le pertenece.
21. El 12 de enero de 2024, el denunciante reitero mediante un escrito lo referido a la falta

de autenticación reforzada por parte del Banco.
22. Mediante Resolución N° 10 del 18 de enero de 2024, el OPS concedió el recurso de

apelación interpuesto por el señor Vargas contra la Resolución Final N° 0007-2024/PS2.
23. Por Memorándum N° 0179-2024-PS2/INDECOPI del 31 de enero de 2024, el OPS elevó

el expediente a la Comisión, en mérito al recurso de apelación interpuesto por el señor
Vargas.
24. Mediante Resolución N° 1 del 29 de febrero de 2024, Secretaría Técnica de la Comisión

puso en conocimiento del Banco el recurso de apelación interpuesto por el señor
Vargas.
25. Mediante Resolución N° 2 del 5 de marzo de 2024, la Secretaría Técnica (i) agregó al
expediente el Oficio N° 1690-2024-SBS; (ii) agregó el escrito presentado por
denunciante el 5 de marzo de 20243; y, (iii) efectuó el siguiente requerimiento de
información:
“Requerir a Banco de Crédito del Perú S.A. que, en el plazo improrrogable de tres (3) días
hábiles, contado a partir del día siguiente de notificada la presente resolución, cumpla con
lo siguiente:
a. Explicar de forma detallada cuáles son los dos (2) factores de autenticación reforzada
de naturaleza distinta e independiente – contemplados en el literal j) del artículo 2 del
Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad,
aprobado por Resolución SBS N° 504-2021 – utilizados por su representada en los
supuestos de operaciones realizadas por canal digital, en aplicación del artículo 19°
del citado reglamento; debiendo precisar, además, los motivos por los que considera
que dichos factores son independientes entre sí y de distinta naturaleza
b. Detallar cuál es el código de autenticación y de uso único generado (mediante métodos
criptográficos), a partir de los datos específicos de la operación materia de denuncia.
c. Presentar el medio probatorio pertinente que acredite que se notificó al usuario con los
datos de la operación materia de cuestionamiento.
d. Indicar si la operación materia de denuncia, realizada a través del canal digital, se
encuentra dentro del supuesto de exención de la norma; para lo cual, deberá explicar
el límite y el cumplimiento de los requisitos exigibles para la aplicación de dicha
exención, de conformidad con lo dispuesto en el artículo 20 del del Reglamento para
la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por
Resolución SBS N° 504-2021. (…)”.
3
Cabe precisar que, el referido escrito corresponde a la conformidad del denunciante respecto a recepción de la
notificación vía correo electrónico.
6
M-CPC-05/02

SEDE CENTRAL
26. El 11 de marzo de 2024, el Banco presentó un escrito señalando que tal como consta
en la copia visada de los Reportes Coldview Chronological Journal y Coldview Visa
Incoming Financial Detail, que obran en el expediente, acreditan que la operación
materia de denuncia se realizó de manera válida; y, además obra copia del voucher de
la operación en cuestión.
27. El 13 de marzo de 2024, el Banco presentó un escrito, en atención al requerimiento

efectuado, señalando que, la autoridad competente para supervisar y validar el
cumplimiento del Reglamento de Ciberseguridad es la Superintendencia de Banca,
Seguros y Administradoras de Fondos de Pensiones (en adelante, SBS) y no Indecopi.
28. El 18 de marzo de 2024, el señor Vargas presentó un escrito adjuntando copia de un

protesto enviado por el Banco, de cuyo contenido se aprecia que la referida entidad le
estaría requiriendo el pago de la operación materia de denuncia.
29. Por Resolución N° 3 del 20 de marzo de 2024, se agregó al expediente los escritos
presentados por el denunciante y el Banco; y se corrió traslado de los mismos a ambas
partes.
30. El 26 de marzo de 2024, el señor Vargas presentó un escrito reiterando los argumentos
expuestos en sus escritos del 11 y 12 de enero de 2024.
31. Por Resolución N° 4 del 27 de marzo de 2024, se agregó al expediente el escrito

presentado por el denunciante y se corrió traslado del referido escrito al Banco.
32. El 15 de abril de 2024, el señor Vargas presentó un escrito reiterando los argumentos
expuestos en sus escritos del 12 de enero y 26 de marzo de 2024.
33. Por Resolución N° 5 del 23 de abril de 2024, se agregó al expediente el escrito

presentado por el denunciante y se corrió traslado del referido escrito al Banco.
ANALISIS
Cuestión previa: sobre la falta de competencia alegada por el Banco
34. El artículo 105° del Código establece que el Indecopi es la autoridad con competencia
primaria y de alcance nacional para conocer las presuntas infracciones a las
disposiciones contenidas en el presente Código, así como para imponer las sanciones
y medidas correctivas establecidas en el presente capítulo, conforme a la Ley de
Organización y Funciones del Indecopi, aprobada por Decreto Legislativo N° 1033.
35. Dicha normativa también dispone también que la competencia del Indecopi solo puede
ser negada cuando ella haya sido asignada o se asigne a favor de otro organismo por
norma expresa con rango de ley4.
4 LEY N° 29571, CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR, publicada el 2 de setiembre de 2010 y modificado por
Decreto Legislativo N° 1308.
Artículo 105.- Autoridad competente
7
M-CPC-05/02

SEDE CENTRAL
36. De otro lado, el Código Procesal Civil, de aplicación supletoria a los procedimientos
administrativos, establece en el numeral 4 del artículo 427, que el juez declarará
improcedente la demanda cuando carezca de competencia5.
37. En el presente caso, mediante escrito del 13 de marzo de 2024, el Banco señaló que el
Indecopi carece de competencia para indagar sobre aspectos técnicos del Reglamento
de Ciberseguridad o para determinar el cumplimiento de las obligaciones contenidas en
dicha norma, siendo la entidad competente la SBS.
38. Sobre el particular, cabe señalar que, en materia de productos y servicios financieros,
el Código dispone una serie de obligaciones –contenidas entre los artículos 82° y 90°
del mencionado cuerpo legal– que deben ser cumplidas por las empresas supervisadas
por la SBS teniendo en cuenta las normas que dicha entidad emita en el marco de sus
facultades regulatorias.
39. Asimismo, el artículo 81° del Código6 dispone que la regulación y supervisión del sistema
financiero, así como de los productos y servicios, se rigen, en virtud del principio de
especialidad normativa, por la Ley N° 26702, Ley General del Sistema Financiero y del
Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, cuya
implementación se encuentra regulada a través de diversos reglamentos y circulares
emitidos por la SBS, como el Reglamento de Sanciones Aplicadas a las Personas
Naturales y Jurídicas Supervisadas (en adelante, el Reglamento de Sanciones),
aprobado por Resolución SBS 816-2005.
40. El artículo 19° del Reglamento de Sanciones7 señala que será la SBS la entidad
competente para conocer los incumplimientos de las disposiciones que rigen a las
El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi) es la autoridad con
competencia primaria y de alcance nacional para conocer las presuntas infracciones a las disposiciones contenidas en el presente
capítulo, conforme al Decreto legislativo núm. 1033, Ley de Organización y Funciones del Indecopi. Dicha competencia solo puede
ser negada cuando ella haya sido asignada o se asigne a favor de otro organismo por norma expresa con rango de ley. (…)
5 TEXTO ÚNICO ORDENADO DEL CÓDIGO PROCESAL CIVIL, aprobado por Resolución Ministerial 010-93-JUS y publicado el 22 de
abril de 1993
Artículo 427.- El juez declarará improcedente la demanda cuando:
(...)
4. Carezca de competencia.
6
LEY 29571 MODIFICADO POR EL DECRETO LEGISLATIVO 1308 DEL 30 DE DICIEMBRE DE 2016. CÓDIGO DE PROTECCIÓN Y DEFENSA
DEL CONSUMIDOR.
Artículo 81°. –
La materia de protección al consumidor de los servicios financieros prestados por las empresas supervisadas por la Superintendencia
de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones se rige por las disposiciones del presente Código, así como
por las normas especiales establecidas en la Ley núm. 28587, Ley Complementaria a la Ley de Protección al Consumidor en Materia
de Servicios Financieros, y las normas reglamentarias emitidas para garantizar su cumplimiento. La regulación y supervisión del
sistema financiero, así como los productos y servicios se rige en virtud del principio de especialidad normativa por la Ley núm. 26702,
Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros.
7 RESOLUCIÓN SBS 816-2005. REGLAMENTO DE SANCIONES APLICADAS A LAS PERSONAS NATURALES Y JURÍDICAS SUPERVISADAS.
TÍTULO V. PROCEDIMIENTO SANCIONADOR.
Artículo 19.-
Inicio y partes del procedimiento. El procedimiento sancionador se inicia siempre de oficio, sobre la base de los hechos detectados
por la propia Superintendencia u otras entidades o por las denuncias presentadas por terceros al amparo del artículo 105 de la Ley
del Procedimiento Administrativo General. En el procedimiento sancionador sólo participan la Superintendencia y la o las personas
a las que se les imputa la comisión de una infracción administrativa. La persona que denuncia un hecho que considera contrario al
8
M-CPC-05/02

SEDE CENTRAL
empresas supervisadas en su relación directa con el cliente cuando constituyan un

patrón de conducta, conforme a las atribuciones que le han sido conferidas por su ley
orgánica; asimismo, establece que los casos individuales que contengan materia
amparada por las normas de protección al consumidor, serán derivados al Indecopi.
41. De igual forma, la Sala Especializada en Protección al Consumidor (en adelante, la

Sala), mediante la Resolución N° 1332-2018/SPC-INDECOPI, al analizar su
competencia para conocer de infracciones que pudieran también ser conocidas por la
Superintendencia de Banca, Seguros y AFP, señaló lo siguiente:
“42. Por otro lado, esta Sala hace notar que, de los actuados, no se advierte vulneración al
principio non bis in ídem, en la medida que la SBS y el Indecopi tutelan bienes jurídicos
distintos, siendo que la primera entidad tutela fundamentalmente el funcionamiento y
operatividad del sistema financiero, y el Indecopi los derechos de los consumidores con
relación a los productos o servicios que adquieren, utilizan o disfrutan.”
42. Por tanto, se aprecia que los bienes jurídicos tutelados por ambas entidades difieren, en
tanto persiguen finalidades distintas, pues la SBS, no se encarga de velar por la
afectación de los intereses particulares de los consumidores, lo cual sí es competencia
del Indecopi.
43. En tal sentido, el Indecopi resulta ser la entidad competente para conocer la conducta
cuestionada por el señor Vargas, referida al presunto cargo de una (1) operación en la
tarjeta de crédito N° 4634********3074 del denunciante; en tanto, el hecho discutido se
encuentra vinculado con una afectación a los intereses particulares del consumidor.
44. Ahora bien, si bien el proveedor denunciado alega que el Indecopi carece de
competencia para indagar sobre aspectos técnicos del Reglamento de Ciberseguridad
o para determinar el cumplimiento de las obligaciones contenidas en dicha norma,
siendo la entidad competente la SBS, lo cierto es que el Indecopi ––durante la etapa de
instrucción o a través de sus órganos resolutivos––, tiene la facultad de requerir a las
entidades supervisoras o reguladoras opiniones técnicas con respecto a la normativa
que estas regulan con la finalidad de emitir un pronunciamiento acorde a derecho.
45. Además, debe tenerse en consideración que el Indecopi se encuentra en la obligación
de resolver la denuncias que se presenten ante esta institución en concordancia con lo
que dispone el ordenamiento jurídico, en consecuencia, no podría dejar de aplicar la
normativa sectorial emitida por la SBS, en concreto, el Reglamento de Ciberseguridad,
en la medida que estas establecen cuales son las medidas de seguridad que deben
adoptar las entidades del sector bancario bancario-financiero para las operaciones
realizadas mediante un canal digital.
46. En esa medida, cuando un consumidor denuncie ante esta institución que se realizaron
operaciones no reconocidas en su perjuicio, el Indecopi esta obligado a constatar lo que
establece el Reglamento de Ciberseguridad para determinar si el proveedor denunciado
ordenamiento legal conforme a lo indicado en el párrafo anterior, no forma parte del procedimiento sancionador, teniendo derecho
únicamente a que se le notifique el resultado del mismo. En el caso de denuncias sobre el incumplimiento de las disposiciones que
rigen a las empresas supervisadas en su relación directa con los clientes, la Superintendencia ejercerá su potestad sancionadora
cuando éstas constituyan un patrón de conducta, conforme a las atribuciones que le han sido conferidas por su ley orgánica. Los
casos individuales que contengan materia amparada por las normas de protección al consumidor, serán derivados al Instituto
Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI).
9
M-CPC-05/02

SEDE CENTRAL
cumplió con las exigencias que le ha impuesto tal norma, lo contrario sería desconocer
lo que la autoridad en la materia ha reglamentado y regulado.
47. Tal es así que, en diversos procedimientos, incluso de los que ha formado parte la
entidad bancaria, la Comisión ha recurrido a lo dispuesto la SBS a efectos de verificar
si se ha cumplido con lo señalado en la normativa de la materia; esto es relevante porque
permitirá determinar si el denunciado ha regulado su conducta con las obligaciones que
establece la norma.
48. No podría alegarse, por ejemplo, que la autoridad solo podría aplicar una norma en
particular y otra no, cuando tal normativa resulta aplicable a un solo hecho; en efecto, si
el ordenamiento jurídico vigente establece que diversos supuesto a los que el
administrado se encuentra obligado a cumplir, es deber de la autoridad verificar ––en el
marco de un procedimiento sancionador, como en el presente caso–– que tal
ordenamiento se cumpla. Una evaluación completa del ordenamiento jurídico vigente
permitirá a la autoridad emitir un pronunciamiento motivado y fundamentado en derecho.
49. Por los argumentos expuestos, esta Comisión sí tiene competencia para verificar los
hechos denunciados en el presente procedimiento y verificar la normativa que resulta
relevante para la materia, por lo que se desestima lo alegado por la entidad bancaria.
Sobre la presunta infracción al deber de idoneidad
50. El artículo 18° del Código establece que la idoneidad es la correspondencia entre lo que
un consumidor espera y lo que efectivamente recibe8.
51. Por su parte, el artículo 19° del Código establece que los proveedores son responsables
por la calidad e idoneidad de los productos y servicios que ofrecen en el mercado9. En
aplicación de esta norma, los proveedores tienen el deber de entregar los productos y
prestar los servicios al consumidor en las condiciones ofertadas o previsibles,
atendiendo a la naturaleza de estos, la regulación que sobre el particular se haya
establecido y, en general, a la información brindada por el proveedor o puesta a
disposición.
8
LEY Nº 29571, CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR, publicada el 2 de setiembre de 2010
y modificado por el Decreto Legislativo Nº 1308, publicado en el Diario Oficial El Peruano el 30 de diciembre de
2016.
Artículo 18.- Idoneidad
Se entiende por idoneidad la correspondencia entre lo que un consumidor espera y lo que efectivamente recibe, en
función a lo que se le hubiera ofrecido, la publicidad e información transmitida, las condiciones y circunstancias de la
transacción, las características y naturaleza del producto o servicio, el precio, entre otros factores, atendiendo a las
circunstancias del caso.
(…)
9
LEY N° 29571, CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR, publicada el 2 de setiembre de 2010
y modificado por el Decreto Legislativo Nº 1308, publicado en el Diario Oficial El Peruano el 30 de diciembre de
2016.
Artículo 19.- Obligación de los proveedores
El proveedor responde por la idoneidad y calidad de los productos y servicios ofrecidos; por la autenticidad de las marcas
y leyendas que exhiben sus productos o del signo que respalda al prestador del servicio, por la falta de conformidad entre
la publicidad comercial de los productos y servicios y estos, así como por el contenido y la vida útil del producto indicado
en el envase, en lo que corresponda.
10
M-CPC-05/02

SEDE CENTRAL
52. Asimismo, el literal c) del artículo 1° del Código10 señala que es un derecho de los
consumidores, la protección de sus intereses económicos y en particular contra las
cláusulas abusivas, métodos comerciales coercitivos, cualquier otra práctica análoga e
información interesadamente equívoca sobre los productos o servicios.
— De las medidas de seguridad aplicables a las operaciones
53. Sobre el particular, la relación jurídica que se genera entre una entidad financiera y un
consumidor como consecuencia de la entrega de una tarjeta de crédito o débito crea
deberes y derechos para ambas partes. Entre las obligaciones del consumidor, están la
de custodiar adecuadamente su tarjeta, mantener la confidencialidad de su clave
secreta, comunicar a la entidad financiera sobre el robo, hurto o extravío de la tarjeta,
entre otros.
54. En cuanto a las obligaciones de las entidades financieras, una condición implícita en los
servicios financieros ofertados en el mercado, integrada a su idoneidad, es la garantía
otorgada por los proveedores de que adoptarán las medidas de seguridad que fueran
necesarias para garantizar que el patrimonio de los consumidores se encuentre
debidamente resguardado. En ese sentido, debe entenderse que parte del servicio
prestado por el Banco, implica la confianza que el consumidor deposita en los sistemas
de seguridad con los que cuenta la institución financiera para la realización y aprobación
de cualquier transacción comercial realizada a través de tarjetas de crédito o débito que
afecte su patrimonio.
55. Por ello, en el marco de la relación comercial existente entre los consumidores y las
entidades del sistema financiero, se exige a estas la implementación de mecanismos de
seguridad destinados a proteger las transacciones que realizan sus clientes, evitando el
uso indebido o fraudulento de las tarjetas de crédito o débito.
56. En esa línea, el artículo 9° del Reglamento de Tarjetas, establece que las entidades
bancarias únicamente podrán cargar en las cuentas de las tarjetas de crédito de los
tarjetahabientes el importe de los bienes y servicios que adquieran utilizándolas, de
acuerdo a las órdenes de pago que estos autoricen, o por autorizaciones realizadas a
través de medios electrónicos y/o firmas electrónicas, así como por autorizaciones
expresas y previamente concedidas por el titular de la tarjeta de crédito11.
10
y modificada por el DECRETO LEGISLATIVO 1308, publicado el 30 de diciembre de 2016
Artículo 1.- Derechos de los consumidores
1.1 En los términos establecidos por el presente Código, los consumidores tienen los siguientes derechos:
(…)
c. Derecho a la protección de sus intereses económicos y en particular contra las cláusulas abusivas, métodos
comerciales coercitivos, cualquier otra práctica análoga e información interesadamente equívoca sobre los productos o
servicios.
11
RESOLUCIÓN SBS N° 6523-2013. REGLAMENTO DE TARJETAS DE CRÉDITO Y DÉBITO, publicada el 2 de
noviembre de 2013 y vigente desde el 1 de abril de 2014
Artículo 9°. – Cargos
Las empresas cargarán el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de crédito adquiera
o pague utilizándola, de acuerdo con las órdenes de pago que este autorice; el monto empleado como consecuencia del
uso de alguno de los servicios descritos en el artículo 7 del Reglamento, en caso corresponda; así como las demás
obligaciones señaladas en el contrato de tarjeta de crédito, conforme a la legislación vigente sobre la materia.
11
M-CPC-05/02

SEDE CENTRAL
57. Dicha disposición también aplica a las tarjetas de débito, según lo indicado en el artículo
14° del Reglamento, el cual establece que las entidades bancarias únicamente podrán
cargar en las cuentas de las tarjetas de débito de los tarjetahabientes el importe de los
bienes y servicios que adquieran utilizándolas, de acuerdo con las órdenes de pago que
autoricen12. Asimismo, la norma contempla la posibilidad que, de ser el caso, dichas
órdenes sean reemplazadas por autorizaciones o firmas electrónicas.
58. Del análisis de dicha norma, se desprende que lo que busca garantizar es que, en
cualquiera de los escenarios en que se realice la operación de consumo, esta se haya
efectuado en observancia de las medidas de seguridad correspondientes, por lo cual se
exige a las entidades financieras contar con el sustento que acredite de manera
indubitable la autorización realizada por el cliente, sea a través de la suscripción de una
orden de pago, el ingreso de un código o la firma de manera electrónica y/o virtual (clave
secreta, clave dinámica, CVV, etc.).
59. En la dinámica común del mercado existen diversos tipos de operaciones que pueden
realizarse con tarjetas de crédito o débito, siendo que para algunas se requiere la
presencia física del medio de pago (plástico) y en otros casos no, por lo que pueden
realizarse operaciones “con tarjeta presente” y “con tarjeta no presente”. Para garantizar
que este tipo de operaciones se realicen válidamente, con la autorización del
tarjetahabiente, las entidades financieras deben adoptar medidas de seguridad
específicas.
60. En esa línea, para el caso de operaciones “con tarjeta presente”, es necesario que, para
poder realizar una transacción, se cuente con la presencia física de la tarjeta, la cual es
pasada por un terminal de venta (o POS, por sus siglas en inglés, Point of Sale),
requiriéndose, según el caso, la firma electrónica (clave secreta) o la suscripción de la
orden de pago, para que pueda entenderse como autorizada. Así también, existen otras
operaciones que no requieren que la tarjeta sea leída por un terminal POS, pero sí el
ingreso de la firma electrónica, como por ejemplo las disposiciones de efectivo a través
de cajero automático13.
Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas
electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal
efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el
titular de la tarjeta de crédito.
12
RESOLUCIÓN SBS N° 6523-2013, REGLAMENTO DE TARJETAS DE CRÉDITO Y DÉBITO, publicada el 2 de
noviembre de 2013 y vigente desde el 1 de abril de 2014
Artículo 14°.- Cargos
Las empresas cargarán el importe de los bienes, servicios y obligaciones que el usuario de la tarjeta de débito adquiera
o pague utilizándola, de acuerdo con las órdenes de pago que este autorice; el monto empleado como consecuencia del
uso de alguno de los servicios descritos en el artículo 13° del Reglamento, en caso corresponda; así como las demás
obligaciones señaladas en el contrato de tarjeta de crédito, conforme a la legislación vigente sobre la materia.
Las órdenes de pago y firmas podrán ser sustituidas por autorizaciones a través de medios electrónicos y/o firmas
electrónicas sujetas a verificación por las empresas, entidades que esta designe o por las entidades acreditadas para tal
efecto, conforme al marco normativo aplicable, así como por autorizaciones expresas y previamente concedidas por el
titular de la tarjeta de débito.
13
Ver de manera ilustrativa, la página web de Visa: <http://www.visaeurope.es/visa-para-
comercios/seguridad/transacciones-visa/tarjeta-presente/> en la cual se refiere a las operaciones a través de tarjeta
presente conforme a lo siguiente: “(...) son las transacciones que se realizan cara a cara, cuando la tarjeta Visa y su
titular están presentes físicamente en la caja o terminal de un establecimiento o comercio”.
12
M-CPC-05/02

SEDE CENTRAL
61. Con relación a las operaciones “con tarjeta no presente”14, no se requiere la presencia
de la tarjeta de crédito física, solicitándose que la autorización se realice a través de
medios electrónicos, como por ejemplo vía internet en el que se requiere el ingreso de
datos impresos en el medio de pago, tales como fecha de vencimiento y el código CVV,
con lo que se verifica la autorización del cliente.
62. Esto quiere decir, que, ante el cuestionamiento de un consumidor, la entidad financiera
debe estar en la posibilidad de acreditar de manera fehaciente que la operación cargada
ha sido autorizada por el cliente15.
Tratamiento de operaciones realizadas a través de canales digitales
63. Los artículos 7 y 13 del Reglamento de Tarjetas, establecen que las entidades bancarias
ofrecen servicios relacionados con operaciones de tarjetas de crédito y tarjetas de débito
que adquieran los usuarios y, adicionalmente, los tarjetahabientes podrán realizar
operaciones a través de internet, páginas web y/o aplicaciones de dispositivos móviles,
entre otros, distintos a los provistos por la empresa16.
14
Ver de manera ilustrativa, la página web de Visa: < http://www.visaeurope.es/visa-para-
comercios/seguridad/transacciones-visa/tarjeta-no-presente/> en la cual se refiere a las operaciones a través de tarjeta
no presente de la siguiente manera: “Las compras con tarjeta no presente tienen lugar a distancia – a través de Internet,
por teléfono o por correo postal. Las tarjetas (...) son especialmente adecuadas para este tipo de transacciones, al hacer
más eficiente el proceso de compra, sustituyendo otros más engorrosos como el pago contra reembolso o mediante
factura. (...). Código de Seguridad de la tarjeta.
El código de seguridad de tres dígitos que aparece en el reverso de cada tarjeta Visa. Su denominación técnica en inglés
es Card Verification Code 2 (CVV2) o Código de Verificación de la Tarjeta 2. Visa Europe estima que verificar el código
de seguridad de las tarjetas puede ayudar a recortar la tasa de fraude hasta en un 70%”.
15
En esa misma línea, mediante Oficio N° 26791-2017-SBS del 3 de agosto de 2017 dirigida a la Secretaría Técnica de la
Comisión, la Superintendencia de Banca, Seguros y AFP precisó los alcances del artículo 9° del Reglamento, señalando
lo siguiente:
“Visto así, (…) para su defensa la entidad financiera debe presentar el voucher suscrito por el cliente para
acreditar el cargo de la operación, o en caso de micropago, demostrar la responsabilidad del usuario.
Sin perjuicio de lo anterior, el artículo 9° del Reglamento permite a la empresa sustituir el voucher suscrito por el
cliente por autorizaciones a través de medios electrónicos y/o firmas electrónicas (…). La finalidad de dicha
precisión (…) es permitir la verificación adecuada de la operación y de su autorización por parte del cliente en la
realización de transacciones por canales no presenciales, por ejemplo, internet, donde no resulta posible solicitar,
al momento de la operación, la impresión de una orden de pago y su suscripción por parte del cliente.”
(Subrayado nuestro)
16
noviembre de 2013, vigente desde el 1 de abril de 2014 y modificado por Resolución SBS N° 5570-2019 publicada
el 27 de noviembre de 2019.
Artículo 7. – Servicios adicionales asociados a las tarjetas de crédito
Las empresas pueden ofrecer los siguientes servicios adicionales:
1. Disposición de efectivo otorgando al titular la posibilidad de elegir, para cada operación, si la disposición será financiada
en cuotas, y de ser el caso, decidir el número de cuotas.
2. Operaciones realizadas a través de internet, desde páginas web y/o aplicaciones de dispositivos móviles, entre otros,
distintos a los provistos por la empresa
3. Operaciones efectuadas en el exterior de forma presencial
4. Sobregiro o exceso de la línea de crédito.
La posibilidad de incorporar estos servicios se debe informar de manera previa a la celebración del contrato, y el titular
debe estar en posibilidad de habilitarlos, al momento de la contratación o de forma posterior, y deshabilitarlos en el
momento que así lo requiera, aspecto que también debe ser informado. Los mecanismos para la deshabilitación de los
13
M-CPC-05/02

SEDE CENTRAL
64. El artículo 15 del Reglamento de Tarjetas establece las medidas de seguridad

incorporadas en las tarjetas, señalando que el procesamiento de transacciones en línea
que usa el chip de las tarjetas u otros mecanismos de seguridad debe incluir: (i) la
solicitud de autorización realizada; (ii) la respuesta a la solicitud generada desde el
sistema autorizador de la empresa; y, (iii) la indicación de haber aprobado o declinado
la transacción generada, salvo en caso de excepción prevista contractualmente.
65. En esa misma línea, se dispuso que cuando las operaciones se realicen con el uso del
chip u otro mecanismo sin contacto, se requerirá que la autenticación de la tarjeta debe
utilizar criptografía dinámica, a fin de verificar que no hubo alteración de la transacción
entre la tarjeta y el terminal. Además, en caso se utilice un soporte distinto a la tarjeta
física, aparte de asegurar los mecanismos de autenticación, se debe evitar exponer el
número de la tarjeta17.
servicios no podrán ser más complejos que aquellos empleados para su habilitación. Las empresas no pueden incorporar
los servicios adicionales sin el consentimiento previo del titular.
Las empresas que ofrezcan los servicios descritos deben de informar a los usuarios las condiciones aplicables y riesgos
asociados a su utilización, incluidas las medidas de seguridad que deben observar los usuarios, para el uso de dichos
servicios en cualquiera de los medios o canales, como cajeros automáticos, páginas web, dispositivos móviles, entre
otros, según corresponda.
(…)
Artículo 13.- Servicios adicionales asociados a tarjetas de débito
Las empresas pueden ofrecer los siguientes servicios adicionales:
1. Operaciones realizadas a través de internet, desde páginas web y/o aplicaciones de dispositivos móviles, entre otros,
distintos a los provistos por la empresa.
2. Operaciones efectuadas en el exterior de forma presencial.
La posibilidad de incorporar estos servicios se debe informar de manera previa a la celebración del contrato, y el titular
debe de estar en posibilidad de habilitarlos, al momento de la contratación o de forma posterior, y de deshabilitarlos en
el momento que así lo requiera, aspecto que también debe ser informado. Los mecanismos para la deshabilitación de
los servicios no podrán ser más complejos que aquellos empleados para su habilitación. Las empresas no pueden
incorporar los servicios adicionales sin el consentimiento previo del titular.
Las empresas que ofrezcan los servicios descritos deben de informar a los usuarios las condiciones aplicables y riesgos
asociados a su utilización, incluidas las medidas de seguridad que deben observar los usuarios para el uso de dichos
servicios en cualquiera de los medios o canales, como cajeros automáticos, páginas web, dispositivos móviles, entre
otros, según corresponda.
17
noviembre de 2013, vigente desde el 1 de abril de 2014 y modificado por Resolución SBS N° 5570-2019 publicada
el 27 de noviembre de 2019.
Artículo 15. – Medidas de seguridad incorporadas en las tarjetas
Las tarjetas deberán contar con un circuito integrado o chip que permita almacenar y procesar la información del usuario
y sus operaciones, cumpliendo estándares internacionales de interoperabilidad para el uso y verificación de las tarjetas,
así como para la autenticación de pagos; para lo cual deberá cumplirse como mínimo con los requisitos de seguridad
establecidos en el estándar EMV, emitido por EMVCo. Al respecto, las empresas deberán aplicar, entre otras, las
siguientes medidas:
1. Reglas de seguridad definidas en el chip de las tarjetas, que deben ser utilizadas para verificar la autenticidad de la
tarjeta, validar la identidad del usuario mediante el uso de una clave o firma u otros mecanismos de autenticación.
2. Aplicar procedimientos criptográficos sobre los datos críticos y claves almacenadas en el chip de las tarjetas, así como
sobre aquellos existentes en los mensajes intercambiados entre las tarjetas, los terminales de punto de venta, los cajeros
automáticos y las empresas emisoras.
3. En caso las empresas emisoras permitan la autorización de operaciones fuera de línea, deben aplicar un método de
autenticación de datos que brinde adecuadas condiciones de seguridad, sin afectar la calidad y el rendimiento del servicio
provisto al usuario. Dichas operaciones se realizarán conforme a los límites y condiciones pactadas con el cliente, que
incluirán por ejemplo límites al número de operaciones consecutivas procesadas fuera de línea.
4. Disponer de mecanismos para aplicar instrucciones sobre el chip de las tarjetas en respuesta a una transacción en
línea, a fin de modificar los límites establecidos según perfiles de riesgo, así como bloquear o deshabilitar aquellas tarjetas
que hayan sido extraviadas o sustraídas.
El procesamiento de transacciones en línea haciendo uso del chip de las tarjetas u otros mecanismos debe incluir como
mínimo la solicitud de autorización realizada, la respuesta a la solicitud, la cual debe ser generada desde el sistema
autorizador de la empresa, así como la indicación de haber aprobado o declinado la transacción generada; ello salvo en
caso de excepción previsto contractualmente, donde corresponda la aprobación a la marca. Cuando la operación sea
realizada haciendo uso del chip u otro mecanismo sin contacto, la autenticación de la tarjeta debe utilizar criptografía
14
M-CPC-05/02

SEDE CENTRAL
66. De la lectura de la norma citada, se concluye que el Reglamento de Tarjetas busca

garantizar que las operaciones efectuadas a través de cualquier medio ─lo que incluye
el canal digital─ se realicen en observancia de las medidas de seguridad
correspondientes al canal por el que estas se efectúan; por lo que, se exige a las
entidades que cuenten con el sustento que acredite de manera indubitable la
autorización otorgada por el usuario.
Sobre el Reglamento de Ciberseguridad aplicable para operaciones realizadas por canal

digital
67. La creciente interconectividad y mayor adopción de canales digitales para la provisión

de los servicios, así como la virtualización de determinados productos del sistema
financiero, de seguros y privado de pensiones, generó la necesidad en las empresas de
fortalecer sus capacidades de ciberseguridad y procesos de autenticación.
68. Así, la SBS publicó el Reglamento de Ciberseguridad, cuyas disposiciones legales

contienen un marco de referencia para el sistema de gestión de seguridad de la
información, el cual tiene por finalidad fortalecer las capacidades de ciberseguridad y
procesos de autenticación por parte de las empresas supervisadas por la SBS para la
realización de operaciones en un entorno seguro y confiable.
69. Al respecto, la norma tiene dos (2) características: a) un carácter subjetivo, referido a
las partes obligadas a cumplir con las disposiciones de la referida normativa
pertenecientes al régimen general y simplificado; y, b) un carácter objetivo, que
establece la vigencia y el tipo de operaciones objeto de regulación. Así, se observa que
el Reglamento de Ciberseguridad entró en vigor el 1 de julio de 202118; sin embargo,
algunas disposiciones entraron en vigencia de manera posterior.
70. En efecto, el Reglamento de Ciberseguridad precisó que las disposiciones señaladas

en el Subcapítulo III del Capítulo II referido a los procesos de enrolamiento y
dinámica, de manera que pueda verificarse que no hubo alteración de la transacción entre la tarjeta y el terminal. Cuando
se utilice otro soporte distinto a la tarjeta física, además de asegurar mecanismos de autenticación, debe evitar exponer
el número de la tarjeta.
18
RESOLUCIÓN SBS N° 504-2021, REGLAMENTO PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y
LA CIBERSEGURIDAD, publicada el 19 de febrero de 2021
Artículo Décimo. – Vigencia
La presente Resolución entra en vigencia el 1 de julio de 2021, fecha en la que se deroga la Circular G 140-2009, con
excepción de lo siguiente:
a. Los párrafos 25.1 y 25.2 del artículo 25 del Reglamento para la Gestión de la Seguridad de la Información y la
Ciberseguridad, aprobado por el Artículo Primero, que entran en vigencia al día siguiente de publicada la presente
Resolución, fecha en la cual se deroga el artículo 7A de la Circular G 140-2009.
b. El Artículo Segundo de la presente Resolución entra en vigencia a partir de la auditoría correspondiente al ejercicio
2022.
c. Los Artículos Séptimo, Octavo y Noveno de la presente Resolución, entran en vigencia al día siguiente de la
publicación de la presente Resolución, con excepción de lo indicado en el inciso d. del presente Artículo.
d. El requerimiento asociado a la inclusión conjunta de la información sobre la denominación social de la empresa
emisora y el nombre comercial que la empresa asigne al producto de tarjeta de crédito y/o débito, señalado en el
Artículo Séptimo de la presente Resolución, así como el requerimiento asociado a la inclusión de la dicha
información en los dispositivos de soporte al dinero electrónico, señalado en el artículo Octavo de la presente
Resolución; entran en vigencia el 1 de enero de 2022.
15
M-CPC-05/02

SEDE CENTRAL
autenticación y la Tercera Disposición Complementaria Final19 referido a reportes de

incidentes de ciberseguridad significativos, tenían un plazo de adecuación hasta el 1 de
julio de 202220; siendo aplicable a partir de dicha fecha para las empresas supervisadas
por la SBS.
71. Por consiguiente, se puede concluir que el Reglamento de Ciberseguridad resulta de

aplicación obligatoria a las empresas que integran el Régimen General y el Régimen
Simplificado a partir del 1 de julio de 2022, respecto a los procesos de enrolamiento y
autenticación de los usuarios en los servicios que brinden las empresas.
72. En esa línea de ideas, respecto del ámbito de aplicación, resulta necesario señalar lo
expuesto en el Reglamento de Ciberseguridad. El artículo 17° de dicha disposición legal
establece que las empresas que brindan servicios a sus usuarios por canales digitales
deben considerar determinados factores de autenticación a fin de prevenir amenazas a
la seguridad de la información21.
73. Para tal efecto, el artículo 18° del Reglamento de Ciberseguridad señala que, el
enrolamiento del usuario para el uso de canales digitales requiere por lo menos: a)
verificar la identidad del usuario y tomar las medidas necesarias para reducir la
posibilidad de suplantación de identidad, lo que incluye el uso de dos factores
independientes de categorías diferentes22; y, b) generar las credenciales y asignarlas al
usuario.
19
LA CIBERSEGURIDAD, PUBLICADA EL 19 DE FEBRERO DE 2021
CAPÍTULO II SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD (SGSI-C)
SUBCAPÍTULO III AUTENTICACIÓN
(…)
DISPOSICIONES COMPLEMENTARIAS FINALES
TERCERA. - En caso de eventos que afecten la continuidad operativa y que tengan como causa probable un incidente
de seguridad de la información, es aplicable lo señalado en el artículo 15 del Reglamento para la Gestión de la
Continuidad del Negocio, aprobado por la Resolución SBS Nº 877-2020, sobre reporte de eventos de interrupción
significativa
20
Ver la información detallada en el Boletín Semanal SBS Informa N° 7 de marzo de 2021, respecto a la Seguridad de la
Información y Ciberseguridad, en el enlace siguiente:
https://www.sbs.gob.pe/boletin/detalleboletin/idbulletin/1147?title=Seguridad%20de%20la%20informaci%C3%B3n%20y
%20ciberseguridad:%20nuevo%20reglamento%20para%20promover%20un%20entorno%20seguro%20y%20confiable
%20en%20beneficio%20de%20los%20usuarios%20de%20los%20sistemas%20supervisados
21
El artículo 17° del Reglamento de Ciberseguridad establece que la autenticación es un proceso que debe implementarse
para controlar el acceso a los servicios por canales digitales que ofrece una empresa a sus usuarios; por lo que, debe
considerar: (a) Los factores de autenticación requeridos; (b) estándares criptográficos vigentes basados en software o
hardware, y sus prestaciones de confidencialidad o integridad esperadas; (c) plazos y condiciones en las que se requerirá
al usuario volver a autenticarse; (d) línea base de controles de seguridad de la información requerida para prevenir
amenazas y (e) lineamientos para la retención de registros de auditoría para la detección de amenazas conocidas y
eventos de seguridad de la información
22
LA CIBERSEGURIDAD, publicada el 23 de febrero de 2021 y vigente desde el 1 de julio de 2021
Artículo 2°. – Definiciones
Para efectos de la aplicación del presente Reglamento deben considerarse las siguientes definiciones:
(…)
j) Factores de autenticación de usuario: Aquellos factores empleados para verificar la identidad de un usuario, que pueden
corresponder a las siguientes categorías:
- Algo que solo el usuario conoce.
- Algo que solo el usuario posee.
- Algo que el usuario es, que incluye las características biométricas.
16
M-CPC-05/02

SEDE CENTRAL
74. En esa misma línea, el artículo 19° de la referida norma, establece que se requiere de
autenticación reforzada para aquellas acciones que puedan generar operaciones
fraudulentas u otro abuso del servicio en perjuicio del cliente como las operaciones a
través de un canal digital que impliquen pagos o transferencia de fondos a terceros,
registro de un beneficiario de confianza, modificación en los productos de seguro
ahorro/inversión contratados, la contratación de un producto o servicio, modificación de
límites y condiciones23.
75. Con relación a lo que debe entenderse por canal digital24 el literal d) del artículo 2° de la
referida disposición legal25 señala que es el medio empleado por las empresas que
proveen servicios, cuyo almacenamiento, procesamiento y transmisión se realiza
mediante la representación de datos en bits.
76. Por tanto, toda operación realizada por un medio que utilice datos en bits26 —
entendiéndose por bits a las unidades mínimas de información— y que cuente con un
23
Artículo 19. Autenticación reforzada para operaciones por canal digital
Se requiere de autenticación reforzada para aquellas acciones que puedan originar operaciones fraudulentas u otro
abuso del servicio en perjuicio del cliente, como las operaciones a través de un canal digital que impliquen pagos o
transferencia de fondos a terceros, registro de un beneficiario de confianza, modificación en los productos de seguro
ahorro/inversión contratados, la contratación de un producto o servicio, modificación de límites y condiciones, para lo
cual se requiere:
a) Utilizar una combinación de factores de autenticación, según el literal j) del artículo 2 del presente Reglamento que,
por lo menos, correspondan a dos categorías distintas y que sean independientes uno del otro.
b) Generar un código de autenticación mediante métodos criptográficos, a partir de los datos específicos de cada
operación, el cual debe utilizarse por única vez
c) Cuando la operación sea exitosa, notificar los datos de la operación al usuario.
24
De acuerdo a la prepublicación de la norma, se señaló que el canal digital era el medio utilizado por las empresas para
proveer servicios en línea, por ejemplo, teléfonos móviles, cajeros automáticos, terminales de puntos de atención, y otros
cuyo almacenamiento, procesamiento y transmisión se realiza mediante la representación de datos en bits. Esta
información se puede observar en el siguiente link:
https://intranet2.sbs.gob.pe/Preproyectos/6008CQJ2FRPOCYMEEKIOW2WIXQDWEMXBXYA.PDF
25
Artículo 2°. – Definiciones
Para efectos de la aplicación del presente Reglamento deben considerarse las siguientes definiciones:
(…)
a) Canal digital: Medio empleado por las empresas para proveer servicios cuyo almacenamiento, procesamiento y
transmisión se realiza mediante la representación de datos en bits.
26
El departamento de Ciencias e Ingeniería de la Computación de la Universidad Nacional del Sur – Bahía Blanca señala
que las medidas de almacenamiento son importantes porque permiten verificar la capacidad de almacenamiento de los
dispositivos, así indican que la información que se almacena en un dispositivo se representa en forma binaria, precisando
que el Bit es la mínima unidad de información, Esta información se puede observar en el siguiente enlace:
https://cs.uns.edu.ar/materias/iocp/downloads/Clases%20Teoricas/Clase-01-Conceptos-basicos-Hardware.pdf
En la misma línea, el Instituto de Ingeniería de la Universidad Nacional Autónoma de México señala que las computadoras
emplean velocidades de procesamiento y capacidades de almacenamiento como el bit, siendo que solo puede contener
dos valores: cero y uno, además, señalan que existen unidades de medición que recogen el concepto de bit, por ejemplo,
bps (bits por segundo), entre otros. Así, se puede verificar en el siguiente enlace https://www.iingen.unam.mx/es-
mx/AlmacenDigital/CapsulasTI/Paginas/debitsydebytes.aspx
Asimismo, de la publicación denominada “Claude Shannon, el olvidado inventor de la era digital” del 31 de abril de 2021
realizado por el Banco BBVA, manifestó que el bit (binary digit) es un término acuñado por John Tukey, quien propuso
que toda información, sea en lengua escritos, oral, imágenes o vídeos, podía ser digitalizada; es decir, podía ser
materializada en bits. Dicha información se puede visualizar en el siguiente enlace:
https://www.bbvaopenmind.com/tecnologia/visionarios/claude-shannon-inventor-de-la-era-digital/
17
M-CPC-05/02

SEDE CENTRAL
circuito de almacenamiento, procesamiento y transmisión donde la información se

represente en dicha medida, será considerada como una operación efectuada por canal
digital.
77. Cabe precisar que, las acciones que puedan generar operaciones fraudulentas u otro
abuso del servicio en perjuicio del cliente, engloba además de las indicadas en el artículo
19° de la norma -según la SBS- los aplicativos móviles, la banca por internet, las
billeteras digitales, los cajeros automáticos (ATM) y los terminales de punto de venta
(POS), así como las operaciones de comercio electrónico que utilicen instrumentos de
pago provistos por las entidades27, es decir, se contemplan los siguientes supuestos:
Cuadro N°1: Supuestos establecidos en la norma
Supuestos establecidos en la normativa

Operaciones que impliquen pagos a terceros
Operaciones a que impliquen transferencia de fondos a terceros
Operaciones que se realicen por aplicativos móviles
Acciones Operaciones realizadas por la banca por internet
que puedan
Operaciones realizadas a través de billeteras digitales
generar
Operaciones realizadas en cajeros automáticos (ATM)
operaciones
Operaciones realizadas en terminales de punto de venta (POS)
fraudulentas
Operaciones de comercio electrónico que utilicen instrumentos de pago
u otro abuso
provistos por las entidades
del servicio
Registro de un beneficiario de confianza
en perjuicio
del cliente Modificación en los productos de seguro, ahorro/inversión contratados
Contratación de un producto o servicio
Modificación de límites y condiciones
Otros
78. Ahora bien, de conformidad con lo establecido por el artículo 19° concordado con el
artículo 2, literal j) del Reglamento del Ciberseguridad, para que exista autenticación
reforzada se requerirá cumplir con lo siguiente:
a) Utilizar una combinación de factores de autenticación que, por lo menos,

correspondan a dos categorías distintas y que sean independientes uno del otro.
Cabe precisar que, la SBS explicó las categorías de dichos factores; asimismo,
brindó algunos ejemplos28, conforme a lo que se detalla a continuación:
En atención a los argumentos señalados, se puede concluir que el bit es la unidad mínima de información y es utilizada
como medida de información en diversos ámbitos.
27
Ver la información detallada en el Boletín Semanal SBS Informa N° 24 de julio de 2022, “Autenticación reforzada: mayor
seguridad para operaciones que puedan generar perjuicio al usuario”, en el siguiente enlace:
https://www.sbs.gob.pe/boletin/detalleboletin/idbulletin/1222
28
Ver la información detallada en el Boletín Semanal SBS Informa N° 16 de mayo de 2021, “Seguridad de la información y
ciberseguridad: fortaleciendo los procesos de autenticación en beneficio de los usuarios de los sistemas supervisados”,
en el siguiente enlace:
https://www.sbs.gob.pe/boletin/detalleboletin/idbulletin/1157?title=Seguridad%20de%20la%20informaci%C3%B3n%20y
%20ciberseguridad:%20fortaleciendo%20los%20procesos%20de%20autenticaci%C3%B3n%20en%20beneficio%20de
%20los%20usuarios%20de%20los%20sistemas%20supervisados
18
M-CPC-05/02

SEDE CENTRAL
(i) Algo que el usuario conoce: contraseña, PIN, respuestas de preguntas

clave, entre otros.
(ii) Algo que el usuario posee: certificado digital, token físico o de software,
clave dinámica, entre otros.
(iii) Algo que el usuario es: huella digital, patrón de iris, reconocimiento facial,
entre otros.
b) Generar un código de autenticación mediante métodos criptográficos, a partir de

los datos específicos de cada operación, el cual debe utilizarse por única vez.
c) Cuando la operación sea exitosa, notificar los datos de la operación al usuario.
79. Así, conforme a lo señalado, se entenderá que el proveedor ha cumplido con aplicar la
autenticación reforzada cuando demuestre haber efectuado los pasos antes señalados.
80. Por otro lado, con relación a la notificación de los datos de la operación al usuario, debe
indicarse que la misma implica que el usuario pueda tomar conocimiento oportunamente
de las transacciones fraudulentas y comunicarlas a la entidad financiera, a fin de que
adopte las acciones para evitar que se efectúen nuevas operaciones. Cabe precisar
que, pueden emplearse mecanismos de notificación alternativos al correo electrónico o
mensaje de texto (SMS), siempre que tenga un propósito similar al requerimiento en la
disposición legal29.
81. Asimismo, la SBS señala, a modo de ejemplo, las siguientes consideraciones sobre los
factores de autenticación30:
(i) El número de DNI no constituye un factor de autenticación de conocimiento

admisible; y, si se utiliza el reconocimiento del DNI como factor de autenticación
que solo el usuario posee, la entidad debe demostrar con evidencia razonable el
éxito de autenticación del uso de este factor;
(ii) el CVV, número de tarjeta, nombre del titular y fecha de vencimiento, cuando estén
contenidos en la tarjeta, constituyen un único factor de autenticación que
demuestra la posesión de esta, por lo que se debe complementar con otro factor
para aplicar la autenticación reforzada;
(iii) la contraseña de un solo uso (OTP) enviada mediante mensaje SMS no es

considerada como un factor de autenticación válido, pues su transmisión no es
segura y expone a los usuarios a incidentes de seguridad de la información;
29
30
19
M-CPC-05/02

SEDE CENTRAL
(iv) las alternativas seguras que pueden considerarse como un factor de autenticación
de posesión son las notificaciones push y el uso de tokens digitales; y,
(v) respecto al uso de factores de autenticación biométricos, como el escaneo de la

huella digital o del rostro, las entidades preverán el uso de tecnologías con alto
ratio de fiabilidad, donde se minimicen falsos positivos y falsos negativos.
82. Adicionalmente, el artículo 20 del Reglamento de Ciberseguridad31, como excepción a

la aplicación de lo indicado en el literal c) del artículo 19 de la referida disposición legal,
describe exenciones a la autenticación reforzada, entre las cuales se encuentran:
(i) Las operaciones de pago realizadas a un beneficiario, el cual está registrado

como usuario de confianza, como destinatario usual de dichas operaciones;
(ii) operaciones de pago realizadas entre cuentas donde el cliente y el beneficiario

sean la misma persona, además, dichas cuentas deben pertenecer a la misma
empresa; y,
(iii) operaciones de pago y transferencias realizadas debajo del umbral por

operación establecido por la empresa, entre otros requerimientos.
83. Para una mayor comprensión de lo expuesto en los numerales precedentes, se inserta
a continuación un gráfico explicativo de los requisitos exigibles para la realización de
una operación con autenticación reforzada:
Gráfico N° 1: Requisitos exigibles para la autenticación reforzada
(Ver gráfico en la siguiente página)
31
LA CIBERSEGURIDAD, publicada el 23 de febrero de 2021, modificada mediante Resolución SBS N° 03240-2023,
publicada el 3 de octubre de 2023 y vigente, en este artículo, desde el 4 de octubre de 2023
Artículo 20. Exenciones de autenticación reforzada para operaciones por canal digital
20.1 Están exentas del requisito de autenticación reforzada indicado en el artículo 19 del presente Reglamento, a
excepción del indicado en el literal c), las siguientes operaciones realizadas por canal digital:
a) Las operaciones de pago, pagos periódicos o transferencia hacia un beneficiario registrado previamente por el usuario
como beneficiario de confianza, como destinatario usual de dichas operaciones.
b) Las operaciones de pago, pagos periódicos o transferencias a cuentas en las que el cliente y el beneficiario sean la
misma persona, sea natural o jurídica, y siempre que dichas cuentas se mantengan en la misma empresa.
20.2 Las operaciones de pago y transferencia que presenten un nivel de riesgo de fraude bajo, como resultado de un
análisis del riesgo en línea por operación, están exentas de la autenticación reforzada, siempre que la empresa cumpla
con:
i. Implementar alguno de los estándares de la industria de pagos, EMV 3DS y tokenización de pagos EMV, en sus
versiones más recientes.
ii. Definir el monto de umbral por operación por debajo del cual aplicará la exención por el citado análisis de riesgos.
iii. Medir periódicamente el ratio de fraude de las operaciones de pago por canal y tipo de operación.
iv. Actualizar periódicamente las reglas aplicables en el análisis de riesgo en función al indicador de riesgo de fraude.
v. Utilizar los datos que estén disponibles por cada tipo de operación, que incluye, pero no se limita a, los asociados al
comportamiento del usuario, al medio utilizado y los que de este se pueda obtener para fines del análisis de riesgo.
20.3 Las operaciones no reconocidas por los clientes que hayan sido efectuadas en aplicación de la exención señalada
en el párrafo 20.2 del presente artículo, o que fueron realizadas luego de que el usuario reportara el robo o pérdida de
sus credenciales, son responsabilidad de la empresa, para lo cual deben implementar mecanismos que ante el repudio
de la operación por parte del usuario garanticen su aplicación inmediata.
20
M-CPC-05/02

SEDE CENTRAL
Gráfico elaborado por la Secretaría Técnica de la Comisión de Protección al Consumidor N° 1
84. En virtud a lo expuesto, y conforme a lo establecido en el Reglamento de

Ciberseguridad, para operaciones realizadas desde el 1 de julio de 2022, la norma exige
a las empresas supervisadas de Régimen General y Régimen Simplificado una
autenticación reforzada, a fin de garantizar que los usuarios realicen operaciones por
canales digitales en un entorno seguro y evitar situaciones que generen un abuso del
servicio en perjuicio del cliente.
85. Por ello, ante el cuestionamiento de un consumidor, la entidad debe estar en la

posibilidad de acreditar de manera suficiente y fehaciente que la operación cargada ha
sido debidamente autorizada por este, conforme a lo establecido en el Reglamento de
Ciberseguridad, lo cual será analizado a partir de los medios probatorios que obran en
el expediente; ello en el marco de una adecuada gestión de los riesgos asociados a la
seguridad de las operaciones realizadas por canal digital autorizadas por las empresas
del sistema financiero.
— Sobre la presunta responsabilidad del Banco al permitir la realización de la

operación no reconocida
86. En el presente caso, el OPS declaró infundada la denuncia interpuesta por el señor
Vargas contra el Banco, en la medida que se verificó que la operación cuestionada se
cargó debidamente en la tarjeta de crédito N° 4634********3074 del denunciante.
87. Ahora bien, en la medida que las operaciones cuestionadas se efectuaron a través del
canal digital el 11 de enero de 2023, corresponde aplicar lo dispuesto en el Reglamento
de Ciberseguridad.
21
M-CPC-05/02

SEDE CENTRAL
88. Así, en atención a lo dispuesto en la normativa de la materia, a fin de determinar la

responsabilidad de la entidad bancaria, corresponde analizar si la operación no
reconocida por el denunciante se efectuaron con una autenticación reforzada, la cual
consta de (a) una combinación de factores de autenticación, (b) la generación de un código
de autenticación mediante métodos criptográficos con los datos específicos de cada
operación, el cual debe ser utilizado una sola vez; y, (c) la notificación al usuario sobre la
operación una vez que se efectúe con éxito.
89. Sobre este punto, conforme se señaló en los antecedentes de la presente resolución,
mediante Resolución N° 2 del 5 de marzo de 2024, la Secretaría Técnica formuló un
requerimiento al Banco, en atención a la aplicación del Reglamento de Ciberseguridad.
90. Cabe precisar que el 13 de marzo de 2024, el Banco absolvió el requerimiento de

información formulado.
(i).1 De la validez de la operación cuestionada
a. Sobre el Enrolamiento
91. Con relación al enrolamiento al uso de un POS (considerado por la SBS como un canal
digital32), corresponde precisar que, en la medida que la operación cuestionada por el
señor Vargas fue realizada a través de dicho canal, debe evaluarse la contratación y
activación de la mencionada tarjeta de crédito y no el enrolamiento a un canal digital en
específico.
92. No obstante, es preciso indicar que, en la medida que no resulta un punto controvertido
en el procedimiento que la tarjeta de crédito fue contratada por el denunciante y que la
misma se encontraba activa al momento en que se realizó la operación no reconocida,
no corresponde efectuar mayor análisis al respecto.
93. Dicho esto, se procederá a verificar si el Banco ha ofrecido medios probatorios que
permiten verificar la observancia de las disposiciones del Reglamento de
Ciberseguridad, relacionadas con la aplicación de autenticación reforzada.
b. Sobre la autenticación reforzada
32 En esa misma línea, mediante Oficio N° 01690-2024-SBS del 11 de enero de 2024 dirigida a la Secretaría Técnica de la
Comisión, la Superintendencia de Banca, Seguros y AFP precisó los alcances del artículo 2° del Reglamento, señalando
lo siguiente:
“El Reglamento establece lineamientos de carácter general que las entidades financieras deben implementar
según el contexto particular de su operación, y no tiene por finalidad establecer una lista limitativa de canales
considerados digitales o de describir todas las formas posibles de implementación.
Canal digital
El literal d) del Artículo 2° del Reglamento, establece que un canal digital es cualquier medio empleado por las
empresas supervisadas para proveer servicios, cuyo almacenamiento, procesamiento y transmisión se realiza
mediante la representación de datos en bits.
En ese sentido, los canales como comercios electrónicos, POS, cajeros automáticos y similares, a través de los
cuales las entidades financieras proveen sus servicios a los usuarios, son considerados canales digitales, en lo
que concierne a dichos servicios, en la medida que cumplen con la definición mencionada anteriormente.
(Subrayado nuestro)
22
M-CPC-05/02

SEDE CENTRAL
94. Respecto a este punto corresponde señalar que, mediante la Resolución N° 2 del 5 de
marzo de 2024, se efectuó un requerimiento de información al Banco respecto a la
aplicación del Reglamento de Ciberseguridad; sin embargo, dicho requerimiento no fue
atendido por la entidad bancaria denunciada, pues se limitó a indicar que el Indecopi no
es el Órgano competente para determinar responsabilidad respecto a infracciones
cometidas ante el incumplimiento del Reglamento.
95. Por lo expuesto en el numeral anterior, no se verifica que el proveedor denunciado haya
ofrecido medios probatorios o expuesto argumentos que permitan analizar y verificar
que observó las disposiciones relacionadas con el uso de autenticación reforzada para
la realización de la operación no reconocida.
96. Ahora bien, respecto de la autenticación reforzada el artículo 19° del Reglamento de
Ciberseguridad dispone que se deben emplear tres (3) pasos cuyo cumplimiento se
analizará en los numerales siguientes.
97. Respecto del primer paso, referido a la utilización de una combinación de factores de
autenticación que correspondan a categorías distintas y que sean independientes uno
del otro, como algo que el usuario conoce (contraseña, el PIN, respuestas a preguntas
claves, entre otros), algo que el usuario posee (la clave dinámica) y, algo que el usuario
es (huella digital, patrón de iris, reconocimiento facial, entre otros).
98. Al respecto, el Banco presentó sus reportes “Chronological Journal” y “Visa Incoming
Financial Detail”. conforme a lo siguiente:
Imagen Nº 1 Chronological Journal 33
Transcripción: Chronological Journal
Fecha y Hora 11/01/2023 – 15:49:02 horas

Establecimiento Nuestra Familia
Tarjeta N° 4634****-****-3074
Monto S/ 2 980,00
Imagen Nº 2: Visa Incoming Financial Detail34
33
Ver reverso de la foja 106 del Expediente.
34
23
M-CPC-05/02

SEDE CENTRAL
Transcripción: Visa Incoming Financial Detail35
Código de Autorización 003865

Modo de entrada POS 05 (Lectura de chip)
Firma del voucher CIM:1
99. Así de lo anterior, se aprecia que el 11 de enero de 2023 a las 15:49:02 horas se habría
realizado la operación materia de denuncia con la presencia física de la tarjeta de
crédito, la cual se habría autorizado con la lectura de chip de la tarjeta utilizada y el
código de autorización generado por dicha operación.
100. Asimismo, el Banco presentó copia de la orden de compra (voucher) correspondiente a

la operación denunciada, la cual se puede apreciar a continuación:
Imagen Nº 3: Copia del voucher de la operación materia de denuncia
(Ver imagen en la siguiente página)
35
24
M-CPC-05/02

SEDE CENTRAL
101. Así de los medios probatorios aportados por el Banco para acreditar la validez de la
operación denunciada, se desprende que, la operación cuestionada fue realizada en un
establecimiento físico con la lectura de chip de la tarjeta utilizada, y el código de
autorización generado por dicha operación.
102. De acuerdo a ello, respecto al primer paso solo se aprecia que de los (2) factores
señalados en el numeral 82 de la presente resolución, la entidad bancaria habría
cumplido con acreditar solo un (1) factor: (i) algo que el usuario posee (en el presente
caso la lectura del chip de la tarjeta de crédito), no cumpliendo de esta manera con el
primer paso.
103. Respecto al segundo paso, que permita evidenciar el factor consistente en la generación
de un código de autenticación generado con un método criptográfico que sea empleado
por única vez, el Banco no ha presentado medio probatorio que acredite ello, ni en su
escrito de descargos ni en el escrito a través del cual absolvió el requerimiento de
información sobre el cumplimiento de lo dispuesto en el Reglamento de Ciberseguridad.
104. Ahora bien, sobre el tercer paso, referido a la notificación de los datos de la operación,
el Banco presentó el print de sus pantallas donde se aprecia el envío de la notificación
de la operación materia de denuncia al correo electrónico del señor Vargas, conforme
se aprecia a continuación.
Imagen Nº 4: Notificación al correo electrónico del señor Vargas de la realización de la operación

materia de denuncia
(Ver imágenes en la siguiente página)
25
M-CPC-05/02

SEDE CENTRAL
Email_contacto:
mavargas40@gmail.com
105. De la revisión de dichos medios probatorios, se aprecia que el señor Vargas fue
notificado a su correo electrónico el 11 de enero de 2023 a las 15:49:02 horas al correo
electrónico mava****@gmail.com con los datos de la operación no reconocida. Cabe
destacar que, dicho correo electrónico coincide con la dirección electrónica establecida
por la parte denunciante, cumpliendo de esta manera con el tercer paso de la
autenticación reforzada.
106. En ese sentido, conforme se detalló en los numerales 86 y 87, la entidad bancaria no
ha cumplido acreditar que se observó lo correspondiente a la autenticación reforzada,
establecido en el Reglamento de Ciberseguridad.
107. Teniendo en consideración a lo antes mencionado, se concluye que el Banco no ha

cumplido con acreditar las medidas de seguridad contempladas en el Reglamento de
Ciberseguridad, consistentes en la autenticación reforzada, reguladas en los artículos
18° y 19° de la referida norma, respectivamente, pese al requerimiento efectuado
mediante Resolución N° 2 del 5 de marzo de 2024.
108. Por las consideraciones expuestas, este Colegiado considera que corresponde revocar
la Resolución Final N° 0007-2024/PS2, en el extremo que declaró infundada la denuncia
interpuesta por el señor Vargas contra el Banco por presunta infracción a los artículos
1° literal c), 18° y 19° del Código; y, reformándola, declarar fundada la denuncia, por
haber cargado indebidamente una (1) operación no reconocida por el importe de S/ 2
980,00 en la tarjeta de crédito N° 4634********3074 del denunciante, al no haber
acreditado que cumplió con el circuito de autenticación reforzada dictado por la
normativa sectorial.
26
M-CPC-05/02

SEDE CENTRAL
Sobre las medidas correctivas
109. El artículo 114º del Código establece que, sin perjuicio de la sanción administrativa que
corresponda al proveedor por una infracción a las normas del Código, el Indecopi puede
dictar, en calidad de mandatos, medidas correctivas reparadoras y complementarias36.
110. Las medidas correctivas reparadoras tienen el objeto de resarcir las consecuencias
patrimoniales directas e inmediatas ocasionadas al consumidor por la infracción
administrativa a su estado anterior37. Las medidas correctivas complementarias tienen
36
Artículo 114.- Medidas correctivas
Sin perjuicio de la sanción administrativa que corresponda al proveedor por una infracción al presente Código, el Indecopi
puede dictar, en calidad de mandatos, medidas correctivas reparadoras y complementarias.
Las medidas correctivas reparadoras pueden dictarse a pedido de parte o de oficio, siempre y cuando sean expresamente
informadas sobre esa posibilidad en la notificación de cargo al proveedor por la autoridad encargada del procedimiento.
Las medidas correctivas complementarias pueden dictarse de oficio o a pedido de parte.
37
Artículo 115.- Medidas correctivas reparadoras
115.1 Las medidas correctivas reparadoras tienen el objeto de resarcir las consecuencias patrimoniales directas e
inmediatas ocasionadas al consumidor por la infracción administrativa a su estado anterior. En caso el órgano
resolutivo dicte una o varias medidas correctivas, debe considerar lo acordado por las partes durante la relación
de consumo. Las medidas correctivas reparadoras pueden consistir en ordenar al proveedor infractor lo siguiente:
a. Reparar productos.
b. Cambiar productos por otros de idénticas o similares características, cuando la reparación no sea posible o
no resulte razonable según las circunstancias.
c. Entregar un producto de idénticas características o, cuando esto no resulte posible, de similares
características, en los supuestos de pérdida o deterioro atribuible al proveedor y siempre que exista interés
del consumidor.
b. Cumplir con ejecutar la prestación u obligación asumida; y si esto no resulte posible o no sea razonable, otra
de efectos equivalentes, incluyendo prestaciones dinerarias.
c. Cumplir con ejecutar otras prestaciones u obligaciones legales o convencionales a su cargo.
d. Devolver la contraprestación pagada por el consumidor, más los intereses legales correspondientes, cuando
la reparación, reposición, o cumplimiento de la prestación u obligación, según sea el caso, no resulte posible
o no sea razonable según las circunstancias.
e. En los supuestos de pagos indebidos o en exceso, devolver estos montos, más los intereses
correspondientes.
f. Pagar los gastos incurridos por el consumidor para mitigar las consecuencias de la infracción administrativa.
g. Otras medidas reparadoras análogas de efectos equivalentes a las anteriores.
115.2 Las medidas correctivas reparadoras no pueden ser solicitadas de manera acumulativa conjunta, pudiendo
plantearse de manera alternativa o subsidiaria, con excepción de la medida correctiva señalada en el literal h)
que puede solicitarse conjuntamente con otra medida correctiva. Cuando los órganos competentes del Indecopi
se pronuncian respecto de una medida correctiva reparadora, aplican el principio de congruencia procesal.
115.3 Las medidas correctivas reparadoras pueden solicitarse en cualquier momento hasta antes de la notificación de
cargo al proveedor, sin perjuicio de la facultad de secretaría técnica de la comisión de requerir al consumidor que
precise la medida correctiva materia de solicitud. El consumidor puede variar su solicitud de medida correctiva
hasta antes de la decisión de primera instancia, en cuyo caso se confiere traslado al proveedor para que formule
su descargo.
115.4 Corresponde al consumidor que solicita el dictado de la medida correctiva reparadora probar las consecuencias
patrimoniales directas e inmediatas causadas por la comisión de la infracción administrativa.
115.5 Los bienes o montos objeto de medidas correctivas reparadoras son entregados por el proveedor directamente
al consumidor que los reclama, salvo mandato distinto contenido en la resolución. Aquellos bienes o montos
materia de una medida correctiva reparadora, que por algún motivo se encuentran en posesión del Indecopi y
deban ser entregados a los consumidores beneficiados, son puestos a disposición de estos.
115.6 El extremo de la resolución final que ordena el cumplimiento de una medida correctiva reparadora a favor del
consumidor constituye título ejecutivo conforme con lo dispuesto en el artículo 688 del Código Procesal Civil, una
vez que quedan consentidas o causan estado en la vía administrativa. La legitimidad para obrar en los procesos
civiles de ejecución corresponde a los consumidores beneficiados con la medida correctiva reparadora.
115.7 Las medidas correctivas reparadoras como mandatos dirigidos a resarcir las consecuencias patrimoniales
directas e inmediatas originadas por la infracción buscan corregir la conducta infractora y no tienen naturaleza
indemnizatoria; son dictadas sin perjuicio de la indemnización por los daños y perjuicios que el consumidor puede
solicitar en la vía judicial o arbitral correspondiente. No obstante, se descuenta de la indemnización patrimonial
aquella satisfacción patrimonial deducible que el consumidor haya recibido a consecuencia del dictado de una
medida correctiva reparadora en sede administrativa.
27
M-CPC-05/02

SEDE CENTRAL
el objeto de revertir los efectos de la conducta infractora o evitar que se produzca

nuevamente en el futuro38.
111. En el presente caso, ha quedado acreditado que el Banco cargó indebidamente una (1)
operación no reconocida por el importe de S/ 2 980,00 en la tarjeta de crédito
N° 4634********3074 del denunciante, al no haber acreditado que cumplió con el circuito
de autenticación reforzada dictado por la normativa sectorial.
112. Por tanto, este Colegiado considera que corresponde ordenar al Banco, en calidad de
medida correctiva, que en un plazo no mayor de quince (15) días hábiles contado a partir
del día siguiente de la notificación de la presente resolución, cumpla con (i) extornar en
la cuenta de la Tarjeta de Crédito N° 4634********3074 de titularidad del señor Vargas el
importe de S/ 2 980,00, correspondiente a la operación denunciada, más los intereses,
comisiones, gastos y penalidades derivados de dicha operación desde la fecha de cargo
en la tarjeta, hasta el cumplimiento de la medida correctiva; y, (ii) solicitar a la Central
de Riesgos de la SBS, las rectificaciones que correspondan a efectos de que la deuda
generada por la operación no reconocida no sea considerada en los reportes crediticios
de la parte denunciante; y, de ser el caso, la calificación negativa por dicha deuda sea
modificada.
113. Asimismo, en un plazo no mayor de cinco (5) días hábiles contado a partir del
vencimiento del plazo mencionado en el párrafo anterior, el Banco deberá presentar
ante el OPS los medios probatorios que acrediten el cumplimiento del mandato
ordenado, bajo apercibimiento de imponer una multa coercitiva conforme a lo
establecido en el artículo 117 del Código39.
38
Artículo 116.- Medidas correctivas complementarias
Las medidas correctivas complementarias tienen el objeto de revertir los efectos de la conducta infractora o evitar que
esta se produzca nuevamente en el futuro y pueden ser, entre otras, las siguientes:
a. Que el proveedor cumpla con atender la solicitud de información requerida por el consumidor, siempre que dicho
requerimiento guarde relación con el producto adquirido o servicio contratado.
b. Declarar inexigibles las cláusulas que han sido identificadas como abusivas en el procedimiento.
c. El decomiso y destrucción de la mercadería, envases, envolturas o etiquetas.
d. En caso de infracciones muy graves y de reincidencia o reiterancia:
(i) Solicitar a la autoridad correspondiente la clausura temporal del establecimiento industrial, comercial o de
servicios por un plazo máximo de seis (6) meses.
(ii) Solicitar a la autoridad competente la inhabilitación, temporal o permanente, del proveedor en función de los
alcances de la infracción sancionada.
e. Publicación de avisos rectificatorios o informativos en la forma que determine el Indecopi, tomando en consideración
los medios que resulten idóneos para revertir los efectos que el acto objeto de sanción ha ocasionado.
f. Cualquier otra medida correctiva que tenga el objeto de revertir los efectos de la conducta infractora o evitar que esta
se produzca nuevamente en el futuro.
El Indecopi está facultado para solicitar a la autoridad municipal y policial el apoyo respectivo para la ejecución de las
medidas correctivas complementarias correspondientes.
39
y modificada por el Decreto Legislativo 1308, publicado el 30 de diciembre de 2016
Artículo 117.- Multas coercitivas por incumplimiento de mandatos
Si el obligado a cumplir con un mandato del Indecopi respecto a una medida correctiva o a una medida cautelar no lo
hace, se le impone una multa coercitiva no menor de una (1) Unidad Impositiva Tributaria, tratándose de una
microempresa; en todos los otros supuestos se impone una multa no menor de tres (3) Unidades Impositivas Tributarias
(UIT).
En caso de persistir el incumplimiento de cualquiera de los mandatos a que se refiere el primer párrafo, el órgano
resolutivo puede imponer una nueva multa, duplicando sucesivamente el monto de la última multa impuesta hasta el
límite de doscientas (200) Unidades Impositivas Tributarias (UIT). La multa que corresponda debe ser pagada dentro del
plazo de cinco (5) días hábiles, vencido el cual se ordena su cobranza coactiva.
No cabe la impugnación de las multas coercitivas previstas en el presente artículo.
28
M-CPC-05/02

SEDE CENTRAL
114. En este punto, cabe indicar que el artículo 40 de la Directiva señala que, si se produce
el incumplimiento del mandato por parte del proveedor obligado, la autoridad
administrativa, a fin de garantizar el cumplimiento de su decisión, actuará de oficio e
impondrá multa coercitiva por incumplimiento de medida correctiva40.
115. Cabe precisar que no constituye una facultad del Indecopi ejecutar la medida correctiva
a favor del consumidor, pues el Estado ha reservado esta potestad únicamente al
consumidor mediante la vía judicial. Por estas razones, el numeral 115.6 del artículo 115
del Código establece que las resoluciones finales que ordenen medidas correctivas
reparadoras constituyen Títulos de Ejecución conforme a lo dispuesto en el artículo 688
del Código Procesal Civil.
Sobre la graduación de la sanción
116. El 14 de junio de 202141, entró en vigencia el Decreto Supremo N° 032-2021-PCM,

Decreto Supremo que aprueba la graduación, metodología y factores para la
(Subrayado agregado)
40
DIRECTIVA N° 001-2021/DIR-COD-INDECOPI, DIRECTIVA ÚNICA QUE REGULA LOS PROCEDIMIENTOS DE
PROTECCIÓN AL CONSUMIDOR PREVISTOS EN EL CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR
Ejecución de Mandatos
Artículo 40.- Incumplimiento y ejecución de medidas correctivas o cautelares
40.1. Ante el incumplimiento de un mandato de medida correctiva o medida cautelar por el proveedor obligado, el órgano
resolutivo que actúa como primera instancia en el procedimiento, debe actuar de oficio a fin de garantizar el cumplimiento
de la decisión de la autoridad, sin perjuicio del derecho que tiene al administrado de comunicarle esa situación. En dicha
comunicación, el beneficiado debe precisar el número de expediente y resolución que dispuso el mandato, además de
especificar en qué consiste el incumplimiento en caso se trate de varios mandatos.
40.2 En caso el obligado no acredite el cumplimiento de algún mandato de medida correctiva o medida cautelar, el órgano
resolutivo que actúa como primera instancia, atendiendo a las circunstancias del caso, podrá otorgar al administrado
obligado por el mandato un plazo adicional de dos (2) días hábiles para cumplir con el apercibimiento de comunicar el
cumplimiento del mandato impuesto.
40.3. En caso el obligado no acredite el cumplimiento del mandato o se verifique el incumplimiento de la medida impuesta,
el órgano resolutivo procede con la imposición de la multa coercitiva, de conformidad con lo dispuesto en el artículo 117
del Código.
40.4 En aquellos casos en que el obligado apercibido acredite el cumplimiento del mandato, el órgano resolutivo debe
comunicar tal hecho al beneficiado, quien, de considerar que persiste el incumplimiento, podrá solicitar el inicio de un
procedimiento en vía de ejecución por incumplimiento de medidas correctivas o cautelares, previsto en el artículo 106
del Código, debiendo cumplir con realizar el pago del derecho de tramitación, conforme a lo establecido en el Texto Único
de Procedimientos Administrativos del INDECOPI.
41
DECRETO SUPREMO 032-2021-PCM, DECRETO SUPREMO QUE APRUEBA LA GRADUACIÓN, METODOLOGÍA
Y FACTORES PARA LA DETERMINACIÓN DE LAS MULTAS QUE IMPONGAN LOS ÓRGANOS RESOLUTIVOS
DEL INDECOPI RESPECTO DE LAS INFRACCIONES SANCIONABLES EN EL ÁMBITO DE SU COMPETENCIA,
publicado en el Diario Oficial El Peruano el 25 de febrero de 2021.
Artículo 3. Vigencia
El presente decreto supremo entra en vigencia de manera conjunta con la entrada en vigencia de la Ley Nº 31112, Ley
que establece el control previo de operaciones de concentración empresarial.
LEY N° 31112, LEY QUE ESTABLECE EL CONTROL PREVIO DE OPERACIONES DE CONCENTRACIÓN

EMPRESARIAL, publicada el 7 de enero de 2021
DUODÉCIMA. Vigencia
La presente ley entra en vigencia a los quince (15) días calendario contados a partir de la adecuación normativa
establecida en la novena disposición complementaria final.
NOVENA. Adecuación
En un plazo no mayor a quince (15) días contados a partir de la publicación del reglamento de la presente ley, se dictan
las modificaciones al Reglamento de la Ley de Organización y Funciones del INDECOPI y demás instrumentos de gestión
de la entidad, a fin de adecuarlos a lo dispuesto por la presente ley.
29
M-CPC-05/02

SEDE CENTRAL
determinación de las multas que impongan los órganos resolutivos del INDECOPI
respecto de las infracciones sancionables en el ámbito de su competencia (en adelante,
Decreto Supremo N° 032-2021-PCM)42, aplicable para los procedimientos
administrativos de protección al consumidor a cargo de esta Comisión, en la vía
ordinaria y en la vía sumarísima —como segunda instancia, a través de un recurso de
apelación—, que hayan iniciado a partir de dicha fecha43.
117. En esa línea, el Decreto Supremo N° 032-2021-PCM, estableció tres (3) métodos para
para la graduación de las sanciones, denominados: (i) método basado en valores
preestablecidos; (ii) método basado en un porcentaje de las ventas del producto o
servicio afectado; y, (iii) método ad hoc. Asimismo, respecto del método basado en
valores preestablecidos se precisó que este se subdividía para cuatro (4) supuestos:
(i) Método de valores preestablecidos para infracciones vinculadas con el Libro de

Reclamaciones.
(ii) Método de valores preestablecidos para las infracciones a las normas de
eliminación de barreras burocráticas.
DECRETO SUPREMO N° 104-2021-PCM, DECRETO SUPREMO QUE APRUEBA LA SECCIÓN PRIMERA DEL
REGLAMENTO DE ORGANIZACIÓN Y FUNCIONES DEL INSTITUTO NACIONAL DE DEFENSA DE LA
COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL, publicado el 27 de mayo de 2021
PRIMERA.- Vigencia de la Primera Sección del Reglamento de Organización y Funciones
La Sección Primera del Reglamento de Organización y Funciones del Instituto Nacional de Defensa de la Competencia
y de la Protección de la Propiedad Intelectual, aprobada por el presente Decreto Supremo, entra en vigencia a partir del
día siguiente de la publicación de la Resolución que aprueba la Sección Segunda de dicho Reglamento, con excepción
de la Segunda y Quinta Disposición Complementaria Final, que entran en vigencia al día siguiente de la publicación de
la presente norma.
RESOLUCIÓN N° 000060-2021-PRE-INDECOPI, APRUEBAN SECCIÓN SEGUNDA DEL REGLAMENTO DE

ORGANIZACIÓN Y FUNCIONES DEL INDECOPI, publicada el 30 de mayo de 2021
Artículo 1.- Aprobación de la Sección Segunda del Reglamento de Organización y Funciones del Instituto
Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI)
Apruébese la Sección Segunda del Reglamento de Organización y Funciones del Instituto Nacional de Defensa de la
Competencia y de la Protección de la Propiedad Intelectual (INDECOPI), aprobado por Decreto Supremo N° 104-2021-
PCM, que consta de un (1) título, treinta y seis (36) artículos; así como la Estructura Orgánica y el Organigrama del
INDECOPI, que como anexos forman parte integrante de la presente Resolución.
42
Artículo 1. Objeto
El presente Decreto Supremo tiene por objeto aprobar la graduación, metodología y factores para la determinación de
las multas que impongan los órganos resolutivos del Instituto Nacional de Defensa de la Competencia y de la Protección
de la Propiedad Intelectual - INDECOPI respecto de las infracciones sancionables en el ámbito de su competencia que,
como Anexo forma parte integrante del presente Decreto Supremo.
43
LEY Nº 29571, CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR, publicada el 2 de setiembre de 2010
y modificado por Decreto Legislativo N° 1308, publicado en el Diario Oficial El Peruano el 30 de diciembre de
2016.
Artículo 107.- Postulación del procedimiento.
Los procedimientos administrativos para conocer las presuntas infracciones a las disposiciones contenidas en el presente
Código se inician de oficio, bien por propia iniciativa de la autoridad, por denuncia del consumidor afectado o del que
potencialmente pudiera verse afectado, o por una asociación de consumidores en representación de sus asociados o
poderdantes o en defensa de intereses colectivos o difusos de los consumidores. En este último caso, la asociación de
consumidores actúa como tercero legitimado sin gozar de las facultades para disponer derechos de los consumidores
afectados, salvo de sus asociados o de las personas que le hayan otorgado poder para tal efecto. Tanto el consumidor
constituido como parte como el tercero legitimado pueden participar en el procedimiento e interponer los recursos contra
la resolución que deniegue el inicio del procedimiento y contra cualquier otra resolución impugnable que les produzca
agravio. El procedimiento administrativo en materia de protección al consumidor se inicia con la notificación de la
imputación de cargos al posible infractor
30
M-CPC-05/02

SEDE CENTRAL
(iii) Método de valores preestablecidos para infracciones de Prestadores de Servicios

de Certificación Digital.
(iv) Método de valores preestablecidos para otras infracciones en OPS, CPC y SPC.
118. Así, de acuerdo a lo señalado en el Decreto Supremo N° 032-2021-PCM, el órgano

resolutivo de segunda instancia, al conocer determinado procedimiento en vía de
apelación, debe aplicar el mismo método de graduación que le corresponde al órgano
resolutor de primera instancia; en ese sentido, el método de valores preestablecidos
para infracciones vinculadas con el Libro de Reclamaciones y el método de valores
preestablecidos para otras infracciones en OPS CPC y SPC serán los aplicables para
este órgano colegiado cuando actúe como superior jerárquico 44.
44
ANEXO
GRADUACIÓN, METODOLOGÍA Y FACTORES PARA LA DETERMINACIÓN DE LAS MULTAS QUE IMPONGAN
LOS ÓRGANOS RESOLUTIVOS DEL INDECOPI RESPECTO DE LAS INFRACCIONES SANCIONABLES EN EL
ÁMBITO DE SU COMPETENCIA
Capítulo I: Pasos para la estimación de multas
(….)
En ese sentido, el proceso de estimación de multas en el Indecopi cuenta con tres grandes etapas, las cuales se
mencionan de forma general a continuación:2
A. Estimación de la Multa Base (m)
El monto de la Multa Base (m) comprende una aproximación directa o indirecta del beneficio ilícito o afectación (perjuicio
económico o daño) generada por el infractor (dentro de un espacio y tiempo determinado) y del grado de disuasión
deseado.
La metodología para la determinación de la Multa Base (m) de los OR del INDECOPI considera los siguientes tres tipos
de aproximaciones:
i. Método basado en valores preestablecidos;
ii. Método basado en un porcentaje de las ventas del producto o servicio afectado;
iii. Método ad hoc.
El detalle metodológico de cada aproximación es desarrollado en el Capítulo II del presente Anexo.
El Cuadro 1 muestra el detalle de las aproximaciones a utilizar según cada OR.
Cuadro N° 1
APROXIMACIONES METODOLÓGICAS PARA EL CÁLCULO DE MULTAS POR MATERIA Y ÓRGANO
RESOLUTIVO
Materia Órgano Método

Resoluti Preestablecido Porcentaje de las ventas del producto o s Ad hoc
vo1/ ervicio afectado
Protección del Cons OPS / P/* - -
umidor CPC
CPC / P/* - P
SPC
Protección de la Pro DDA / * - P
piedad Intelectual2/ SPI
DSD / * - P
SPI
DIN / * - P
SPI
Gestión de la Infraes CFE / * - -
tructura Oficial de Fir SDC
ma Electrónica
CCD / P P -
Defensa de la SDC
Competencia CLC / * P P
SDC
CEB / * - -
SEL
31
M-CPC-05/02

SEDE CENTRAL
119. El método basado en valores preestablecidos para otras infracciones en OPS CPC y
SPC será utilizado para aquellas infracciones al Código que sean distintas a las
infracciones vinculadas al Libro de Reclamaciones45. Así, dicho método establece el
esquema y los factores que se deben tener presente, es decir, la Multa Preliminar (M)
será el resultado de multiplicar el valor estimado de la Multa Base (m) por un
componente que captura el efecto de las circunstancias agravantes y atenuantes
presente en cada caso (F). Finalmente, dicho monto (M) es ajustado conforme a los
topes máximos legales pertinentes, hasta obtener una Multa Final (M*)46, tal como se
aprecia a continuación:
Diagrama N° 1
—Multa Base (m)
120. De acuerdo con el diagrama planteado, la Multa Base (m) se estima multiplicando un
primer componente de valor preestablecido (K) por un segundo componente de factor
CCO / * - P
SCO
Nota:
(…)
- 1/ El OR de segunda instancia aplica el mismo método que le corresponde al OR de primera instancia cuando analice
las respectivas apelaciones.
(…)
45
En este último caso, se deberá utilizar el método de valores preestablecidos para infracciones vinculadas con el Libro de
Reclamaciones.
46
ANEXO
GRADUACIÓN, METODOLOGÍA Y FACTORES PARA LA DETERMINACIÓN DE LAS MULTAS QUE IMPONGAN
LOS ÓRGANOS RESOLUTIVOS DEL INDECOPI RESPECTO DE LAS INFRACCIONES SANCIONABLES EN EL
ÁMBITO DE SU COMPETENCIA
Capítulo I: Pasos para la estimación de multas
Sobre la base de la revisión del proceso de graduación de sanciones por parte de los OR del Indecopi, se tiene que, en
términos generales, la multa preliminar (M) es el resultado de multiplicar el valor estimado de la multa base (m) por un
componente que captura el efecto de las circunstancias agravantes y atenuantes presentes en cada caso (F), conforme
a la siguiente fórmula:
(I) M = m x F
Finalmente, dicho monto (M) es ajustado conforme a los topes máximos legales pertinentes, hasta obtener una multa
final (M*).
(….).
32
M-CPC-05/02

SEDE CENTRAL
de duración (D)47. Para la determinación de cada uno de los elementos mencionados,

debemos considerar lo siguiente:
a) Determinación del valor preestablecido (K)
121. El valor preestablecido (K) se determina a partir de un cuadro de doble entrada

ordenada, por filas, según el nivel de afectación (subíndice Ki) y, en columnas, según el
tamaño del infractor (subíndice Kj), conforme al Cuadro 18 del Decreto Supremo N° 032-
2021-PCM:
“Cuadro N° 18
OPS - PERÚ y CPC - PERÚ (CUANDO ACTÚE COMO SEGUNDA INSTANCIA): MONTO
PREESTABLECIDO DE ki,j, POR TAMAÑO DEL INFRACTOR, SEGÚN TIPO DE AFECTACIÓN (UIT)
Tamaño del infractor (Kj)

Nivel de
Microempresa o Pequeña Mediana Gran
afectación (Ki)
persona natural empresa empresa empresa
Muy baja 1,01 1,09 2,02 3,00
Baja 1,55 1,93 2,57 3,49
Moderada 2,02 2,42 3,00 3,78
Alta 3,01 3,07 3,95 4,01
Muy alta 5,13 5,46 5,47 5,48”
122. El nivel de afectación (subíndice Ki) se establece según el tipo de infracción asociada a
cada caso en particular y se utiliza para los procedimientos administrativos de apelación
(segunda instancia), la clasificación contenida en el Cuadro 16 del Decreto Supremo
N° 032-2021-PCM48, cuyo resultado evidenciará si nos encontramos ante una infracción
muy alta, alta, moderada, baja o muy baja.
47
(…)
A.4 Método de valores preestablecidos para otras infracciones en OPS, CPC y SPC, así como en los casos de
CCD, SDC, DSD, DDA, DIN y SPI
Bajo la aproximación de valores preestablecidos para otras infracciones en OPS, CPC y SPC, así como en los casos de
CCD, SDC, DSD, DDA, DIN10 y SPI, la Multa Base (m) se estima multiplicando un primer componente de valores
preestablecidos según la afectación y el tamaño del infractor (ki,j) por un segundo componente que denominamos factor
de Duración (Dt), conforme la siguiente expresión:
(VI) m = ki,j x Dt
48
(…)
a) Determinación de ki,j
El primer componente (ki,j) se determina a partir de un cuadro de doble entrada ordenada por filas conforme el nivel de
afectación (subíndice i) y en columnas según el tamaño de infractor (subíndice j).12
En el caso de los OPS, CPC y SPC, los niveles de afectación son determinados de acuerdo con el tipo de infracción
asociada a cada caso en particular, considerando el detalle del Cuadro 16.
Cuadro N° 16
OPS, CPC y SPC- PERÚ: TIPO DE AFECTACIÓN, SEGÚN TIPO DE INFRACCIÓN
Niveles de Tipo de Infracción

Afectación
33
M-CPC-05/02

SEDE CENTRAL
123. El tamaño del infractor (subíndice Kj) se establece considerando la clasificación de las
empresas conforme a su nivel de ventas en UIT, atendiendo a lo establecido en el Texto
Único Ordenado de la Ley de Impulso al Desarrollo Productivo y al Crecimiento
Muy Alta -Infracciones donde se produzca una afectación al trato diferenciado o discriminación, dignidad y/o
reputación y normas de convivencia.
Alta - Infracciones donde la cuantía afectada del bien o servicio denunciado sea superior a (02) UIT si son
analizadas por los OPS, y superior a (08) UIT si son analizadas por la CPC a excepción de CC3 que
analiza casos de oficio que pueden alcanzar otra escala de la cuantía)1/2/.
- Infracciones que afectan un interés colectivo o difuso (que no estén asociadas a los demás tipos de
infracción precisados en esta tabla), cuya cuantía afectada total de los bienes o servicios considerados
en el procedimiento sea mayor a (104) UIT3/.
- Infracciones que puedan generan afectaciones a la subsistencia del consumidor.
- Infracciones relativas a métodos comerciales coercitivos, métodos comerciales agresivos o
engañosos, y métodos abusivos de cobranza que afecten la integridad del consumidor (agravios).
- Infracciones sobre modificaciones contractuales o cláusulas abusivas que afecten la integridad del
consumidor.
Moderada - Infracciones donde la cuantía afectada del bien o servicio denunciado sea superior a (01) UIT y menor
a (02) UIT si son analizadas por los OPS, y superior a (04) UIT y menor a (08) UIT si son analizadas
por la CPC (a excepción de CC3 que analiza casos de oficio que pueden alcanzar otra escala de la
cuantía).
en el procedimiento sea mayor a (30) UIT y menor a (104) UIT3/.
- Infracciones sobre modificaciones contractuales o cláusulas abusivas que impliquen una afectación
económica del consumidor.
- Infracciones relativas a métodos comerciales coercitivos, métodos comerciales agresivos o
engañosos, y métodos abusivos de cobranza que tengan afectaciones materiales o económicas.
Baja - Infracciones donde la cuantía afectada del bien o servicio denunciado sea menor a (01) UIT si son
analizadas por los OPS, y superior a (03) UIT y menor a (04) UIT si son analizadas por las CPC (a
excepción de CC3 que analiza casos de oficio que pueden alcanzar otra escala de la cuantía).
en el procedimiento sea menor a (30) UIT.3/
- Infracciones asociadas a atención de reclamos, atención de requerimientos de información del
consumidor que involucren una falsedad, solicitudes de gestión y requerimientos de información de la
Autoridad (cuando afectan la resolución del caso).
- Infracciones sobre modificaciones contractuales o cláusulas abusivas que no impliquen una afectación
económica del consumidor o una afectación a la integridad del consumidor.
- Infracciones vinculadas a la falta de entrega de contratos y demás documentación relacionada con
los actos jurídicos celebrados.
Muy baja - Infracciones relativas a falta de atención a requerimientos de información del consumidor, y
requerimientos de información de la Autoridad (cuando no afectan la resolución del caso). 4/
- Incumplimientos de medidas correctivas, medida cautelar, acuerdos conciliatorios y liquidación de
costas y costos.5/
Nota: Cabe destacar que los tipos de infracción señalados en todos los niveles de afectación también aplican para la
CC3 (salvo donde se especifique lo contrario).
1/ Por ejemplo, si la infracción es sobre la idoneidad del espejo de un carro, la cuantía afectada se estima en base al
valor del espejo y no de todo el carro. De igual manera si la infracción corresponde al no envío de un estado de cuenta,
la cuantía afectada se valorizaría en base al servicio de envío de este estado de cuenta específicamente y no sobre el
valor de la cuenta.
2/: Respecto a las infracciones que dependen de la cuantía del bien o servicio específico, los umbrales han sido
determinados conforme el siguiente detalle:
- Para los OPS, como los terciles del rango establecido hasta el valor máximo de 3 UIT dispuesto en la Ley Nº 29571.
- Para las CPC (excepto CC3, porque no le aplica), como los valores promedios de los montos preestablecidos en los
tipos de afectación baja y moderada.
3/ Los umbrales de la cuantía afectada en las infracciones de interés colectivo o difuso fueron determinados a partir de
los terciles del valor estimado de la cuantía afectada de los bienes y servicios de una muestra de casos de intereses
colectivos o difusos.
4/ Infracciones establecidas en el artículo 5 del Decreto Legislativo Nº 807.
5/ Aplicable en tanto se cumpla con lo dispuesto en los artículos 117 y 118 del Código de Protección y Defensa del
Consumidor.
34
M-CPC-05/02

SEDE CENTRAL
Empresarial, aprobado por Decreto Supremo Nº 013-2013-PRODUCE (en adelante, Ley

Mype)49, según el cuadro siguiente:
Cuadro N° 1
Tipo de empresa Valor de venta
Microempresa Desde 1 UIT hasta 150 UIT
Pequeña empresa Superior a 150 UIT hasta 1 700 UIT
Mediana Empresa Superior a 1700 UIT hasta 2 300 UIT
Gran empresa Superior a 2 300 UIT
*Cuadro elaborado por la Secretaría Técnica sobre la base de lo indicado en el Decreto Supremo N° 032-2021-PCM.
124. Ahora bien, este Colegiado advierte que el método basado en valores preestablecidos
para otras infracciones en OPS, CPC y SPC no ha contemplado qué ejercicio (año) se
tomará en cuenta para valorar las ventas o ingresos del proveedor y qué criterio deberá
considerarse en caso de que la autoridad no pueda obtener la información, aspectos
relevantes para la determinación del tamaño del infractor.
125. Así, la Comisión advierte que el método basado en valores preestablecidos para
infracciones del Libro de Reclamaciones establece que se tomará en cuenta el volumen
de ventas percibidos por la empresa infractora el año en que cometió la infracción (en
caso se tratase de un ejercicio concluido) o, en su defecto, el del inmediato anterior.
Asimismo, en caso no se pueda obtener la información, podrá realizarse una estimación
de dichas ventas o ingresos en base a la mejor información disponible50.
49
TEXTO ÚNICO ORDENADO DE LA LEY DE IMPULSO AL DESARROLLO PRODUCTIVO Y AL CRECIMIENTO
EMPRESARIAL, aprobado por DECRETO SUPREMO 013-2013-PRODUCE, publicado el 28 de diciembre de 2013,
y modificada por la LEY N° 30056, LEY QUE MODIFICA DIVERSAS LEYES PARA FACILITAR LA INVERSIÓN,
IMPULSAR EL DESARROLLO PRODUCTIVO Y EL CRECIMIENTO EMPRESARIAL
Artículo 5.- Características de las micro, pequeñas y medianas empresas
Las micro, pequeñas y medianas empresas deben ubicarse en alguna de las siguientes categorías empresariales,
establecidas en función de sus niveles de ventas anuales:
Microempresa: ventas anuales hasta el monto máximo de 150 Unidades Impositivas Tributarias (UIT).
Pequeña empresa: ventas anuales superiores a 150 UIT y hasta el monto máximo de 1700 Unidades Impositivas
Tributarias(UIT).
Mediana empresa: ventas anuales superiores a 1700 UIT y hasta el monto máximo de 2300 UIT. El incremento en el
monto máximo de ventas anuales señalado para la micro, pequeña y mediana empresa podrá ser determinado por
decreto supremo refrendado por el Ministro de Economía y Finanzas y el Ministro de la Producción cada dos (2) años.
Las entidades públicas y privadas promoverán la uniformidad de los criterios de medición a fi n de construir una base de
datos homogénea que permita dar coherencia al diseño y aplicación de las políticas públicas de promoción y
formalización del sector.
50
(…)
1/ Los rangos de facturación deben considerarse en función de las ventas o ingresos percibidos por el infractor del año
en el que se cometió la infracción (en caso de tratarse de un ejercicio concluido), o en su defecto, el del inmediato anterior.
De no contar con la mencionada información, puede realizarse una estimación de dichas ventas o ingresos en base a la
mejor información disponible.
- Factor (FCi):
(III)
Dónde:
FCi: Es el factor corregido por rango de multa que relaciona la facturación de la empresa específica con un valor de multa
en el rango establecido.
35
M-CPC-05/02

SEDE CENTRAL
126. En ese sentido, en virtud de los principios de legalidad y uniformidad de la actuación

administrativa51, la Comisión tomará en cuenta lo indicado en el párrafo precedente para
determinar el ejercicio (año) de los ingresos o ventas del proveedor denunciado y el
criterio a utilizarse en caso no se pueda obtener información del proveedor denunciado,
ambos aspectos para establecer el tamaño del infractor.
b) Determinación del factor de Duración (D)
127. El factor de Duración (D) se encuentra asociado al tiempo de duración de la infracción,

siendo necesario para ello determinar si nos encontramos ante una infracción de
naturaleza instantánea52, continuada o permanente53. Luego de ello, el tiempo será
medido en meses hasta el tope de dos (2) años (o 24 meses); así, según el Decreto
Ai: Es el valor de la facturación anual de la empresa sujeta a sanción entre el tamaño de la empresa más grande del
rango de facturación.
(IV)
Para la Mediana y Gran Empresa, se considera una facturación máxima de 20,000 UIT.
FC0: Cociente de la multa más baja y la multa más alta del respectivo rango.
A0: Cociente entre la facturación de la empresa más pequeña dentro de su rango y la facturación de la empresa más
grande de su respectivo rango.
51
DECRETO SUPREMO Nº 004-2019-JUS, TEXTO ÚNICO ORDENADO DE LA LEY Nº 27444, LEY DEL
PROCEDIMIENTO ADMINISTRATIVO GENERAL, publicado el 25 de enero de 2019
Artículo IV. Principios del procedimiento administrativo
1. El procedimiento administrativo se sustenta fundamentalmente en los siguientes principios, sin perjuicio de la vigencia
de otros principios generales del Derecho Administrativo:
1.1. Principio de legalidad.- Las autoridades administrativas deben actuar con respeto a la Constitución, la ley y al
derecho, dentro de las facultades que le estén atribuidas y de acuerdo con los fines para los que les fueron conferidas.
(…)
1.14. Principio de uniformidad.- La autoridad administrativa deberá establecer requisitos similares para trámites
similares, garantizando que las excepciones a los principios generales no serán convertidos en la regla general. Toda
diferenciación deberá basarse en criterios objetivos debidamente sustentados.
(…)
2. Los principios señalados servirán también de criterio interpretativo para resolver las cuestiones que puedan suscitarse
en la aplicación de las reglas de procedimiento, como parámetros para la generación de otras disposiciones
administrativas de carácter general, y para suplir los vacíos en el ordenamiento administrativo.
52
(…)
El hecho infractor puede ser instantáneo (empieza y termina con el mismo acto), continuado (la infracción dura por un
periodo de tiempo) o permanente (la infracción permanece en el tiempo). Asimismo, el hecho infractor puede durar desde
el inicio del acto hasta el cese de éste o como máximo hasta la fecha de notificación de la imputación de cargos; sin
embargo, no deberá considerarse como parte de la duración de la infracción el tiempo que tardó el demandante en
presentar su denuncia desde la fecha en que se ejecutó la infracción, a menos que dicho período de tiempo esté asociado
a la duración real de la infracción.
53
“Es instantánea cuando "la lesión o puesta en peligro del bien jurídico protegido se produce en un momento determinado,
en el que la infracción se consuma, sin producir una situación antijuridica duradera"', es infracción instantánea con efectos
permanentes, cuando se genera "un estado de cosas contrario a/ ordenamiento jurídico, que se mantiene. (...) aunque
los efectos de la conducta infractora sean duraderos y permanezcan en el tiempo, la consumación de esta es instantánea,
por lo que es a partir de este momento en que debe contarse el plazo de prescripción de la infracción"; es infracción
continuada, cuando "se realizan diferentes conductas, cada una de las cuales constituye por separado una infracción,
pero que se consideran como una única infracción, siempre y cuando formen parte de un proceso unitario y, finalmente,
es infracción permanente aquella en donde el administrado se mantiene en una situación infractora, cuyo mantenimiento
le es imputable (...) no son los efectos jurídicos de !a conducta infractora los que persisten, sino la conducta misma".
BACA ONETO, Víctor Sebastián. La prescripción de las infracciones y su clasificación en la Ley del Procedimiento
Administrativo General. Revista Derecho & Sociedad N° 37. Año 2012. P.268.
36
M-CPC-05/02

SEDE CENTRAL
Supremo Nº 032-2021-PCM, los valores de dicho factor se han determinado de acuerdo

con el cuadro siguiente:
“Cuadro N° 23
FACTOR DE GRADUACIÓN POR EL PERÍODO DE DURACIÓN DEL HECHO INFRACTOR, SEGÚN
MESES
Duración de la infracción Factor de Duración (D)

Si la infracción duró hasta 4 meses 1,0
Si la infracción duró entre 5 y 8 meses 1,2
Si la infracción duró entre 21 y 24 meses 2,0”
—Multa Preliminar (M)
128. La Multa Preliminar (M) se obtendrá de la multiplicación de Multa Base (m) por la
valoración de atenuantes y agravantes (F); siendo que, para la determinación de este
último factor, se considerará lo siguiente:
a) Determinación de (F)
129. Para determinar la valoración de atenuantes y agravantes (F), se deberá analizar y

definir si existen circunstancias agravantes y/o atenuantes que corresponda aplicarse.
En caso de no existir ninguna circunstancia agravante o atenuante, dicho factor será
equivalente a 1 o 100%. De verificarse circunstancias atenuantes o agravantes se
establecerá el porcentaje en que cada atenuante y/o agravante disminuye o aumenta,
respectivamente, el valor de la Multa Base (m), según lo determinado en el Cuadro N° 2
del Decreto Supremo N° 032-2021-PCM54. Para mejor ilustración, a manera de ejemplo,
se muestra lo siguiente:
54
B. Valoración de atenuantes y agravantes (F)
Este segundo paso corresponde a la valoración de las circunstancias que pueden incrementar (agravar) o reducir
(atenuar) el monto de la multa base, a través del factor F. Para determinar el valor del factor F, los OR deben realizar el
siguiente análisis:
• Definir si existen circunstancias agravantes o atenuantes que correspondan aplicar.
• En caso de no existir ninguna circunstancia agravante y atenuante, el factor F es equivalente a la unidad (F = 1 o 100
%).
• En caso de verificar circunstancias agravantes o atenuantes (f1), se debe establecer el porcentaje en que cada
atenuante y/o agravante disminuye y/o aumenta, respectivamente, el valor de m. Para esto, se debe sumar todos los
porcentajes (f1), y se le agrega la unidad (o 100%). Esto puede realizarse mediante la siguiente expresión:
(II)
Donde n representa al número de circunstancias agravantes y atenuantes identificadas.

Cabe mencionar que las circunstancias atenuantes pueden reducir la multa base hasta en un 50% y que las
circunstancias agravantes pueden incrementarla hasta en un 100%.
En caso el OR determine que el hecho infractor presenta algunas de las circunstancias agravantes o atenuantes que
figuran en el Cuadro 2, debe considerar los valores señalados en dicho cuadro, en tanto sean compatibles con su marco
legal especial. Por ende, pueden existir casos en los que el marco normativo establece circunstancias atenuantes o
37
M-CPC-05/02

SEDE CENTRAL
Cuadro N° 2
Ejemplos de circunstancias agravantes

Reincidencia (cuando el administrado ha sido sancionado mediante resolución firme por una infracción
igual a la que se le imputa, dentro del plazo de un año como máximo).55
Reiterancia (cuando el administrado continúa incurriendo en la conducta infractora pese a la
advertencia de la autoridad).56
La conducta del denunciado a lo largo del procedimiento que contravenga el principio de conducta
procedimental.
Cuando la conducta infractora haya puesto en riesgo u ocasionado daño a la salud, la vida o la
seguridad de personas.57
Cuando el denunciado, teniendo conocimiento de la conducta infractora, deja de adoptar las medidas
necesarias para evitar o mitigar sus consecuencias.
Cuando la conducta infractora haya afectado el interés colectivo o difuso.
Ejemplos de circunstancias atenuantes
La presentación por el denunciado de una propuesta conciliatoria dentro del procedimiento
administrativo que coincida con la medida correctiva ordenada por el órgano resolutivo.
Cuando el denunciado acredite haber concluido con la conducta ilegal tan pronto tuvo conocimiento de
esta y haber iniciado las acciones necesarias para remediar los efectos adversos de la misma.
Cuando el denunciado reconoce las imputaciones o se allana a las pretensiones después de la
presentación de sus descargos.
agravantes específicas y sus respectivos valores de reducción o incremento, en cuyo caso prima lo indicado en dicho
marco normativo en consideración de su respectiva jerarquía, pero tratando de conciliar en lo posible dicho criterio con
el presente Decreto Supremo.
Cabe señalar que los OR pueden considerar otras circunstancias atenuantes o agravantes adicionales a las que se
presentan en el Cuadro 2, siempre que sean pertinentes de acuerdo con las características de cada caso en particular y
en la medida que su marco legal especial se lo permita.
55
TEXTO ÚNICO ORDENADO DE LA LEY DEL PROCEDIMIENTO ADMINISTRATIVO GENERAL, aprobado por
DECRETO SUPREMO N° 004-2019-JUS y publicado el 25 de enero de 2019
Artículo 248.- Principios de la potestad sancionadora administrativa
La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales:
(…)
3. Razonabilidad.- Las autoridades deben prever que la comisión de la conducta sancionable no resulte más ventajosa
para el infractor que cumplir las normas infringidas o asumir la sanción. Sin embargo, las sanciones a ser aplicadas deben
ser proporcionales al incumplimiento calificado como infracción, observando los siguientes criterios que se señalan a
efectos de su graduación:
(…)
e) La reincidencia, por la comisión de la misma infracción dentro del plazo de un (1) año desde que quedó firme la
resolución que sancionó la primera infracción.
(…).
56
“(…) la autoridad administrativa deberá considerar la reincidencia (cuando el administrado ya ha sido sancionado por una
infracción análoga o igual a la que se le imputa) o reiterancia (cuando el administrado continúa incurriendo en la conducta
infractora pese a la advertencia de la autoridad), como un factor que determina el incremento de las sanciones (…).
GOMEZ APAC, Hugo y VERGARAY BÉJAR, Verónica. (2009). La potestad sancionadora y los principios del
procedimiento sancionador. Lima: Fondo Editorial de la Universidad de Ciencias Aplicadas. Recuperado de
https://www.mpfn.gob.pe/escuela/contenido/actividades/docs/2275_potestad_sancionadora_veronica_vergaray_hugo_
gomez.pdf
57
B. Valoración de atenuantes y agravantes (F)
1/ Siempre y cuando, a efectos de evitar duplicidad, la multa base no incorpore el valor del riesgo o daño a la vida
estimado mediante el enfoque ad-hoc. Por otro lado, entiéndase el riesgo como aquella situación en la que existe la
posibilidad de ocurrencia de un evento incierto y que a la vez también lleve a un determinado resultado.
38
M-CPC-05/02

SEDE CENTRAL
Cuando el administrado reconoce su responsabilidad de forma expresa y por escrito con anterioridad y
posterioridad al Informe Final de Instrucción.
Cuando el denunciado acredite que cuenta con un programa efectivo para el cumplimiento de la
regulación contenida en la normativa.
*Cuadro elaborado por la Secretaría Técnica sobre la base de lo indicado en el Decreto Supremo N° 032-2021-PCM.
—Multa Final (M*)
130. Finalmente, para determinar la Multa Final (M*) se deberá obtener de la comparación
entre la Multa Preliminar (M) y el tope máximo establecido por la normativa vigente58.
Así, en dicha comparación se verificará que la Multa Preliminar (M) no supere el tope
establecido en el marco normativo para los procedimientos de protección al consumidor,
según el artículo 110 del Código59; caso contario, debe limitarse el monto de la multa
final al valor del tope establecido en la normativa.
— Aplicación al caso en concreto
58
(…)
C. Ajuste de la multa según topes legales (determinación de la multa final M*)
En este paso se analiza si la multa preliminar (M) se encuentra dentro del tope máximo establecido en el marco normativo
de cada OR, el cual puede estar expresado en función del monto máximo a imponer en términos de Unidades Impositivas
Tributarias (NºUIT) o en términos de un porcentaje máximo de los ingresos totales de la empresa infractora en el último
año (%IT).
Así, el OR verifica que la multa preliminar (M) no supere el tope establecido en su marco normativo; en caso contrario,
debe limitar el monto de la multa final al valor del tope establecido en su norma. De esa forma, la multa final a imponer
(M*) queda determinada conforme a la siguiente expresión:
(I)
Donde Mín representa el valor mínimo de los elementos en consideración.
Es preciso señalar que los OR pueden aplicar medidas no monetarias razonables de mitigación o remediación, conforme
a ley (como programas de compromisos, entre otros, que sean de implementación factible y monitoreable) de forma
independiente a la multa (siempre que cuenten con habilitación legal para hacerlo). No obstante, también pueden evaluar
aplicarlas de manera complementaria con el fin de asegurar los efectos disuasorios pertinentes para el cambio de las
conductas y mitigar el riesgo de reincidencia.
59
LEY N° 29571, CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR, publicada el 2 de setiembre de 2010,
modificada por el DECRETO LEGISLATIVO 1308, publicado el 30 de diciembre de 2016
Artículo 110.- Sanciones administrativas
El Indecopi puede sancionar las infracciones administrativas a que se refiere el artículo 108 con amonestación y multas
de hasta cuatrocientos cincuenta (450) Unidades Impositivas Tributarias (UIT), las cuales son calificadas de la siguiente
manera:
a. Infracciones leves, con una amonestación o con una multa de hasta cincuenta (50) UIT.
b. Infracciones graves, con una multa de hasta ciento cincuenta (150) UIT.
c. Infracciones muy graves, con una multa de hasta cuatrocientos cincuenta (450) UIT.
En el caso de las microempresas, la multa no puede superar el diez por ciento (10%) de las ventas o ingresos brutos
percibidos por el infractor, relativos a todas sus actividades económicas, correspondientes al ejercicio inmediato anterior
al de la expedición de la resolución de primera instancia, siempre que se haya acreditado dichos ingresos, no se
encuentre en una situación de reincidencia y el caso no verse sobre la vida, salud o integridad de los consumidores.
Para el caso de las pequeñas empresas, la multa no puede superar el veinte por ciento (20%) de las ventas o ingresos
brutos percibidos por el infractor, conforme a los requisitos señalados anteriormente. La cuantía de las multas por las
infracciones previstas en el Decreto Legislativo núm. 807, Ley sobre Facultades, Normas y Organización del Indecopi,
se rige por lo establecido en dicha norma, salvo disposición distinta del presente Código.
Las sanciones administrativas son impuestas sin perjuicio de las medidas correctivas que ordene el Indecopi y de la
responsabilidad civil o penal que pueda corresponder.
39
M-CPC-05/02

SEDE CENTRAL
131. En el presente caso, el procedimiento administrativo formulado contra el Banco, por

presunta infracción al Código, inició el 26 de abril de 2023, fecha en que se notificó con
la imputación de cargos al proveedor denunciado; por lo que, corresponde aplicar la
nueva graduación, metodología y factores para la determinación de las multas
establecido por el Decreto Supremo N° 032-2021-PCM.
132. Dicho esto, se verifica que la Comisión ha revocado el pronunciamiento de OPS,

declarando fundada la presente denuncia contra el Banco por lo que, corresponde
realizar una graduación de la sanción respectiva.
133. Asimismo, para la aplicación del método de valores preestablecidos para otras
infracciones en OPS, CPC y SPC, se advierte que la infracción incurrida cumple con lo
siguiente: (i) se desarrolló por un periodo menor a dos (2) años; (ii) no dañó ni puso en
riesgo la vida y/o salud de las personas; y, (iii) tuvo un alcance geográfico menor al nivel
nacional.
134. Para este caso en particular, a fin de obtener el valor preestablecido (K) se tomó en
cuenta que la infracción cometida por el Banco consistió en haber cargado
indebidamente una (1) operación no reconocida por el importe de S/ 2 980,00 en la
tarjeta de crédito N° 4634********3074 del denunciante. En ese sentido, se verifica,
según lo desarrollado en el marco teórico, que la infracción denunciada se encuadra en
“Infracciones donde la cuantía afectada del bien o servicio denunciado sea menor a (01)
UIT”
135. Por otro lado, en cuanto al tamaño de la empresa (subíndice Kj) debe indicarse que, de
la página web de la Superintendencia de Mercados y Valores (SMV) se verificó que esta
facturó, en el 2022, un importe superior a 2 300 UIT60, en aplicación del rango
establecido; por lo que, corresponde asignarle el valor de gran empresa. En suma,
según lo establecido en el Cuadro N° 1, el valor preestablecido (K) equivale a tres con
cuarenta y nueve (3,49) UIT.
136. Ahora bien, en cuanto al factor de duración (D), se evidencia que la infracción tiene
naturaleza instantánea, en la medida que la infracción por cargo indebido de una (1)
operación no reconocida se configura el mismo día de la realización de esta. Así, este
Colegiado estima que su duración fue menor a cuatro (4) meses; por lo que,
corresponde aplicar un factor de duración de uno (1). Por ende, considerando los
resultados obtenidos del valor preestablecido (K) y el factor de duración (D), la Multa
Base (m) de la presente infracción tiene un valor de tres con cuarenta y nueve (3,49)
UIT.
137. De otro lado, en el presente caso, corresponde señalar que la Comisión no evidencia la
configuración de algún factor agravante o atenuante (F), lo que implica que dicho factor
sea igual a la unidad (F = 1 o 100 %). Bajo ese escenario, la Multa Base (m) obtenida
no sufre variación y será equivalente a la Multa Preliminar (M). Para una mejor
Revisado el 31 de enero de 2023, en:

https://www.smv.gob.pe/Frm_DetalleInfoFinanciera.aspx?data=00E99F518A79EA30830AF5D359AB895D5848BCCF3
6D26D9EBC7E076338B69C3AF9969C710B4740FE8F73A1D47734F4E0DB46988430703A0882DDED753DAFD0DEF
D1E1878607A8AD8531B0B43251679D5C34170EFFA395FAF54A1D70D26F3.
40
M-CPC-05/02

SEDE CENTRAL
comprensión de los criterios aplicados, graficamos los datos utilizados de la forma

siguiente:
Gráfico N° 1
138. Finalmente, al verificarse que la Multa Preliminar (M) no supera los topes, así como
tomando en consideración los principios de legalidad, predictibilidad y razonabilidad que
rigen la actuación de la autoridad administrativa, este Colegiado estima que corresponde
imponer al Banco una Multa Final (M*) de tres con cuarenta y nueve (3,49) UIT.
139. Por lo expuesto, y considerando que la potestad sancionadora otorgada a la autoridad

administrativa debe ser ejercida dentro de los parámetros fijados por el ordenamiento y
conforme a los principios que inspiran el ejercicio del poder punitivo del Estado; y,
adicionalmente, en aplicación del Principio de Razonabilidad que establece el numeral
3 del artículo 248° del TUO de la LPAG61, la Comisión considera que corresponde
61
DECRETO SUPREMO N° 006-2017-JUS, TEXTO ÚNICO ORDENADO DE LA LEY 27444, LEY DEL PROCEDIMIENTO
ADMINISTRATIVO GENERAL, publicado el 20 de marzo de 2017
Artículo 246º.- Principios de la potestad sancionadora administrativa
41
M-CPC-05/02

SEDE CENTRAL
sancionar al Banco con una multa de tres con cuarenta y nueve (3,49) UIT, por infracción
a los artículos 1 literal c), 18 y 19 de la Ley N° 29571, Código de Protección y Defensa
del Consumidor.
Sobre las costas y los costos del procedimiento
140. El artículo 7 del Decreto Legislativo N° 80762, dispone que es potestad de la Comisión
ordenar el pago de los costos y costas en que hubiera incurrido el interesado o el
Indecopi.
141. En el presente caso, en tanto se ha determinado la responsabilidad administrativa del

Banco, la Comisión considera que debe ordenársele el pago de las costas del
procedimiento a favor de la denunciante.
142. En consecuencia, el Banco deberá cumplir con pagar al denunciante las costas del
procedimiento que, a la fecha, ascienden a la suma de S/ 36,00, en un plazo no mayor
a quince (15) días hábiles, contado a partir del día siguiente de notificada la presente
resolución63.
143. Asimismo, en un plazo no mayor de cinco (5) días hábiles contado a partir del
vencimiento del plazo mencionado en el párrafo anterior, el Banco deberá presentar
ante el OPS los medios probatorios que acrediten el cumplimiento del mandato
ordenado, bajo apercibimiento de imponer una multa coercitiva conforme a lo
establecido en el artículo 118 del Código64.
144. Es pertinente informar que si la denunciante comunica al OPS el incumplimiento del

mandato ordenado y el Banco no presentó ante dicho órgano resolutivo los medios
probatorios que acrediten que cumplieron con el referido mandato, la autoridad
La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales:
(…)
3. Razonabilidad. - Las autoridades deben prever que la comisión de la conducta sancionable no resulte más ventajosa
para el infractor que cumplir las normas infringidas o asumir la sanción; así como que la determinación de la sanción
considere criterios como la existencia o no de intencionalidad, el perjuicio causado, las circunstancias de la comisión de
la infracción y la repetición en la comisión de infracción.
(…)
62
LEY SOBRE FACULTADES, NORMAS Y ORGANIZACIÓN DEL INDECOPI, APROBADO POR DECRETO
LEGISLATIVO N° 807 y publicada el 18 de abril de 1996
Artículo 7.- En cualquier procedimiento contencioso seguido ante el Indecopi, la Comisión u Oficina competente, además
de imponer la sanción que corresponda, podrá ordenar que el infractor asuma el pago de las costas y costos del proceso
en que haya incurrido el denunciante o el Indecopi. En caso de incumplimiento de la orden de pago de costas y costos
del proceso, cualquier Comisión u Oficina del Indecopi podrá aplicar las multas previstas en el inciso b) del artículo 38
del Decreto Legislativo Nº 716.
63
Tasa correspondiente al derecho de presentación de la denuncia.
64
y modificada por el DECRETO LEGISLATIVO N° 1308, publicado el 30 de diciembre de 2016
Artículo 118.- Multas coercitivas por incumplimiento del pago de costas y costos
Si el obligado a cumplir la orden de pago de costas y costos no lo hace, se le impone una multa no menor de una (1)
Unidad Impositiva Tributaria (UIT).
En caso de persistir el incumplimiento de lo ordenado, el órgano resolutivo puede imponer una nueva multa, duplicando
sucesivamente el monto de la última multa impuesta hasta el límite de cincuenta (50) Unidades Impositivas Tributarias
(UIT). La multa que corresponda debe ser pagada dentro del plazo de cinco (5) días hábiles, vencidos los cuales se
ordena su cobranza coactiva.
No cabe la impugnación de las multas coercitivas previstas en el presente artículo.

42
M-CPC-05/02

SEDE CENTRAL
administrativa resolverá con la documentación que obra en el expediente e impondrá la

multa coercitiva por incumplimiento de pago de costas liquidadas65.
145. Sin perjuicio de ello y, de considerarlo pertinente, una vez que se ponga fin a la instancia
administrativa, la denunciante podrá solicitar el reembolso de los montos adicionales en
que hubiese incurrido para la tramitación del presente procedimiento; para lo cual
deberá presentar una solicitud de liquidación de costas y costos ante el Órgano
Resolutivo de Procedimientos Sumarísimos de Protección al Consumidor N° 1.
Sobre la inscripción del Banco en el Registro de Infracciones y Sanciones del Indecopi
146. El artículo 119° del Código precisa que el Indecopi lleva un registro de las infracciones
que se comprueben y de las sanciones que se impongan en los procedimientos por
infracción a la normativa de protección al consumidor, con la finalidad de contribuir a la
transparencia de las transacciones del mercado66.
147. La referida norma establece que los proveedores que sean sancionados mediante
resolución firme en sede administrativa quedan automáticamente registrados en el
referido registro por el lapso de cuatro (4) años, contados a partir de la fecha de la
resolución.
148. En la medida que a través del presente pronunciamiento se ha verificado la comisión de

una infracción al Código por parte del Banco, así como se le ha impuesto una sanción
por ello, corresponde ordenar su inscripción en el Registro de Infracciones y Sanciones
del Indecopi, una vez que la resolución emitida por este órgano colegiado sea declarada
firme en sede administrativa.
65
DIRECTIVA N° 001-2021/DIR-COD-INDECOPI, DIRECTIVA ÚNICA QUE REGULA LOS PROCEDIMIENTOS DE
PROTECCIÓN AL CONSUMIDOR PREVISTOS EN EL CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR
Ejecución de Mandatos
Artículo 41.- Incumplimiento del pago de costas y costos
41.1 En caso de incumplimiento del mandato de pago de costas y/o costos liquidados, el beneficiario de dicho mandato
deberá comunicar este hecho a la autoridad administrativa.
41.2 El órgano resolutivo de procedimientos sumarísimos una vez recibida la comunicación de incumplimiento por parte
del beneficiado por el mandato de pago de costas y costos, atendiendo a las circunstancias del caso, podrá otorgar al
administrado obligado por el mandato un plazo adicional de dos días (2) hábiles para cumplir con el apercibimiento de
comunicar el cumplimiento del mandato impuesto. 41.3 En caso el obligado no acredite el cumplimiento del pago de las
costas y costos o se verifique el incumplimiento del mismo, se procede con la imposición de la multa coercitiva, de
conformidad a lo dispuesto en el artículo 118 del Código.
41.4 En el caso en el que el obligado apercibido acredite el cumplimiento oportuno del mandato ordenado, el órgano
resolutivo deberá comunicar de tal hecho al beneficiado, quien, de considerar que persiste el incumplimiento, podrá
solicitar el inicio de un procedimiento administrativo sancionador por incumplimiento de pago de costas y costos previsto
en el artículo 106 del Código, debiendo cumplir con realizar el pago del derecho de tramitación, conforme a lo establecido
en el Texto Único de Procedimientos Administrativos del INDECOPI.
66
LEY 29571, CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR, publicada el 2 de setiembre de 2010 y
modificada por el Decreto Legislativo 1308, publicado el 30 de diciembre de 2016
Artículo 119.- Registro de infracciones y sanciones
El Indecopi lleva un registro de infracciones y sanciones a las disposiciones del presente Código con la finalidad de
contribuir a la transparencia de las transacciones entre proveedores y consumidores y orientar a estos en la toma de sus
decisiones de consumo. Los proveedores que sean sancionados mediante resolución firme en sede administrativa
quedan automáticamente registrados por el lapso de cuatro (4) años contados a partir de la fecha de dicha resolución.
La información del registro es de acceso público y gratuito.
43
M-CPC-05/02

SEDE CENTRAL
RESUELVE
PRIMERO: revocar la Resolución Final N° 0007-2024/PS2 del 3 de enero de 2024, emitida

por el Órgano Resolutivo de Procedimientos Sumarísimos de Protección al Consumidor N° 2,
en el extremo que declaró infundada la denuncia presentada por el señor Marco Antonio
Vargas Seminario contra Banco de Crédito del Perú S.A. y, reformándola, declararla fundada,
por infracción a los artículos 1° literal c), 18° y 19° de la Ley N° 29571, Código de Protección
y Defensa del Consumidor, por haber cargado indebidamente una (1) operación no reconocida
por el importe de S/ 2 980,00 en la tarjeta de crédito N° 4634********3074 del denunciante, al
no haber acreditado que cumplió con el circuito de autenticación reforzada dictado por la
normativa sectorial.
SEGUNDO: ordenar a Banco de Crédito del Perú S.A., en calidad de medida correctiva, que
en un plazo no mayor de quince (15) días hábiles contado a partir del día siguiente de la
notificación de la presente resolución, cumpla con (i) extornar en la cuenta de la Tarjeta de
Crédito N° 4634********3074 de titularidad del señor Marco Antonio Vargas Seminario el
importe de S/ 2 980,00, correspondiente a la operación denunciada, más los intereses,
comisiones, gastos y penalidades derivados de dicha operación desde la fecha de cargo en
la tarjeta, hasta el cumplimiento de la medida correctiva; y, (ii) solicitar a la Central de Riesgos
de la SBS, las rectificaciones que correspondan a efectos de que la deuda generada por la
operación no reconocida no sea considerada en los reportes crediticios de la parte
denunciante; y, de ser el caso, la calificación negativa por dicha deuda sea modificada; para
lo cual, en un plazo no mayor de cinco (5) días hábiles contado a partir del vencimiento del
plazo otorgado inicialmente, el proveedor deberá presentar al Órgano Resolutivo de
Procedimientos Sumarísimos de Protección al Consumidor N° 2 los medios probatorios que
acrediten el cumplimiento del mandato ordenado bajo apercibimiento de imponer una multa
coercitiva conforme a lo establecido en el artículo 117 de la Ley N° 29571, Código de
Protección y Defensa del Consumidor, así como en el numeral 40.3 de la Directiva N° 001-
2021/DIR-COD-INDECOPI denominada “Directiva Única que regula los procedimientos de
protección al consumidor previstos en el Código de Protección y Defensa del Consumidor”.
TERCERO: sancionar a Banco de Crédito del Perú S.A. con una multa de tres con cuarenta
y nueve (3,49) Unidades Impositivas Tributarias, por infracción a los artículos 1° literal c), 18°
y 19° a la Ley N° 29571, Código de Protección y Defensa del Consumidor.
CUARTO: requerir a Banco de Crédito del Perú S.A. el cumplimiento espontáneo de la multa
impuesta en la presente resolución, bajo apercibimiento de iniciar el medio coercitivo
específicamente aplicable, de acuerdo con lo establecido en el numeral 205.4 del artículo 205°
del Texto Único Ordenado de la Ley del Procedimiento Administrativo General, aprobado por
Decreto Supremo N° 004-2019-JUS78, precisándose que los actuados serán remitidos a la
Unidad de Ejecución Coactiva para los fines de ley.
QUINTO: ordenar a Banco de Crédito del Perú S.A. que, en un plazo no mayor a quince (15)
días hábiles contado a partir del día siguiente de la notificación de la presente resolución,
cumplan con pagar al denunciante las costas y costos del presente procedimiento por ser
accesorio al pronunciamiento sustantivo; para lo cual en un plazo no mayor de cinco (5) días
hábiles contado a partir del vencimiento del plazo otorgado inicialmente, Banco de Crédito del
Perú S.A. deberá presentar ante el Órgano Resolutivo de Procedimientos Sumarísimos de
Protección al Consumidor N° 2 los medios probatorios que acrediten el cumplimiento del
mandato ordenado, bajo apercibimiento de que se le imponga una multa coercitiva conforme a
44
M-CPC-05/02

SEDE CENTRAL
lo establecido en el artículo 118 de la Ley N° 29571, Código de Protección y Defensa del

Consumidor.
SEXTO: disponer la inscripción de Banco de Crédito del Perú S.A. en el Registro de

Infracciones y Sanciones del Indecopi, una vez que la resolución quede firme en sede
administrativa, conforme a lo establecido en el artículo 119° de la Ley N° 29571, Código de
Protección y Defensa del Consumidor.
SÉPTIMO: informar a las partes que la presente resolución tiene vigencia desde el día
siguiente de su notificación y, de conformidad con lo dispuesto por el artículo 125 de la Ley
N° 29571, Código de Protección y Defensa del Consumidor —modificado por el artículo 1 del
Decreto Legislativo N° 1308—, agota la vía administrativa67. Asimismo, esta resolución puede
ser cuestionada vía proceso contencioso administrativo ante el Poder Judicial, dentro del
plazo de tres (3) meses posteriores a su notificación, de acuerdo con lo previsto en el numeral
1 del artículo 18 del Texto Único Ordenado la Ley N° 27584, Ley que regula el Proceso
Contencioso Administrativo68, aprobado por Decreto Supremo N° 011-2019-JUS.
Con la intervención de las señoras Comisionadas: Evelyn Edith Chumacero Asención,

Erika Claudia Bedoya Chirinos, María de Fátima Ponce Regalado y Mónica Tatiana
Siverio Puycan.
Firmado digitalmente por

CHUMACERO ASENCION Evelyn
Edith FAU 20133840533 soft
Motivo: Soy el autor del documento
Fecha: 28.05.2024 13:45:08 -05:00
EVELYN EDITH CHUMACERO ASENCIÓN

Presidenta
67
LEY 29571, CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR, publicada el 2 de setiembre de 2010 y
modificada por el DECRETO LEGISLATIVO 1308, publicado el 30 de diciembre de 2016
Artículo 125.- Competencia de los órganos resolutivos de procedimientos sumarísimos de protección al
consumidor
(…)
La resolución que emita la correspondiente Comisión agota la vía administrativa y puede ser cuestionada mediante el
proceso contencioso administrativo.
68
TEXTO ÚNICO ORDENADO DE LA LEY 27584, LEY QUE REGULA EL PROCESO CONTENCIOSO
ADMINISTRATIVO, aprobado por Decreto Supremo N° 011-2019-JUS, publicada el 4 de mayo de 2019
Artículo 18.- Plazos
La demanda deberá ser interpuesta dentro de los siguientes plazos:
(i) Cuando el objeto de la impugnación sean las actuaciones a que se refieren los numerales 1, 3, 4, 5 y 6
del Artículo 4 de esta Ley, el plazo será de tres meses a contar desde el conocimiento o notificación del
acto material de impugnación, lo que ocurra primero.
(…)
45
M-CPC-05/02


Resolución Final #1179-2024/CC1

Cargado por

Copyright:

Formatos disponibles

Resolución Final #1179-2024/CC1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Resolución Final #1179-2024/CC1

Cargado por

Copyright:

Formatos disponibles

COMISIÓN DE PROTECCIÓN AL CONSUMIDOR Nº 1

RESOLUCIÓN FINAL Nº 1179-2024/CC1

SANCIÓN : TRES CON CUARENTA Y NUEVE (3,49) UNIDADES

Lima, 22 de mayo de 2024

(i) Es titular de la Tarjeta de Crédito N° 4634********3074; no obstante, el 11 de enero

(ii) El 17 y 24 de enero de 2023, interpuso ante el Banco los Reclamos N° C13727001

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

2. Mediante Resolución N° 1 del 24 de abril de 2023, el OPS admitió a trámite la denuncia

3. El 5 de mayo de 2023, el Banco presentó su escrito de descargos y manifestó lo

(i) El consumo cuestionado se realizó en estricto cumplimiento de las medidas de

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

uso de la tarjeta y la identificación de la identidad del titular por parte del

(iii) La Tarjeta de Crédito N° 4634-****-****-3074 fue bloqueada el 14 de enero de 2023

(iv) La conducta del denunciante de entregar o proporcionar su tarjeta de crédito a un

4. Mediante Resolución N° 2 del 15 de mayo de 2023, el OPS trasladó los descargos

5. Por Resolución Final N° 1026-2023/PS2 del 7 de junio de 2023, el OPS resolvió lo

SEGUNDO: Archivar el procedimiento administrativo sancionador iniciado contra Banco

TERCERO: Archivar el procedimiento administrativo sancionador iniciado contra Banco

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

6. El 21 de junio de 2023, el señor Vargas presentó un recurso de apelación contra la

7. Mediante Resolución N° 4 del 26 de junio de 2023, el OPS concedió el recurso de

8. Por Memorándum N° 1146-2023-PS2/INDECOPI del 11 de julio de 2023, el OPS elevó

9. Mediante Resolución N° 1 del 25 de julio de 2023, Secretaría Técnica de la Comisión

12. El 15 de octubre de 2023, el señor Vargas presentó un escrito reiterando que

14. Por Resolución Final N° 2513-2023/PS2 de 24 de octubre de 2023, la Comisión resolvió:

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

tampoco, realizar las actuaciones probatorias necesarias y específicas en torno a la

SEGUNDO: ordenar al Órgano Resolutivo de Procedimientos Sumarísimos de Protección

15. Mediante Resolución N° 5 de fecha 4 de diciembre de 2023, el OPS requirió al Banco

16. Mediante escritos del 11 y 15 de diciembre de 2023, el Banco solicitó ampliaciones de

17. El 20 de diciembre de 2023, el Banco presentó un escrito y adjuntó los reportes de su

18. El 27 de diciembre de 2023, el señor Vargas presentó un escrito adicional y manifestó

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

20. El 11 de enero de 2024, el señor Vargas presentó un recurso de apelación contra la

21. El 12 de enero de 2024, el denunciante reitero mediante un escrito lo referido a la falta

22. Mediante Resolución N° 10 del 18 de enero de 2024, el OPS concedió el recurso de

23. Por Memorándum N° 0179-2024-PS2/INDECOPI del 31 de enero de 2024, el OPS elevó

24. Mediante Resolución N° 1 del 29 de febrero de 2024, Secretaría Técnica de la Comisión

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

27. El 13 de marzo de 2024, el Banco presentó un escrito, en atención al requerimiento

28. El 18 de marzo de 2024, el señor Vargas presentó un escrito adjuntando copia de un

31. Por Resolución N° 4 del 27 de marzo de 2024, se agregó al expediente el escrito

33. Por Resolución N° 5 del 23 de abril de 2024, se agregó al expediente el escrito

Cuestión previa: sobre la falta de competencia alegada por el Banco

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

empresas supervisadas en su relación directa con el cliente cuando constituyan un

41. De igual forma, la Sala Especializada en Protección al Consumidor (en adelante, la

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

— De las medidas de seguridad aplicables a las operaciones

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

Tratamiento de operaciones realizadas a través de canales digitales

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

64. El artículo 15 del Reglamento de Tarjetas establece las medidas de seguridad

INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL

66. De la lectura de la norma citada, se concluye que el Reglamento de Tarjetas busca

Sobre el Reglamento de Ciberseguridad aplicable para operaciones realizadas por canal

(iii) La Tarjeta de Crédito N° 4634---3074 fue bloqueada el 14 de enero de 2023