Costa Rica aprueba ley contra fraudes electrónicos y obliga a bancos a indemnizar a usuarios

En 2025 se registraron 10.027 casos denuncias ante el Organismo de Investigación Judicial, con un incremento de 41% respecto al año anterior. / Foto: Alexander Aguero.
Entrevistas
En 2025 se registraron 10.027 casos denuncias ante el Organismo de Investigación Judicial, con un incremento de 41% respecto al año anterior. / Foto: Alexander Aguero.

14/04/2026
Por Gunther Felix

Compartir en RRSS

X
Para recibir nuestro boletín diario,
¡suscríbete aquí!
La Ley de Protección a las Personas Consumidoras en la Custodia de su Dinero redefine la responsabilidad de las entidades financieras.
Fecha de publicación: 14/04/2026
Etiquetas: Costa Rica, Bancos, Banca y Finanzas, fraude, Regulación financiera

El crecimiento de las estafas electrónicas en Costa Rica ha promovido un cambio normativo que reconfigura la relación entre los usuarios y las entidades financieras. Este 4 de marzo de 2026, la Comisión con Potestad Legislativa Plena III aprobó la Ley de Protección a las Personas Consumidoras en la Custodia de su Dinero que administra cualquier entidad financiera, con 14 votos a favor y respaldo de distintas fracciones legislativas. El texto pasa ahora al Poder Ejecutivo para su firma y publicación.

La aprobación de la norma se desarrolla en un contexto de crecimiento sostenido de este tipo de delitos. En 2025 se registraron 10.027 casos de denuncias ante el Organismo de Investigación Judicial, con un incremento de 41 % respecto al año anterior. La frecuencia diaria de denuncias pasó de 19 a 27 entre 2024 y 2025, lo que posiciona a las estafas electrónicas como una de las principales amenazas en el ámbito financiero del país centroamericano.

Con estas cifras, la ley aprobada redefine la asignación de responsabilidades dentro del sistema financiero: desplaza hacia las entidades financieras la carga de probar la legitimidad de las operaciones y las obliga a asumir mayores exigencias operativas frente al fraude.

Para Alejandro Muñoz, gerente senior de EY Law - Costa Rica, la normativa introduce un estándar que no ha sido adoptado de forma generalizada en América Latina y que acerca a Costa Rica a modelos regulatorios más desarrollados.

“De aprobarse en los términos actuales, el país se aproximaría a estándares que, hasta ahora, han sido propios del ordenamiento europeo y ajenos a la mayoría de las jurisdicciones latinoamericanas”, resalta.

El especialista explica que, a diferencia de la región, donde los esquemas de protección han sido escasos y fragmentados, el modelo que plantea la ley costarricense se asemeja a marcos como la Directiva de Servicios de Pago (PSD2), norma aplicada en países como España, Francia y Alemania, que establece la obligación de reembolso ante operaciones no autorizadas, salvo que la entidad financiera logre demostrar fraude o negligencia grave por parte del cliente.

Radar de riesgos para la inversión en América Latina: ¿Qué reformas legales y escenarios de incertidumbre política se esperan en 2026?

Indemnización obligatoria

El eje central de la ley es la obligación de las entidades financieras, públicas y privadas, de indemnizar a las víctimas de estafas electrónicas cuando se compruebe el carácter ilícito de las transacciones. Solo quedarán exentas si logran acreditar que se trató de un caso de autofraude, dolo del cliente o transferencias entre cuentas del mismo titular.

Este esquema se refuerza con la inversión de la carga de la prueba en favor del consumidor. En adelante, serán las entidades las que deberán acreditar que cumplieron con los estándares de seguridad exigidos, que sus sistemas no fueron vulnerados y que la operación no es atribuible a fallas internas.

Muñoz sostiene que este cambio eleva de manera significativa las exigencias sobre las entidades financieras, tanto en términos jurídicos como operativos.

Alejandro Muñoz EY Law

“La nueva normativa supone un cambio importante en los estándares de responsabilidad que enfrentan las entidades financieras. Ante un reclamo por fraude electrónico, ya no correspondería al consumidor demostrar la falla del sistema o la responsabilidad de la entidad. Sería la entidad financiera la que deberá acreditar que actuó conforme a los estándares de seguridad exigidos, que sus sistemas no fueron vulnerados y que el evento es atribuible al propio consumidor. Esto implica que la entidad no solo debe operar correctamente, sino estar en condiciones de probarlo en cada caso individual”, detalla.

En su análisis, este modelo obliga a las entidades a migrar de esquemas reactivos hacia sistemas preventivos, con capacidades de monitoreo en tiempo real, detección temprana de fraudes y documentación exhaustiva de sus procesos. Esto implica inversiones en ciberseguridad, fortalecimiento de controles internos y rediseño de los procesos de atención y la gestión de reclamos.

Fraude ocupacional: de las amenazas más grandes para las empresas

Procedimiento de reclamo y plazos definidos

La ley establece que las entidades financieras contarán con un plazo de 30 días naturales para investigar y resolver el caso, con posibilidad de una prórroga única de hasta diez días hábiles adicionales. Durante la investigación, deberán demostrar el cumplimiento de la normativa de seguridad y analizar elementos como patrones transaccionales, dispositivos utilizados, mecanismos de autenticación y detección de actividades atípicas.

Si el reclamo es procedente, la entidad deberá restituir los fondos en un plazo máximo de 10 días naturales, reabrir la cuenta cuando corresponda, eliminar cargos asociados y devolver los montos con sus respectivos intereses. Además, asumirá responsabilidad por cualquier transacción no autorizada posterior a la presentación del reclamo.

En caso de rechazo, la entidad deberá emitir un informe técnico con evidencia y análisis forense, el cual será remitido tanto al usuario como a la Superintendencia General de Entidades Financieras y a la Policía Judicial.

La agenda fiscal de 2025 en América Latina: Digitalización, IVA y mayor control tributario

El rol de la SUGEF

Uno de los desafíos que trae consigo la norma es el rol de la Superintendencia General de Entidades Financieras (SUGEF) en la validación de los reclamos rechazados. La Ley 7558, conocida como Ley Orgánica del Banco Central, le atribuye funciones de supervisión y fiscalización de naturaleza prudencial y sistémica, orientadas a velar por la estabilidad del sistema financiero en su conjunto y no a resolver disputas concretas entre entidades supervisadas y sus clientes. Según el abogado, la entidad supervisora carece de atribuciones para mediar o resolver conflictos derivados de contratos privados, función que corresponde a las instancias judiciales competentes.

La normativa señala que la autoridad contará con un plazo de diez días hábiles para determinar si la decisión de la entidad está debidamente fundamentada. Si la Superintendencia no ratifica el rechazo, la entidad deberá restituir los fondos o reabrir la cuenta en un plazo máximo de diez días hábiles. En caso contrario, el usuario podrá acudir a la vía judicial.

Para Muñoz, este diseño plantea desafíos institucionales que podrían afectar la implementación de la ley.

“Aspectos esenciales como los estándares probatorios aplicables, los criterios para validar o rechazar las decisiones de las entidades financieras, o la naturaleza jurídica de los actos que emitiría la SUGEF en ese proceso, quedan sin definir en el texto legal, trasladando hacia la vía reglamentaria decisiones que inciden directamente en los derechos de los usuarios y en las obligaciones de las entidades supervisadas”, explica.

El especialista sostiene que el resultado es una brecha significativa entre lo que la ley exige y lo que, en su formulación actual, está en condiciones de garantizar.

Reformas legales en América Latina 2025: claves regulatorias que impactan la inversión y la gestión empresarial

Impacto en el sistema financiero

La implementación de la ley implicará cambios en los procesos internos de las entidades financieras. Entre las nuevas obligaciones se encuentran la habilitación de canales de atención continua, la adopción de protocolos de respuesta inmediata y el fortalecimiento de los sistemas de monitoreo y seguridad.

“Las entidades deberán implementar centros de atención con disponibilidad 24/7, avanzar en la automatización de sistemas de detección de transacciones sospechosas, fortalecer sus equipos de ciberseguridad e integrar canales que permitan respuestas en tiempo real”, advierte.

El impacto, sin embargo, no será homogéneo. Las entidades de mayor tamaño cuentan con infraestructura para adaptarse con mayor rapidez, mientras que las más pequeñas podrían enfrentar dificultades para cumplir con los nuevos estándares en el corto plazo, lo que podría generar asimetrías dentro del sistema.

La ley también introduce sanciones penales para quienes simulen ser víctimas de fraude con el fin de obtener un beneficio económico, con penas que van desde dos meses hasta diez años de prisión según el monto involucrado.

La estrategia de EY para convertir la complejidad regional en ventaja competitiva

Riesgos regulatorios y efectos sobre fintech

Desde una perspectiva regulatoria, la implementación de la ley dependerá de cómo se articule con las competencias actuales de las autoridades y con las reglas vigentes en materia de supervisión financiera.

“Será necesario establecer criterios técnicos uniformes que permitan a las entidades financieras aplicar la normativa de manera consistente. Sin lineamientos claros sobre procedimientos, estándares y alcances, existe el riesgo de generar incertidumbre jurídica tanto para las entidades como para los usuarios, lo que podría dificultar su aplicación efectiva en la práctica”, afirma.

El impacto también se extiende a las fintech y startups financieras, que deberán cumplir con estándares más exigentes en ciberseguridad, monitoreo y gestión de reclamos. El gerente senior de EY Law en Costa Rica indica que esto podría significar mayores barreras de entrada al mercado y dificultar el ingreso de emprendimientos en etapas tempranas y favorecer a actores consolidados.

En el plano regional, la experiencia costarricense se perfila como un posible referente en la evolución del derecho digital y en la protección del consumidor financiero frente a estafas electrónicas. En un sistema financiero en plena transformación, marcado por la digitalización, la irrupción de nuevos actores y la sofisticación creciente del fraude, la regulación enfrenta el desafío de adaptarse a dinámicas que avanzan más rápido que los marcos normativos tradicionales.

El uso de tecnologías como la inteligencia artificial generativa, que permite personalizar ataques a gran escala, y la creciente complejidad de los esquemas de suplantación de identidad, evidencian la necesidad de respuestas regulatorias más ágiles y especializadas.

“El sistema financiero está en plena transformación. La irrupción de nuevos actores, esquemas de servicio y canales digitales está redefiniendo la forma en que las personas acceden y utilizan los servicios financieros, y con ello, la naturaleza de los riesgos a los que están expuestas”, añade el abogado.

En medio de esta transformación digital, esta ley podría sentar un precedente relevante en la región, especialmente en la forma en que se distribuyen los riesgos en entornos digitales y en el alcance de la protección al consumidor. Su impacto en América Latina, sostiene Muñoz, dependerá de su implementación efectiva, del desarrollo de regulación técnica complementaria y de la capacidad institucional para sostener su vigencia frente a la rápida evolución del fraude digital.

“La regulación financiera enfrenta el reto de adaptarse a una realidad que cambia más rápido de lo que los procesos legislativos tradicionales permiten”, sentencia.

Add new comment

About text formats

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.

© El contenido de LexLatin, incluyendo todas sus imágenes, ilustraciones, diseños, fotografías, videos, íconos y material escrito, está protegido por derechos de autor, marcas y demás derechos de la propiedad intelectual, y es publicado para sus suscriptores y lectores con propósitos informativos únicamente. No se permite la reproducción, modificación, copia, distribución, reedición, transmisión, proyección o explotación de cualquier forma de los materiales o contenido publicado por LexLatin, a menos que el interesado obtenga la autorización escrita de LexLatin.