La reciente entrada en vigencia de la Ley N.º 10.889, que reforma la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, constituye uno de los cambios más relevantes en la regulación de los servicios financieros en Costa Rica en los últimos años.
Su lectura superficial podría llevar a concluir que se trata simplemente de una norma orientada a obligar a los bancos a responder por fraudes electrónicos. Sin embargo, una aproximación más detenida revela algo distinto: la norma introduce una modificación sustantiva en la forma en que se distribuye el riesgo dentro del sistema financiero.
No estamos ante una ampliación marginal de derechos del consumidor, sino frente a una transformación del modelo de responsabilidad aplicable a las entidades financieras.
El trasfondo del problema
El crecimiento sostenido de los fraudes electrónicos, particularmente aquellos asociados a esquemas de ingeniería social, evidenció una tensión estructural en el modelo tradicional de asignación de responsabilidad. En la práctica, el usuario que alegaba haber sido víctima de un fraude se enfrentaba a una barrera probatoria difícil de superar, mientras que la entidad financiera, amparada en la correcta utilización de credenciales, trasladaba el peso de la pérdida al cliente.
Este esquema, aunque jurídicamente defendible bajo parámetros clásicos de responsabilidad subjetiva, resultaba problemático desde una perspectiva material. La entidad financiera controla la infraestructura tecnológica, diseña los mecanismos de autenticación y administra los sistemas de seguridad, mientras que el usuario carece, en la mayoría de los casos, de los medios técnicos para demostrar una eventual falla. La asimetría no era solo económica, sino también informativa y probatoria.
Ley N.º 10.889: la introducción de un régimen de responsabilidad objetiva
En este contexto, la Ley N.º 10.889 opta por un cambio de enfoque. El eje de la reforma descansa en la introducción de un régimen de responsabilidad objetiva para las entidades financieras, lo que implica que la obligación de responder por la sustracción de fondos deja de depender de la acreditación de culpa.
Este desplazamiento conceptual es significativo. El análisis ya no gira en torno a si el banco actuó con negligencia, sino a la sola ocurrencia del daño en el marco de una actividad que, por su naturaleza, implica riesgos que deben ser gestionados por quien la desarrolla. Se trata, en esencia, de una lógica de distribución de riesgos propia de actividades altamente tecnificadas, en las que el proveedor se encuentra en mejor posición para prevenir, mitigar y absorber las consecuencias de eventuales fallas o ataques externos.
La inversión de la carga de la prueba como elemento estructural
Si la responsabilidad objetiva constituye el núcleo de la reforma, la inversión de la carga de la prueba es, probablemente, su manifestación más concreta y disruptiva. A partir de ahora, la dinámica del conflicto cambia radicalmente: ya no es el usuario quien debe demostrar que el banco falló, sino la entidad financiera la que debe acreditar que la transacción fue efectivamente autorizada o que existió una conducta dolosa o gravemente negligente por parte del cliente.
Este ajuste tiene implicaciones profundas desde el punto de vista procesal. La posición defensiva de las entidades financieras se ve sustancialmente alterada, en tanto se ven obligadas a construir activamente la prueba de sus eximentes, en un contexto donde la trazabilidad tecnológica, la evidencia digital y los estándares de autenticación adquieren un papel central.
La configuración de un procedimiento obligatorio de reclamación
La ley no se limita a redefinir el régimen de responsabilidad, sino que también introduce una estructura procedimental que ordena la forma en que estos conflictos deben ser atendidos. La entidad financiera queda obligada a activar mecanismos de investigación, adoptar medidas de contención y emitir una resolución dentro de plazos definidos.
Este diseño configura, en la práctica, una instancia interna de resolución de conflictos que, aunque no sustituye las vías administrativas o judiciales, sí condiciona el desarrollo posterior de cualquier controversia. La gestión del reclamo deja de ser un asunto operativo y pasa a tener una dimensión jurídica relevante.
Una lectura crítica: tensiones y desafíos
A pesar de la claridad de su objetivo, que es fortalecer la protección del consumidor, la ley plantea una serie de tensiones que no pueden ser ignoradas. El traslado del riesgo hacia las entidades financieras es prácticamente total, lo que abre la discusión sobre hasta qué punto resulta razonable exigir que el proveedor asuma incluso las consecuencias de conductas imprudentes del usuario, como la entrega voluntaria de credenciales bajo engaño.
Este escenario introduce, además, la posibilidad de un riesgo moral. Si el sistema es percibido como uno en el que la restitución es la regla, independientemente del comportamiento del usuario, podría debilitarse el incentivo para adoptar medidas básicas de seguridad.
Por otra parte, es previsible que este nuevo esquema tenga un impacto económico en el sistema financiero. La internalización del riesgo por parte de las entidades podría traducirse en ajustes en costos, rediseño de productos o incluso en la restricción de ciertos servicios digitales, particularmente aquellos que impliquen mayores niveles de exposición.
Finalmente, no puede perderse de vista que muchos de los conceptos introducidos por la ley, como el alcance de la negligencia del usuario o los estándares de autorización válida, requerirán desarrollo jurisprudencial. Será en la práctica donde se definan los contornos reales de esta reforma.
Implicaciones para la gestión del riesgo financiero
Desde una perspectiva operativa y estratégica, la ley obliga a las entidades financieras a replantear su aproximación al riesgo. La seguridad ya no puede entenderse únicamente como una cuestión tecnológica, sino como un elemento central de la gestión legal y reputacional.
Esto implica, necesariamente, una revisión de los mecanismos de autenticación, el fortalecimiento de los sistemas de monitoreo y la construcción de esquemas probatorios robustos que permitan acreditar, en caso necesario, la legitimidad de las transacciones.
En este nuevo contexto, la prevención deja de ser solo una buena práctica y se convierte en una exigencia estructural del modelo.
La Ley N.º 10.889 constituye una manifestación clara de una tendencia regulatoria más amplia: el desplazamiento del eje de protección hacia el consumidor en sectores caracterizados por alta complejidad técnica y asimetrías marcadas.
El reto, como suele ocurrir en este tipo de reformas, radica en alcanzar un equilibrio adecuado. Un sistema financiero eficiente requiere confianza del usuario, pero también condiciones que permitan la sostenibilidad operativa de quienes lo integran.
La verdadera medida del éxito de esta ley no estará en su formulación normativa, sino en su aplicación práctica. Será allí donde se determinará si el nuevo esquema logra corregir las distorsiones del modelo anterior o si, por el contrario, introduce nuevas tensiones que eventualmente deberán ser ajustadas, como ocurrió con la Ley de Usura, cuya implementación evidenció efectos no previstos por el legislador.
Autor: Lic. Diego Elizondo
Si desea conocer más en detalle sobre este tema, así como otros temas corporativos, puede escribir a diego@glclegal.com o contactar al equipo de GLC Legal.
