Cumplimiento regulatorio para hoteles en Costa Rica: obligaciones ante SUGEF, ICD y banco

Por Ivette Campos

El 4 de marzo de 2025, el Colegio de Contadores Públicos de Costa Rica (CCPCR) emitió la Circular N.° 35-2025, la cual establece lineamientos específicos para la elaboración de informes de aseguramiento bajo el Sistema de Auditorías Externas y Seguimiento (SAES) de la SUGEF. Aunque dirigida a los contadores públicos autorizados, esta directriz tiene implicaciones prácticas directas para empresas del sector turismo, en particular para aquellos hoteles que cuentan con casinos, administran cantidades significativas de efectivo o participan en la venta de bienes inmuebles , vinculadas a la NIA 3000 sobre informes de atestiguamiento.

Este nuevo enfoque responde a las crecientes exigencias regulatorias en materia de prevención de legitimación de capitales (LC) y financiamiento al terrorismo (FT), conforme a la Ley 7786 y los acuerdos del CONASSIF y SUGEF. Para cumplir con dichas exigencias, los bancos y las autoridades supervisoras han empezado a requerir reportes específicos, como los informes de atestiguamiento contable, así como la implementación de manuales de cumplimiento, matrices de riesgo, políticas KYC y reportes ante la Unidad de Inteligencia Financiera de la ICD.

Los empresarios hoteleros que operan casinos en sus instalaciones o que venden propiedades inmobiliarias (por ejemplo, condominios, villas o lotes dentro del resort) se enfrentan a exigencias regulatorias específicas en Costa Rica. Estas actividades podrían situar  al hotel dentro de los llamados “sujetos obligados” en materia de prevención de lavado de dinero, lo que significa que deben cumplir con las regulaciones de la SUGEF (Superintendencia General de Entidades Financieras) y la Ley 7786 (Ley sobre estupefacientes, sustancias psicotrópicas, drogas de uso no autorizado, actividades conexas, legitimación de capitales y financiamiento al terrorismo). En este artículo explicamos, en lenguaje claro y profesional, por qué un hotel con casino o con negocios inmobiliarios es sujeto obligado, y qué implica en la práctica cumplir con estas obligaciones. Abordaremos las disposiciones clave (como la Circular 35-2025 del Colegio de Contadores Públicos, la Ley 7786, acuerdos de CONASSIF, normativa SUGEF e indicaciones de la ICD), y brindaremos ejemplos prácticos y recomendaciones accionables para gerentes o propietarios de hoteles en esta situación.

Ser “sujeto obligado” significa que la empresa está legalmente obligada a implementar medidas de prevención de lavado de dinero y financiamiento al terrorismo, y a someterse a supervisión regulatoria. Tradicionalmente pensamos en bancos cuando hablamos de regulación financiera, pero la Ley 7786 de Costa Rica extiende estas obligaciones a ciertas actividades no financieras. En particular, los casinos y la compra/venta habitual de bienes inmuebles están expresamente incluidos en la lista de actividades reguladas . Esto quiere decir que, si su hotel opera un casino abierto al público, o vende propiedades inmobiliarias de forma profesional y habitual (por ejemplo, desarrollo y venta de condominios dentro de un complejo turístico), usted está abarcado por la Ley 7786 y debe inscribirse y cumplir con las normativas establecidas por SUGEF.

Estas obligaciones para casinos y negocios inmobiliarios no son arbitrarias; responden a estándares internacionales antilavado. Costa Rica es miembro de GAFILAT (Grupo de Acción Financiera de Latinoamérica) y se ha comprometido a implementar las 40 Recomendaciones del GAFI (Grupo de Acción Financiera Internacional) . En particular, el GAFI recomienda que, además de las instituciones financieras, ciertos negocios y profesiones no financieras designadas (APNFD) – como los casinos y agentes inmobiliarios – identifiquen, evalúen y mitiguen sus riesgos de lavado de activos y financiamiento del terrorismo . Por ello, la normativa costarricense ha incorporado a estos sectores bajo supervisión.

Un ejemplo concreto: desde 2019 la CONASSIF emitió un reglamento que obligó a casinos, desarrolladores inmobiliarios y otras actividades del artículo 15 y 15 bis de la Ley 7786 a inscribirse ante la SUGEF en un plazo determinado . Esta inscripción no es un mero trámite; es un requisito para que su hotel pueda seguir operando con normalidad en el sistema financiero. De hecho, la Ley 7786 prohíbe a los bancos y otras entidades financieras (supervisadas por SUGEF) mantener relaciones comerciales con empresas de este tipo que no se hayan inscrito conforme lo exige la ley . En otras palabras, si un hotel con casino o negocio inmobiliario no cumple con su registro y obligaciones antilavado, los bancos podrían negarle servicios o cerrar sus cuentas bancarias por el riesgo que ello representa . Esta realidad ha impulsado a muchos hoteles a ponerse al día en materia de cumplimiento para no ver afectadas sus operaciones financieras.

Obligaciones de hoteleros  bajo la Ley 7786 y la regulación SUGEF.

Ser un sujeto obligado conlleva responsabilidades específicas de cumplimiento. A continuación, resumimos las exigencias principales que aplican a un hotel con casino o con actividades inmobiliarias, según la Ley 7786, sus reglamentos (p. ej. Acuerdo SUGEF 13-19) y lineamientos de la SUGEF e ICD:

Inscripción ante la SUGEF: Debe inscribir la empresa en SUGEF como sujeto obligado no financiero, siguiendo el procedimiento del reglamento de inscripción emitido por CONASSIF. Esta inscripción es obligatoria y condición para operar con el sistema bancario; los bancos tienen prohibido mantener cuentas de entidades no inscritas, dada la inobservancia de la ley . Ejemplo: un hotel con casino tuvo que inscribirse antes de junio 2019 para evitar el cierre de sus cuentas, según el calendario establecido por SUGEF.

Manual de prevención y políticas internas: Se debe elaborar un Manual de Prevención de Riesgo de Legitimación de Capitales, Financiamiento al Terrorismo y Financiamiento de la Proliferación de Armas (LC/FT/FPADM) adaptado a las operaciones del hotel. Este manual contiene las políticas y procedimientos internos para cumplir con la Ley 7786 y la normativa SUGEF. Debe ser un documento integral que oriente al personal en cómo acatar las disposiciones legales, regulatorias y políticas internas relacionadas con la prevención de lavado de dinero . Es importante que el manual (y demás políticas) esté aprobado por la máxima autoridad del hotel (ej. junta directiva), actualizado periódicamente, y comunicado a todo el personal relevante .

Análisis de riesgos: La empresa debe realizar una evaluación de riesgo para identificar y valorar los riesgos específicos de lavado de dinero y financiamiento terrorista en sus operaciones. Por ejemplo, un casino en un hotel debe evaluar riesgos como manejo de grandes montos en efectivo, clientes ocasionales de alto perfil, etc., mientras que un desarrollador inmobiliario evaluará riesgos en transacciones de compra/venta de propiedades. Con base en este análisis, se implementan controles basados en un enfoque de riesgo, tal como exigen las recomendaciones internacionales y la regulación local.

Política de “Conozca a su Cliente” (KYC): Se debe instaurar una política formal de identificación y debida diligencia del cliente. Esto implica procedimientos para recopilar y verificar la información de los clientes (por ejemplo, huéspedes/jugadores VIP en el casino, compradores de propiedades) antes de entablar relaciones comerciales significativas. La Ley 7786 obliga a identificar al cliente y verificar su identidad, conocer al beneficiario final en caso de personas jurídicas, y aplicar medidas intensificadas para clientes de mayor riesgo o figuras políticamente expuestas . Costa Rica ha implementado un sistema centralizado llamado CICAC (Centro de Información “Conozca a su Cliente”), una base de datos administrada por SUGEF que recopila información KYC de los sujetos obligados . Si un cliente lo autoriza, su hotel (o su banco) puede consultar en esta base ciertos datos para facilitar la debida diligencia. Este sistema, creado por el artículo 16 bis de la Ley 7786, refleja el compromiso del país con la transparencia y estandarización de la información KYC a nivel interbancario y entre sectores supervisados.

Controles y políticas adicionales: Además del manual y KYC, la normativa exige políticas específicas como: procedimientos para clasificar el riesgo de cada cliente (establecer perfiles de riesgo alto, medio, bajo), políticas para manejo de Personas Expuestas Políticamente (PEP), controles sobre nuevas tecnologías o productos que pudieran usarse para lavar dinero, controles sobre delegación a terceros (p. ej. si un agente vende propiedades en nombre del hotel), y controles para filiales o sucursales en el extranjero, si aplica. Todas estas medidas deben quedar documentadas en procedimientos internos. Por ejemplo, en el informe de atestiguamiento de una empresa del sector, el auditor verificó que la compañía contaba con el Procedimiento de Administración de Riesgo, el Procedimiento de Clasificación de Riesgo del Cliente, y las Políticas y formularios de KYC necesarios, todos elaborados conforme a la regulación SUGEF 13-19 y la naturaleza de sus operaciones .

Reportes de operaciones sospechosas (ROS):  El  hotel tendrá la obligación legal de monitorear transacciones inusuales o sospechosas e informarlas sin demora al Instituto Costarricense sobre Drogas (ICD), específicamente a la Unidad de Inteligencia Financiera (UIF) que opera en el ICD . Esto incluye reportar cualquier operación que, por monto o características, despierte sospecha de proveniencia ilícita, así como intentos de realizar dichas operaciones que hayan sido rechazados. El reporte se realiza mediante la plataforma electrónica que el ICD dispone (conocida como UIF-Reportes). Es fundamental mantener la confidencialidad al realizar estos reportes – ni el cliente ni terceros deben ser informados de que se envió un ROS . Ejemplo práctico: si un jugador en el casino realiza apuestas inusualmente altas y fuera de su perfil económico, el oficial de cumplimiento del hotel deberá investigarlo y posiblemente reportarlo al ICD como operación sospechosa. La normativa de la ICD y el artículo 15 de la Ley 7786 establecen claramente este deber de reporte, y las empresas que omiten reportar por no “incomodar” al cliente se exponen a severas sanciones, incluyendo penas de prisión en casos de facilitación dolosa del lavado.

Capacitación y cultura de cumplimiento: Las regulaciones demandan que el personal relevante del hotel esté capacitado regularmente en materia de prevención de lavado de dinero. Desde los cajeros del casino hasta el equipo de ventas inmobiliarias, todos deben conocer las señales de alerta de posibles actividades ilícitas (por ejemplo, huéspedes que compran fichas de casino con efectivo y las canjean sin jugar, o compradores de propiedades que quieren pagar en efectivo con prisa inusual) . Implementar una cultura donde los empleados entiendan la importancia de KYC, diligencia debida y reportes de sospecha es clave para cumplir eficazmente con la ley.

Oficial de Cumplimiento o Enlace designado: Dependiendo del tamaño y la complejidad de su hotel, SUGEF puede exigir la designación de un Oficial de Cumplimiento dedicado, o al menos una “persona de enlace” responsable de velar por el día a día del programa antilavado . Esta persona (que podría ser un miembro de la gerencia existente con formación en cumplimiento) será el punto de contacto con SUGEF/ICD, supervisará que se apliquen las políticas internas y coordinará los reportes de operaciones sospechosas. La normativa permite que SUGEF adapte esta exigencia según las condiciones de cada sujeto obligado (no es lo mismo un gran casino resort que un pequeño desarrollador inmobiliario) , pero en todos los casos es recomendable asignar formalmente la responsabilidad de cumplimiento a alguien dentro de la organización.

Como se observa, el marco regulatorio es amplio. Todo lo anterior forma parte del llamado “Sistema de Administración del Riesgo” que su hotel debe implementar. La Ley 7786 (art. 15 y 15 bis) y los Acuerdos SUGEF/CONASSIF dan base legal a estas exigencias, y la Unidad de Inteligencia Financiera del ICD frecuentemente emite lineamientos adicionales que los sujetos obligados deben acatar obligatoriamente. Por ello, es importante estar al tanto de circulares o guías tanto de SUGEF como de ICD. En suma, su hotel debe adoptar un programa de cumplimiento integral: desde la prevención (manuales, KYC, controles) hasta la detección y reporte de actividades sospechosas.

Herramienta que resuelve de atestiguamiento: auditoría externa y presentación ante SUGEF (SAES)

Un pilar fundamental de las exigencias actuales es la evaluación externa periódica de su programa de cumplimiento. Tanto el reglamento CONASSIF 12-21 (que aplica a entidades financieras, art.14 de Ley 7786) como el Acuerdo SUGEF 13-19 (que rige para sujetos obligados de los arts. 15 y 15 bis de la Ley 7786, como casinos y ventas de inmuebles) disponen que el sujeto obligado se someta a auditorías externas sobre el cumplimiento de las medidas antilavado . En el caso de casinos, desarrolladores inmobiliarios y demás APNFD, la normativa indica que estas auditorías externas deben realizarse de forma “periódica” ; en la práctica, SUGEF espera que sea anualmente o con la frecuencia que se establezca según el riesgo.

¿En qué consiste esta trabajo del contador ? Es un “trabajo de aseguramiento” efectuado por un Contador Público Autorizado (CPA) independiente, registrado y autorizado tanto por el Colegio de Contadores Públicos de Costa Rica como por la SUGEF. El CPA evaluará si su hotel ha implementado efectivamente todos los componentes del programa de prevención de lavado: p. ej. verificará la existencia y aplicación del manual, las políticas KYC, el análisis de riesgos, los reportes enviados, etc. También revisará evidencias de que los controles están funcionando. El resultado de este examen es un Informe de Atestiguamiento (o informe de aseguramiento) dirigido a la SUGEF y al propio sujeto obligado.

A partir de 2023-2024, la SUGEF modernizó el mecanismo de recepción de estos informes mediante el sistema electrónico SAES (Sistema de Auditorías Externas y Seguimiento). El auditor debe cargar su informe en la plataforma SAES para que SUGEF lo reciba y lo revise. Precisamente, el Colegio de Contadores Públicos emitió la Circular N.° 35-2025 titulada “Responsabilidades del Contador Público Autorizado con respecto al informe de aseguramiento emitido mediante el Sistema de Auditorías Externas (SAES) de la SUGEF” , la cual brinda lineamientos a los auditores sobre cómo preparar y presentar correctamente dichos informes digitales. ¿Por qué es relevante esto para usted como empresario? Porque asegura que los informes de auditoría externa mantengan altos estándares de calidad y uniformidad, y que contengan toda la información que SUGEF necesita sobre su nivel de cumplimiento.

Un informe de atestiguamiento típico incluirá secciones como: objetivo y alcance del trabajo, procedimientos realizados por el auditor, hallazgos y conclusión. En la conclusión, el CPA expresará si, en términos de cumplimiento regulatorio, su hotel cuenta con los elementos requeridos. Por ejemplo, en un informe real de 2024, el auditor concluyó que la compañía “cuenta con el Manual de Prevención de Riesgo de LC/FT/FPADM, Procedimientos para la administración y clasificación de riesgo del cliente, y políticas y procedimientos necesarios para el cumplimiento de la regulación establecida en SUGEF 13-19, elaborados con base en la naturaleza de sus operaciones y aprobados por el órgano superior de la compañía” . Esto significa que la empresa auditada tenía en orden sus documentos y aprobaciones internas conforme a lo exigido. Si el auditor detecta brechas o incumplimientos (por ejemplo, ausencia de algún procedimiento, falta de capacitación, registros incompletos, etc.), normalmente también lo indicará en el informe para que la empresa tome las acciones correctivas.

Una vez emitido, ¿qué se hace con el informe? Como mencionamos, el CPA lo presenta en el SAES, quedando a disposición de la SUGEF. La SUGEF utilizará estos informes para dar seguimiento a los sujetos obligados no financieros. No obstante, usted como empresario debe conservar copia del informe y estar al tanto de su contenido. Es aconsejable que la alta gerencia revise el informe de atestiguamiento, ya que resume el estado de cumplimiento del hotel y suele contener recomendaciones de mejora. Asimismo, los bancos pueden solicitarle evidencia de este informe. Cada vez más, las entidades financieras – al enterarse de que su cliente es un casino o desarrollador inmobiliario – preguntan si ya presentó el informe de auditoría externa y si todo salió satisfactorio. Contar con el informe le permite responder adecuadamente a bancos y supervisores, demostrando con respaldo de un auditor independiente que su hotel está cumpliendo con las normas. Considere que para los bancos, tener clientes comerciales que sean sujetos obligados implica un riesgo reputacional y legal; por ende, suelen realizar due diligence adicional. Presentar su informe de cumplimiento SUGEF (atestiguamiento) y su Manual de Prevención al banco puede darles la tranquilidad de que usted está al día, evitando retrasos en trámites o eventuales negativas de servicio.

Nota: El informe de atestiguamiento es confidencial y de uso regulatorio, no es un documento público ni para fines de mercadeo. Solo debe compartirse con quien corresponda (SUGEF, auditores internos, su banco si lo requiere dentro de su debida diligencia, etc.). Afortunadamente, la existencia de este mecanismo significa que usted puede anticiparse a eventuales fiscalizaciones: si SUGEF decide inspeccionar su hotel, ya contará con una evaluación profesional independiente que avala las medidas implementadas, lo cual suele facilitar las cosas.

Conclusiones y recomendaciones para hoteles sujetos a SUGEF

Ingresar al régimen de sujetos obligados puede parecer complejo, pero en resumen se trata de institucionalizar buenas prácticas para proteger su negocio y al sistema financiero del país. Más que un trámite, es una inversión en la transparencia y reputación de su hotel. A continuación, enlistamos pasos prácticos y accionables que como gerente o propietario debería considerar si su hotel tiene un casino, vende propiedades u otra actividad cubierta por la Ley 7786:

Verifique su obligación y registre su empresa: Confirme si las actividades de su hotel lo convierten en sujeto obligado (casinos, venta habitual de inmuebles, etc., tal como lo define la Ley 7786). Si es el caso, inscríbase ante la SUGEF cuanto antes . Este registro es fundamental para evitar problemas con bancos o sanciones legales. No espere a que el banco le notifique; la iniciativa debe ser suya.

Elabore un Manual de Cumplimiento personalizado: No recurra solamente a plantillas genéricas. Desarrolle (con ayuda de expertos si es necesario) un Manual de Prevención de Lavado adaptado a las características de su hotel. Incluya en él las políticas KYC, procedimientos de debida diligencia, controles internos, protocolos de reporte y régimen sancionatorio interno. Asegúrese de que sea aprobado formalmente por la gerencia o junta directiva y difundido entre el personal clave.

Implemente políticas KYC y analice riesgos: Conozca a sus clientes en todas las áreas de riesgo (huéspedes del casino, compradores de propiedades, proveedores grandes, etc.). Establezca formularios y checklists de debida diligencia al iniciar relaciones comerciales. Realice un análisis de riesgo institucional: por ejemplo, evalúe el riesgo país de sus clientes extranjeros, el riesgo de pagos en efectivo, entre otros, y documente las medidas para mitigarlos. Actualice este análisis al menos una vez al año o cuando cambie significativamente el entorno.

Designe un encargado de cumplimiento y capacite al personal: Nombre a un Oficial de Cumplimiento (o equivalente) que tenga claro su rol y autoridad para implementar el programa. Puede ser un colaborador existente con formación en el tema, o contratar una persona nueva según la escala de operaciones. Paralelamente, capacite a sus empleados – especialmente aquellos en caja, ventas y atención al cliente – sobre cómo identificar operaciones inusuales y qué hacer al respecto . La capacitación continua fortalece la cultura interna y evita que algún detalle pase desapercibido.

Lleve registros y reporte oportunamente: Mantenga organizada toda la documentación de debida diligencia (copias de identificaciones, formularios KYC, registros de transacciones relevantes, actas de capacitación, etc.). Implemente un procedimiento para reportar Operaciones Sospechosas al ICD en cuanto se detecten . Recuerde que estos reportes son confidenciales y que la ley ampara al empresario que reporta de buena fe, mientras que sanciona gravemente la omisión deliberada de reportar. También, si aplica a su operación, cumpla con otros reportes periódicos (por ejemplo, un casino podría tener que reportar transacciones en efectivo mayores a cierto umbral, de acuerdo con la normativa vigente).

Prepárese para responder a bancos y autoridades: Tenga listo un paquete de cumplimiento para compartir con instituciones que se lo soliciten. Por ejemplo, su banco podría pedir: comprobante de inscripción SUGEF, copia del manual de prevención, nombre del oficial de cumplimiento y posiblemente un resumen o constancia del último informe de auditoría externa. Contar con estos documentos a mano y actualizados proyecta seriedad y facilita sus relaciones comerciales. Recuerde que los bancos están bajo la misma ley obligados a verificar que sus clientes sujetos obligados cumplen con la normativa , así que anticiparse con transparencia siempre será positivo.

En conclusión, un hotel con casino o con negocios inmobiliarios debe asumir su rol en la prevención del lavado de activos. Lejos de ser una carga burocrática, implementar estas medidas fortalece la confianza de inversionistas, aliados comerciales y entidades financieras en su negocio. Además, evita sanciones que podrían ir desde multas, cierre de cuentas bancarias, hasta implicaciones penales en casos extremos de incumplimiento doloso. Costa Rica, a través de la SUGEF y el ICD, ha alineado su normativa a estándares internacionales para blindar al sector turístico-financiero de actividades ilícitas, y los hoteles no son la excepción. La buena noticia es que existen abundantes recursos – circulares profesionales, guías de SUGEF, asesores especializados – para ayudarle a cumplir.

Adoptar una cultura de cumplimiento le permitirá a su hotel crecer de forma sostenible y segura. Al tener sus deberes en regla, usted podrá enfocarse en su core business (ofrecer una excelente experiencia a sus huéspedes) sin sobresaltos regulatorios. En última instancia, un programa robusto de cumplimiento no solo satisface a la ley y a los bancos, sino que protege la reputación de su empresa ante sus clientes y la sociedad. Como empresario turístico, su compromiso con estas normas también contribuye a que Costa Rica siga siendo un destino confiable y transparente a nivel internacional. ¡Manos a la obra con el cumplimiento, su hotel y el país se lo agradecerán!

Referencias:

Circular N.° 35-2025 del Colegio de Contadores Públicos de Costa Rica, “Responsabilidades del CPA con respecto al informe de aseguramiento en SAES” .

Ley 7786 y sus reformas pertinentes (especialmente arts. 15, 15 bis, 16 bis) .

Acuerdo SUGEF 13-19 (prevención de LC/FT/FPADM para sujetos no financieros) y reglamentos de CONASSIF relacionados .

Normativa y guías de la Unidad de Inteligencia Financiera – ICD (p. ej. sobre prevención en casinos) .

Estándares internacionales GAFI/GAFILAT sobre sujetos obligados y enfoque basado en riesgo .

Ejemplos prácticos basados en informes de atestiguamiento recientes y comunicados oficiales.