Imagen

Cristian Mosquera
Socio de Mosquera Abogados

Imagen

Francisco Cantillo
Asociado de Mosquera Abogados

El fenómeno de la suplantación de identidad ha dejado de ser una externalidad aislada para convertirse en un riesgo sistémico dentro de la arquitectura del sistema financiero y comercial colombiano. La celeridad que demanda la economía digital, potenciada por modelos de open finance y otorgamiento de crédito en tiempo real, ha colisionado históricamente con la vulnerabilidad de los datos personales y la sofisticación de las técnicas de ingeniería social. Ante este escenario, el legislador ha intervenido mediante la Ley Estatutaria 2573 del 19 de mayo de 2026, una norma que, si bien busca proteger el derecho fundamental al hábeas data, introduce tensiones operativas y jurídicas de hondo calado para las entidades vigiladas. (Lea Así se podrá proteger del reporte negativo cuando suplanten su identidad)

La exposición de motivos y el articulado de la ley sugieren una respuesta a la insuficiencia del marco normativo previo –especialmente las leyes 1266 de 2008 y 2157 de 2021– para gestionar las asimetrías de información en casos de fraude. El núcleo de la nueva regulación no se limita a la corrección de reportes negativos; pretende, en esencia, establecer un régimen de seguridad digital como presupuesto de validez para el cobro de obligaciones y la circulación de información financiera.

El desplazamiento de la carga probatoria y el estándar de “suficiencia”

Uno de los pilares técnicos que demanda mayor atención por parte de las áreas jurídicas es la consagración expresa del principio de carga dinámica de la prueba en materia de suplantación. El artículo 2º, literal d), establece que la obligación de probar recae sobre la parte que mejor se encuentre en condiciones de hacerlo, señalando directamente a las entidades financieras y crediticias, vigiladas y no vigiladas por el regulador financiero, como las llamadas a entregar la información y documentos que sustentaron la aprobación del producto.

Este precepto debe leerse en armonía con el artículo 5º, numeral 1, que impone el deber de adoptar medidas de seguridad digital “suficientes y razonables” para establecer la veracidad de la identidad. Surge aquí una pregunta importante para el sector: ¿qué constituye una medida suficiente en un entorno de amenazas persistentes? La ley parece transitar de una responsabilidad basada en la culpa probada hacia una suerte de responsabilidad profesional agravada, donde la entidad financiera asume el riesgo del canal si no logra demostrar una diligencia superior a la estándar, con la consecuente presunción contraria a su cargo.

La obligación de entregar copia de los documentos aportados para la aprobación del servicio, ante la sola solicitud de la persona presuntamente suplantada, refuerza este derecho de acceso, prohibiendo cualquier negativa bajo cualquier circunstancia. Para los oficiales de cumplimiento y las entidades financieras, esto implica que la trazabilidad del proceso de vinculación ya no es solo un requerimiento de control interno, sino un elemento probatorio de defensa judicial y administrativa mandatado por ley.

La operatividad de la suspensión: un desafío para el riesgo de crédito

La Ley 2573 de 2026 introduce un mecanismo de suspensión inmediato del cobro y de los reportes negativos ante la sola noticia de la suplantación. De acuerdo con el artículo 8º, una vez informada la entidad, debe suspender no solo el cobro del capital, sino los intereses y gastos de cobranza.

Esta suspensión se mantiene hasta que exista un pronunciamiento judicial que ponga fin a la actuación penal. Si bien el artículo 9º prevé que, de no comprobarse la suplantación, la entidad podrá reanudar el cobro con los intereses causados, el impacto en el flujo de caja y en la gestión de provisiones de cartera no es despreciable. Existe un riesgo de riesgo moral donde el deudor, bajo la apariencia de una suplantación, logre dilatar la exigibilidad de sus obligaciones mediante la instrumentalización del proceso penal. No obstante, el legislador intentó mitigar este riesgo estableciendo que la persona que alegue falsamente una suplantación se enfrentará a responsabilidades penales.

Por otro lado, la creación de la leyenda “Víctima de Falsedad Personal” en los registros de los operadores de información (centrales de riesgo) continúa planteando un reto para los modelos de scoring, aspecto que ya estaba regulado en el numeral 7º del parágrafo 16 de la Ley 1266. La ley es tajante al prohibir que esta marcación sea considerada un reporte negativo o afecte la calificación de riesgo. Sin embargo, desde una perspectiva puramente técnica de gestión de riesgos, una persona que ha sido víctima de suplantación presenta un perfil de vulnerabilidad distinto. La norma obliga a las entidades a realizar una verificación intensificada de la identidad de estos titulares, pero prohíbe que dicha condición impida el acceso al crédito, lo cual genera una tensión entre la autonomía de la voluntad privada en la asignación de cupos y el mandato legal de no discriminación.

El deber especial de verificación y la desjudicialización del conflicto

Resulta particularmente relevante el artículo 10º de la ley, que establece un deber especial para los operadores y entidades financieras de verificar “detalladamente” la veracidad de la presunta suplantación. Lo innovador de esta disposición radica en que, de encontrarse elementos que evidencien el fraude, la entidad debe liberar a la persona de la obligación de interponer una denuncia penal y proceder a su exoneración y desvinculación de los cobros.

Esta facultad de “autotutela” del consumidor, mediada por la verificación de la entidad, busca descongestionar el aparato judicial y reducir los tiempos de respuesta. Sin embargo, impone a las entidades financieras una función de calificación jurídica de la prueba que tradicionalmente pertenecía a la fiscalía. La “prueba sumaria” aportada por el titular debe ser cotejada en un término perentorio de diez días hábiles. La elusión de respuesta o el incumplimiento de estos términos acarrea el efecto del silencio administrativo positivo, entendiéndose que la solicitud ha sido resuelta favorablemente para el reclamante, en los términos del numeral 8º del artículo 16 de 2008, modificado por la Ley 2157 de 2021.

Impacto en el ecosistema de open finance y digital onboarding

En el marco del Decreto 1297 de 2022 y la promoción de las finanzas abiertas reguladas en el Decreto 368 de 2026, la Ley 2573 de 2026 actúa como un regulador de la confianza. El parágrafo 1º del artículo 5º ordena a la Superintendencia Financiera y al Ministerio TIC reglamentar protocolos que incluyan mecanismos e instrumentos idóneos para la plena identificación del adquirente del producto o servicio financiero.

Esta reglamentación será el campo de batalla donde se definirá si el sistema financiero colombiano migra hacia estándares de biometría fuerte o identidad digital descentralizada. Para las entidades vigiladas, la implementación de estos protocolos no será opcional; el parágrafo 2º del mismo artículo establece que el incumplimiento de estos lineamientos dará lugar a la obligación de devolución oportuna de los dineros y la eliminación de las acreencias. En la práctica, el riesgo operativo derivado de una falla en la autenticación se transmuta en una pérdida patrimonial directa e inmediata para la entidad.

Adicionalmente, en casos de suplantación, las entidades financieras tienen un riesgo legal importante: estarían tratando los datos del titular sin contar con su autorización, lo cual constituye un incumplimiento de lo previsto en el artículo 2.35.8.3.2 del Decreto 2555 de 2010, con las consecuencias que ello acarrearía de cara al Directorio de Participantes administrado por la Superintendencia Financiera.

Consideraciones sobre la suficiencia y los desafíos futuros

A pesar de los avances, la ley deja zonas de incertidumbre. La coordinación entre las entidades financieras y los operadores de telecomunicaciones –fuentes frecuentes de suplantación mediante el SIM swapping– requerirá de una integración tecnológica que hoy es incipiente. Asimismo, la duración de los procesos penales en Colombia sugiere que muchas obligaciones permanecerán en un estado de suspensión indefinida antes de que un juez se pronuncie de fondo sobre la inexistencia de la suplantación.

A modo de reflexión prospectiva, la Ley 2573 de 2026 representa un cambio de paradigma en la protección al consumidor financiero. Si bien es favorable al fortalecer la seguridad jurídica de los ciudadanos frente a la usurpación de su identidad, impone a las entidades un estándar de debida diligencia que las obliga a ser infalibles en sus canales digitales. La viabilidad de este modelo dependerá de la proporcionalidad de los reglamentos que expidan las superintendencias Financiera, de Economía Solidaria y de Industria y Comercio y de la capacidad de las entidades para adoptar tecnologías de autenticación que no solo sean seguras, sino que generen el acervo probatorio necesario para desvirtuar las pretensiones de fraude.

Para los directivos y oficiales de cumplimiento, el mensaje es claro: la gestión de la identidad digital y conocimiento del cliente ha dejado de ser un asunto de soporte técnico para convertirse en el eje central de la gestión del riesgo legal y reputacional de la entidad. El cumplimiento de los principios de veracidad, seguridad y circulación restringida, ahora bajo el microscopio de la carga dinámica de la prueba, demanda una revisión estructural de los procesos de originación de crédito, atención de peticiones, quejas y reclamos y eventuales impactos sancionatorios en caso de realización de actividades de finanzas abiertas con los datos del titular suplantado.

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.