- La Ley 10.889 responsabiliza a los bancos por fraudes electrónicos y operaciones no autorizadas.
- La normativa invierte la carga de la prueba a favor del consumidor.
- Los bancos deben demostrar controles adecuados de autenticación y prevención.
- La evidencia digital y la trazabilidad pasan a ser críticas ante reclamos y auditorías.
El aumento del fraude electrónico en Costa Rica está comenzando a redefinir las exigencias regulatorias para la banca.
La magnitud del problema queda reflejada en las cifras: en 2025, el Organismo de Investigación Judicial (OIJ) registró 10.027 denuncias por estafas electrónicas, un aumento de 41% respecto al año anterior. Además, los ciberfraudes bancarios crecieron un 1.446% entre 2019 y 2025, de acuerdo con información brindada al Semanario Universidad por la misma entidad.
Ese contexto explica el alcance de la Ley 10.889, vigente desde el 22 de abril de 2026, que redefine la responsabilidad de los bancos costarricenses frente al fraude electrónico.
Con la nueva normativa, ante operaciones no autorizadas o fondos sustraídos mediante fraude, ahora son las entidades financieras las que deben demostrar que actuaron con la diligencia adecuada y que contaban con controles suficientes para prevenir el incidente.
Además de aumentar la presión regulatoria, la nueva ley obliga a las entidades financieras a fortalecer sus capacidades de control, autenticación y trazabilidad frente a reclamos y procesos de auditoría.
Cómo cambia la responsabilidad de los bancos frente al fraude electrónico en Costa Rica
La Ley 10.889 —“Protección a las Personas Consumidoras en la Custodia de su Dinero”—, que aplica a entidades financieras públicas y privadas autorizadas para custodiar fondos en Costa Rica, modifica la responsabilidad objetiva de las entidades financieras frente al fraude electrónico.
En la práctica, esto significa que el banco puede ser responsable por fondos sustraídos por terceros no autorizados incluso sin que exista culpa directa demostrada. La normativa además fortalece la protección del consumidor financiero e incorpora un cambio especialmente relevante para la banca: la inversión de la carga de la prueba.
“Hasta ahora, era el usuario quien debía demostrar que el banco había actuado negligentemente. Con la nueva legislación ocurre lo contrario: la entidad financiera debe acreditar que contaba con mecanismos adecuados de prevención, monitoreo y autenticación”, explica Matías Soto, Senior Regulatory Counsel en Sovos.
La inversión de la carga de la prueba y su impacto en la banca
La Ley 10.889 introduce un principio que probablemente marcará el mayor impacto operativo y jurídico para las entidades financieras: la inversión de la carga probatoria en favor del consumidor.
Esto quiere decir que ante un fraude electrónico, el banco deberá demostrar que implementó controles adecuados, actuó diligentemente y contaba con mecanismos suficientes de prevención.
La normativa exige acreditar medidas vinculadas al monitoreo transaccional, identificación de dispositivos y redes habituales, métodos de autenticación, comportamiento digital y detección de operaciones atípicas. Además, las transacciones sospechosas deben contar con validaciones o confirmaciones previas antes de ejecutarse.
Nuevos plazos, reclamos y restitución de fondos
La ley también formaliza el procedimiento de atención de reclamos por fraude electrónico.
El usuario dispone de 30 días naturales para presentar el reclamo junto con la denuncia ante el OIJ. Luego, la entidad financiera tiene 30 días para resolver el caso, con posibilidad de una única prórroga justificada.
Si el reclamo resulta procedente, el banco debe:
- Restituir los fondos en un máximo de 10 días naturales
- Eliminar cargos e intereses asociados
- Reparar integralmente al usuario
La normativa además establece consecuencias relevantes frente a incumplimientos, incluyendo compensaciones automáticas cuando la entidad responde fuera de plazo y la pérdida del derecho a rechazar el reclamo si transcurren 120 días sin resolución.
Por qué la Ley 10.889 obliga a fortalecer autenticación y evidencia digital
Aunque la regulación no impone tecnologías específicas, sí exige que las entidades financieras puedan demostrar que cuentan con controles adecuados para prevenir y detectar fraude. Eso obliga a la banca a revisar sus capacidades de autenticación, verificación de identidad, monitoreo transaccional, detección de anomalías y trazabilidad digital.
En este nuevo escenario, métodos como las tecnologías biométricas, prueba de vida, verificación documental y la firma electrónica segura, entre otros, adquieren un rol mucho más relevante, pues permiten generar evidencia verificable sobre quién realizó una operación, desde qué dispositivo, bajo qué contexto y mediante qué mecanismos de validación.
La Ley 10.889 crea además un escenario donde prevenir fraude y demostrar diligencia pasan a ser dos desafíos inseparables. Ya no basta con reducir incidentes; ahora también será necesario acreditar, con evidencia verificable, cómo se autenticó al usuario, qué controles existían al momento de la operación y qué mecanismos de prevención fueron aplicados.
Cómo ayuda Sovos a fortalecer la autenticación y la evidencia digital
Frente a este nuevo estándar regulatorio, las entidades financieras necesitan tecnologías que ayuden tanto a prevenir el fraude, como a generar evidencia verificable sobre los procesos de autenticación, validación y consentimiento digital.
En este escenario, la solución de verificación de identidad de Sovos combina métodos biométricos y no biométricos con múltiples capas de seguridad que permiten corroborar que una persona es efectivamente quien dice ser, tanto en entornos presenciales como remotos.
Estas capacidades pueden integrarse entre sí para construir esquemas de autenticación multifactor según las necesidades de cada organización. Además, la solución puede integrarse con diversos tipos de firma electrónica, robusteciendo los actos de firma.
Firma electrónica: evidencia y trazabilidad
Otro punto especialmente relevante bajo la Ley 10.889 es la capacidad de demostrar consentimiento, intención y autenticidad de las operaciones.
“En un entorno donde la carga de la prueba recae sobre la entidad financiera, la evidencia asociada a demostrar consentimiento respecto de cada operación adquiere un valor mucho más estratégico”, acota Matías Soto.
A tal efecto, la solución de firma electrónica de Sovos permite capturar evidencia completa del proceso de firma, incluyendo identidad, consentimiento y trazabilidad.
La solución incorpora además mecanismos orientados a reducir fraudes por suplantación de identidad, como validación biométrica del firmante, captura en video del proceso de firma, registro del autógrafo digital y generación de huellas de auditoría verificables que permiten acreditar identidad, intención y contexto (geolocalización, dispositivo utilizado, IP, entre otros) de la operación.
Esto permite a las entidades contar con evidencia electrónica robusta y trazable frente a auditorías, disputas, reclamos o procesos regulatorios, fortaleciendo su capacidad de demostrar consentimiento y autenticidad de las operaciones.
El desafío ya no es solo prevenir el fraude
La Ley 10.889 marca un cambio importante para la banca costarricense porque redefine la relación entre seguridad, responsabilidad y evidencia.
El foco ya no está únicamente en reducir incidentes de fraude electrónico. Ahora las entidades financieras también deben demostrar que cuentan con controles, mecanismos de autenticación y evidencia suficientes para responder ante reclamos, auditorías y procesos regulatorios.
Eso probablemente acelerará las inversiones en autenticación, biometría, monitoreo transaccional y trazabilidad digital en toda la industria financiera.
Preguntas frecuentes sobre la Ley 10.889 y el fraude electrónico en Costa Rica
¿Qué es la Ley 10.889 en Costa Rica?
Es la normativa que fortalece la protección del consumidor financiero frente a fraudes electrónicos y operaciones no autorizadas, aumentando la responsabilidad de las entidades financieras sobre los fondos bajo su custodia.
¿La Ley 10.889 obliga a usar biometría o autenticación multifactor?
No. La normativa es tecnológicamente neutra. Sin embargo, exige que las entidades puedan demostrar controles adecuados de prevención, detección y autenticación.
¿Qué significa la inversión de la carga de la prueba?
Significa que ya no es el consumidor quien debe demostrar que el banco falló. Ahora la entidad financiera debe probar que actuó diligentemente y que contaba con controles suficientes.
¿Qué controles exige la normativa?
La ley exige controles preventivos, detectivos y correctivos, incluyendo monitoreo transaccional, validación de identidad, autenticación y detección de operaciones atípicas.
¿Qué pasa si el banco no responde dentro de los plazos establecidos?
La normativa contempla compensaciones automáticas y, si transcurren 120 días sin resolución, la entidad pierde la posibilidad de rechazar el reclamo.
¿Por qué la evidencia digital adquiere tanta relevancia?
Porque la capacidad de demostrar quién realizó una operación, cómo se autenticó y qué validaciones existían puede ser determinante frente a reclamos, auditorías o procesos judiciales.
Descubre cómo Sovos ayuda a las entidades financieras a demostrar diligencia frente al fraude electrónico.
