De acuerdo al reglamento de la ley que vela por el respeto de los datos personales, publicada a fines del 2024, se tiene un plazo de 48 horas para informar a las autoridades sobre un incidente de seguridad que implique la filtración de datos, siendo objetos de multas si no lo hacen. Pero la Superintendencia de Banca, Seguros y AFP (SBS) ha publicado un proyecto normativo que propone modificar los reglamentos de gestión de conducta, incluyendo reducir el plazo de notificación a 24 horas. La propuesta, informaron, estará disponible para recoger los comentarios y sugerencias de los interesados hasta el próximo 7 de febrero.
Su objetivo es, añadieron, fortalecer la protección a los usuarios del sistema financiero, asegurando, entre otras medidas, que las entidades financieras informen de manera oportuna a sus clientes sobre los eventos que puedan afectarlos, incluyendo aquellos vinculados a interrupciones en los canales de atención, incidentes de ciberseguridad con impacto en usuarios, así como aquellos que generen perjuicios al cliente en sus saldos de cuentas o líneas de crédito.
El proyecto propone que esta comunicación se realice a través de medios de difusión masiva, según criterios establecidos por las empresas, dentro de las 24 horas desde la toma de conocimiento del evento, precisó la SBS. Adicionalmente, para eventos distintos a interrupciones en canales de atención, plantean efectuar una comunicación directa a los usuarios dentro de los 10 días hábiles desde que la empresa conoce la posible afectación, incluyendo información sobre el evento y las acciones adoptadas.
La Superintendencia de Banca, Seguros y AFP propone en la norma modificar los reglamentos de gestión de conducta de mercado, y de comisiones y gastos del sistema financiero, en varios aspectos vinculados a la comercialización de productos y servicios, transparencia de información, comunicación ante eventos significativos que afecten a los usuarios, y el pago de obligaciones crediticias.
La SBS informó que, a través del proyecto normativo se incorporan obligaciones para las entidades financieras a fin de asegurar que los productos y servicios sean desarrollados y comercializados considerando el público objetivo para el cual fueron diseñados, así como la experiencia de usuario. En esa misma línea, se plantean requerimientos en la contratación de los productos y/o servicios a través de canales digitales, incluyendo la provisión de información clara, visible y de fácil acceso; que favorezcan la toma de decisiones informadas.
Un problema recurrente
La medida de la SBS responde a una problemática presente en el mercado peruano. Baste recordar los incidentes que afectaron a los clientes de Interbank y a Yape, la billetera móvil del Banco de Crédito del Perú (BCP) en 2025 y 2024, por citar solo algunos ejemplos sonados. En redes sociales los usuarios asustados difunden sus problemas con los bancos y se molestaban porque no había una respuesta rápida por parte de las entidades bancarias, quienes deben calmar a los clientes y dar solución a sus inquietudes con prontitud.
La Superintendencia de Banca, Seguros y AFP (SBS) ha publicado un proyecto normativo que propone modificar los reglamentos de gestión de conducta, incluyendo reducir el plazo de notificación a 24 horas.
En noviembre del 2025, Interbank recibió una sanción por una falla masiva que afectó cuentas y por no informar a tiempo un incidente ocurrido el 4 de mayo de 2024 que afectó a unos 260 mil clientes. La Sala Especializada en Protección al Consumidor del Indecopi confirmó, en segunda instancia, una sanción total de 44,8 UIT (S/239 680) por este motivo.
De acuerdo con el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi), Interbank debe responder por las fallas en sus sistemas e informar con mayor velocidad: lo hicieron, a través de sus canales oficiales, alrededor de la 1:00 p. m., pese a que identificó las causas del incidente y definió el plan de acción a las 8:30 a. m. «El mensaje oficial y masivo llegó cerca de cinco horas después, incumpliendo el deber de brindar información clara, suficiente y de fácil acceso a los consumidores», aseguro Indecopi.
Antes, en marzo del 2025, ya habían confirmado, en segunda y última instancia administrativa, una sanción similar al Interbank. Le impusieron una multa total de 112,50 UIT, equivalente a S/ 601 875, por afectar los saldos disponibles de las cuentas de algunos de sus clientes y no informarles de manera oportuna y accesible sobre un incidente ocurrido en su sistema el 16 de setiembre de 2023.
«El mensaje oficial y masivo llegó cerca de cinco horas después, incumpliendo el deber de brindar información clara, suficiente y de fácil acceso a los consumidores».
Indecopi
Pero eso no es todo, ni es el único. Indecopi, recordemos, recientemente inició de oficio un procedimiento sancionador contra el Banco Falabella Perú S. A., debido a que habría implementado mecanismos que limitarían la presentación de reclamos por parte de los usuarios, a través de sus canales presenciales y virtuales. Estas acciones podrían vulnerar el Código de Protección y Defensa del Consumidor. De confirmarse las infracciones, Banco Falabella podría ser sancionado con multas de hasta 450 UIT (equivalentes a S/ 2.407.500), además de la imposición de medidas correctivas pertinentes.
En el caso de operaciones no reconocidas, la Sala Especializada en Protección al Consumidor del Indecopi, en segunda y última instancia administrativa, ordenó a Alfin Banco devolver S/ 264.179 a un ciudadano afectado por operaciones no reconocidas y graves. La investigación determinó que el banco atribuyó indebidamente cinco cuentas de ahorros al consumidor, modificó sin autorización su correo electrónico registrado en la banca móvil y permitió el cargo de 27 operaciones no reconocidas. En paralelo, la Sala impuso a la entidad financiera una multa de 22,63 UIT, equivalente a S/ 121 070.5.
En cuanto a la falta de no brindar servicios idóneos ni seguros, la Sala Especializada en Protección al Consumidor (SPC) del Indecopi sancionó al BCP en 2025 con multas que en conjunto suman 20,49 UIT (S/ 109.621), tras comprobar que la entidad financiera no garantizó un servicio idóneo ni seguro en perjuicio de sus clientes, incluyendo no notificar a tiempo sobre un movimiento bancario, incumpliéndose los estándares de seguridad digital que deben resguardar al consumidor.
Scotiabank Perú S.A.A., por su parte, recibió en 2025 multas que suman las 23,20 UIT, equivalentes a S/ 124 120, tras comprobarse que el banco atribuyó operaciones no reconocidas y un préstamo no solicitado a dos clientes, vulnerando el Código de Protección y Defensa del Consumidor. El banco fue sancionado por no haber adoptado las medidas de seguridad de monitoreo, permitiendo que se realicen tres operaciones no reconocidas y que no correspondían al comportamiento habitual del cliente afectado.
