En Costa Rica tenemos una maña legislativa que ya sale cara: aparece un problema real, sube la indignación, se pone de moda una solución ruidosa y la Asamblea corre a aprobar una ley simpática, populista y mal hecha. Ese fue el caso de la famosa Ley de Usura (que todavía algunos quieren defender, pese a la evidencia clara de exclusíón de miles de personas del sistema financiero) Ejemplos sobran en esta cuatrienio. Eso, a mi juicio, es exactamente lo que ocurrió con el expediente 23.908. Una ley con un nombre larguísimo, pero que la mayoría de la población conoce como la «Ley de Estafas Bancarias».

Que quede claro desde el arranque: proteger a las personas frente al fraude financiero es correcto. Absolutamente correcto. Nadie serio puede defender que una persona vea desaparecer su plata y quede botada entre el banco, el OIJ y un trámite eterno. El problema existe, es grave y exige respuesta. El punto no es ese. El punto es otro: una buena causa no justifica una mala ley.

Y esta ley, francamente, es una mala ley.

El proyecto aprobado no solo endurece la responsabilidad de las entidades financieras. También crea un procedimiento especial de reclamo, impone plazos perentorios, somete la negativa del banco a validación de la SUGEF prevé restituciones obligatorias si no se cumplen ciertos plazos e introduce inversión de la carga de la prueba tanto en sede administrativa como judicial. Además, obliga a reportar información a la SUGEF y al OIJ y le encarga a la SUGEF emitir normativa obligatoria y actualizarla periódicamente.         

Dicho en buen tico: la Asamblea quiso mandar un mensaje fuerte. El problema es que lo hizo de forma chambona, para quedarle bien a las redes sociales, y engañar a las personas que se fueron a parar en las barras creyendo que con esto se les iban a resolver problemas del pasado (nada más lejos de la realidad).

Vamos a ver, la ley tiene defectos de fondo que son evidentes.

El primero es la reserva de ley insuficiente. La Asamblea decidió entrar en una materia donde se cruzan fraude electrónico, ciberseguridad, trazabilidad digital, privacidad, supervisión financiera y consecuencias patrimoniales fuertes. Y en vez de cerrar bien el marco legal, dejó demasiadas cosas en manos de la SUGEF: indicadores recurrentes de eficacia y eficiencia en seguridad cibernética, parámetros de análisis y hasta “cualquier otro aspecto” relevante. En otras palabras, el legislador no amarró bien lo esencial y le pasó la bronca al regulador. 

El segundo es el desequilibrio del régimen de responsabilidad. La ley parte de una lógica en la que las entidades financieras responden independientemente de la existencia de culpa por la sustracción de fondos causada por un tercero ilegítimo, y luego les impone un procedimiento donde deben acreditar controles, justificar su negativa y enfrentar restituciones forzadas si SUGEF no la ratifica o si vencen ciertos plazos. Eso se parece demasiado a una responsabilidad cuasi objetiva.   

Y aquí los bancos públicos claramente advirtieron que el proyecto hace una asignación objetiva y amplia de responsabilidad, incluso en casos donde la sustracción deriva de redes criminales organizadas, sin una ponderación adecuada del comportamiento del usuario ni del nexo causal. También señalaron la omisión de la culpa grave como elemento indispensable para mantener un equilibrio razonable entre derechos y deberes y evitar incentivos perversos. Esa observación, francamente, es difícil de descartar a la ligera. 

Porque ese es el punto de fondo: una cosa es fortalecer la protección del usuario, y otra muy distinta es borrar casi por completo del análisis la conducta del usuario, la culpa grave, el engaño sofisticado y el nexo causal. Cuando una ley legisla como si todo fraude fuera imputable, en la práctica, a un solo actor, deja de ser una herramienta seria de política pública y se convierte en un instrumento de simplificación política.

El tercer defecto es la seguridad jurídica. Un análisis serio da cuenta de contradicciones, de arbitrariedad, de afectación al debido proceso, a la razonabilidad y a la proporcionalidad, y de superposición con marcos de responsabilidad ya existentes. Servicios Técnicos, por su parte, también levantó objeciones sobre seguridad jurídica y sobre la falta de definición cerrada de conceptos como “autofraude”, además de advertir inconsistencias terminológicas dentro del propio expediente.   

Y eso no es menor. Cuando usted monta consecuencias patrimoniales, procesales y regulatorias tan fuertes sobre conceptos vagos o mal cerrados, la ley deja de dar certeza y empieza a fabricar litigio.

El cuarto problema es la reforma procesal metida a machete. El proyecto no se conforma con regular el reclamo financiero. También modifica la Ley General de la Administración Pública y el Código Procesal Civil para establecer inversión de la carga de la prueba a favor de las personas consumidoras en casos relacionados con fraudes electrónicos personales o de cualquier tipo de entidad financiera. Eso es amplísimo. Demasiado amplio. Mucho más amplio que el problema concreto que dice querer resolver.   

Y el quinto defecto, quizá el más importante desde política pública, es el de los incentivos perversos. Esta ley puede incrementar costos sistémicos que inevitablemente se trasladarán al conjunto de los usuarios, afectando aún más la inclusión financiera de las poblaciones más sensibles, tarifas, acceso al crédito y sostenibilidad del sistema. También advierte que no ataca el núcleo del crimen organizado y que traslada el peso económico, operativo y reputacional a las entidades sin concentrarse en los verdaderos perpetradores. 

Eso merece tomarse en serio. Porque aquí hay una tentación muy tica: creer que decir “que pague el banco” equivale a proteger al ciudadano. No siempre. A veces es exactamente al revés. A veces lo que se hace es encarecer el sistema, endurecer filtros, meter más fricción y terminar trasladando el costo a la misma persona que se prometía proteger.

Eso ya lo hemos visto antes. Buenas intenciones. Mala técnica. Consecuencias no previstas. (Nuevamente Ley de Usura…y otras de este periodo que no menciono porque sus efectos todavía no son claros, peeero…que estoy casi seguro no serán lo que la gente cree)

Por eso creo que el Presidente debería vetar esta ley.

No para defender a los bancos. No para minimizar el fraude. No para dejar tirada a la persona usuaria. Todo lo contrario.

Debería vetarla porque una ley que toca privacidad, datos conductuales, ciberseguridad, reglas probatorias, potestades regulatorias y responsabilidades patrimoniales no puede redactarse a fajazos

Debería vetarla porque si un texto sustitutivo introdujo cambios relevantes, el trámite tenía que rehacerse con más cuidado.

Debería vetarla porque omitir la culpa grave, debilitar el nexo causal y cargarle casi toda la cuenta a un solo actor no es equilibrio: es populismo legislativo.

Y debería vetarla porque si de verdad queremos proteger a la gente del fraude financiero, lo que toca es una ley mejor: más precisa, más seria, más técnica y menos efectista.

A veces vetar una ley no es oponerse al objetivo.

A veces vetar una ley es evitar una torta.

Y esta, sinceramente, tiene toda la pinta de ser una.