¿Quién debe pagar por las estafas bancarias?

Las estafas y los hurtos informáticos contra clientes bancarios han venido en aumento en Costa Rica y en el mundo. Como consecuencia de los artificios por parte de delincuentes, una persona puede perder en minutos los ahorros de toda una vida. Se trata de un problema muy real, que exige soluciones efectivas.

El Proyecto de Ley 23.908, que se tramita en la Comisión Plena Tercera de la Asamblea Legislativa, propone que las entidades financieras asuman, en principio, el pago de los montos sustraídos. Es lo que en Derecho se conoce como responsabilidad objetiva; es decir, las entidades financieras deben responder, aunque no tengan culpa directa. El texto actual, dictaminado por la Comisión de Asuntos Jurídicos, reconoce algunos límites y excepciones a esa responsabilidad objetiva. Y es muy importante que cualquier texto sustitutivo así lo haga y sea equilibrado, pues, de lo contrario, la ley podría tener consecuencias negativas para la economía nacional y para los mismos usuarios a quienes busca proteger. Veamos.

Según informa Yorkssan Carvajal, jefe de la Sección de Fraudes del Organismo de Investigación Judicial (OIJ), en el caso de Costa Rica, la totalidad de las denuncias por fraudes electrónicos surgen no de vulneraciones a los sistemas bancarios, sino del engaño a los usuarios por parte de delincuentes, normalmente células de crimen organizado cada vez más sofisticadas en sus ardides.

Esos engaños (la llamada “ingeniería social”) se han dado a pesar de que las entidades financieras han implementado mecanismos cada vez más firmes para resguardar la autentificación de sus clientes (requerimiento de doble autentificación, claves dinámicas, límites de monto en las transacciones, monitoreo transaccional, notificaciones al cliente, bloqueos, entre otros).

Es decir, establecer la responsabilidad objetiva de los bancos por estafas electrónicas, sin limitaciones que aseguren un sano equilibrio, sería contrario a los hechos y a principios elementales de justicia, pues no es la negligencia o el descuido de los bancos lo que está causando las estafas. Pero, además, una responsabilidad objetiva sin limitaciones tendría consecuencias perjudiciales para el país.

En primer lugar, se incentivarían las estafas simuladas (o autofraudes) y el descuido (negligencia) por parte de algunos clientes en el manejo de sus credenciales, todo lo cual llevaría a un aumento de las estafas y de la criminalidad. Esto es precisamente lo que ocurrió en Chile, país en el que una ley de responsabilidad objetiva, introducida en el 2020, llevó a un aumento exponencial en las estafas informáticas, que el regulador financiero en Chile atribuyó a los incentivos perversos (“riesgo moral”) creados por esa ley. Ello forzó al Congreso chileno a aprobar una reforma, en 2024, para introducir claras limitaciones a la responsabilidad objetiva de las entidades financieras.

En segundo lugar, y como consecuencia de lo anterior, una responsabilidad objetiva de los bancos sin excepciones llevaría a un aumento significativo de los costos de operación del sistema financiero, que se trasladarían a todos los usuarios financieros en la forma de mayores tasas de interés para los deudores y menores rendimientos para los ahorrantes, con un impacto negativo sobre el ahorro, la inversión, el crecimiento económico y el bienestar general. Es decir, el aparente alivio para la víctima derivaría en un perjuicio colectivo.

Finalmente, una propuesta desequilibrada de responsabilidad objetiva podría llevar a restricciones de acceso a productos digitales y, eventualmente, al cierre de cuentas a ciertos clientes. Es decir, a exclusión financiera, un resultado que ya el país ha vivido, con mucho dolor, como consecuencia de la llamada “ley de usura”, y a pesar de las muchas advertencias de los efectos de exclusión que esa ley iba a generar.

Costa Rica no debe cometer estos errores. La legislación en materia de responsabilidad por estafas electrónicas debe introducir claras excepciones al principio de responsabilidad objetiva, entre ellas el dolo (participación intencional del usuario en el fraude) y la culpa grave (descuido evidente del usuario en el manejo de sus claves), así como presunciones de dolo (como lo hace la reforma chilena del 2024). También debe establecerse un procedimiento expedito para que la entidad financiera investigue los hechos. Solo así se asegura un balance justo entre derechos y deberes en el uso de los sistemas financieros.

Es importante, además, que el país avance en otros tres frentes. Primero, los bancos deben seguir trabajando en reforzar en forma constante sus sistemas de seguridad. Segundo, se deben profundizar los esfuerzos de educación financiera y digital de la población, para enseñarle a reconocer señales de alerta, a entender cómo operan los estafadores y a proteger su información sensible. Tercero, y más importante, se necesita una acción firme del Estado, en conjunto con reguladores, entidades y ciudadanos, para detectar y castigar al verdadero enemigo: el crimen organizado, y exigirle la devolución de los fondos robados.

Son ellos, los delincuentes, los que deberían reintegrar los ahorros a las víctimas. Cargar a las entidades financieras con una responsabilidad amplia y desequilibrada llevaría a mayores costos para los usuarios del sistema financiero, menor acceso a los servicios y un impacto negativo en el bienestar de aquellos a quienes supuestamente se busca defender. Como siempre en política pública, la legislación en esta materia debe ponderar con cuidado sus posibles consecuencias, sobre todo las no deseadas.

Rodrigo Cubero Brealey es expresidente del Banco Central de Costa Rica.