Costa Rica se está convirtiendo, peligrosamente, en un terreno fértil para el fraude bancario. No porque sus ciudadanos sean ingenuos en masa, sino porque el sistema que debería protegerlos ha demostrado ser insuficiente. Los números no mienten: más de 22 casos diarios y pérdidas que superan los ₡4.400 millones y $3.2 millones solo en 2024, según el Organismo de Investigación Judicial. Y lejos de mejorar, la tendencia se acelera: más de 22.000 estafas desde 2020 y un 2025 que arrancó con una intensidad que ya representa una cuarta parte de los casos del año anterior.
Lo más desconcertante es que no estamos frente a técnicas sofisticadas dignas de una novela de espionaje. Los fraudes siguen el mismo libreto básico: enlaces falsos enviados por mensajes, páginas clonadas que imitan a los bancos y transacciones que el cliente jura no haber autorizado. Es decir, el problema no es la genialidad del delincuente, sino la persistencia de una debilidad estructural que nadie parece dispuesto a corregir de raíz.
Porque aquí viene el punto incómodo: cuando el dinero desaparece, el banco rara vez duda. La respuesta es casi automática, fría, burocrática: “la transacción fue autorizada”. Y con esa frase, el cliente queda solo, enfrentando no solo la pérdida económica, sino la carga de probar que fue víctima de un sistema que falló. No de un descuido personal, sino de un entorno digital donde las barreras de seguridad claramente no están funcionando como deberían.
Casos concretos sobran. Personas que pierden millones al intentar ingresar a plataformas legítimas, familias que ven evaporarse sus ahorros en cuestión de minutos, usuarios que ni siquiera estaban en su casa cuando supuestamente “autorizaron” una operación. Y aun así, la narrativa institucional insiste en lo mismo: la culpa es del usuario. Una explicación cómoda, pero cada vez más difícil de sostener.
Por eso empieza a tomar fuerza un cambio que los bancos no ven con buenos ojos: una nueva legislación que busca equilibrar la cancha. No se trata de premiar la negligencia, sino de reconocer una realidad evidente: el riesgo digital no puede recaer exclusivamente sobre el cliente. Esta normativa introduce algo que para el sistema financiero resulta casi herético: la posibilidad de que el banco tenga que demostrar que su plataforma era segura y que el usuario actuó con negligencia grave. Es decir, invierte la lógica tradicional y obliga a las entidades a responder por lo que durante años consideraron un problema ajeno.
No es casualidad que la Asociación Bancaria Costarricense haya levantado la voz en contra. Alegan riesgos para la estabilidad del sistema, posibles abusos, costos adicionales. Todo eso puede ser cierto en algún nivel. Pero hay una pregunta más simple que no han logrado responder con claridad: si sus sistemas son tan seguros como afirman, ¿por qué los fraudes siguen ocurriendo con esta frecuencia casi industrial?
La respuesta, aunque incómoda, parece evidente. La inversión en ciberseguridad no ha sido proporcional al crecimiento del riesgo. Durante años, la banca digital avanzó más rápido que sus mecanismos de defensa. Se priorizó la comodidad, la rapidez, la expansión de servicios, pero no se reforzaron con la misma intensidad los sistemas de detección, autenticación y prevención. Y cuando el problema estalló, la estrategia fue trasladar la responsabilidad al usuario.
Pero ese modelo está agotado. La confianza, que es el verdadero activo del sistema financiero, se erosiona cada vez que un cliente pierde su dinero y recibe como respuesta un formulario de rechazo. La nueva ley, impulsada en buena medida por la presión de las propias víctimas organizadas, no es un ataque al sistema bancario; es un intento de corregir un desequilibrio que se volvió insostenible.
Costa Rica está entrando en una etapa distinta, donde el fraude bancario ya no puede tratarse como una suma de casos individuales, sino como una falla estructural. Y en ese contexto, los bancos tendrán que decidir si continúan defendiendo un modelo que los protege a ellos pero deja expuestos a sus clientes, o si finalmente asumen que la ciberseguridad no es un costo operativo más, sino una obligación esencial. Porque en el fondo, la discusión no es técnica ni legal. Es una cuestión de responsabilidad. Y durante demasiado tiempo, esa responsabilidad ha estado en el lugar equivocado.