EscucharLa inconformidad de un grupo de víctimas de estafas bancarias por la vía electrónica o Internet es uno de los factores que llevó a la aprobación del proyecto de ley 23.908 en la Asamblea Legislativa. Este texto promete indemnizar a los afectados de estos delitos.
La votación de los diputados fue el pasado 4 de marzo de este 2026 en el segundo debate de la Comisión Plena III.
El texto llegará a manos del Poder Ejecutivo, que deberá decidir si lo veta o le da el visto bueno para su entrada en vigencia.
El camino para que ese proyecto llegue a ser ley vigente no está libre de obstáculos, pues varios bancos públicos, asociaciones y hasta instituciones estatales no dudaron en señalar sus potenciales riesgos y alertar sobre acciones para su freno.
La propuesta lleva por nombre Ley de Protección a las Personas Consumidoras en la Custodia de su Dinero que Administra Cualquier Entidad Financiera en Costa Rica, y fue presentada en 2023 por el diputado Óscar Izquierdo, del Partido Liberación Nacional (PLN).
La Asociación Víctimas de Estafa ha sido uno de los principales impulsores del proyecto. En una entrevista con este medio en mayo del año pasado, cuando los cuestionamientos al documento se fortalecieron, la representante del grupo, Carmen Rojas, argumentó que el protocolo aplicado por los bancos es ineficiente y termina por “castigar” a los afectados.
En la práctica, afirmó que los bancos obligan a los estafados a denunciar primero en el Organismo de Investigación Judicial (OIJ), “lo que demora la atención y casi nunca lleva a la recuperación del dinero”.
Según las cifras de esta entidad, al corte de agosto de 2025, se contabilizaban 11.620 denuncias por estafas informáticas, rozando el total de 2024, de 12.109, por lo que el año pasado podría haber cerrado con un número similar o incluso más elevado.
Ahora, si analizamos los datos anteriores, los casos casi se duplicaron en cuestión de doce meses, pues en 2023 se registraron 6.652 denuncias.
Además, el delito tipificado como estafa informática es el más frecuente de los últimos cinco años. De hecho, el año pasado representó 8.602 casos de los 11.620 totales; es decir, el 74%.
Promesas del proyecto
La iniciativa plantea un giro en la forma en que se atienden las estafas electrónicas.
El texto propone reformar la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor para establecer un régimen de responsabilidad objetiva y solidaria para las entidades financieras que administren dinero de terceros.
En términos prácticos, esto implicaría que los bancos públicos y privados deberán responder e indemnizar al cliente cuando se produzca una sustracción de fondos no autorizada, sin que la víctima tenga que demostrar una falla específica en los sistemas de seguridad.
Además, contempla invertir la carga de la prueba. Es decir, ya no recaería en el usuario la obligación de costear peritajes técnicos para acreditar que fue víctima de un fraude, sino que correspondería a la entidad financiera demostrar qué ocurrió con el dinero y si existió o no autorización válida para la transacción.
Para Mauricio París, abogado socio de la firma Ecija, la novedad no es la responsabilidad en sí misma, sino la creación de un procedimiento formal y expedito para tramitar reclamos ante fraudes electrónicos.
Aunque la responsabilidad objetiva ya existía en el ordenamiento jurídico costarricense, respaldada por años de jurisprudencia bajo la teoría del riesgo creado, ahora se establece expresamente que los bancos deberán responder por la sustracción de fondos cuando las transacciones provengan de terceros no autorizados.
En la práctica, esto implica que la propia entidad deberá demostrar que adoptó medidas adecuadas de seguridad y que el fraude no obedeció a fallas en sus sistemas.
El cliente deberá presentar su gestión en un plazo de 30 días y el banco tendrá otros 30, prorrogables por diez hábiles adicionales, para investigar elementos técnicos como patrones de uso, dispositivos y mecanismos de autenticación.
Además, cuando la entidad rechace un reclamo, deberá remitirse a la Superintendencia General de Entidades Financieras (Sugef), que contará con diez días hábiles para validar la fundamentación técnica de la decisión.
“Su implementación planteará desafíos regulatorios y operativos que deberán resolverse en los próximos meses si es que se pretende que realmente funcione”, comentó París.
Durante el trámite legislativo también se han discutido los límites de la responsabilidad ante los ataques cibernéticos.
La abogada Adriana Rojas, quien ha dado seguimiento técnico al proyecto, explicó que la Asociación Bancaria Costarricense (ABC) propuso incorporar varias causales que liberarían de responsabilidad a las entidades financieras.
Entre ellas se incluían el dolo del cliente, el autofraude, transferencias entre cuentas del mismo titular y la llamada “culpa grave” del usuario. Esta última figura se vinculaba a situaciones en las que la persona entrega información confidencial bajo engaño, por ejemplo, mediante llamadas con suplantación de identidad o técnicas de ingeniería social.
Al final, el texto aprobado solo incorporó como eximentes el dolo y el autofraude, lo que deja fuera la culpa grave.
En términos prácticos, “esto significa que el hecho de que el cliente haya suministrado datos bajo manipulación no excluye automáticamente la obligación de analizar la responsabilidad de la entidad dentro del procedimiento”.
Las advertencias de Sugef
La Sugef advirtió durante el trámite legislativo que el proyecto presenta “defectos graves” de diseño que podrían dificultar su ejecución práctica, por lo que solicitó suspender su avance, enviarlo a consulta facultativa ante la Sala Constitucional y corregir inconsistencias de fondo.
Entre los principales riesgos identificados, señaló que el proyecto pretende que la Superintendencia “valide”, en plazos reducidos, casos complejos con base en expedientes elaborados por las propias entidades financieras sin establecer un procedimiento claro que garantice el contraste adecuado de posiciones y prueba. Esto, advirtió, podría trasladar las disputas a la vía judicial, generando demoras y mayores costos.
También indicó que la iniciativa desnaturaliza su rol como supervisor prudencial, al asignarle funciones propias de un tribunal en controversias patrimoniales individuales.
“Bajo la propuesta actual, una ratificación administrativa por parte de la Sugef puede inclinar el curso del caso desde una etapa temprana y aumentar la desigualdad real entre las partes, considerando las diferencias de capacidad técnica y recursos para sostener un proceso”, añadió.
Finalmente, señaló que el texto contraviene el marco institucional vigente al atribuirle competencias regulatorias que corresponden al Consejo Nacional de Supervisión del Sistema Financiero (Conassif) y funciones propias de instancias judiciales.
Secuelas en el sector bancario
Las opiniones contrarias alrededor de la propuesta legislativa escalaron cuando, tras el primer debate en el Plenario, la Asociación Bancaria Costarricense (ABC) divulgó una posición en la que su asesor financiero y vocero, Rodrigo Cubero, señaló que el texto representaba un avance hacia un principio de responsabilidad “balanceada y justa”.
Esa valoración fue interpretada por los bancos públicos como una postura complaciente frente a un proyecto que, según su criterio, contiene riesgos estructurales. Horas después, el Banco de Costa Rica (BCR), el Banco Nacional de Costa Rica (BNCR) y el Banco Popular y de Desarrollo Comunal (BPDC) anunciaron su renuncia a la ABC, alegando un quiebre de confianza.
LEA MÁS: ABC se queda sin tres de sus socios principales argumentando quiebre de confianza
No obstante, tras la aprobación en segundo debate, tanto la ABC como la Cámara de Bancos se pronunciaron posteriormente con un discurso que rechaza el texto.
La Cámara sostuvo que el proyecto no enfrenta de manera integral al crimen organizado detrás de las estafas electrónicas y advirtió que podría generar efectos sistémicos no previstos.
Según el gremio, trasladar de forma amplia o automática la responsabilidad económica hacia las entidades financieras no desarticula las estructuras criminales que ejecutan los fraudes y, en cambio, podría presionar los costos del sistema.
“Estos efectos eventualmente podrían traducirse en mayores costos operativos, mayores provisiones de riesgo y condiciones más restrictivas para el acceso al crédito, con impactos particularmente sensibles para hogares, emprendedores, pymes y empresas”, determinó.
Por su parte, la ABC reiteró sus observaciones de “graves errores” en el proyecto al considerar que introduce elementos que generan inseguridad jurídica y desequilibrios en la asignación de responsabilidades.
La Asociación advirtió que en el debate público se ha creado la percepción de que existirá una indemnización automática en todos los casos de fraude, cuando el proyecto establece un procedimiento específico: cada reclamo deberá ser investigado por la entidad financiera, cuya resolución será revisada por la Sugef y, eventualmente, podrá escalar a la vía judicial si persiste el desacuerdo.
Asimismo, recordó que el texto contempla escenarios en los que no habría obligación de restitución, como en casos de autofraude, dolo del usuario, transferencias entre cuentas del mismo titular o cuando la Sugef valide el análisis realizado por la entidad.
También aclaró que la norma se limita a operaciones vinculadas con cuentas bancarias y no cubre transacciones realizadas mediante tarjetas de crédito.
Posible impacto económico
El economista Malberth Cerdas, docente de la Universidad Fidélitas, coincidió en que la nueva normativa responde a una preocupación por proteger a los usuarios frente al aumento de los fraudes electrónicos, pero también conlleva implicaciones económicas que deben analizarse, similares a las advertidas por la Cámara de Bancos.
Según explicó, al obligar a las entidades financieras a responder por el dinero sustraído de las cuentas mediante estafas digitales y trasladarles la carga de la prueba en los reclamos, amplía su nivel de responsabilidad y podría incrementar los costos operativos.
“Toda regulación que introduce nuevas responsabilidades también introduce nuevos costos, que suelen trasladarse al mercado...si los bancos pasan a asumirla en pérdidas ocasionadas por hackers, suplantaciones de identidad o engaños tecnológicos, de cierta forma empiezan a parecerse más a aseguradoras de fraude digital que a simples intermediarios financieros”, comentó.
En respuesta, las entidades invertirían más en sistemas de ciberseguridad, aumentarían reservas para eventuales reclamaciones y contratarían seguros contra fraude electrónico.
Esas acciones podrían reflejarse en tasas de interés más altas, mayores comisiones o condiciones de crédito más estrictas para los usuarios.
Sobre esto, la Cámara de Bancos mostró preocupación sobre otro aspecto que consideran podría ocurrir: el riesgo a la inclusión financiera.
“Cuando el acceso al sistema financiero formal se encarece o se restringe, algunas personas pueden verse empujadas hacia mecanismos informales de financiamiento, donde no existen garantías, supervisión ni protección al consumidor”, determinó.
Defensoría respalda la iniciativa
No todos los pronunciamientos se muestran en contra de la aprobación del proyecto.
Por medio de un comunicado emitido el 5 de marzo, la Defensoría de los Habitantes expresó una posición favorable al considerar que representa “un importante avance para garantizar la defensa efectiva de los derechos de los consumidores financieros”.
La institución señaló que la normativa no introduce obligaciones completamente nuevas para las entidades financieras, sino que se fundamenta en estándares técnicos que ya forman parte del marco regulatorio vigente.
Entre ellos destaca la exigencia de sistemas tecnológicos capaces de analizar patrones de uso y perfiles de los clientes con el fin de detectar operaciones atípicas y prevenir fraudes.
Además, recordó que, conforme a principios internacionales sobre empresas y derechos humanos promovidos por la Organización de las Naciones Unidas (ONU), las instituciones financieras tienen la responsabilidad de prevenir impactos negativos en los derechos de las personas y establecer mecanismos efectivos de reparación cuando ocurren afectaciones.
