Normativa fija plazos, invierte carga de la prueba y endurece reglas frente a estafas electrónicas.
La ley aprobada por la Asamblea Legislativa que fortalece la protección de las personas usuarias del sistema financiero y establece la responsabilidad de las entidades bancarias frente a fraudes, incluso cuando no exista culpa directa de la institución, fue publicada este miércoles en el diario oficial La Gaceta, marcando así su entrada en vigencia.
La normativa, publicada como la Ley 10.889, reforma la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor para incorporar un régimen específico aplicable a entidades financieras públicas y privadas supervisadas.
El nuevo texto dispone que estas instituciones deberán responder por los daños ocasionados a los usuarios cuando se produzca la sustracción de dinero o patrimonio de sus cuentas por parte de terceros no autorizados, independientemente de la existencia de culpa.
La disposición abarca cualquier mecanismo utilizado para cometer el fraude, lo que incluye estafas electrónicas, transferencias no autorizadas o vulneraciones de seguridad.
Procedimiento para reclamos
La ley establece un deprocedimiento tallado para que las personas afectadas presenten sus reclamos. El usuario deberá interponer la gestión ante la entidad financiera dentro de los 30 días naturales posteriores al hecho y aportar una denuncia ante el Organismo de Investigación Judicial (OIJ).
Las entidades deberán disponer de formularios sencillos y accesibles para recibir estas reclamaciones y garantizar canales de atención permanentes, tanto presenciales como digitales.
Una vez presentado el reclamo, el banco contará con un plazo de 30 días naturales para investigar el caso y emitir una resolución. Este plazo podrá ampliarse una única vez por hasta diez días hábiles adicionales, siempre que se comunique previamente al usuario.
Durante la investigación, la entidad deberá demostrar que cumple con los estándares de seguridad exigidos por la Superintendencia General de Entidades Financieras (Sugef), así como que sus sistemas no han sido vulnerados.
Entre los elementos que deberá analizar figuran patrones de comportamiento del cliente, dispositivos utilizados, redes de conexión, métodos de autenticación y cualquier indicio de actividad atípica o sospechosa.
Condiciones para rechazar reclamos
La ley permite a las entidades financieras rechazar un reclamo únicamente cuando logren probar situaciones específicas, como la existencia de autofraude, dolo por parte del usuario o transferencias realizadas entre cuentas del mismo titular.
En estos casos, el banco deberá remitir un informe con evidencia técnica tanto al OIJ como a la Sugef. Esta última institución tendrá un plazo de diez días hábiles para validar si la decisión del banco se ajusta a la normativa y está respaldada por pruebas suficientes.
Si la Sugef no ratifica la negativa, la entidad deberá devolver los fondos al usuario en un plazo máximo de diez días hábiles. Si la confirma, la persona afectada podrá acudir a la vía judicial.
Restitución de fondos y medidas inmediatas
Cuando el reclamo resulte procedente, la entidad deberá reintegrar el dinero sustraído en un plazo máximo de diez días naturales. Además, deberá eliminar cualquier cobro de intereses o cargos asociados al fraude y devolver los montos ya cobrados junto con los intereses correspondientes.
La normativa también obliga a los bancos a bloquear de inmediato los productos o servicios financieros involucrados tras recibir el reclamo, así como a emitir un comprobante con la fecha y hora de la gestión.
Asimismo, las entidades deberán ofrecer alternativas para que el usuario pueda continuar operando mientras se resuelve el caso.
En los supuestos en que ocurran nuevas transacciones no autorizadas después de presentado el reclamo, la responsabilidad recaerá directamente sobre la entidad financiera.
Sanciones por incumplimientos
El texto establece consecuencias para las entidades que incumplan los plazos o procedimientos. Si el banco resuelve el reclamo fuera del tiempo establecido, deberá pagar al usuario una compensación equivalente a un salario base.
Además, si transcurren 120 días naturales sin que la entidad emita una resolución, perderá la posibilidad de rechazar el reclamo y deberá restituir los fondos de forma obligatoria.
Cambios en la carga de la prueba
Uno de los cambios más relevantes que introduce la ley consiste en la inversión de la carga de la prueba en favor de las personas consumidoras. Esto implica que, en casos de fraudes electrónicos y conflictos financieros, corresponderá a la entidad demostrar que actuó correctamente y que el daño no le resulta imputable.
Esta regla aplicará tanto en sede administrativa como judicial.
La normativa también impone nuevas responsabilidades a la Sugef y al Banco Central de Costa Rica. La Sugef deberá emitir y actualizar, al menos una vez al año, regulaciones orientadas a prevenir y reducir las estafas informáticas, incorporando estándares internacionales en materia de seguridad. Por su parte, el Banco Central deberá fortalecer los mecanismos de seguridad en sus plataformas de pago y colaborar en la prevención e investigación de estos delitos.
Asimismo, las entidades financieras deberán implementar protocolos de atención inmediata para víctimas de fraude, capacitar a su personal y brindar información periódica a los usuarios sobre medidas de seguridad.
La ley también tipifica el delito de autofraude, entendido como la simulación de una estafa para obtener un beneficio económico. Quienes incurran en esta conducta enfrentarán penas que van desde dos meses hasta diez años de prisión, dependiendo del monto defraudado.
La normativa rige desde este miércoles y establece plazos transitorios para que las entidades financieras y la Sugef adapten sus procedimientos y regulaciones. Entre ellos, se fija un máximo de seis meses para implementar protocolos de atención a víctimas y actualizar la normativa técnica correspondiente.