Scotiabank Perú S.A.A. enfrentará una sanción de 23,20 UIT (S/124.120) impuesta por Indecopi, tras comprobarse que el banco permitió operaciones no reconocidas y adjudicó un préstamo no solicitado a dos clientes, en clara infracción a la Ley 29571, Código de Protección y Defensa del Consumidor.
Ambas resoluciones revelan falencias en la protección de los usuarios del sistema financiero y ponen en primer plano la necesidad del cumplimiento de estándares de ciberseguridad en el sector.
El primer caso, recogido en la Resolución 2780-2025/SPC-INDECOPI del Tribunal de Defensa de la Competencia y de la Propiedad Intelectual – Sala Especializada en Protección al Consumidor, describe cómo el banco permitió que se realizaran tres consumos no reconocidos por un total de 9.501,31 dólares (unos S/32.000). Las operaciones, realizadas en un lapso de 7 minutos, no originaron ninguna alerta ni generaron reportes en los sistemas internos del banco, pese a que se diferenciaban del comportamiento habitual de compra del titular de la tarjeta.
Según la investigación de Indecopi, la entidad financiera no cumplió su deber de adoptar mecanismos efectivos de monitoreo. La autoridad identificó que la omisión de alertas desde la primera transacción irregular hizo responsable al proveedor por todas las operaciones posteriores. “El artículo 18° del Código de Protección y Defensa del Consumidor exige que el nivel de seguridad responda a la expectativa legítima del usuario”, señala el texto de la resolución.
Como resultado, Scotiabank debe restituir al cliente la suma debitada, junto a intereses y gastos asociados, rectificar su historial ante la Superintendencia de Banca, Seguros y AFP (SBS) y expedir un certificado de no adeudo. Además, la multa y la medida correctiva quedan registradas oficialmente en el Registro de Infracciones y Sanciones de Indecopi.
Un segundo expediente, plasmado en la Resolución 2658-2025/SPC-INDECOPI, expone la aprobación y desembolso de un préstamo de S/28.621,20 a una consumidora sin que esta haya solicitado o validado la operación. La revisión concluyó que la entidad solo empleó autentificación biométrica, pero no presentó evidencia del uso y validación de una clave digital, requisito fundamental bajo el Reglamento de Ciberseguridad (Resolución SBS 504-2021) para la autenticación reforzada en transacciones sensibles.
La sanción en este caso asciende a 11,60 UIT luego de considerarse el nivel moderado del impacto y la urgencia de corregir la situación. Indecopi ordenó la anulación del préstamo, la devolución de S/2.497,90 —la diferencia entre operaciones no reconocidas y desembolsos— y cualquier interés o pago asociado. Scotiabank cuenta con 15 días hábiles para restituir los montos, y 5 días adicionales para presentar evidencia de cumplimiento.
Tras informar sobre la sentencia en ambos casos, el Indecopi dijo redoblar su rol para proteger a los consumidores ante deficiencias en materia de seguridad y transparencia bancaria. La inscripción de ambas infracciones en su registro refuerza la señal de alerta a las entidades del sector para mejorar los estándares de protección y control, consideró.