Cristian Mosquera
Socio de Mosquera Abogados

Francisco Cantillo
Asociado de Mosquera Abogados

El 7 de abril de 2026 no es una fecha más en la evolución del sistema financiero colombiano.  Con la expedición del Decreto 0368 de 2026, el país abandona definitivamente el modelo experimental de finanzas abiertas de carácter voluntario y adopta un régimen obligatorio que redefine, en su esencia, la relación entre entidades financieras, usuarios y datos. (Lea Gobierno reglamenta sistema obligatorio de finanzas abiertas)

No estamos ante una simple regulación tecnológica ni frente a un desarrollo incremental del sistema. Se trata de una transformación estructural que impacta simultáneamente el derecho financiero, la competencia económica, la protección de datos personales y la arquitectura misma de los modelos de negocio del sector.

La tesis sobre la que descansa este análisis es clara: el Decreto 0368 de 2026 no regula únicamente sistemas de información; sino que busca reconfigurar el equilibrio competitivo del sistema financiero colombiano. En adelante, la ventaja no estará en poseer los datos, sino en saber utilizarlos.

1. El cambio de paradigma: de la exclusividad del dato a su circulación obligatoria.

Históricamente, el modelo financiero colombiano –como el de la mayoría de las jurisdicciones tradicionales– se construyó sobre una premisa tácita: la información del cliente, aunque jurídicamente no fuera propiedad de la entidad, operaba en la práctica como un activo exclusivo de esta. Esa exclusividad permitía desarrollar modelos de riesgo, estrategias comerciales y barreras de entrada difíciles de replicar.

El Decreto 0368 rompe esa lógica.

Al pasar de un esquema voluntario a uno obligatorio, el legislador regulatorio elimina la discrecionalidad de las entidades para decidir si participan o no en el ecosistema de finanzas abiertas. La apertura de datos deja de ser una estrategia y se convierte en un deber legal.

Este tránsito tiene implicaciones profundas:

• Desaparece la ventaja basada en la información cerrada.
• Se reduce la asimetría informativa entre incumbentes y nuevos entrantes.
• Se traslada el foco competitivo hacia la analítica, la experiencia de usuario y la innovación.

En términos jurídicos, esto podría significar una reinterpretación del principio según el cual el dato pertenece al titular, derecho que no debe ni puede ser conculcado en una sociedad democrática. El decreto no crea ese principio, pero pretende hacerlo operativo de forma obligatoria.

2. Fundamento normativo: intervención estatal y política pública

El Decreto 0368 no surge en el vacío. Su fundamento se encuentra en el Plan Nacional de Desarrollo 2022–2026 (Ley 2294 de 2023), particularmente en su artículo 89, que introduce un mandato claro: facilitar el acceso a la información como mecanismo para promover inclusión financiera y equidad.

Este punto es crucial. La norma no responde únicamente a una lógica de eficiencia de mercado, sino a una política pública con componente social. El acceso al crédito, la formalización y la inclusión financiera se convierten en objetivos explícitos de gobierno.

En este contexto, Colombia adopta un modelo de intervención estatal robusto, más cercano al brasileño o al británico, donde el regulador no solo habilita el ecosistema, sino que lo diseña y lo establece.

Esto plantea una tensión estructural: Por un lado, se promueve la competencia. Por otro, se incrementa la regulación y el control estatal. El equilibrio entre ambos elementos determinará el éxito del sistema.

3. Ámbito subjetivo: una obligación transversal

Uno de los aspectos más relevantes del decreto es la amplitud de su ámbito de aplicación. La obligación no se limita a los bancos tradicionales, sino que abarca un espectro amplio de entidades vigiladas:

• Establecimientos de crédito
• Sociedades fiduciarias
• Comisionistas de bolsa
• Aseguradoras
• Administradoras de inversión
• Fondos de pensiones y cesantías
• Plataformas de financiación colaborativa

El criterio no es el tamaño ni la sofisticación tecnológica, sino la naturaleza de la actividad. No obstante, extraña la exclusión de actores importantes del sector financiero como son las Entidades Administradoras de Sistemas de Pago de Bajo Valor (EASPBV), parte esencial del Sistema Bre-B administrado por el Banco de la República, y de los Adquirentes No Vigilados, quienes a partir del Decreto 1692 de 2020, particularmente el artículo 2.17.3.1.1 del Decreto 2555 de 2010, pueden al igual que los establecimientos de crédito y las sociedades especializadas en depósitos y pagos electrónicos (SEDPES) desarrollar la actividad de adquirencia.

Esto tiene dos implicaciones importantes:

(i) La carga regulatoria es homogénea, pero las capacidades son heterogéneas:
Una gran entidad bancaria y una fiduciaria pequeña enfrentan la misma obligación con recursos radicalmente distintos.

(ii) Se amplía el ecosistema competitivo: No solo compiten bancos entre sí, sino con fintech, plataformas tecnológicas y nuevos intermediarios.

La exclusión temporal de las cooperativas –por razones de técnica normativa– no debe interpretarse como una excepción sustantiva. Su incorporación es inminente, lo que confirma el carácter sistémico del modelo.

4. El alcance material: qué datos deben compartirse

El corazón del decreto está en la definición de los datos que deben ser compartidos. La norma establece tres grandes categorías:

(i) Información de productos y transacciones: incluye saldos, movimientos, uso de productos, historial transaccional de, al menos, 12 meses.

Este último elemento es particularmente relevante. El historial transaccional constituye el insumo principal para la evaluación de riesgo crediticio. Al hacerlo accesible a terceros, el decreto reduce significativamente las barreras de entrada al crédito.

(ii) Información de vinculación (KYC): se incluyen los datos recopilados en procesos de conocimiento del cliente. Esto plantea desafíos importantes en materia de protección de datos personales, especialmente en lo relativo a finalidad y proporcionalidad.

(iii) Información general de productos: busca facilitar la comparabilidad entre ofertas, promoviendo transparencia y competencia.

5. La frontera crítica: datos “brutos” vs. datos “enriquecidos”

Uno de los aspectos más sofisticados del decreto es la distinción entre datos base (obligatorios de compartir) y datos enriquecidos (protegidos). Las entidades no están obligadas a compartir sus modelos de riesgo, algoritmos y procesos analíticos propios, pero sí deben compartir la información sobre la cual se construyen esos modelos.

Este equilibrio es delicado. En teoría, protege la innovación. En la práctica, reduce la ventaja competitiva de quienes han desarrollado capacidades analíticas superiores durante años. La pregunta estratégica es inevitable: ¿cuánto valor se pierde cuando la materia prima se vuelve accesible para todos?

6. El consentimiento: entre la protección y la fricción

El decreto introduce un esquema de doble validación por recomendación de la Superintendencia de Industria y Comercio (SIC), el cual se soporta en nuestros principios constitucionales.:

(i) El usuario autoriza al tercero receptor.

(ii) El proveedor de datos confirma la autorización.

Desde una perspectiva jurídica, este modelo fortalece la autonomía del titular, la trazabilidad del consentimiento y la seguridad jurídica. Sin embargo, desde una perspectiva operativa, introduce un problema evidente: la fricción. La experiencia internacional demuestra que los sistemas de finanzas abiertas dependen críticamente de la simplicidad del proceso de autorización. Cada paso adicional reduce la tasa de conversión.

Aquí emerge una tensión estructural entre la protección del usuario y la usabilidad del sistema. Si las entidades implementan procesos complejos o poco intuitivos, el sistema puede fracasar no por falta de regulación, sino por falta de adopción.

7. Recuperación de costos: el punto más sensible

El decreto permite a los proveedores de datos cobrar por el uso de su infraestructura, pero con restricciones estrictas:

• Solo se pueden recuperar costos directos.
• No se puede generar utilidad.
• No se puede cobrar por la información.

Este último punto es fundamental: el dato no es un activo comercializable por la entidad. El problema radica en la definición de “costos directos”. El Gobierno optó por no establecer un estándar uniforme (como el de costos eficientes), lo que deja un amplio margen de interpretación. Esto abre la puerta a conflictos en dos frentes:

(i) Competencia económica: tarifas elevadas pueden ser consideradas barreras de entrada.

(ii) Supervisión administrativa: la SIC y la Superintendencia Financiera de Colombia (SFC) tendrán que definir, caso por caso, qué constituye un costo legítimo.

Es previsible que este sea uno de los principales focos de litigio en los próximos años.

8. El Directorio de participantes: control de acceso al ecosistema

El decreto crea un directorio administrado por la SFC, que funcionará como, registro de participantes, mecanismo de validación y herramienta de supervisión. No obstante, es importante señalar que, sin inscripción en el directorio, no hay acceso al sistema.

Pero el aspecto más relevante es su función sancionatoria indirecta. La SFC podrá suspender o excluir participantes que generen riesgos operativos, comprometan la seguridad del sistema o afecten la integridad del mismo. Esto implica que una falla técnica puede tener consecuencias comerciales severas. El riesgo ya no es solo la multa, sino la desconexión con los riesgos reputacionales que ello podría conllevar.

9. Riesgos jurídicos emergentes

Desde nuestra perspectiva, el decreto introduce múltiples zonas de incertidumbre:

Indeterminación técnica: la SFC tiene un plazo para definir estándares. Mientras tanto, las entidades enfrentan un dilema ¿invertir sin certeza o esperar y perder tiempo?

Responsabilidad en cadena: cuando intervienen múltiples actores, ¿quién responde por una filtración? ¿Cómo se prueba la falla? La trazabilidad será clave, pero también compleja.

Interoperabilidad financiera: la integración con sistemas de pagos en tiempo real amplía el riesgo, ya no se trata solo de datos sino también de dinero en movimiento

10. Impacto competitivo: quién gana y quién pierde

El decreto redistribuye las ventajas del mercado. Quienes parecen ser los ganadores potenciales son las fintech con alta capacidad analítica, actores con mejor experiencia de usuario y empresas tecnológicas con modelos ágiles de implementación de productos y servicios. Por otra parte, los perdedores potenciales podrían ser entidades que dependían de la exclusividad del dato, organizaciones con sistemas legados rígidos y actores lentos en adopción tecnológica.

La competencia deja de ser patrimonial y se vuelve funcional.

11. Implicaciones estratégicas: más allá del cumplimiento

Abordar el decreto como una lista de chequeo regulatoria es un error. Consideramos que las entidades deben replantear su estrategia de datos, su arquitectura tecnológica y su propuesta de valor. Para el efecto, las acciones prioritarias deben estar orientadas a los siguientes frentes:

1. Gobierno del dato con claridad absoluta de la autorización del titular.
2. Auditoría de costos
3. Calidad de la información
4. Diseño de experiencia de usuario
5. Preparación regulatoria

12. El verdadero cambio: de intermediarios a plataformas

El decreto acelera una tendencia global: la transformación de las entidades financieras en plataformas, lo cual implica la necesidad de efectuar una integración tecnológica con terceros, ecosistemas abiertos y modelos colaborativos ya que el banco deja de ser el único punto de contacto y pasa a ser un nodo dentro de una red.

Conclusión: el fin del monopolio del dato.

El Decreto 0368 de 2026 no es una norma técnica. Es una redefinición del sistema financiero. El dato deja de ser un activo exclusivo y se convierte en un recurso compartido. La competencia ya no se basa en el acceso a la información, sino en la capacidad de interpretarla y utilizarla.

Las entidades que no entiendan esta transformación enfrentarán riesgos regulatorios y competitivos, porque en este nuevo entorno, cumplir no es suficiente. Adaptarse es obligatorio. El tiempo de reacción es limitado. Y en un sistema donde la información fluye libremente, la ventaja no está en retenerla, sino en saber qué hacer con ella.

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.