Costa Rica: Asamblea Legislativa aprueba en primer debate ley que convierte la ciberseguridad en eje de la responsabilidad bancaria

Noticias26 de febrero de 2026
La iniciativa modifica la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor y el Código Procesal Civil, introduciendo un esquema de responsabilidad objetiva para las entidades financieras ante la sustracción fraudulenta de fondos de sus clientes.

San José, Costa Rica – 26 de febrero, 2026.

Por Redacción Écija

La Asamblea Legislativa aprobó ayer en primer debate el expediente N.º 23.908, “Ley de protección a las personas consumidoras en la custodia de su dinero”, una reforma que redefine el régimen de responsabilidad de las entidades financieras frente a fraudes electrónicos y posiciona la ciberseguridad como elemento determinante para la exoneración de responsabilidad legal.


Ciberseguridad como escudo jurídico

El nuevo texto establece que las entidades financieras responderán independientemente de la existencia de culpa por los daños derivados de fraudes electrónicos, incluso cuando provengan de terceros no autorizados.

No obstante, podrán exonerarse en casos de autofraude, o si demuestran que cumplen con los estándares adecuados de ciberseguridad que establezca la Superintendencia General de Entidades Financieras (SUGEF).

Este diseño normativo transforma la ciberseguridad en un elemento central de defensa jurídica y no únicamente en una función técnica interna.

Según Mauricio París, socio de ECIJA a cargo de las prácticas de Tecnología, Medios y Telecomunicaciones (TMT):

“Esta ley convierte la ciberseguridad en el principal mecanismo de defensa jurídica del sistema financiero. Ya no se trata solo de tener políticas o controles formales; las entidades deberán demostrar que cumplen estándares regulatorios robustos y verificables. La diferencia entre un programa de seguridad maduro y uno meramente declarativo podría definir la responsabilidad en litigios de alto impacto económico.”

Una figura humana se sienta en un banco frente a una serie de lamas verticales en un entorno urbano.

Un marco regulatorio que ya exige gobernanza digital robusta

La nueva ley se articula sobre un entorno regulatorio que ya ha venido reforzándose. En particular, el Acuerdo CONASSIF 5-24, Reglamento General de Gobierno y Gestión de la Tecnología de Información, vigente desde julio de 2024, establece obligaciones transversales para bancos, entidades financieras no bancarias, aseguradoras, puestos de bolsa y operadoras de pensiones.


Este reglamento impone requerimientos específicos en materia de:

  • Gobierno de TI y supervisión por parte del Órgano de Dirección.
  • Seguridad de la información y seguridad cibernética.
  • Gestión y comunicación de incidentes.
  • Resiliencia operativa digital.
  • Auditorías externas especializadas de TI.

En consecuencia, la eventual entrada en vigencia de esta ley generará un punto de convergencia entre la responsabilidad civil frente al consumidor y el cumplimiento técnico-regulatorio ya exigido por CONASSIF.


Para París:

“El sector financiero costarricense ya opera bajo un marco exigente que obliga a integrar la seguridad cibernética dentro del gobierno corporativo y la gestión integral de riesgos. Lo que hace esta ley es elevar ese estándar técnico a un plano directamente litigioso. El cumplimiento regulatorio dejará de ser solo un asunto de supervisión y pasará a ser un elemento probatorio central en tribunales.”


Inversión de la carga de la prueba

La reforma también introduce la inversión de la carga de la prueba en casos de fraude electrónico y defensa del consumidor, lo que incrementa la exposición procesal de las entidades financieras y refuerza la necesidad de contar con evidencia técnica documentada.


En la práctica, esto exigirá:

  • Auditorías técnicas trazables.
  • Evidencia de cumplimiento continuo del marco regulatorio en materia de gobierno y gestión de TI.
  • Protocolos robustos de respuesta a incidentes.
  • Integración formal de la ciberseguridad dentro del sistema de gestión de riesgo operativo.

Un punto de inflexión regulatorio

La aprobación en primer debate marca un punto de inflexión en la regulación financiera costarricense, alineando la protección del consumidor con estándares avanzados de gobernanza digital y resiliencia operativa.

La ciberseguridad deja de ser únicamente una obligación regulatoria y se convierte en un componente estructural de la defensa legal de las entidades financieras.

ECIJA dará seguimiento al segundo debate legislativo y eventual desarrollo reglamentario que emitirá la SUGEF, cuya definición técnica será determinante para el alcance práctico de esta reforma.


Para mayor información escríbanos a: hola.costarica@ecija.com

Socios relacionados

ACTUALIDAD #ECIJA