Protección contra Estafas Bancarias en Costa Rica (Ley N° 10889)

En el contexto de la creciente digitalización de los servicios financieros y el alarmante incremento de fraudes electrónicos, la Ley N.º 10889 se erige como una respuesta normativa esencial para reforzar la protección de los consumidores en la custodia de sus recursos. Al incorporarse al ordenamiento jurídico costarricense mediante la reforma del artículo 35 de la Ley 7472, la norma consolida el principio de responsabilidad objetiva en materia de servicios financieros, alineándose con la política de defensa efectiva del consumidor. Su promulgación refleja la voluntad del Poder Legislativo de actualizar la regulación frente a los desafíos que plantea la ciberseguridad en el sector bancario.

La legislación aborda, entre otros aspectos, la definición y alcance de las entidades financieras sujetas a supervisión, estableciendo que todas las instituciones reguladas por la Ley 7558 quedan comprendidas en su ámbito de aplicación. Asimismo, regula el procedimiento que deben seguir los usuarios que denuncien operaciones no autorizadas, fijando plazos estrictos para la presentación de reclamos y la respuesta de las instituciones. La norma también contempla la obligación de las entidades de mantener controles preventivos, detectivos y correctivos, bajo la supervisión de la Superintendencia General de Entidades Financieras.

Protección contra Estafas Bancarias en Costa Rica (Ley N° 10889)

Descargar PDF

Bufete de Costa Rica

Entre los elementos fundamentales de la Ley N.º 10889 destaca la imposición de responsabilidad concurrente e independiente de culpa a los bancos y demás instituciones financieras por la sustracción de fondos o la custodia inadecuada, salvo que se acredite alguna eximente prevista en la legislación. La disposición obliga a las entidades a demostrar la existencia de mecanismos de seguridad cibernética y a presentar evidencia de que sus sistemas informáticos no han sido vulnerados, todo ello dentro de un plazo de treinta días, prorrogable una sola vez. Además, la normativa establece la necesidad de que los usuarios acompañen sus reclamos con la denuncia correspondiente ante el Organismo de Investigación Judicial, garantizando así la trazabilidad del proceso.

Para los profesionales del derecho y la ciudadanía, la Ley N.º 10889 constituye una herramienta clave que refuerza la confianza en el sistema financiero y brinda un marco claro para la defensa de los derechos de los consumidores. Los abogados deben asesorar a sus clientes sobre los requisitos de presentación de reclamos, los plazos y la documentación necesaria, así como sobre las posibles eximentes de responsabilidad. Por su parte, los usuarios adquieren una mayor certeza de que, en caso de fraude, podrán contar con mecanismos efectivos y tiempos definidos para la reparación de los daños ocasionados.

Ver Protección contra Estafas Bancarias en Costa Rica (Ley N° 10889) en PDF

Leer Protección contra Estafas Bancarias en Costa Rica (Ley N° 10889)

N° 10889

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

PROTECCIÓN A LAS PERSONAS CONSUMIDORAS EN LA CUSTODIA DE SU DINERO QUE ADMINISTRA CUALQUIER ENTIDAD FINANCIERA EN COSTA RICA, YA SEA PÚBLICA O PRIVADA, AUTORIZADA PARA ESTE FIN (Protección Contra Estafas Bancarias)

ARTÍCULO 1

Se reforma el artículo 35 de la Ley 7472, Promoción de la Competencia y Defensa Efectiva del Consumidor, de 20 de diciembre de 1994. El texto es el siguiente:

Artículo 35 Régimen de responsabilidad-

El productor, el proveedor y el comerciante deben responder concurrente e independientemente de la existencia de culpa, si el consumidor resulta perjudicado por razón del bien o el servicio, de informaciones inadecuadas o insuficientes sobre ellos, o de su utilización y riesgos. Solo se libera quien demuestre que ha sido ajeno al daño.

Los representantes legales de los establecimientos mercantiles o, en su caso, los encargados del negocio son responsables por los actos o los hechos propios o por los de sus dependientes o auxiliares. Los técnicos, los encargados de la elaboración y el control responden solidariamente, cuando así corresponda, por las violaciones a esta ley en perjuicio del consumidor.

Las entidades financieras, fiscalizadas de acuerdo con la Ley 7558, Ley Orgánica del Banco Central de Costa Rica, de 3 de noviembre de 1995, ya sean públicas o privadas, que en el ejercicio de su actividad de intermediación financiera ofrezcan servicios financieros a las personas consumidoras, responderán, independientemente de la existencia de culpa, por los daños y perjuicios ocasionados por la sustracción de dinero o del patrimonio de las cuentas o la inadecuada custodia de sus fondos, cuando estas acciones provengan de un tercero ilegítimo que no se encuentre autorizado por el titular de la cuenta, independientemente del mecanismo utilizado para la sustracción. Las entidades financieras supervisadas no serán responsables, cuando se configure alguna eximente dispuesta en la legislación.

ARTÍCULO 2

Para la presente ley todas las entidades financieras se entenderán como aquellas supervisadas, así definidas en la Ley 7558, Ley Orgánica del Banco Central de Costa Rica, de 3 de noviembre de 1995.

ARTÍCULO 3

En los casos en que el usuario financiero rechace haber autorizado una operación en la que ha sido víctima de estafa, fraudes electrónicos y rebajos no autorizados, o que denuncie que su cuenta ha sido utilizada por terceros para realizar estas acciones en perjuicio de terceros, podrá presentar su reclamo ante las entidades financieras, en el plazo máximo de treinta días naturales, posteriores a la comisión de los hechos; para ello debe seguirse el siguiente procedimiento.

Este reclamo deberá realizarse mediante un formulario sencillo que tendrá a disposición la entidad financiera, que permita, a la persona usuaria, exponer con claridad los hechos sucedidos y deberá acompañarse de una copia de la denuncia interpuesta ante el Organismo de Investigación Judicial (OIJ).

Las entidades financieras contarán con un plazo máximo de treinta días naturales, contado a partir del momento en que la persona afectada presente el reclamo, para investigar los hechos y resolver si el reclamo procede o no. Este plazo podrá ampliarse, por una única vez, hasta por diez días hábiles adicionales, lo cual deberá ser comunicado a la persona usuaria tres días antes del vencimiento del plazo original.

a) La investigación interna que realicen las entidades financieras deberá demostrar a la persona usuaria lo siguiente:

a.1) Que la entidad financiera cumple con la normativa que exige el mantenimiento de controles preventivos, detectivos y correctivos, para proteger las cuentas y la información de los usuarios financieros, según las disposiciones establecidas por la Superintendencia General de Entidades Financieras (Sugef). Para dichos efectos, la Sugef tendrá la obligación de disponer de indicadores para medir, de forma recurrente, la eficacia y eficiencia de las entidades supervisadas en temas de seguridad cibernética y que la entidad financiera gestiona aplicaciones.

a.2) Que los sistemas informáticos de la entidad financiera no fueron ni han sido vulnerados, tomando en consideración aspectos mínimos de control para prevenir y mitigar la ocurrencia de estafas informáticas en contra de los usuarios financieros, como los siguientes:

1- Patrones transaccionales de los usuarios financieros, preferencias en cuanto a días o fechas de sus operaciones, destinatarios frecuentes de envíos de fondos, monto y tipo de transacciones realizadas habitualmente (transferencias, pagos, retiros, entre otros), así como otros aspectos relevantes para definir su comportamiento y detectar posibles actividades atípicas.

2- Dispositivos electrónicos utilizados habitualmente por el usuario financiero para acceso a los canales digitales, considerar elementos como el historial de dispositivos electrónicos utilizados, sistema operativo y horarios habituales de uso.

3- Variables del dispositivo electrónico utilizado como: user agent, sistema operativo del dispositivo, idioma, entre otros.

4- Navegadores utilizados habitualmente.

5- Verificación de las formas de autenticación utilizadas habitualmente por el usuario financiero.

6- Redes de conexión, canales digitales utilizados, comportamiento de uso de los dispositivos electrónicos tales como: la forma de teclear del usuario financiero, movimiento del mouse, entre otros.

7- Uso de un dispositivo electrónico para acceder a diferentes cuentas, productos o servicios que pertenecen a diferentes usuarios financieros de la entidad financiera, a fin de analizar si se trata de actividades sospechosas.

8- Uso de un dispositivo electrónico que haya sido utilizado anteriormente para cometer estafas electrónicas.

9- Las entidades financieras deben incorporar parámetros para aprobar o denegar transacciones.

10- En caso de que identifiquen la ocurrencia de transacciones atípicas, deberán requerir a los usuarios financieros, previo a hacerlas efectivas, una confirmación que asegure la autenticidad de estos.

11- Cualquier otro aspecto dispuesto por la Sugef, que supere los indicados anteriormente.

Habiendo comprobado el cumplimiento de los requerimientos mencionados anteriormente, las entidades financieras procederán con el análisis del comportamiento de la persona usuaria en los hechos investigados.

b) Las entidades financieras podrán rechazar el reclamo, en caso de que cuente con elementos probatorios propios y específicos para cada una de las denuncias analizadas que permita determinar fehacientemente:

1- Cuando haya existido autofraude, entendido como la acción intencional realizada por una persona con el fin de inducir error a una entidad financiera, con el propósito de obtener un beneficio.

2- Cuando haya existido dolo, entendido como toda conducta deliberada de una persona orientada a cometer un acto ilícito, con pleno conocimiento de su ilegalidad.

3- Cuando la transferencia haya sido entre cuentas del mismo titular.

Las entidades financieras deberán comunicar la resolución denegatoria a la persona usuaria, en la que consten las evidencias e incidentes de seguridad (análisis forense o bitácora elaborado bajo los parámetros señalados por la Sugef), del cual se deberá enviar copia al OIJ y a la Sugef, para que esta última instancia, mediante acto razonado en un plazo de diez días hábiles, una vez recibido este informe, valide si la decisión se encuentra ajustada y respaldada en las pruebas aportadas por las entidades financieras.

En caso de que la Sugef no ratifique la decisión de la entidad financiera, estos deberán proceder con la restitución de los fondos, en un plazo máximo de diez días hábiles y/o la reapertura de la cuenta, sin perjuicio de la posibilidad de las entidades financieras de presentar una acción judicial para que se declare que el pago era improcedente. Por el contrario, en caso de que la Sugef confirme la improcedencia del reclamo, el usuario financiero afectado podrá elevar su reclamación contra la entidad financiera, ante las instancias judiciales competentes.

Por último, en la situación en que las entidades financieras determinen, mediante el procedimiento indicado en este artículo, que el reclamo es procedente, acreditará los fondos en la cuenta de la persona que presentó la reclamación, en un plazo máximo de diez días naturales, una vez comunicada la resolución a la persona usuaria y/o procediendo a la reapertura de la cuenta, cuando corresponda. Asimismo, la entidad financiera deberá eliminar, en este mismo acto, cualquier cobro de intereses o cargos aplicados a la persona usuaria, como consecuencia de la estafa sufrida, y resarcirle los montos ya rebajados por ese concepto junto con los intereses correspondientes.

En aquellos casos en que las transacciones no autorizadas por la persona usuaria ocurran con posterioridad al reclamo presentado ante la entidad financiera, esta será responsable de dichas transacciones y de sus consecuencias económicas.

ARTÍCULO 4

Las entidades financieras deberán poner, a disposición de sus personas usuarias, un servicio de fácil ubicación y acceso donde se recibirá el reclamo. Dicho servicio deberá estar a disposición en cada una de las agencias donde se brinden los productos y servicios financieros.

Sin que su uso sea obligatorio para la persona usuaria, las entidades financieras deberán garantizar a las personas usuarias, durante los trescientos sesenta y cinco días del año y las veinticuatro horas del día, canales telefónicos, medios tecnológicos y mecanismos de autogestión, que permitan realizar y registrar el reclamo.

Estos canales deberán cumplir con los estándares de seguridad y funcionamiento definidos por la Sugef, asegurando la posibilidad de efectuar bloqueos temporales de sus productos y servicios financieros de forma expedita, así como mantener registros verificables del momento y medio en que se efectuó el aviso. La persona usuaria podrá utilizar, a su elección, estos medios o acudir a las oficinas de la entidad bancaria para ser atendida.

Al momento de recibir el reclamo, la entidad financiera estará obligada a:

a) Entregar de inmediato, a la persona usuaria, un número o código de recepción para su seguimiento, el cual deberá incluir la fecha y la hora en que dicho reclamo fue recibido.

b) Proceder al bloqueo inmediato del producto o servicio financiero respecto de su funcionalidad para realizar transacciones electrónicas y ofrecer a la persona usuaria una alternativa contingente para que pueda realizar sus operaciones.

c) Remitir a la persona usuaria, en el plazo más breve posible y por el medio previamente acordado o registrado ante la entidad financiera, una comunicación que confirme el bloqueo e indique el número o código de recepción.

ARTÍCULO 5

Cuando las entidades financieras resuelvan el reclamo en forma extemporánea, el usuario financiero afectado será acreedor a una compensación equivalente a un salario base fijado por la Ley 7337, de 5 de mayo de 1993, que crea concepto salario base para delitos especiales del Código Penal, la cual deberá ser acreditada en la cuenta del titular en un plazo máximo de diez días naturales, a partir del incumplimiento por parte de la entidad financiera. Lo anterior sin perjuicio de la procedencia o no de su reclamo principal.

Si transcurren ciento veinte días naturales desde que se presentó el reclamo ante la entidad financiera, sin que esta resuelva el reclamo, le precluirá la posibilidad de resolver sobre su procedencia y deberá proceder con la restitución de los fondos en un plazo máximo de diez días naturales, sin perjuicio de la posibilidad de presentar una acción judicial para reclamar el monto entregado.

ARTÍCULO 6

Se adiciona el inciso 3) al artículo 298 de la Ley 6227, Ley General de la Administración Pública, de 2 de mayo de 1978. El texto es el siguiente:

Artículo 298.-

(…)

b) En los casos relacionados con la defensa al consumidor, ambiente, fraudes electrónicos personales o de cualquier tipo de entidad financiera, tanto a nivel administrativo como judicial, regirá la inversión de la carga de la prueba en favor de las personas consumidoras afectadas.

ARTÍCULO 7

Se adiciona un inciso 3 al artículo 41.1 de la Ley 9342, Código Procesal Civil, de 3 de febrero de 2016. El texto es el siguiente:

Artículo 41 1 Carga de la prueba

Incumbe la carga de la prueba:

(…)

3- En los casos relacionados con la defensa al consumidor, ambiente, fraudes electrónicos personales o de cualquier tipo de entidad financiera, tanto a nivel administrativo como judicial, regirá la inversión de la carga de la prueba en favor de las personas consumidoras afectadas.

Para la aplicación de lo dispuesto en los incisos anteriores de este artículo, se deberá tener presente la disponibilidad y facilidad probatoria que corresponde a cada una de las partes, de acuerdo con la naturaleza de lo debatido.

Las normas precedentes se aplicarán siempre que una disposición legal expresa no distribuya con criterios especiales la carga de la prueba.

ARTÍCULO 8

Las entidades financieras deberán reportar, a la Superintendencia General de Entidades Financieras (Sugef) y al Organismo de Investigación Judicial (OIJ), mediante protocolos seguros y conforme a la normativa de protección de datos personales, las cuentas y los nombres de sus titulares, cuando exista una resolución judicial firme que determine que dichas cuentas fueron utilizadas para recibir fondos provenientes de fraudes electrónicos.

La Sugef, a su vez, comunicará esta información a las entidades supervisadas, utilizando el mecanismo que considere oportuno, exclusivamente para fines regulatorios y de supervisión prudencial, y bajo estricto resguardo de la confidencialidad.

El Banco Central de Costa Rica (BCCR) deberá crear mecanismos robustos de seguridad informática, para prevenir fraudes facilitados o cometidos a través de sus plataformas de pagos y deberá colaborar con las entidades del sistema financiero en la prevención, investigación y lucha contra este tipo de delitos.

ARTÍCULO 9

Quien, con el propósito de obtener un beneficio económico para sí o para un tercero, engañe a una entidad financiera, simulando una situación de fraude u ocultando su involucramiento o consentimiento en una situación de aparente fraude o intento de fraude bancario o financiero, será sancionado de la siguiente forma:

a) Con prisión de dos meses a tres años, si el monto de lo defraudado no excediera de diez veces el salario base.

b) Con prisión de seis meses a diez años, si el monto de lo defraudado excediera de diez veces el salario base.

Para efectos de salario base, se tendrá como referencia el así determinado por la Ley 7337, de 5 de mayo de 1993, que crea el concepto salario base para delitos especiales del Código Penal.

ARTÍCULO 10

La Superintendencia General de Entidades Financieras (Sugef) estará obligada a emitir una normativa para prevenir, reducir y procurar erradicar las estafas informáticas en contra de las personas usuarias financieras, que debe ser de acatamiento obligatorio para las entidades financieras que operan en el país.

Dicha normativa debe actualizarse al menos una vez al año, debido a la evolución acelerada de los riesgos y de la dinámica del consumo financiero electrónico. El objetivo de esta actualización es garantizar la incorporación de los mejores estándares y prácticas internacionales de la OCDE o cualquier otra instancia internacional con estándares iguales o superiores en materia de seguridad, dirigidas a prevenir, reducir y procurar erradicar las estafas informáticas en contra de los usuarios financieros.

Cada vez que se realice la actualización de esta normativa, la Sugef deberá publicarla en sus plataformas digitales (sitio web y redes sociales) y remitirla oficialmente a las entidades financieras, para su acatamiento obligatorio. Dichas publicaciones deberán presentar al inicio un resumen visual, que permita a la ciudadanía constatar las mejoras introducidas respecto de las versiones anteriores.

ARTÍCULO 11

Las entidades financieras tienen la obligación de elaborar e implementar un protocolo de emergencia y atención, que debe ser de conocimiento y aplicación inmediata por parte de todo su personal, cuando una persona se apersone a sus instalaciones o, por otro medio, y comunique que ha sido víctima de estafa o está en proceso de ser estafado.

Dicho protocolo deberá ser previamente autorizado por la Sugef, instancia que debe garantizar un constante asesoramiento a las entidades financieras y bancarias para que el protocolo en mención esté alineado con las mejores prácticas de protección al consumidor financiero, así como de atención a víctimas de estos delitos, establecidas por la OCDE, o cualquier otra instancia internacional que tenga estándares iguales o superiores en el campo de atención a víctimas de estafas bancarias.

Las entidades financieras deben capacitar regularmente a su personal, para que puedan aplicar con solvencia y agilidad este protocolo.

Este protocolo debe ser actualizado al menos una vez al año y publicarse en las plataformas digitales de la Sugef (página web y redes sociales), así como remitirse oficialmente, para su acatamiento obligatorio, a las entidades financieras. Dichas publicaciones deberán presentar, al inicio, un resumen visual que permita a la ciudadanía constatar las mejoras introducidas respecto de las versiones anteriores.

ARTÍCULO 12

Las entidades financieras deberán proporcionar, de manera periódica, clara, accesible y actualizada, toda información necesaria sobre las medidas de seguridad y las instrucciones de uso seguro a sus usuarios, promoviendo las prácticas responsables en el manejo de los medios de pago.

ARTÍCULO 13

Las entidades financieras deberán establecer criterios en sus políticas internas, ajustadas a la normativa de la Sugef, que le permita reconocer al cliente la suma sustraída, independientemente del análisis de las particularidades del caso, cuando el monto sea inferior al definido en dichas políticas, a partir de un análisis de costo-beneficio.

ARTÍCULO 14

En caso de que las entidades financieras omitan las obligaciones establecidas en la presente ley, enfrentarán un procedimiento sancionatorio por parte de la Sugef, de conformidad con el artículo 155 de Ley 7558, Ley Orgánica del Banco Central de Costa Rica, de 3 de noviembre de 1995, Sección IV, sobre "Procedimiento, infracciones, sanciones y actos ilícitos en la actividad financiera".

ARTÍCULO 15

La persona usuaria financiera afectada podrá acudir a la vía administrativa o vía judicial que corresponda, en cualquier momento que lo estime conveniente.

DISPOSICIONES TRANSITORIAS

TRANSITORIO I

En el plazo de seis meses calendario como máximo, contado a partir de la vigencia de esta ley, la Sugef debe realizar la primera actualización indicada en el artículo 8 de la presente ley.

TRANSITORIO II

En el plazo de seis meses como máximo, contado a partir de la vigencia de esta ley, las entidades financieras deberán elaborar y poner en operación el protocolo para la atención inmediata de las víctimas de estafas bancarias, bajo los criterios establecidos en el artículo 9 de la presente ley.

TRANSITORIO III

Las entidades financieras deberán resolver todas las reclamaciones administrativas que, a la fecha de entrada en vigencia de esta ley, se encuentren pendientes de resolución. Dicha revisión deberá realizarse conforme a los procedimientos y plazos establecidos en la presente ley.

Rige a partir de su publicación.