Protección contra Estafas Bancarias en Costa Rica (Ley N° 10889)

Q: ¿Qué protección concreta da la Ley 10889 al cliente bancario víctima de phishing o fraude electrónico en Costa Rica?

La Ley 10889 reformó el artículo 35 de la Ley 7472 de Defensa del Consumidor para establecer un régimen de responsabilidad objetiva a cargo de las entidades financieras supervisadas por la SUGEF. Esto significa que el banco responde por la sustracción de dinero o la inadecuada custodia de fondos independientemente de la existencia de culpa, cuando la operación fue realizada por un tercero ilegítimo no autorizado por el titular, sin importar el mecanismo utilizado (phishing, vishing, smishing, SIM swapping, malware o ingeniería social).El banco solo se libera si demuestra una eximente legal: autofraude del propio cliente, dolo del usuario o transferencia entre cuentas del mismo titular (artículo 3 inciso b). En la práctica, ya no le toca al consumidor probar que el banco fue negligente, sino al banco probar que no puede ser responsable. Es un cambio profundo respecto al régimen previo donde el cliente cargaba con la prueba técnica.

Q: ¿Cuánto tiempo tengo para reclamar al banco después de una estafa según la Ley 10889 de Costa Rica?

El artículo 3 fija un plazo máximo de treinta días naturales contados desde la comisión de los hechos para presentar el reclamo formal ante la entidad financiera. El reclamo se hace mediante un formulario sencillo que cada banco debe poner a disposición y debe acompañarse de una copia de la denuncia interpuesta ante el Organismo de Investigación Judicial (OIJ).Es vital actuar rápido: aunque el plazo es de treinta días naturales, mientras más temprano se reporte, mayor probabilidad de bloquear movimientos posteriores y rastrear los fondos. Recuerde que el artículo 4 obliga al banco a brindar canales telefónicos, tecnológicos y de autogestión disponibles los 365 días del año, las 24 horas del día, para recibir el reporte y bloquear de inmediato el producto financiero comprometido. La denuncia ante el OIJ puede presentarse antes o paralelamente al reclamo bancario.

Q: ¿En cuánto tiempo debe el banco resolver mi reclamo por fraude electrónico bajo la Ley 10889?

El artículo 3 obliga a la entidad financiera a investigar y resolver el reclamo en un plazo máximo de treinta días naturales desde la presentación. Este plazo puede ampliarse, por una única vez, hasta diez días hábiles adicionales, lo cual debe ser comunicado al usuario tres días antes del vencimiento del plazo original.Si el banco resuelve fuera de plazo, el artículo 5 establece una sanción automática a favor del cliente: una compensación equivalente a un salario base de la Ley 7337 (alrededor de ₡462.200 en 2026), acreditada en su cuenta dentro de los diez días naturales siguientes al incumplimiento. Si transcurren 120 días naturales sin resolución, le precluye al banco la posibilidad de pronunciarse sobre la procedencia y debe restituir los fondos en diez días naturales, sin perjuicio de iniciar después una acción judicial para recuperar lo pagado.

Q: ¿Puede el banco rechazar mi reclamo por estafa bancaria? ¿En qué casos según la Ley 10889?

Sí, pero solo en tres supuestos taxativos previstos en el artículo 3 inciso b: (1) cuando exista autofraude, definido como la acción intencional del propio usuario para inducir error al banco y obtener un beneficio; (2) cuando exista dolo, entendido como la conducta deliberada orientada a cometer un acto ilícito con pleno conocimiento de su ilegalidad; y (3) cuando la transferencia haya sido entre cuentas del mismo titular.El rechazo no es discrecional: el banco debe demostrar el supuesto con elementos probatorios propios y específicos (análisis forense, bitácoras, evidencias técnicas) recopilados bajo los parámetros que dicte la SUGEF. Además, debe enviar copia de la resolución denegatoria al OIJ y a la SUGEF. La SUGEF tiene diez días hábiles para validar si la decisión está respaldada por las pruebas. Si la SUGEF no ratifica la decisión, el banco debe restituir los fondos en diez días hábiles.

Q: ¿Qué pasa si la SUGEF no avala el rechazo del banco a mi reclamo de fraude electrónico?

El artículo 3 diseña un mecanismo de doble control. Cuando el banco resuelve denegar el reclamo, debe remitir el expediente forense a la SUGEF, que tiene diez días hábiles para validar mediante acto razonado si la decisión está ajustada a derecho y respaldada en las pruebas aportadas.Si la SUGEF no ratifica el rechazo, el banco está obligado a restituir los fondos en un plazo máximo de diez días hábiles y reabrir la cuenta cuando corresponda. Esto sin perjuicio de que el banco pueda después demandar judicialmente para que se declare improcedente el pago. Si la SUGEF sí confirma el rechazo, el usuario aún conserva el derecho de elevar el caso a la vía judicial competente (Tribunal Civil o Tribunal de Consumidor), porque el artículo 15 garantiza expresamente que la persona usuaria puede acudir a la vía administrativa o judicial en cualquier momento.

Q: ¿Qué obligaciones de seguridad cibernética impone la Ley 10889 a los bancos en Costa Rica?

El artículo 3 inciso a obliga a las entidades financieras a demostrar que cumplen con once parámetros mínimos de seguridad informática diseñados por la SUGEF para prevenir y mitigar estafas: análisis de patrones transaccionales habituales del usuario; control de dispositivos electrónicos frecuentes (sistema operativo, horarios); variables del dispositivo (user agent, idioma); navegadores habituales; mecanismos de autenticación habituales; redes de conexión y comportamiento de uso (forma de teclear, movimientos del mouse); verificación cruzada de cuentas accedidas desde un mismo dispositivo; rastreo de dispositivos previamente usados en estafas; parámetros para aprobar o denegar transacciones; y obligación de pedir confirmación adicional cuando detecten transacciones atípicas.Los artículos 10 y 11 exigen además que la SUGEF emita y actualice al menos una vez al año una normativa obligatoria con estándares OCDE, y que cada banco implemente un protocolo de emergencia y atención a víctimas de estafa, con personal capacitado, validado por la SUGEF.

Q: ¿Cuál es el delito de autofraude que crea la Ley 10889 y qué penas implica en Costa Rica?

El artículo 9 tipifica como delito penal autónomo el comportamiento de quien, con el propósito de obtener un beneficio económico para sí o para un tercero, engaña a una entidad financiera simulando una situación de fraude u ocultando su involucramiento o consentimiento en una situación de aparente fraude bancario.Las penas son escalonadas según el monto: (a) prisión de dos meses a tres años si lo defraudado no excede de diez veces el salario base (aproximadamente ₡4.622.000 en 2026); (b) prisión de seis meses a diez años si supera ese umbral. Este delito existe porque la responsabilidad objetiva del banco abre un riesgo de abuso por parte de clientes que podrían simular fraudes para que el banco les reembolse. La SUGEF y el OIJ comparten información cuando una resolución judicial firme determina que cuentas fueron usadas para recibir fondos de fraudes (artículo 8), lo cual también ayuda a identificar redes de mulas financieras.

Q: ¿Tengo que pagar intereses al banco mientras se investiga el fraude electrónico bajo la Ley 10889?

No. El artículo 3 ordena explícitamente que cuando el banco determine que el reclamo es procedente, debe acreditar los fondos en la cuenta del cliente en un plazo máximo de diez días naturales, y en ese mismo acto eliminar cualquier cobro de intereses o cargos aplicados al usuario como consecuencia de la estafa, además de resarcir los montos ya rebajados por ese concepto junto con los intereses correspondientes.Esta regla cierra una práctica abusiva común antes de la Ley 10889: el banco congelaba el dinero pero seguía cobrando intereses moratorios sobre tarjetas de crédito o líneas activadas por el delincuente. Adicionalmente, si las transacciones no autorizadas siguen ocurriendo después del reclamo presentado, el banco es responsable de esas operaciones y de sus consecuencias económicas (artículo 3, último párrafo). Por eso es crucial obtener el código o número de recepción del reclamo (artículo 4 inciso a), que prueba la fecha y hora exactas del reporte.

Q: ¿Aplica la Ley 10889 a reclamos por fraudes electrónicos pendientes antes de su entrada en vigencia?

Sí. El Transitorio III dispone que las entidades financieras deberán resolver todas las reclamaciones administrativas que, a la fecha de entrada en vigencia de esta ley, se encuentren pendientes de resolución, conforme a los procedimientos y plazos establecidos en la Ley 10889. Es decir, los reclamos que estaban en trámite al momento de publicarse la ley se rigen por el nuevo marco protector, no por el régimen anterior.Los Transitorios I y II dieron a la SUGEF y a los bancos un plazo de seis meses desde la vigencia para emitir y actualizar la primera versión de la normativa de seguridad cibernética y para implementar el protocolo de emergencia y atención a víctimas. Si su fraude ocurrió antes y aún no se resuelve, conviene insistir formalmente para que el banco aplique los nuevos plazos y la responsabilidad objetiva. Recuerde que la vía judicial está siempre disponible (artículo 15) si la entidad ignora estas obligaciones.

En el contexto de la creciente digitalización de los servicios financieros y el alarmante incremento de fraudes electrónicos, la Ley N.º 10889 se erige como una respuesta normativa esencial para reforzar la protección de los consumidores en la custodia de sus recursos. Al incorporarse al ordenamiento jurídico costarricense mediante la reforma del artículo 35 de la Ley 7472, la norma consolida el principio de responsabilidad objetiva en materia de servicios financieros, alineándose con la política de defensa efectiva del consumidor. Su promulgación refleja la voluntad del Poder Legislativo de actualizar la regulación frente a los desafíos que plantea la ciberseguridad en el sector bancario.

La legislación aborda, entre otros aspectos, la definición y alcance de las entidades financieras sujetas a supervisión, estableciendo que todas las instituciones reguladas por la Ley 7558 quedan comprendidas en su ámbito de aplicación. Asimismo, regula el procedimiento que deben seguir los usuarios que denuncien operaciones no autorizadas, fijando plazos estrictos para la presentación de reclamos y la respuesta de las instituciones. La norma también contempla la obligación de las entidades de mantener controles preventivos, detectivos y correctivos, bajo la supervisión de la Superintendencia General de Entidades Financieras.

Protección contra Estafas Bancarias en Costa Rica (Ley N° 10889)

Descargar PDF

Bufete de Costa Rica

Entre los elementos fundamentales de la Ley N.º 10889 destaca la imposición de responsabilidad concurrente e independiente de culpa a los bancos y demás instituciones financieras por la sustracción de fondos o la custodia inadecuada, salvo que se acredite alguna eximente prevista en la legislación. La disposición obliga a las entidades a demostrar la existencia de mecanismos de seguridad cibernética y a presentar evidencia de que sus sistemas informáticos no han sido vulnerados, todo ello dentro de un plazo de treinta días, prorrogable una sola vez. Además, la normativa establece la necesidad de que los usuarios acompañen sus reclamos con la denuncia correspondiente ante el Organismo de Investigación Judicial, garantizando así la trazabilidad del proceso.

Para los profesionales del derecho y la ciudadanía, la Ley N.º 10889 constituye una herramienta clave que refuerza la confianza en el sistema financiero y brinda un marco claro para la defensa de los derechos de los consumidores. Los abogados deben asesorar a sus clientes sobre los requisitos de presentación de reclamos, los plazos y la documentación necesaria, así como sobre las posibles eximentes de responsabilidad. Por su parte, los usuarios adquieren una mayor certeza de que, en caso de fraude, podrán contar con mecanismos efectivos y tiempos definidos para la reparación de los daños ocasionados.

Ver Protección contra Estafas Bancarias en Costa Rica (Ley N° 10889) en PDF

Leer Protección contra Estafas Bancarias en Costa Rica (Ley N° 10889)

N° 10889

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

PROTECCIÓN A LAS PERSONAS CONSUMIDORAS EN LA CUSTODIA DE SU DINERO QUE ADMINISTRA CUALQUIER ENTIDAD FINANCIERA EN COSTA RICA, YA SEA PÚBLICA O PRIVADA, AUTORIZADA PARA ESTE FIN (Protección Contra Estafas Bancarias)

ARTÍCULO 1

Se reforma el artículo 35 de la Ley 7472, Promoción de la Competencia y Defensa Efectiva del Consumidor, de 20 de diciembre de 1994. El texto es el siguiente:

Artículo 35 Régimen de responsabilidad-

El productor, el proveedor y el comerciante deben responder concurrente e independientemente de la existencia de culpa, si el consumidor resulta perjudicado por razón del bien o el servicio, de informaciones inadecuadas o insuficientes sobre ellos, o de su utilización y riesgos. Solo se libera quien demuestre que ha sido ajeno al daño.

Los representantes legales de los establecimientos mercantiles o, en su caso, los encargados del negocio son responsables por los actos o los hechos propios o por los de sus dependientes o auxiliares. Los técnicos, los encargados de la elaboración y el control responden solidariamente, cuando así corresponda, por las violaciones a esta ley en perjuicio del consumidor.

Las entidades financieras, fiscalizadas de acuerdo con la Ley 7558, Ley Orgánica del Banco Central de Costa Rica, de 3 de noviembre de 1995, ya sean públicas o privadas, que en el ejercicio de su actividad de intermediación financiera ofrezcan servicios financieros a las personas consumidoras, responderán, independientemente de la existencia de culpa, por los daños y perjuicios ocasionados por la sustracción de dinero o del patrimonio de las cuentas o la inadecuada custodia de sus fondos, cuando estas acciones provengan de un tercero ilegítimo que no se encuentre autorizado por el titular de la cuenta, independientemente del mecanismo utilizado para la sustracción. Las entidades financieras supervisadas no serán responsables, cuando se configure alguna eximente dispuesta en la legislación.

ARTÍCULO 2

Para la presente ley todas las entidades financieras se entenderán como aquellas supervisadas, así definidas en la Ley 7558, Ley Orgánica del Banco Central de Costa Rica, de 3 de noviembre de 1995.

ARTÍCULO 3

En los casos en que el usuario financiero rechace haber autorizado una operación en la que ha sido víctima de estafa, fraudes electrónicos y rebajos no autorizados, o que denuncie que su cuenta ha sido utilizada por terceros para realizar estas acciones en perjuicio de terceros, podrá presentar su reclamo ante las entidades financieras, en el plazo máximo de treinta días naturales, posteriores a la comisión de los hechos; para ello debe seguirse el siguiente procedimiento.

Este reclamo deberá realizarse mediante un formulario sencillo que tendrá a disposición la entidad financiera, que permita, a la persona usuaria, exponer con claridad los hechos sucedidos y deberá acompañarse de una copia de la denuncia interpuesta ante el Organismo de Investigación Judicial (OIJ).

Las entidades financieras contarán con un plazo máximo de treinta días naturales, contado a partir del momento en que la persona afectada presente el reclamo, para investigar los hechos y resolver si el reclamo procede o no. Este plazo podrá ampliarse, por una única vez, hasta por diez días hábiles adicionales, lo cual deberá ser comunicado a la persona usuaria tres días antes del vencimiento del plazo original.

a) La investigación interna que realicen las entidades financieras deberá demostrar a la persona usuaria lo siguiente:

a.1) Que la entidad financiera cumple con la normativa que exige el mantenimiento de controles preventivos, detectivos y correctivos, para proteger las cuentas y la información de los usuarios financieros, según las disposiciones establecidas por la Superintendencia General de Entidades Financieras (Sugef). Para dichos efectos, la Sugef tendrá la obligación de disponer de indicadores para medir, de forma recurrente, la eficacia y eficiencia de las entidades supervisadas en temas de seguridad cibernética y que la entidad financiera gestiona aplicaciones.

a.2) Que los sistemas informáticos de la entidad financiera no fueron ni han sido vulnerados, tomando en consideración aspectos mínimos de control para prevenir y mitigar la ocurrencia de estafas informáticas en contra de los usuarios financieros, como los siguientes:

1- Patrones transaccionales de los usuarios financieros, preferencias en cuanto a días o fechas de sus operaciones, destinatarios frecuentes de envíos de fondos, monto y tipo de transacciones realizadas habitualmente (transferencias, pagos, retiros, entre otros), así como otros aspectos relevantes para definir su comportamiento y detectar posibles actividades atípicas.

2- Dispositivos electrónicos utilizados habitualmente por el usuario financiero para acceso a los canales digitales, considerar elementos como el historial de dispositivos electrónicos utilizados, sistema operativo y horarios habituales de uso.

3- Variables del dispositivo electrónico utilizado como: user agent, sistema operativo del dispositivo, idioma, entre otros.

4- Navegadores utilizados habitualmente.

5- Verificación de las formas de autenticación utilizadas habitualmente por el usuario financiero.

6- Redes de conexión, canales digitales utilizados, comportamiento de uso de los dispositivos electrónicos tales como: la forma de teclear del usuario financiero, movimiento del mouse, entre otros.

7- Uso de un dispositivo electrónico para acceder a diferentes cuentas, productos o servicios que pertenecen a diferentes usuarios financieros de la entidad financiera, a fin de analizar si se trata de actividades sospechosas.

8- Uso de un dispositivo electrónico que haya sido utilizado anteriormente para cometer estafas electrónicas.

9- Las entidades financieras deben incorporar parámetros para aprobar o denegar transacciones.

10- En caso de que identifiquen la ocurrencia de transacciones atípicas, deberán requerir a los usuarios financieros, previo a hacerlas efectivas, una confirmación que asegure la autenticidad de estos.

11- Cualquier otro aspecto dispuesto por la Sugef, que supere los indicados anteriormente.

Habiendo comprobado el cumplimiento de los requerimientos mencionados anteriormente, las entidades financieras procederán con el análisis del comportamiento de la persona usuaria en los hechos investigados.

b) Las entidades financieras podrán rechazar el reclamo, en caso de que cuente con elementos probatorios propios y específicos para cada una de las denuncias analizadas que permita determinar fehacientemente:

1- Cuando haya existido autofraude, entendido como la acción intencional realizada por una persona con el fin de inducir error a una entidad financiera, con el propósito de obtener un beneficio.

2- Cuando haya existido dolo, entendido como toda conducta deliberada de una persona orientada a cometer un acto ilícito, con pleno conocimiento de su ilegalidad.

3- Cuando la transferencia haya sido entre cuentas del mismo titular.

Las entidades financieras deberán comunicar la resolución denegatoria a la persona usuaria, en la que consten las evidencias e incidentes de seguridad (análisis forense o bitácora elaborado bajo los parámetros señalados por la Sugef), del cual se deberá enviar copia al OIJ y a la Sugef, para que esta última instancia, mediante acto razonado en un plazo de diez días hábiles, una vez recibido este informe, valide si la decisión se encuentra ajustada y respaldada en las pruebas aportadas por las entidades financieras.

En caso de que la Sugef no ratifique la decisión de la entidad financiera, estos deberán proceder con la restitución de los fondos, en un plazo máximo de diez días hábiles y/o la reapertura de la cuenta, sin perjuicio de la posibilidad de las entidades financieras de presentar una acción judicial para que se declare que el pago era improcedente. Por el contrario, en caso de que la Sugef confirme la improcedencia del reclamo, el usuario financiero afectado podrá elevar su reclamación contra la entidad financiera, ante las instancias judiciales competentes.

Por último, en la situación en que las entidades financieras determinen, mediante el procedimiento indicado en este artículo, que el reclamo es procedente, acreditará los fondos en la cuenta de la persona que presentó la reclamación, en un plazo máximo de diez días naturales, una vez comunicada la resolución a la persona usuaria y/o procediendo a la reapertura de la cuenta, cuando corresponda. Asimismo, la entidad financiera deberá eliminar, en este mismo acto, cualquier cobro de intereses o cargos aplicados a la persona usuaria, como consecuencia de la estafa sufrida, y resarcirle los montos ya rebajados por ese concepto junto con los intereses correspondientes.

En aquellos casos en que las transacciones no autorizadas por la persona usuaria ocurran con posterioridad al reclamo presentado ante la entidad financiera, esta será responsable de dichas transacciones y de sus consecuencias económicas.

ARTÍCULO 4

Las entidades financieras deberán poner, a disposición de sus personas usuarias, un servicio de fácil ubicación y acceso donde se recibirá el reclamo. Dicho servicio deberá estar a disposición en cada una de las agencias donde se brinden los productos y servicios financieros.

Sin que su uso sea obligatorio para la persona usuaria, las entidades financieras deberán garantizar a las personas usuarias, durante los trescientos sesenta y cinco días del año y las veinticuatro horas del día, canales telefónicos, medios tecnológicos y mecanismos de autogestión, que permitan realizar y registrar el reclamo.

Estos canales deberán cumplir con los estándares de seguridad y funcionamiento definidos por la Sugef, asegurando la posibilidad de efectuar bloqueos temporales de sus productos y servicios financieros de forma expedita, así como mantener registros verificables del momento y medio en que se efectuó el aviso. La persona usuaria podrá utilizar, a su elección, estos medios o acudir a las oficinas de la entidad bancaria para ser atendida.

Al momento de recibir el reclamo, la entidad financiera estará obligada a:

a) Entregar de inmediato, a la persona usuaria, un número o código de recepción para su seguimiento, el cual deberá incluir la fecha y la hora en que dicho reclamo fue recibido.

b) Proceder al bloqueo inmediato del producto o servicio financiero respecto de su funcionalidad para realizar transacciones electrónicas y ofrecer a la persona usuaria una alternativa contingente para que pueda realizar sus operaciones.

c) Remitir a la persona usuaria, en el plazo más breve posible y por el medio previamente acordado o registrado ante la entidad financiera, una comunicación que confirme el bloqueo e indique el número o código de recepción.

ARTÍCULO 5

Cuando las entidades financieras resuelvan el reclamo en forma extemporánea, el usuario financiero afectado será acreedor a una compensación equivalente a un salario base fijado por la Ley 7337, de 5 de mayo de 1993, que crea concepto salario base para delitos especiales del Código Penal, la cual deberá ser acreditada en la cuenta del titular en un plazo máximo de diez días naturales, a partir del incumplimiento por parte de la entidad financiera. Lo anterior sin perjuicio de la procedencia o no de su reclamo principal.

Si transcurren ciento veinte días naturales desde que se presentó el reclamo ante la entidad financiera, sin que esta resuelva el reclamo, le precluirá la posibilidad de resolver sobre su procedencia y deberá proceder con la restitución de los fondos en un plazo máximo de diez días naturales, sin perjuicio de la posibilidad de presentar una acción judicial para reclamar el monto entregado.

ARTÍCULO 6

Se adiciona el inciso 3) al artículo 298 de la Ley 6227, Ley General de la Administración Pública, de 2 de mayo de 1978. El texto es el siguiente:

Artículo 298.-

(…)

b) En los casos relacionados con la defensa al consumidor, ambiente, fraudes electrónicos personales o de cualquier tipo de entidad financiera, tanto a nivel administrativo como judicial, regirá la inversión de la carga de la prueba en favor de las personas consumidoras afectadas.

ARTÍCULO 7

Se adiciona un inciso 3 al artículo 41.1 de la Ley 9342, Código Procesal Civil, de 3 de febrero de 2016. El texto es el siguiente:

Artículo 41 1 Carga de la prueba

Incumbe la carga de la prueba:

(…)

3- En los casos relacionados con la defensa al consumidor, ambiente, fraudes electrónicos personales o de cualquier tipo de entidad financiera, tanto a nivel administrativo como judicial, regirá la inversión de la carga de la prueba en favor de las personas consumidoras afectadas.

Para la aplicación de lo dispuesto en los incisos anteriores de este artículo, se deberá tener presente la disponibilidad y facilidad probatoria que corresponde a cada una de las partes, de acuerdo con la naturaleza de lo debatido.

Las normas precedentes se aplicarán siempre que una disposición legal expresa no distribuya con criterios especiales la carga de la prueba.

ARTÍCULO 8

Las entidades financieras deberán reportar, a la Superintendencia General de Entidades Financieras (Sugef) y al Organismo de Investigación Judicial (OIJ), mediante protocolos seguros y conforme a la normativa de protección de datos personales, las cuentas y los nombres de sus titulares, cuando exista una resolución judicial firme que determine que dichas cuentas fueron utilizadas para recibir fondos provenientes de fraudes electrónicos.

La Sugef, a su vez, comunicará esta información a las entidades supervisadas, utilizando el mecanismo que considere oportuno, exclusivamente para fines regulatorios y de supervisión prudencial, y bajo estricto resguardo de la confidencialidad.

El Banco Central de Costa Rica (BCCR) deberá crear mecanismos robustos de seguridad informática, para prevenir fraudes facilitados o cometidos a través de sus plataformas de pagos y deberá colaborar con las entidades del sistema financiero en la prevención, investigación y lucha contra este tipo de delitos.

ARTÍCULO 9

Quien, con el propósito de obtener un beneficio económico para sí o para un tercero, engañe a una entidad financiera, simulando una situación de fraude u ocultando su involucramiento o consentimiento en una situación de aparente fraude o intento de fraude bancario o financiero, será sancionado de la siguiente forma:

a) Con prisión de dos meses a tres años, si el monto de lo defraudado no excediera de diez veces el salario base.

b) Con prisión de seis meses a diez años, si el monto de lo defraudado excediera de diez veces el salario base.

Para efectos de salario base, se tendrá como referencia el así determinado por la Ley 7337, de 5 de mayo de 1993, que crea el concepto salario base para delitos especiales del Código Penal.

ARTÍCULO 10

La Superintendencia General de Entidades Financieras (Sugef) estará obligada a emitir una normativa para prevenir, reducir y procurar erradicar las estafas informáticas en contra de las personas usuarias financieras, que debe ser de acatamiento obligatorio para las entidades financieras que operan en el país.

Dicha normativa debe actualizarse al menos una vez al año, debido a la evolución acelerada de los riesgos y de la dinámica del consumo financiero electrónico. El objetivo de esta actualización es garantizar la incorporación de los mejores estándares y prácticas internacionales de la OCDE o cualquier otra instancia internacional con estándares iguales o superiores en materia de seguridad, dirigidas a prevenir, reducir y procurar erradicar las estafas informáticas en contra de los usuarios financieros.

Cada vez que se realice la actualización de esta normativa, la Sugef deberá publicarla en sus plataformas digitales (sitio web y redes sociales) y remitirla oficialmente a las entidades financieras, para su acatamiento obligatorio. Dichas publicaciones deberán presentar al inicio un resumen visual, que permita a la ciudadanía constatar las mejoras introducidas respecto de las versiones anteriores.

ARTÍCULO 11

Las entidades financieras tienen la obligación de elaborar e implementar un protocolo de emergencia y atención, que debe ser de conocimiento y aplicación inmediata por parte de todo su personal, cuando una persona se apersone a sus instalaciones o, por otro medio, y comunique que ha sido víctima de estafa o está en proceso de ser estafado.

Dicho protocolo deberá ser previamente autorizado por la Sugef, instancia que debe garantizar un constante asesoramiento a las entidades financieras y bancarias para que el protocolo en mención esté alineado con las mejores prácticas de protección al consumidor financiero, así como de atención a víctimas de estos delitos, establecidas por la OCDE, o cualquier otra instancia internacional que tenga estándares iguales o superiores en el campo de atención a víctimas de estafas bancarias.

Las entidades financieras deben capacitar regularmente a su personal, para que puedan aplicar con solvencia y agilidad este protocolo.

Este protocolo debe ser actualizado al menos una vez al año y publicarse en las plataformas digitales de la Sugef (página web y redes sociales), así como remitirse oficialmente, para su acatamiento obligatorio, a las entidades financieras. Dichas publicaciones deberán presentar, al inicio, un resumen visual que permita a la ciudadanía constatar las mejoras introducidas respecto de las versiones anteriores.

ARTÍCULO 12

Las entidades financieras deberán proporcionar, de manera periódica, clara, accesible y actualizada, toda información necesaria sobre las medidas de seguridad y las instrucciones de uso seguro a sus usuarios, promoviendo las prácticas responsables en el manejo de los medios de pago.

ARTÍCULO 13

Las entidades financieras deberán establecer criterios en sus políticas internas, ajustadas a la normativa de la Sugef, que le permita reconocer al cliente la suma sustraída, independientemente del análisis de las particularidades del caso, cuando el monto sea inferior al definido en dichas políticas, a partir de un análisis de costo-beneficio.

ARTÍCULO 14

En caso de que las entidades financieras omitan las obligaciones establecidas en la presente ley, enfrentarán un procedimiento sancionatorio por parte de la Sugef, de conformidad con el artículo 155 de Ley 7558, Ley Orgánica del Banco Central de Costa Rica, de 3 de noviembre de 1995, Sección IV, sobre "Procedimiento, infracciones, sanciones y actos ilícitos en la actividad financiera".

ARTÍCULO 15

La persona usuaria financiera afectada podrá acudir a la vía administrativa o vía judicial que corresponda, en cualquier momento que lo estime conveniente.

DISPOSICIONES TRANSITORIAS

TRANSITORIO I

En el plazo de seis meses calendario como máximo, contado a partir de la vigencia de esta ley, la Sugef debe realizar la primera actualización indicada en el artículo 8 de la presente ley.

TRANSITORIO II

En el plazo de seis meses como máximo, contado a partir de la vigencia de esta ley, las entidades financieras deberán elaborar y poner en operación el protocolo para la atención inmediata de las víctimas de estafas bancarias, bajo los criterios establecidos en el artículo 9 de la presente ley.

TRANSITORIO III

Las entidades financieras deberán resolver todas las reclamaciones administrativas que, a la fecha de entrada en vigencia de esta ley, se encuentren pendientes de resolución. Dicha revisión deberá realizarse conforme a los procedimientos y plazos establecidos en la presente ley.

Rige a partir de su publicación.

Preguntas frecuentes sobre la Ley 10889 de Protección contra Estafas Bancarias en Costa Rica

¿Qué protección concreta da la Ley 10889 al cliente bancario víctima de phishing o fraude electrónico en Costa Rica?

La Ley 10889 reformó el artículo 35 de la Ley 7472 de Defensa del Consumidor para establecer un régimen de responsabilidad objetiva a cargo de las entidades financieras supervisadas por la SUGEF. Esto significa que el banco responde por la sustracción de dinero o la inadecuada custodia de fondos independientemente de la existencia de culpa, cuando la operación fue realizada por un tercero ilegítimo no autorizado por el titular, sin importar el mecanismo utilizado (phishing, vishing, smishing, SIM swapping, malware o ingeniería social).
El banco solo se libera si demuestra una eximente legal: autofraude del propio cliente, dolo del usuario o transferencia entre cuentas del mismo titular (artículo 3 inciso b). En la práctica, ya no le toca al consumidor probar que el banco fue negligente, sino al banco probar que no puede ser responsable. Es un cambio profundo respecto al régimen previo donde el cliente cargaba con la prueba técnica.

¿Cuánto tiempo tengo para reclamar al banco después de una estafa según la Ley 10889 de Costa Rica?

El artículo 3 fija un plazo máximo de treinta días naturales contados desde la comisión de los hechos para presentar el reclamo formal ante la entidad financiera. El reclamo se hace mediante un formulario sencillo que cada banco debe poner a disposición y debe acompañarse de una copia de la denuncia interpuesta ante el Organismo de Investigación Judicial (OIJ).
Es vital actuar rápido: aunque el plazo es de treinta días naturales, mientras más temprano se reporte, mayor probabilidad de bloquear movimientos posteriores y rastrear los fondos. Recuerde que el artículo 4 obliga al banco a brindar canales telefónicos, tecnológicos y de autogestión disponibles los 365 días del año, las 24 horas del día, para recibir el reporte y bloquear de inmediato el producto financiero comprometido. La denuncia ante el OIJ puede presentarse antes o paralelamente al reclamo bancario.

¿En cuánto tiempo debe el banco resolver mi reclamo por fraude electrónico bajo la Ley 10889?

El artículo 3 obliga a la entidad financiera a investigar y resolver el reclamo en un plazo máximo de treinta días naturales desde la presentación. Este plazo puede ampliarse, por una única vez, hasta diez días hábiles adicionales, lo cual debe ser comunicado al usuario tres días antes del vencimiento del plazo original.
Si el banco resuelve fuera de plazo, el artículo 5 establece una sanción automática a favor del cliente: una compensación equivalente a un salario base de la Ley 7337 (alrededor de ₡462.200 en 2026), acreditada en su cuenta dentro de los diez días naturales siguientes al incumplimiento. Si transcurren 120 días naturales sin resolución, le precluye al banco la posibilidad de pronunciarse sobre la procedencia y debe restituir los fondos en diez días naturales, sin perjuicio de iniciar después una acción judicial para recuperar lo pagado.

¿Puede el banco rechazar mi reclamo por estafa bancaria? ¿En qué casos según la Ley 10889?

Sí, pero solo en tres supuestos taxativos previstos en el artículo 3 inciso b: (1) cuando exista autofraude, definido como la acción intencional del propio usuario para inducir error al banco y obtener un beneficio; (2) cuando exista dolo, entendido como la conducta deliberada orientada a cometer un acto ilícito con pleno conocimiento de su ilegalidad; y (3) cuando la transferencia haya sido entre cuentas del mismo titular.
El rechazo no es discrecional: el banco debe demostrar el supuesto con elementos probatorios propios y específicos (análisis forense, bitácoras, evidencias técnicas) recopilados bajo los parámetros que dicte la SUGEF. Además, debe enviar copia de la resolución denegatoria al OIJ y a la SUGEF. La SUGEF tiene diez días hábiles para validar si la decisión está respaldada por las pruebas. Si la SUGEF no ratifica la decisión, el banco debe restituir los fondos en diez días hábiles.

¿Qué pasa si la SUGEF no avala el rechazo del banco a mi reclamo de fraude electrónico?

El artículo 3 diseña un mecanismo de doble control. Cuando el banco resuelve denegar el reclamo, debe remitir el expediente forense a la SUGEF, que tiene diez días hábiles para validar mediante acto razonado si la decisión está ajustada a derecho y respaldada en las pruebas aportadas.
Si la SUGEF no ratifica el rechazo, el banco está obligado a restituir los fondos en un plazo máximo de diez días hábiles y reabrir la cuenta cuando corresponda. Esto sin perjuicio de que el banco pueda después demandar judicialmente para que se declare improcedente el pago. Si la SUGEF sí confirma el rechazo, el usuario aún conserva el derecho de elevar el caso a la vía judicial competente (Tribunal Civil o Tribunal de Consumidor), porque el artículo 15 garantiza expresamente que la persona usuaria puede acudir a la vía administrativa o judicial en cualquier momento.

¿Quién tiene la carga de la prueba en juicios por fraudes bancarios después de la Ley 10889?

Aquí está uno de los cambios más potentes de la Ley 10889. El artículo 6 adicionó el inciso 3 al artículo 298 de la Ley General de la Administración Pública, y el artículo 7 hizo lo propio en el artículo 41.1 del Código Procesal Civil (Ley 9342). Ambas normas establecen la inversión de la carga de la prueba a favor del consumidor en casos de defensa al consumidor, ambiente, fraudes electrónicos personales o de cualquier tipo en entidades financieras.
En español jurídico simple: si usted demanda al banco por una estafa, ya no tiene que probar que el banco fue negligente. El banco debe probar que cumplió con todos los controles preventivos, detectivos y correctivos que exige la SUGEF; que sus sistemas no fueron vulnerados; y que el comportamiento del usuario en los hechos investigados encaja en alguna eximente legal. Esto cambia radicalmente la estrategia procesal: el cliente solo prueba el daño y la relación contractual; el banco asume el peso técnico-probatorio.

¿Qué obligaciones de seguridad cibernética impone la Ley 10889 a los bancos en Costa Rica?

El artículo 3 inciso a obliga a las entidades financieras a demostrar que cumplen con once parámetros mínimos de seguridad informática diseñados por la SUGEF para prevenir y mitigar estafas: análisis de patrones transaccionales habituales del usuario; control de dispositivos electrónicos frecuentes (sistema operativo, horarios); variables del dispositivo (user agent, idioma); navegadores habituales; mecanismos de autenticación habituales; redes de conexión y comportamiento de uso (forma de teclear, movimientos del mouse); verificación cruzada de cuentas accedidas desde un mismo dispositivo; rastreo de dispositivos previamente usados en estafas; parámetros para aprobar o denegar transacciones; y obligación de pedir confirmación adicional cuando detecten transacciones atípicas.
Los artículos 10 y 11 exigen además que la SUGEF emita y actualice al menos una vez al año una normativa obligatoria con estándares OCDE, y que cada banco implemente un protocolo de emergencia y atención a víctimas de estafa, con personal capacitado, validado por la SUGEF.

¿Cuál es el delito de autofraude que crea la Ley 10889 y qué penas implica en Costa Rica?

El artículo 9 tipifica como delito penal autónomo el comportamiento de quien, con el propósito de obtener un beneficio económico para sí o para un tercero, engaña a una entidad financiera simulando una situación de fraude u ocultando su involucramiento o consentimiento en una situación de aparente fraude bancario.
Las penas son escalonadas según el monto: (a) prisión de dos meses a tres años si lo defraudado no excede de diez veces el salario base (aproximadamente ₡4.622.000 en 2026); (b) prisión de seis meses a diez años si supera ese umbral. Este delito existe porque la responsabilidad objetiva del banco abre un riesgo de abuso por parte de clientes que podrían simular fraudes para que el banco les reembolse. La SUGEF y el OIJ comparten información cuando una resolución judicial firme determina que cuentas fueron usadas para recibir fondos de fraudes (artículo 8), lo cual también ayuda a identificar redes de mulas financieras.

¿Tengo que pagar intereses al banco mientras se investiga el fraude electrónico bajo la Ley 10889?

No. El artículo 3 ordena explícitamente que cuando el banco determine que el reclamo es procedente, debe acreditar los fondos en la cuenta del cliente en un plazo máximo de diez días naturales, y en ese mismo acto eliminar cualquier cobro de intereses o cargos aplicados al usuario como consecuencia de la estafa, además de resarcir los montos ya rebajados por ese concepto junto con los intereses correspondientes.
Esta regla cierra una práctica abusiva común antes de la Ley 10889: el banco congelaba el dinero pero seguía cobrando intereses moratorios sobre tarjetas de crédito o líneas activadas por el delincuente. Adicionalmente, si las transacciones no autorizadas siguen ocurriendo después del reclamo presentado, el banco es responsable de esas operaciones y de sus consecuencias económicas (artículo 3, último párrafo). Por eso es crucial obtener el código o número de recepción del reclamo (artículo 4 inciso a), que prueba la fecha y hora exactas del reporte.

¿Aplica la Ley 10889 a reclamos por fraudes electrónicos pendientes antes de su entrada en vigencia?

Sí. El Transitorio III dispone que las entidades financieras deberán resolver todas las reclamaciones administrativas que, a la fecha de entrada en vigencia de esta ley, se encuentren pendientes de resolución, conforme a los procedimientos y plazos establecidos en la Ley 10889. Es decir, los reclamos que estaban en trámite al momento de publicarse la ley se rigen por el nuevo marco protector, no por el régimen anterior.
Los Transitorios I y II dieron a la SUGEF y a los bancos un plazo de seis meses desde la vigencia para emitir y actualizar la primera versión de la normativa de seguridad cibernética y para implementar el protocolo de emergencia y atención a víctimas. Si su fraude ocurrió antes y aún no se resuelve, conviene insistir formalmente para que el banco aplique los nuevos plazos y la responsabilidad objetiva. Recuerde que la vía judicial está siempre disponible (artículo 15) si la entidad ignora estas obligaciones.

Referencias Bibliográficas

Asamblea Legislativa de la República de Costa Rica. (2026). Código Penal de Costa Rica (Ley n.° 4573). Versión consolidada vigente al 22 de enero de 2026. Biblioteca Jurídica del Bufete de Costa Rica. https://bufetedecostarica.com/codigo-penal-de-costa-rica-4573/
Asamblea Legislativa de la República de Costa Rica. (2024). Ley General de la Administración Pública de Costa Rica (Ley n.° 6227). Versión consolidada vigente al 5 de noviembre de 2024. Biblioteca Jurídica del Bufete de Costa Rica. https://bufetedecostarica.com/ley-general-de-la-administracion-publica-de-costa-rica/
Asamblea Legislativa de la República de Costa Rica. (2023). Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor en Costa Rica (Ley n.° 7472). Versión consolidada vigente al 12 de abril de 2023. Biblioteca Jurídica del Bufete de Costa Rica. https://bufetedecostarica.com/ley-de-promocion-de-la-competencia-y-defensa-efectiva-del-consumidor-de-costa-rica/
Asamblea Legislativa de la República de Costa Rica. (2024). Ley Orgánica del Banco Central de Costa Rica (Ley n.° 7558). Versión consolidada vigente al 4 de noviembre de 2024. Biblioteca Jurídica del Bufete de Costa Rica. https://bufetedecostarica.com/ley-organica-del-banco-central-de-costa-rica-7558/
Asamblea Legislativa de la República de Costa Rica. (2022). Código Procesal Civil de Costa Rica (Ley n.° 9342). Versión consolidada vigente al 6 de mayo de 2022. Biblioteca Jurídica del Bufete de Costa Rica. https://bufetedecostarica.com/codigo-procesal-civil-de-costa-rica/