La entrada en vigencia de la Ley 10,889 obliga desde este miércoles a bancos y entidades financieras de Costa Rica a asumir la responsabilidad directa por el dinero sustraído de cuentas de sus clientes a través de fraudes electrónicos, incluso cuando no exista culpa o negligencia de la institución. Esta reforma introduce una inversión en la carga de la prueba: ahora serán los bancos quienes deberán demostrar que actuaron conforme a estándares de seguridad y que no hubo fallas internas, transformando de raíz el equilibrio entre consumidores y entidades del sector financiero del país centroamericano.
En 2025, el Organismo de Investigación Judicial registró 10,027 denuncias por estafas electrónicas en Costa Rica, lo que representa un aumento del 41 % en comparación con el año anterior. El promedio diario de casos ascendió de 19 a 27 en ese período, consolidando a este delito como una de las amenazas principales para la seguridad financiera. La aprobación parlamentaria de la Ley de Protección a las Personas Consumidoras en la Custodia de su Dinero, el pasado 4 de marzo, respondió precisamente a este contexto de escalada del fraude y contó con el apoyo de diversas fracciones legislativas.
Bancos deberán restituir los fondos y adaptarse a reglas operativas más estrictas
Con la publicación de la Ley 10,889 en el diario oficial La Gaceta, bancos públicos y privados están obligados a indemnizar a los usuarios cuando se compruebe la existencia de fraude electrónico, estafas o transferencias no autorizadas a terceros, independientemente de la existencia de culpa de la entidad. Esta obligación solo deja exento al banco si logra evidenciar que el caso corresponde a autofraude, dolo del cliente o transferencias entre cuentas del mismo titular, siempre que pueda acreditarse con pruebas técnicas y un informe que deberá remitirse tanto al Organismo de Investigación Judicial como a la Superintendencia General de Entidades Financieras (SUGEF).
El procedimiento de reclamo requiere que el usuario afectado presente la gestión ante el banco en los 30 días naturales siguientes al incidente, acompañada de una denuncia previa ante el OIJ. A partir de ahí, el banco dispone de 30 días naturales para investigar y resolver, con posibilidad de una prórroga única de hasta diez días hábiles si informa oportunamente al usuario. Durante la investigación, el banco debe probar el cumplimiento de estándares de seguridad, analizar patrones de comportamiento, dispositivos, métodos de autenticación y cualquier actividad atípica.
El plazo para devolver fondos en caso de resolver a favor del usuario es de diez días naturales. En esos casos, el banco debe eliminar todo cargo o interés asociado al fraude y reintegrar los importes descontados, junto con intereses. Además, está obligado a bloquear de inmediato productos financieros implicados y emitir comprobantes de la gestión con fecha y hora.
Si la entidad no resuelve el reclamo en los plazos fijados, pierde el derecho a rechazarlo y debe restituir obligatoriamente los fondos. La normativa fija sanciones económicas para el banco que incumpla los plazos: deberá pagar una compensación equivalente a un salario base al afectado.
La legislación también define el delito de autofraude, que sanciona la simulación de una estafa para lograr un beneficio económico, con penas que van de dos meses hasta diez años de prisión, según el monto involucrado.
En materia de supervisión, la SUGEF asume la tarea de validar los rechazos de reclamos emitidos por los bancos, dentro de diez días hábiles desde su recibo. Si la Superintendencia no ratifica el rechazo, la entidad debe restituir los fondos o reabrir la cuenta en diez días hábiles; solo si lo ratifica, el usuario puede acudir a la vía judicial.
Repercusiones en la operación y adaptación del sistema financiero
La ley exige canales de atención permanente (24/7), protocolos ágiles de respuesta ante fraudes y el fortalecimiento de equipos de ciberseguridad.
Las nuevas obligaciones afectan tanto a bancos tradicionales como a fintech y startups financieras, que deberán cumplir requisitos elevados en monitoreo, seguridad y gestión de reclamos. El resultado inmediato podría ser un aumento en las barreras de entrada para emprendimientos emergentes, favoreciendo a actores ya consolidados en el sector.
La Superintendencia General de Entidades Financieras deberá emitir y actualizar, al menos una vez al año, regulaciones de seguridad para prevenir estafas, ajustando su marco a estándares internacionales. El Banco Central de Costa Rica debe fortalecer los mecanismos de seguridad en sus plataformas y colaborar en prevención e investigación de delitos.
Un referente regional y desafíos de implementación
La reforma legal convierte a Costa Rica en un referente en derecho digital y protección al consumidor financiero, dado que pocos países en América Latina han adoptado estamentos similares. Sin embargo, la rapidez de transformación de los esquemas de fraude, junto con la digitalización y la irrupción de tecnologías como la inteligencia artificial generativa para ataques personalizados, plantean el reto de que la regulación pueda mantenerse actualizada y eficaz.
La normativa contempla plazos transitorios de hasta seis meses para que entidades y supervisores adapten sus procedimientos y protocolos de atención a víctimas de fraude. Su aplicación concreta dependerá de la emisión de reglamentos técnicos, desarrollo institucional y la capacidad de ajustarse a un entorno donde la sofisticación del fraude digital avanza más rápido que la elaboración de nuevas leyes.
