Lo que hace apenas unos meses era un proyecto de ley que prometía transformar el sistema financiero costarricense, hoy es una realidad jurídica plenamente vigente. La Ley N.º 10.889, anteriormente tramitada bajo el expediente legislativo N.º 23.908, ya rige en Costa Rica y redefine de forma sustancial la responsabilidad de las entidades financieras frente a fraudes electrónicos y transacciones no autorizadas.
La entrada en vigor de esta normativa marca un punto de inflexión en la protección del consumidor financiero. Uno de los principales cambios radica en la reforma al artículo 35 de la Ley N.º 7472, Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor. La modificación no es menor, pues consolida un régimen de responsabilidad objetiva para las entidades financieras. En adelante, estas responderán por los daños derivados de la sustracción de fondos o la inadecuada custodia del patrimonio del cliente, aun cuando el hecho provenga de un tercero no autorizado. Este giro normativo implica una clara internalización del riesgo propio de la actividad financiera, desplazando la carga del daño desde el consumidor hacia quien organiza y explota la actividad económica.
En paralelo, la ley establece un procedimiento administrativo específico para la tramitación de reclamos por fraudes electrónicos, estafas y transacciones no autorizadas. Se fija un plazo máximo de treinta días naturales para que la persona usuaria presente su reclamo, contados a partir de la ocurrencia de los hechos. A su vez, la entidad financiera dispone de un plazo de treinta días naturales para resolver, prorrogable por una única vez hasta por diez días hábiles adicionales. Este diseño introduce, por primera vez en el ordenamiento costarricense, una lógica procedimental clara y garantista en materia de fraude financiero, con plazos definidos y consecuencias jurídicas ante su incumplimiento.
En efecto, la ley indica consecuencias relevantes en caso de inactividad o mora de la entidad financiera. Si la resolución se emite de forma extemporánea, el usuario adquiere el derecho a una compensación equivalente a un salario base. Más aún, si transcurren ciento veinte días naturales sin resolución, opera una suerte de caducidad administrativa en perjuicio de la entidad, obligándola a restituir los fondos al usuario, sin perjuicio de su derecho a accionar judicialmente para discutir la procedencia del pago. Este esquema introduce un fuerte incentivo para la resolución oportuna de los reclamos y reduce los espacios de dilación institucional.
Otra innovación de gran calado es la inversión de la carga de la prueba, tanto en sede administrativa como judicial. En este punto, esta ley reforma expresamente la Ley General de la Administración Pública, adicionando un inciso al artículo 298, cuyo texto dispone:
“Artículo 298.-
(…)
b) En los casos relacionados con la defensa al consumidor, ambiente, fraudes electrónicos personales o de cualquier tipo de entidad financiera, tanto a nivel administrativo como judicial, regirá la inversión de la carga de la prueba en favor de las personas consumidoras afectadas.”
Esta disposición representa un cambio estructural en la dinámica probatoria, al reconocer la asimetría técnica y económica entre las partes. Se trata de una técnica normativa alineada con el principio de facilidad y disponibilidad probatoria, ampliamente desarrollado en la doctrina contemporánea y en instrumentos internacionales de protección al consumidor.
En la misma línea, la ley introduce una reforma correlativa al artículo 41.1 del Código Procesal Civil, reforzando esta inversión de la carga probatoria en el ámbito jurisdiccional. Con ello, se garantiza coherencia entre la fase administrativa y la judicial, evitando vacíos o contradicciones interpretativas.
Desde la perspectiva regulatoria, la ley fortalece de manera significativa el rol de la Superintendencia General de Entidades Financieras (SUGEF). Se le impone la obligación de emitir normativa técnica en materia de ciberseguridad, la cual debe actualizarse al menos una vez al año, incorporando estándares internacionales, particularmente aquellos promovidos por la OCDE. Asimismo, se le asigna la función de validar las decisiones denegatorias de las entidades financieras en los procedimientos de reclamo, lo que introduce un mecanismo de control externo que limita la discrecionalidad de estas.
En materia de prevención, se establece obligaciones concretas para las entidades financieras, tales como la implementación de sistemas de monitoreo de patrones transaccionales, verificación de dispositivos, autenticación reforzada y detección de operaciones atípicas. Este enfoque responde a una lógica de gestión activa del riesgo, en la que la seguridad no se concibe como un elemento accesorio, sino como un componente esencial del servicio financiero.
No menos relevante resulta la tipificación penal del denominado “autofraude”, sancionando a quien simule una situación de fraude con el propósito de obtener un beneficio económico indebido. Esta previsión introduce un necesario equilibrio en el sistema, evitando que el reforzamiento de la protección al consumidor derive en incentivos perversos.
Adicionalmente, la ley establece deberes de información y educación financiera, obligando a las entidades a proporcionar a sus usuarios información clara, accesible y actualizada sobre medidas de seguridad y uso adecuado de los medios de pago. Este componente preventivo resulta esencial en un contexto donde la sofisticación de las estafas supera, en muchos casos, la capacidad de reacción del usuario promedio.
Desde una perspectiva de derecho administrativo y regulación económica, esta ley configura un modelo de responsabilidad agravada para las entidades financieras, que se aproxima a un régimen de garantía. Se reconoce que quien administra recursos del público debe asumir no solo los beneficios de la intermediación financiera, sino también los riesgos inherentes a la misma.
Con la entrada en vigencia de la Ley N.º 10.889, Costa Rica inaugura una nueva etapa en la protección del consumidor financiero, trasladando de forma clara la responsabilidad hacia las entidades que administran y custodian los recursos del público. La normativa no solo redefine las reglas del juego frente a los fraudes electrónicos, sino que también impone estándares más rigurosos en materia de seguridad, gestión de riesgos y atención de reclamos.
El verdadero alcance de esta reforma comenzará a medirse en su aplicación práctica: en la capacidad de los bancos para adaptarse a las nuevas exigencias, en la efectividad de la supervisión por parte de la SUGEF y en la respuesta del sistema ante modalidades de fraude cada vez más sofisticadas.
Más allá de su implementación, la ley ya envía un mensaje contundente: la protección del dinero de los usuarios deja de ser una carga individual y pasa a ser una obligación central del sistema financiero.
Si desea conocer más acerca del Derecho administrativo puede seguirnos en nuestras redes sociales como Officium Legal. Le invitamos también a suscribirse a nuestro Newsletter para recibir nuestros últimos artículos y noticias de primera mano.