Profesor Víctor Pérez Vargas, (UCR).
Según reporta Juan José Herrera: «Los diputados de la Comisión Plena III aprobaron el 25 de febrero 2026, en primer debate y por unanimidad, el expediente 23.908, que obliga a los bancos y demás entidades financieras formales a indemnizar a sus clientes que sean víctimas de estafa».
Revisé, en su momento, el proyecto de reforma al artículo 35 de l y me permito hacer las siguientes observaciones:
1. En 1995, me correspondió redactar la Ley N° 7472 de Promoción y Defensa Efectiva al Consumidor, junto con la Licenciada Mariela Hernández y el Dr. Gonzalo Fajardo (Ministro de Economía).
En el artículo 35, quisimos establecer una norma general, que comprendiera a todo fabricante, proveedor de bienes y servicios o comerciante.
La Ley actual es general: establece la responsabilidad OBJETIVA (sin necesidad de demostrar culpa) de todo productor, proveedor o comerciante.
Esta norma comprende, pues, a todo proveedor de servicios (financieros, bancarios, de aseguramiento o de pensiones), o de cualquier otro servicio (viajes, por ejemplo, donde suelen ocurrir estafas), profesionales, talleres de reparación, empresas de transporte de personas o cosas, proveedores de alimentos, etc.
No hay necesidad de hacer una ley específica de responsabilidad para cada una de estas actividades. Sería interminable.
2. En la exposición de motivos de la reforma proyectada se admite que: “Desde la creación de la Ley N°7472 de Promoción y Defensa Efectiva al Consumidor se garantizan los derechos de las personas consumidoras en las actividades y prestación de servicios de parte de los comerciales o el agente económico a cargo de brindar la actividad. En el caso de los bancos no solo estarían obligados a procurar la protección de todo riesgo contra la salud, la seguridad o la integridad de quienes utilizan sus servicios derivados propiamente de la intermediación financiera, sino también todo riesgo que pueda significar para los usuarios y consumidores el simple uso y disfrute de los servicios que ofrece”. Así es, actualmente.
3. Tal como está hoy la Ley, los bancos deben responder por los fraudes en perjuicio de los ahorrantes o cuentacorrentistas, consumidores de sus servicios, SALVO que se trate de fuerza mayor o de culpa de la víctima (como cuando ésta entrega a un extraño los datos de acceso a su cuenta o información personal, deja que su tarjeta salga de su vista y sea clonada, da su “pin”, no reporta el extravío de ésta, la presta a terceros, hace compras por Internet en sitios no seguros o utiliza servicios de transferencia electrónica de fondos sin un adecuado antivirus que proteja contra “malware” y “spyware”).
Los argumentos de que el delincuente es un tercero o de que el banco tomó todas las precauciones para evitar el daño, de conformidad con las orientaciones jurisprudenciales antes mencionadas, no son eximentes de responsabilidad para el banco. (noviembre del 2007, la Sala Tercera de la Corte Suprema de Justicia).
El hecho delictivo realizado por un tercero, sin relación alguna con el comerciante demandado, no descarta la responsabilidad civil OBJETIVA del prestador del servicio por los daños producidos en la persona o bienes del consumidor, en razón de haber ocurrido dentro de la esfera del servicio que se le brinda; así lo ha establecido la jurisprudencia (casos de robos o daños en estacionamientos).
4 De hecho, el artículo 35 citado YA SE HA APLICADO en varios casos de responsabilidad OBJETIVA de los bancos por fraudes informáticos (independientement
Por ejemplo: 2008 Fraudes informáticos. Sentencia c. Banco de Costa Rica. Transcripción de sentencia oral. 15:00del día 19 de septiembre del año 2008. TRIBUNAL PROCESAL CONTENCIOSO ADMINISTRATIVO Y CIVIL DE HACIENDA. … tal y como se ha venido insistiendo a lo largo de este fallo, no es dable analizar ni la culpa ni el dolo del demandado en la producción de ese daño, pues basta con la configuración del riesgo creado y su nexo causal, el cual quedó ciertamente configurado en la especie. Por ello, nace el deber aquí de resarcir a la actora en cuanto a la lesión, provocada, a la cual, sin duda, tiene derecho. … se impone declarar la presente demanda en los términos que se dirán ordenándole al banco el pago de las sumas sustraídas en dólares así como las extraídas en colones y que deben incluir los intereses a partir de las fechas de sustracción.
2008 Fraudes informáticos. Sentencia 743-08 de las 14 horas 10 minutos del 26 de setiembre de 2008. TRIBUNAL PROCESAL CONTENCIOSO ADMINISTRATIVO Y CIVIL DE HACIENDA. Lo cierto es que el Banco pone a disposición del cliente un servicio donde el riesgo es inherente a su prestación, y donde está indisolublemente ligada la seguridad, acentuando ese riesgo el desarrollarse en un medio virtual a todas luces riesgoso. … Que el Banco es responsable por el daño o la lesión que se produjo en la esfera patrimonial del actor, pues se logró probar que el servicio brindado lo hace en un medio de riesgo, y que entre el daño causado y el hecho dañoso, se da una relación de causalidad.
2008 Fraudes informáticos. Sentencia 802-2008. Quince horas del día 9 de octubre del 2008. Banco Nacional. TRIBUNAL PROCESAL CONTENCIOSO ADMINISTRATIVO Y CIVIL DE HACIENDA. SECCIÓN CUARTA ANEXO A, II CIRCUITO JUIDICIAL DE SAN JOSÉ. “… el artículo 35 de la misma Ley del Consumidor, señala un régimen de responsabilidad que excluye la culpa como elemento de imputación de daños causados en razón del bien, el servicio, informaciones inadecuadas o insuficientes, sobre ellos o de su utilización o riesgo; liberándose de esa responsabilidad únicamente quien demuestre que ha sido ajeno al daño. Bajo esta premisa el criterio de imputación es el riesgo creado, el que excluye los criterios de antijuricidad y culpabilidad. Es importante indicar que han expuesto, ante este tribunal, los representantes del banco demandado, que por encontrarnos ante una responsabilidad derivada de una relación contractual, no aplica la responsabilidad objetiva, sino la subjetiva. No obstante, este órgano no comparte tan respetables argumentos de los demandados, toda vez que tal y como lo señalaron los representantes del banco, para con sus clientes ellos establecen una relación estrictamente comercial, en este caso iniciada por 2 contratos de ahorros y posteriormente por el contrato de banca electrónica, es lo cierto que aun y reconociendo tal nexo contractual propio de las relaciones de comercio, el legislador estableció en la ley ya citada, en los numerales 31 y 35, ambos contenidos dentro del capítulo de defensa del consumidor, un régimen de responsabilidad objetiva, que en el caso concreto deriva de una relación comercial entre el banco y su cliente, el que quiebra si se quiere con la exposición doctrinal, según la cual es régimen de responsabilidad contractual, es siempre es subjetivo y es bajo este marco normativo que analiza este tribunal el caso sometido a su conocimiento. Bajo esta tesitura, el régimen de responsabilidad, entonces, es objetivo y sobre este tema en concreto, de responsabilidad objetiva, la Sala I de la Corte Suprema de Justicia se ha pronunciado en reiteradas resoluciones, entre las que se enumeran, a modo de ilustración, la número 354 de las 10 horas del 14 de diciembre del 1990, la número 61 de las 14 y 50 horas del 19 de junio de 1997, la número 376 de las 14 horas y 40 horas del 9 de julio del 99, la 346-F-2001 de las 16 horas 45 minutos del 22 de agosto 2001 , la número 295-F-2007, y la número 655 de las 15 y 5 horas del 19 de setiembre del 2007, entre muchas otras. De ellas se extrae, en lo sustancial, que quien ejerce o se aprovecha de una actividad con elementos potencialmente peligrosos para los demás, debe soportar sus inconvenientes. El criterio de imputación de esta responsabilidad está constituido primordialmente por el riesgo creado o la conducta creadora de él; elemento que sustituye los elementos de culpa o antijuricidad, propios de la responsabilidad subjetiva. Desde este punto de vista esta responsabilidad requiere la configuración de 3 elementos, a saber: 1. El empleo de cosas que conlleve peligro o riesgo; 2. Causar un daño y 3. La relación causal entre la conducta riesgosa y el daño ocasionado. Otra consecuencia importante de esa teoría se ubica desde el punto de vista procesal, pues se inicia una inversión de la carga de la prueba; puesto que el actor queda exonerado de probar la falta o la culpa, elementos que carecen de interés para la configuración de su derecho, como ya se señaló; pero sí nace para el demandado un deber probatorio de acreditar la configuración de las eximentes de la responsabilidad que podrían romper el nexo causal necesario para el surgimiento de la responsabilidad. En este litigo, la responsabilidad se conforma entonces por la existencia de los 3 elementos mencionados anteriormente. Tenemos en cuanto al riesgo creado, que está constituido por la actividad de servicio bancario en línea, ofrecido como tal, a través de la internet; el daño de carácter patrimonial se sustancia en la sustracción del dinero en las cuentas de ahorro del actor, por la suma de 1.120.000 colones, lo que quedó debidamente acreditado en autos con la prueba confesional evacuada a él; así como la investigación en sede administrativa que llevó el propio BNCR, en la que de manera reiterada se le explicó al accionante, que el banco al conocer las actividades delictivas de la eran objeto sus clientes, a través de la banca en línea, los alertó de las precauciones que debían tomar. En el presente caso este tribunal llama la atención en el hecho de que el señor Loría, en el mes de junio, alertó al banco de que había recibido un correo sospechoso. Esto lo hizo por vía telefónica, lo único que se le indicó en aquel momento era que lo borrará y lo se le pidió su número de cédula y el nombre.
Lamentablemente, tenemos que decirlo así, no se le advirtió de cambiar sus claves de seguridad, o también como lo expresó el representante del BNCR, durante la evacuación de la prueba confesional, tampoco se le indicó que cerrara las cuentas, que era lo mejor ante el peligro que corría su patrimonio: con esto se hubiera evitado un conflicto al actor y tener que perder sus ahorros.
5. Es cierto que en algunos casos ha sido rechazada la demanda del consumidor financiero. Pero ello ha ocurrido cuando éste ha incurrido en alguna culpa, como negligencia o imprudencia en el manejo de su cuenta, su tarjeta o su contraseña, por ejemplo cuando ha entregado sus datos personales a otra persona.
6. La reforma que se propone, lo que hace especificar la ley general. Por ello, no me parece necesaria.
7. Por un lado, me parece una reforma muy limitada: no sólo de la custodia de ahorros es responsable la entidad bancaria, sino de todo servicio bancario, donde el cliente pueda resultar perjudicado, incluso en su vida, en caso de un asalto, como en el caso del banco de Monteverde (Caso del asalto al Banco de Costa Rica de Monteverde contra Erlyn Hurtado Martínez, por el delito de Homicidio Calificado y otros. Responsabilidad civil del Banco Nacional de Costa Rica. Res: 2007-01333 SALA TERCERA DE LA CORTE SUPREMA DE JUSTICIA. dos de noviembre de dos mil siete: en noviembre del 2007). También podría ocurrir en fraudes en fideicomisos, transferencia de fondos, cajas de seguridad, y tantas otras actividades en que los bancos pueden incurrir en responsabilidad.
8. Tampoco puede limitarse la responsabilidad objetiva de los bancos a la sustracción de dinero o del patrimonio de las cuentas de ahorro, por un tercero ilegítimo, pues puede haber otras causas. Basta que haya un indebido funcionamiento de los programas del banco que cause daño o perjuicio para que surja la responsabilidad objetiva.
9. Por otro lado, me parece muy específico. Hay otros proveedores de servicios financieros donde ser podrían presentar fraudes, por ejemplo, en materia de seguros y de pensiones.
10. Comparto los fundamentos fácticos de la exposición de motivos del proyecto, pero el problema no está en el artículo 35. No es un problema de ley de fondo, sino procesal.
1. El proyecto de ley hoy aprobado, efectivamente reitera el tema de la responsabilidad objetiva, la cual desde las Defensoría de los habitantes, hemos podido constatar siquiera es tomada en consideración en cientos de resoluciones administrativas de los bancos a las que hemos tenido acceso, durante los últimos años. Pero en todo caso, lo que abunda no hace daño.
2. En temas de procedimiento, y fue a petición de la Defensoría, el proyecto de ley incorporó el procedimiento reglado de la resolución 10-07 de la SUGEF. Y por qué, para evitar a hacer una referencia y este luego fuera modificado.
3. Este procedimiento establece dos niveles de responsabilidad. En el primero el Banco es quien debe demostrar que ha cumplido con los criterios técnicos de seguridad hoy dispuestos en la resolución 10-07. En este sentido la ley no impuso ningún criterio técnico nuevo distinto al que ya aprobó la SUGEF.
4. Este procedimiento obliga a los bancos al Perfilamiento, es decir corresponde al banco detectar que algo anda mal, incluso si el estafador tiene tu clave.
Si un estafador te aplica ingeniería social y logra entrar a tu cuenta, el sistema de perfilamiento del banco debería notar entre otros aspectos lo siguiente:
• Es un dispositivo nuevo (nunca antes usado).
• Se conecta desde una IP sospechosa.
• Intenta transferir el 80% de tus ahorros a una cuenta destino que nunca habías inscrito.
5. De último efectivamente queda la valoración de la conducta del cliente, donde se excluye el auto fraude.
6. El proyecto da protección a todos los servicios en línea, por lo que se limita a cuentas bancarias, es más amplio en su concepto.