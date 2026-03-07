La Asociación Bancaria Costarricense ha criticado la norma señalando que no aborda estructuralmente el problema del crimen organizado detrás de muchas de estas estafas.

La Asamblea Legislativa aprobó el miércoles 4 de marzo, en segundo debate, el expediente 23.908, Ley de Protección a las Personas Consumidoras en la Custodia de su Dinero. La iniciativa surge en un contexto en que los fraudes electrónicos se han convertido en uno de los delitos financieros de mayor crecimiento en el país.

En el debate público, la reforma ha sido presentada como un endurecimiento del régimen de responsabilidad bancaria. Sin embargo, una lectura más cuidadosa muestra que el cambio no es tan estructural como se ha sugerido. En realidad, la ley viene a especificar algo que ya estaba establecido en el ordenamiento.

Desde hace años, la Ley de Defensa del Consumidor consagra un régimen de responsabilidad objetiva. En materia bancaria, esto significa que el banco responde por los daños sufridos por el consumidor independientemente de la existencia de culpa, salvo que demuestre una causa eximente, como fuerza mayor o culpa de la víctima.

Los tribunales han sido consistentes en esta línea desde hace casi dos décadas. Siguiendo la teoría del “riesgo creado”, han sostenido que no corresponde analizar la culpa del banco, sino que basta la existencia de un riesgo inherente al servicio financiero y el nexo causal con el daño sufrido por el cliente.

Es cierto que, en algunos casos, las demandas han sido rechazadas. Pero ello ha ocurrido cuando se acredita culpa del propio cliente mediante la entrega voluntaria de credenciales, negligencia en el manejo de tarjetas o revelación de contraseñas.

En ese contexto, la reforma aprobada lo que hace es incorporar expresamente en la ley una doctrina que ya había sido construida por la jurisprudencia. La pregunta, entonces, es: ¿qué aporta realmente la nueva norma?

La principal novedad es procedimental. La ley busca evitar que los afectados tengan que acudir a un proceso judicial que puede durar años para recuperar su dinero. En su lugar, crea un mecanismo administrativo que obliga a las entidades financieras a investigar el fraude y devolver los montos sustraídos, salvo que logren demostrar que sus sistemas no fueron vulnerados o que se trata de un caso de autofraude.

Para ello, se fijan plazos estrictos. Los bancos tendrán 30 días para investigar el caso y emitir una resolución. Si rechazan el reclamo, la decisión deberá ser validada por la Superintendencia General de Entidades Financieras (Sugef), que contará con diez días hábiles para pronunciarse. Si la entidad no responde dentro del plazo de 30 días, deberá pagar una multa al cliente; y si en cuatro meses no logra justificar su decisión, perderá la posibilidad de alegar su no responsabilidad y deberá reintegrar el dinero sustraído al cliente.

En el papel, el sistema parece ofrecer una respuesta rápida para los consumidores. Pero la implementación plantea interrogantes importantes.

No todos los ataques informáticos son iguales. Algunos fraudes pueden investigarse rápidamente, mientras que otros implican análisis técnicos complejos, revisión de dispositivos, rastreo de transacciones internacionales o investigación de redes criminales. En esos casos, el plazo de 30 días podría resultar particularmente limitado.

A esto se suma el papel asignado a la Sugef. El propio regulador ha advertido de que esta función podría resultar incompatible con su mandato institucional, centrado en la supervisión prudencial del sistema financiero y no en la resolución de controversias entre clientes y entidades. Además, no cuenta con una unidad especializada para analizar estos casos ni se le asignan recursos adicionales en la ley. Existe, por tanto, el riesgo de que la Superintendencia se convierta en el nuevo cuello de botella del procedimiento.

La Asociación Bancaria Costarricense ha criticado la norma señalando que no aborda estructuralmente el problema del crimen organizado detrás de muchas de estas estafas. El señalamiento tiene algo de razón. Las estadísticas muestran que entre enero y abril de 2025 se registraron 7.272 denuncias por delitos informáticos, pero menos de una por cada mil termina en una sentencia condenatoria. Pero el objetivo de esta ley no es desmantelar redes criminales.

Es cierto que la solución integral del fenómeno requiere políticas de persecución penal más eficaces, educación digital para los usuarios y una cooperación mucho más estrecha entre bancos, autoridades regulatorias y cuerpos de investigación. También las entidades bancarias deben generar capacidades de inteligencia que permitan detectar la infiltración de estas bandas criminales dentro de sus propias estructuras.

Al final, la discusión de fondo no es si los bancos deben responder por los fraudes electrónicos. Esa cuestión estaba en gran medida resuelta desde hace años. La verdadera interrogante es si el procedimiento creado por la nueva ley será capaz de funcionar en la práctica sin generar nuevos cuellos de botella institucionales en perjuicio de las víctimas.