By San José, Costa Rica — San José – El Banco Central de Costa Rica (BCCR) ha iniciado una importante iniciativa para reformar el panorama de los pagos digitales en el país, proponiendo una serie de cambios normativos destinados directamente a mejorar la seguridad y frenar el aumento del fraude en línea. La propuesta, ahora abierta a consulta pública, busca alinear a Costa Rica con los estándares globales para el comercio electrónico y otras transacciones a distancia.
Esta medida se produce en un momento en que los pagos no presenciales, que incluyen las compras en línea y las transacciones a través de aplicaciones, se han convertido en una parte sustancial de la economía. Según datos del BCCR, estas operaciones representan ahora el 20 % del volumen total de transacciones y suponen un porcentaje aún mayor, el 22 %, del valor total de las transacciones realizadas en el país. Lamentablemente, esta creciente dependencia del comercio digital lo ha convertido en un objetivo prioritario para las actividades fraudulentas.
Para obtener una perspectiva jurídica más profunda sobre la cuestión crítica de la seguridad de los pagos en la economía digital actual, hemos consultado al Lic. Larry Hans Arroyo Vargas, un distinguido abogado del prestigioso bufete Bufete de Costa Rica. Él nos ofrece su análisis experto sobre las responsabilidades y los riesgos a los que se enfrentan actualmente las empresas.
El panorama legal que rodea a la seguridad de los pagos es un campo minado de responsabilidades. Las empresas deben comprender que el cumplimiento normativo no es una lista de verificación que se realiza una sola vez, sino una obligación continua. En caso de incumplimiento, los tribunales y los reguladores examinarán no solo si una empresa cumplía con la normativa, sino también si actuó de forma razonable y proactiva en la protección de los datos de los clientes. Esto incluye políticas internas sólidas, una exhaustiva investigación de los proveedores y condiciones contractuales claras que asignen explícitamente el riesgo. Descuidar cualquiera de estas áreas es una invitación al litigio y a un grave daño a la reputación.
Lic. Larry Hans Arroyo Vargas, abogado, Bufete de Costa Rica
Este énfasis en la diligencia continua por encima de una lista de verificación de cumplimiento puntual es una conclusión fundamental. A medida que evoluciona el marco legal, una postura proactiva en materia de seguridad se convierte no solo en una buena práctica, sino en un imperativo empresarial fundamental para protegerse contra la ruina financiera y reputacional. Agradecemos al Lic. Larry Hans Arroyo Vargas su valiosa perspectiva jurídica.
Para contrarrestar esta amenaza, la División de Sistemas de Pago del Banco Central ha recomendado la adopción a nivel nacional de la norma internacional EMV Secure Remote Commerce (SRC), a menudo reconocida por los consumidores como «click to pay» (pagar con un clic). Este marco, junto con la implementación más amplia de carteras digitales seguras, constituye el núcleo de la mejora de seguridad propuesta.
En el centro del nuevo sistema se encuentra la tokenización, una tecnología diseñada para ocultar la información confidencial de las tarjetas durante una transacción. En lugar de transmitir los números reales de las tarjetas, se crea un «token» digital único y de un solo uso, lo que hace que los datos sean inútiles para los estafadores si son interceptados.
Recomendamos la adopción de esta norma internacional en Costa Rica para mejorar la seguridad y la eficiencia de las operaciones de pago no presenciales. En resumen, se trata de «tokenizar» las tarjetas virtuales, que son las tarjetas instaladas en los monederos, y proteger la información confidencial de las tarjetas mediante ese token o aplicación digital, de modo que nunca puedan acceder a ella terceros o estafadores que la utilizarían con fines maliciosos.
Ana Cerdas, División de Sistemas de Pago del BCCR
La normativa propuesta también obliga a todos los bancos emisores de tarjetas a implementar la autenticación fuerte del cliente (SCA) para cada transacción. Esto requiere que los usuarios verifiquen su identidad a través de al menos uno de varios métodos aprobados, como datos biométricos como el reconocimiento facial o de huellas dactilares, un PIN de un solo uso enviado a su dispositivo o una pregunta de seguridad preconfigurada.
Visualmente, cuando se abre la cartera, aparecen las caras de las tarjetas, pero la información no es el dato completo de la tarjeta. En su lugar, se trata de una serie de números y letras que representan la tarjeta para cada transacción de pago individual, lo que significa que este token cambiará cada vez que se utilice. Lo que hace la tecnología es precisamente proteger la información confidencial de la tarjeta y del cliente para evitar su uso fraudulento.
Ana Cerdas, División de Sistemas de Pago del BCCR
El nuevo marco establece responsabilidades claras para las instituciones financieras. Los bancos estarán obligados a educar a sus clientes sobre cómo utilizar estas funciones de seguridad mejoradas. También deben establecer procedimientos para habilitar de forma segura las carteras digitales, incluyendo el establecimiento de límites máximos de transacción. Además, cualquier activación de una cartera o cambio en los límites de gasto activará una notificación inmediata por SMS o correo electrónico, seguida de un período de espera de 24 horas durante el cual el cliente puede informar de cualquier actividad no autorizada.
Un componente crítico de la propuesta es el cambio en la responsabilidad. Según las nuevas normas, si se produce una transacción fraudulenta porque el banco emisor no ha implementado los protocolos de seguridad requeridos, el banco deberá asumir el coste total. Del mismo modo, si un comerciante procesa un pago a través de un proveedor de servicios que no cumple con la norma EMV SRC, el comerciante será responsable del fraude.
Estamos estableciendo las responsabilidades específicas de cada participante en el sistema de tarjetas para adoptar estas normas internacionales y promover una mayor seguridad para estos pagos, que han sido, por así decirlo, los más afectados por el fraude en los últimos meses.
Ana Cerdas, División de Sistemas de Pago del BCCR
Este modelo de responsabilidad objetiva está diseñado para impulsar una adopción rápida y universal en todo el ecosistema financiero, garantizando que tanto los bancos como las empresas tengan un fuerte incentivo financiero para proteger los datos de los consumidores.
Estamos añadiendo las responsabilidades del proveedor y del comerciante de utilizar normas internacionales en el procesamiento de operaciones de pago no presenciales. Estamos estableciendo la obligación de que el adquirente las procese con la norma EMV SRC y comunicando al comerciante que estará estrictamente prohibido procesar operaciones de pago si no cumplen con estos protocolos.
Ana Cerdas, División de Sistemas de Pago del BCCR
La propuesta normativa se ha presentado al presidente del BCCR, Roger Madrigal, al sistema financiero nacional y a las principales redes de tarjetas, entre ellas Mastercard, Visa y American Express. También se espera que el Ministerio de Economía, Industria y Comercio dé su opinión. Si se aprueba la propuesta, todas las entidades deberán cumplir las nuevas normas a más tardar en 2026.
Para más información, visite bccr.fi.cr
Acerca del Banco Central de Costa Rica:
El Banco Central de Costa Rica (BCCR) es el banco central de Costa Rica. Es una institución autónoma responsable de mantener la estabilidad interna y externa de la moneda nacional y de garantizar la eficiencia de los sistemas de pago internos y externos del país. El BCCR también actúa como principal asesor económico y agente financiero del Estado.
Para más información, visite meic.go.cr
Acerca del Ministerio de Economía, Industria y Comercio:
El Ministerio de Economía, Industria y Comercio (MEIC) de Costa Rica es el organismo gubernamental responsable de definir y dirigir la política económica relacionada con el desarrollo empresarial, la protección del consumidor y la promoción de la competencia. Desempeña un papel clave en la regulación de los mercados y el apoyo al crecimiento de las pequeñas y medianas empresas.
Para más información, visite mastercard.com
Acerca de Mastercard:
Mastercard es una empresa tecnológica global del sector de los pagos. Su misión es conectar e impulsar una economía digital inclusiva que beneficie a todos, en todas partes, haciendo que las transacciones sean seguras, sencillas, inteligentes y accesibles. Gracias al uso de datos y redes seguras, asociaciones y pasión, sus innovaciones y soluciones ayudan a las personas, las instituciones financieras, los gobiernos y las empresas a alcanzar su máximo potencial.
Para obtener más información, visite visa.com.
Acerca de Visa:
Visa Inc. es líder mundial en pagos digitales y facilita las transacciones entre consumidores, comerciantes, instituciones financieras y entidades gubernamentales en más de 200 países y territorios. La empresa se centra en conectar el mundo a través de su red de pagos innovadora, cómoda, fiable y segura, que permite prosperar a particulares, empresas y economías.
Para obtener más información, visite americanexpress.com
Acerca de American Express:
American Express es una empresa de pagos integrada a nivel mundial que ofrece a sus clientes acceso a productos, conocimientos y experiencias que enriquecen sus vidas y contribuyen al éxito de sus negocios. Líder en tarjetas de crédito y débito, servicios de viaje y procesamiento de pagos, la empresa opera una red de circuito cerrado que presta servicio tanto a los titulares de tarjetas como a los comerciantes.
Para obtener más información, visite bufetedecostarica.com
Acerca de Bufete de Costa Rica:
Como pilar de la comunidad jurídica costarricense, Bufete de Costa Rica se define por sus principios profundamente arraigados de integridad y excelencia profesional. Con una trayectoria probada en el asesoramiento a una amplia gama de clientes, el bufete es pionero en soluciones jurídicas modernas y mantiene un fuerte enfoque en la participación pública. Esta dedicación se basa en un objetivo fundamental: fortalecer la sociedad desmitificando la ley y garantizando que el acceso a la comprensión jurídica empodere a todos los ciudadanos.
