La Defensoría de los Habitantes hizo un llamado por la creciente vulnerabilidad de la sociedad frente a los fraudes cibernéticos que afectan a las personas usuarias del sistema financiero nacional, pero, ante todo, de no contar con un instrumento legal de protección al consumidor financiero.
Desde meses atrás, esta Defensoría ha señalado las debilidades normativas y la insuficiente protección de las personas usuarias de servicios financieros, particularmente en relación con las estafas y fraudes cibernéticos y rebajos no autorizados. El aumento exponencial de fraudes electrónicos ha dejado a miles de familias costarricenses sin respuestas claras y sin mecanismos efectivos de restitución de fondos.
Los consumidores financieros que han sido víctimas de este tipo de delincuencia, suelen ser revictimizados al verse sometidos a resoluciones, por parte de las entidades financieras, con información poco transparentes que les trasladan la responsabilidad y carga de la prueba, sin que se informe con precisión si los bancos han cumplido con los requerimientos de seguridad de sus sistemas informáticos.
En este sentido, la SUGEF en un informe enviado a esta Defensoría reconoce que las disposiciones del Acuerdo SUGEF 10-07 “… constituyen en una herramienta normativa robusta, ya que establece controles mínimos obligatorios, promueve la evaluación de riesgos conjuntos entre áreas técnicas y de negocio, y fomenta la educación en ciber higiene digital. Estas medidas permiten fortalecer la capacidad de las entidades supervisadas para prevenir y mitigar la ocurrencia de estafas informáticas”.
Destaca de su informe, que “en este sentido, la Superintendencia ejerce su rol de supervisión mediante la verificación del cumplimiento normativo, la emisión de observaciones formales, y, en caso de incumplimiento, la exigencia de medidas correctivas o sanciones administrativas”.
Es oportuno señalar que el Acuerdo SUGEF 10-07 establece una serie de obligaciones para los bancos y otras entidades supervisadas, a los que se les obliga a establecer controles preventivos, detectivos y correctivos que permitan, entre otros, identificar patrones transaccionales atípicos, preferencias en cuanto a días o fechas de sus operaciones, destinatarios frecuentes de envíos de fondos, montos, dispositivos electrónicos, formas de autenticación utilizadas habitualmente y navegadores utilizados habitualmente, etc.
En este contexto, la Defensoría ha insistido en que cuando los bancos rechazan los reclamos de las personas afectadas, deben fundamentar sus resoluciones bajo el principio de responsabilidad objetiva y acompañarlas de informes forenses completos, en los que se detallen los hallazgos técnicos, los controles aplicados y la trazabilidad de las transacciones electrónicas integrando lo señalado en el Acuerdo SUGEF 10-07; sin omitir que de acuerdo al criterio de la SUGEF, es una tarea que corresponde realizar a cada una de las entidades, a través de sus instancias internas (en caso de bancos privados) y a través de las Contralorías de Servicios en los Bancos públicos, de conformidad con las Ley Reguladora del Sistema Nacional de Contraloría de Servicios, N°. 9158.
Comparte esta Defensoría con la Superintendencia General de Entidades Financieras (SUGEF), que las regulaciones vigentes, el riesgo tecnológico y de ciberseguridad no puede eliminarse y que su actual marco regulatorio solo logra mitigar parcialmente las amenazas. La Defensoría plantea la necesidad de crear un indicador, que al igual que el de suficiencia patrimonial, permita identificar aquellas entidades supervisadas por SUGEF que cumplan con los índices de seguridad cibernética.
Este ranking, auditado por la SUGEF y de carácter público, permitiría evaluar y comparar a los bancos, entre otros criterios según su solidez de los sistemas de ciberseguridad, capacidad de respuesta ante incidentes, protocolos de restitución de fondos y transparencia en la información hacia las personas usuarias. De esta forma, la competencia entre entidades financieras no se limitaría a tasas y servicios, sino también a niveles verificables de protección frente a fraudes digitales, brindando confianza y seguridad a la ciudadanía.
Es como resultado de lo anterior, que la Defensoría de los Habitantes considera que, la discusión del Proyecto de Ley N.° 23908, actualmente en la Asamblea Legislativa, constituye una oportunidad para robustecer la protección financiera.
Un llamado urgente
La Defensoría de los Habitantes hace un llamado a la Asamblea Legislativa y al Poder Ejecutivo para priorizar un marco legal moderno que integre derechos humanos, seguridad cibernética y transparencia financiera.
“El país no puede seguir gestionando los fraudes cibernéticos con herramientas parciales que dejan desprotegida a la ciudadanía. Se requiere un marco regulatorio robusto, con medidas preventivas y correctivas claras, que coloque a las personas usuarias en el centro de la protección financiera”, enfatizó la Defensora de los Habitantes, Angie Cruickshank Lambert.