La reforma sobre estafas en línea brinda mayores protecciones a las víctimas y da mayores responsabilidades a las entidades financieras.

Los diputados de la Comisión Legislativa con Potestad Plena Tercera, de la Asamblea Legislativa, aprobaron en primer debate una reforma que redefine la responsabilidad de los bancos y demás entidades financieras frente a los fraudes electrónicos y sustracciones de dinero en línea.

Responsabilidad independiente de la culpa

El proyecto dicta que las entidades financieras serán responsables por los daños y perjuicios ocasionados por la sustracción de dinero o del patrimonio de las cuentas bajo su custodia, independientemente de la existencia de culpa.

La responsabilidad aplica incluso cuando la sustracción provenga de un tercero ilegítimo no autorizado por el titular, sin importar el mecanismo utilizado para concretar el fraude.

La norma es clara: si el dinero fue sustraído de una cuenta bajo custodia de la entidad, el banco debe responder. No obstante, hay excepciones.

Dos excepciones a la regla

La norma avalada establece dos excepciones específicas en las que la entidad financiera no incurrirá en responsabilidad:

Cuando se demuestre que se trató de un autofraude Cuando la entidad demuestre que cumple con los estándares adecuados de ciberseguridad instruidos por la Superintendencia General de Entidades Financieras (Sugef)

Esta última excepción aplica cuando se considera que la entidad es ajena a la producción del daño.

La Asociación Bancaria Costarricense (ABC), órgano que aglutina a la banca pública y privada, brindó en un primer momento su apoyo a la reforma. Sin embargo, horas después, se desligó y lo criticó. Aún queda pendiente el segundo debate en la comisión y la firma del Poder Ejecutivo.

¿Qué cambia para los clientes?

Si el proyecto es aprobado y entra en vigor tras su publicación, el marco legal establecerá como regla general la responsabilidad objetiva de las entidades financieras por la sustracción de fondos, con excepciones limitadas y sujetas a prueba.

Además, obligará a las entidades a actuar bajo protocolos formales y estándares de ciberseguridad supervisados.

Carga de la prueba

La iniciativa introduce un cambio en el Código Procesal Civil para establecer que, en casos relacionados con defensa del consumidor y fraudes electrónicos, regirá la inversión de la carga de la prueba en favor de las personas afectadas, tanto en sede administrativa como judicial.

Esto implica que, en principio, no será el cliente quien deba probar la responsabilidad del banco, sino que corresponderá a la entidad desvirtuar los hechos o demostrar que se encuentra en alguna de las excepciones previstas.

Devolución de montos retenidos por fraude

Adicionalmente, las entidades financieras están obligadas a incorporar mecanismos ágiles para la devolución de montos retenidos que presuntamente provengan de fraudes.

Además, deberán devolver los recursos que hayan identificado como provenientes de fraudes, siempre que cuenten con suficientes elementos de prueba que permitan concluir el carácter ilegítimo de la transacción.

El proyecto también protege a la entidad y a sus funcionarios al señalar que no serán responsables por la devolución de dichos recursos cuando, razonablemente, pueda considerarse que se trató de una operación ilegítima.

60 días para investigar y resolver

La norma aprobada en primer debate dicta un plazo de 60 días hábiles para que la entidad financiera investigue los hechos desde que el afectado los comunica y resuelva lo correspondiente.

La resolución administrativa deberá:

Estar fundamentada en hechos ciertos y comprobados.

Basarse en una investigación con medios idóneos.

Ser específica para cada reclamación presentada.

Además, se podrán establecer mecanismos de autorregulación para resolver estos conflictos mediante un tercero, cuyas decisiones serán de acatamiento obligatorio.

Las nuevas responsabilidades se establecen mediante la reforma a la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor.

La reforma se tramita bajo el expediente N.º 23.908, Ley de protección a las personas consumidoras en la custodia de su dinero que administra cualquier entidad financiera en Costa Rica, ya sea pública o privada, autorizada para este fin.

Reportes de cuentas vinculadas a fraudes

Las entidades deberán reportar a la Sugef las cuentas y titulares que hayan sido utilizados para recibir fondos provenientes de fraudes electrónicos.

La Superintendencia, a su vez, informará a las entidades financieras sobre las cuentas y personas reportadas, mediante el mecanismo que considere oportuno.

Sanciones por simular fraudes

La reforma introduce una sanción penal de uno a tres años de prisión para quien, con el propósito de obtener un beneficio económico, engañe o intente engañar a una entidad financiera simulando una situación de fraude u ocultando su involucramiento o consentimiento en un aparente fraude o intento de fraude bancario o financiero.

Obligaciones para el Banco Central y la Sugef

El proyecto establece que el Banco Central de Costa Rica (BCCR) deberá crear mecanismos robustos de seguridad informática para prevenir fraudes facilitados o cometidos a través de sus plataformas de pago, y colaborar con las entidades del sistema financiero en la prevención e investigación de estos delitos.

Asimismo, la Sugef deberá emitir reglamentación obligatoria para que las entidades públicas y privadas cumplan estándares destinados a prevenir y mitigar estafas informáticas y garantizar la gobernanza del riesgo operativo, de acuerdo con lineamientos del Comité de Basilea.

Protocolo de emergencia

Todas las entidades financieras deberán implementar un protocolo de emergencia y atención inmediata para los casos de sustracción de dinero de clientes, desde el momento en que tengan conocimiento del hecho.