Sentencia C-413/25 y el fraude digital en Colombia: Bancos asumen el riesgo y se corrigen historiales crediticios

Impulsada en el Congreso, la iniciativa busca corregir los efectos de la suplantación en los historiales financieros y garantizar que estas situaciones no restrinjan el acceso al crédito. / Foto: Unsplash - Random Institute.
Noticias
Impulsada en el Congreso, la iniciativa busca corregir los efectos de la suplantación en los historiales financieros y garantizar que estas situaciones no restrinjan el acceso al crédito. / Foto: Unsplash - Random Institute.

07/04/2026
Por Gunther Felix

Compartir en RRSS

X
Para recibir nuestro boletín diario,
¡suscríbete aquí!
El texto aún espera la sanción presidencial del presidente Gustavo Petro para entrar en vigor plenamente.
Fecha de publicación: 07/04/2026
Etiquetas: Colombia, derecho bancario y financiero, fraude, sistema bancario, Banca y Finanzas

A más de tres meses de la decisión de la Corte Constitucional de Colombia que avaló la eliminación de reportes negativos en centrales de riesgo para las víctimas de fraude digital, el sistema financiero colombiano entra en una nueva fase de ajustes operativos, revisión de riesgos y redefinición de responsabilidades.

El fallo, emitido en diciembre de 2025 mediante la sentencia C-413/25, declaró constitucional el proyecto de ley estatutaria N.° 190 de 2022 Cámara – 303 de 2023, que modifica el tratamiento de la información crediticia en casos de suplantación de identidad. La norma obliga a las centrales de riesgo Datacrédito y TransUnion, así como a las entidades financieras, a eliminar de forma rápida los reportes negativos en el historial crediticio originados por fraudes de suplantación de identidad o falsedad personal.

Esta iniciativa surge como respuesta al aumento de los fraudes digitales que han afectado a miles de personas, reflejándose en su historial crediticio y limitando su acceso a créditos y otros contratos. En este contexto, la ley busca proteger a los usuarios y garantizar que los efectos de estos fraudes no les impidan participar en el sistema financiero.

Aunque la ley ya superó el obstáculo más difícil (el visto bueno de la Corte Constitucional), su vigencia plena depende de la firma del presidente Gustavo Petro, paso que formalizará oficialmente todas las obligaciones dispuestas en el texto. Una vez publicado en el Diario Oficial, las entidades financieras deberán suspender cobros, corregir historiales y reforzar los protocolos de verificación, asegurando la protección de los usuarios sin afectar la operación de bancos, fintechs y operadores de información.

Con la firma pendiente, el procedimiento para las víctimas se detalla de la siguiente manera: comienzan presentando una denuncia ante la Fiscalía, seguida de la notificación a la entidad financiera correspondiente, acompañada de los documentos que respalden el caso. Las entidades tienen un máximo de diez días hábiles para solicitar a las centrales de riesgo la eliminación de los registros negativos, reemplazándolos por una anotación que indique “Víctima de Falsedad Personal”. Esta medida no solo corrige el historial crediticio, sino que también suspende cobros pendientes y restablece la integridad del perfil financiero del afectado.

Digitalización, regulación ambiental y fiscalización electrónica redefinen el compliance corporativo en América Latina

Un cambio en la asignación del riesgo

Uno de los puntos centrales del fallo es el traslado del riesgo del fraude hacia las entidades financieras. En la práctica, implica que los efectos de una suplantación no deben recaer en el usuario afectado, sino en quienes participan en el registro, verificación y reporte de la información.

Para Manuel Quinche, socio director de la oficina de Cuatrecasas Colombia, sitúa este cambio en un contexto más amplio de transformación digital del sistema financiero:

Manuel Quinche Cuatrecasas en Bogotá

“La banca colombiana, al igual que muchos otros sectores de servicios, ha vivido una digitalización acelerada en los últimos años, lo que llevó a exponerse a nuevos riesgos digitales como los robos de identidad, suplantaciones masivas y otro tipo de ciberdelitos. Uno de los principales retos de los bancos y las entidades financieras es mantener la información y las operaciones de sus usuarios seguras. Sobre todo, en un entorno digital que ahora debe protegerse de herramientas como la inteligencia artificial y del uso masivo de Bre-B, el esquema de pagos inmediatos implementado por el Banco de la República, que demanda verificaciones de identidad rápidas y reforzadas”, sostiene.

El avance de canales digitales, la entrada de nuevos actores y el uso intensivo de datos han ampliado la superficie de riesgo. En ese contexto, la sentencia introduce un criterio claro sobre quién debe asumir las consecuencias cuando el sistema falla.

En términos regulatorios, explica que la sentencia redefine el tratamiento del fraude dentro del sistema financiero, al considerarlo un riesgo propio del negocio y no del consumidor. Esto eleva el estándar de diligencia exigido a bancos y operadores de información, aunque advierte que la protección del usuario no debe afectar la continuidad de las operaciones.

Ley de Garantías: Las restricciones que impuso Colombia a la contratación pública por elecciones

Ajustes operativos y regulatorios

El fallo introduce cambios en los procedimientos de verificación y corrección de datos. A partir de la validación constitucional, las entidades financieras deben suspender cobros asociados a obligaciones originadas en fraude, una vez el afectado presente la denuncia ante la Fiscalía General de la Nación y solicite la rectificación del reporte.

Además, las instituciones cuentan con plazos acotados para analizar la información y gestionar la actualización ante las centrales de riesgo, lo que ha obligado a reforzar áreas de cumplimiento, atención al cliente y gestión de fraude.

En su opinión, Andrés Fernández de Castro, director de Telecomunicaciones, Medios y Tecnología en Brigard Urrutia, uno de los principales retos está en la verificación de identidad, donde persisten brechas entre controles básicos y soluciones tecnológicas avanzadas que no siempre cuentan con respaldo jurídico suficiente.

Andrés Fernández -TMT

Algunas entidades todavía se limitan a validar una copia de cédula de ciudadanía para abrir productos financieros o líneas de telecomunicaciones, lo cual resulta insuficiente en un contexto donde Colombia registró más de 59.000 denuncias por delitos informáticos solo en 2023. Por otro lado, algunas entidades han optado por mecanismos sofisticados de autenticación (biometría facial, dactilar, herramientas de inteligencia artificial, entre otros) sin realizar un adecuado estudio de privacidad que revise la viabilidad jurídica de esos tratamientos de datos personales”, explica el panorama.

Esto último, afirma el especialista, puede generar contingencias tanto ante la Superintendencia de Industria y Comercio (SIC) como ante la Superintendencia Financiera (SFC).

A este escenario, menciona el experto, se suma una tensión estructural: la necesidad de proteger a la víctima sin desconocer que la entidad también puede verse afectada por el fraude, lo que obliga a diseñar procesos internos que permitan suspender y eventualmente reactivar cobros sin generar distorsiones operativas. A ello se añade el desfase entre la rapidez que exige el nuevo esquema y los tiempos de la justicia penal, lo que anticipa que las entidades deberán gestionar suspensiones prolongadas mientras se resuelven los casos.

“La resolución definitiva depende en buena medida de un proceso penal que, en la práctica colombiana, puede tardar meses o incluso años”, aclara.

Límite a la inversión extranjera de las AFP en Colombia: ¿Cuáles son los alcances financieros y regulatorios del proyecto de decreto?

Suspensión de cobros y carga regulatoria

Otro de los cambios más relevantes está la suspensión inmediata de cobros una vez se reporta la suplantación, así como la obligación de modificar el dato crediticio sin impacto negativo.

“Quizá la más disruptiva es la suspensión inmediata del cobro incluyendo intereses desde el momento en que es informada de la suplantación. La entidad deberá incluir la leyenda ‘Víctima de Falsedad Personal’ sin tratarse como reporte negativo. Para las áreas de riesgo crediticio, esto implica ajustes importantes en los modelos de scoring”, destaca Fernández de Castro.

Además, la sentencia introduce obligaciones adicionales, como la posibilidad de que las entidades también deban presentar denuncias penales y la futura regulación de protocolos de seguridad por parte de las autoridades.

“Esto no estaba en el texto original del proyecto y agrega una obligación operativa relevante”, añade.

Un factor crítico es la duración de los procesos. La resolución puede depender de investigaciones penales que toman tiempo, lo que obliga a las entidades a gestionar suspensiones prolongadas y a mantener trazabilidad en sus decisiones.

El abogado indica que la SIC y la SFC deberán expedir dentro de los seis meses siguientes a la sanción de la ley una reglamentación de protocolos de seguridad, cuyo incumplimiento podría derivar en la suspensión de la cobranza, la modificación de reportes y la devolución de dineros. El experto afirma que las entidades que comiencen a prepararse desde ahora contarán con una ventaja clara frente a los retos operativos que se avecinan.

Banco Serfinanza y Tpaga combinan sus plataformas mediante adquisición

Habeas data y prevención

Desde la perspectiva legal, la decisión fortalece el derecho al habeas data y la protección de la información personal, al establecer mecanismos más ágiles para la corrección de datos inexactos o fraudulentos. También introduce una redistribución de cargas probatorias, ya que, una vez presentada la reclamación, corresponde a la entidad financiera verificar la legitimidad de la obligación.

Según los abogados consultados este cambio podría traducirse en un aumento de reclamaciones administrativas y potenciales litigios, especialmente en casos donde exista controversia sobre la existencia del fraude o la suficiencia de las pruebas aportadas.

Sin embargo, más allá de las obligaciones que establece el fallo, ambos bufetes coinciden en que la efectividad del nuevo esquema dependerá de la prevención y de la respuesta oportuna frente a los casos de fraude.

Desde Cuatrecasas, Quinche enfatiza que la responsabilidad debe ser compartida entre entidades y usuarios. En su análisis, el fortalecimiento de herramientas tecnológicas y de autenticación por parte de los bancos debe complementarse con un mayor cuidado de los datos personales por parte de los clientes y con la activación temprana de los canales de denuncia.

“La principal recomendación es entender que la responsabilidad frente a este tipo de ciberdelitos debe ser compartida. Al tiempo que las entidades financieras deben incrementar la protección de sus usuarios con mejor tecnología y mejores procesos de autenticación de identidad, protocolos de fraude y suplantación”, aconseja.

De igual modo para los usuarios, el especialista resalta la importancia de cuidar con mayor rigor los datos personales y bancarios, no compartirlos con terceros y realizar las denuncias pertinentes inmediatas que contribuyan a la activación temprana de los protocolos de cada institución, permitiendo el cumplimiento de la sentencia avalada por la Corte.

Por su parte, Fernández de Castro centra el foco en tres líneas de acción:

  • Implementar mecanismos de autenticación robustos, ajustados al nivel de riesgo de cada producto, como biometría dactilar, códigos OTP, certificados digitales u otros métodos seguros.
  • Establecer monitoreo continuo para evaluar la eficacia real de los sistemas de autenticación y detectar posibles vulnerabilidades.
  • Desarrollar programas de capacitación permanente para el personal encargado de verificar documentos, gestionar datos biométricos y prevenir fraudes, incluyendo protocolos integrales de protección contra fuga de información.

El abogado concluye que en la gestión de incidentes por fraude, la clave es responder con rapidez. Advierte que mantener reportes negativos pese a las denuncias de suplantación puede generar sanciones importantes; al mismo tiempo, los usuarios afectados deben actuar con responsabilidad y buena fe durante todo el proceso.

Aunque la ley aún requiere la sanción presidencial para su entrada en vigor plena, la sentencia de la Corte Constitucional de Colombia ya fija el estándar que deberán seguir las entidades, marcando las pautas para la corrección de datos y la protección de los usuarios.

El nuevo marco apunta a un sistema con mayores exigencias en verificación, tratamiento de datos y gestión del fraude, lo que implica ajustes en procesos internos, modelos de riesgo y coordinación con los operadores de información crediticia.

Actualmente, la etapa se centra en la preparación. Aquellas entidades que logren adaptar sus procedimientos con mayor rapidez tendrán ventaja frente a un entorno que exige tiempos de respuesta más cortos y un mayor control sobre la calidad de la información.

Add new comment

About text formats

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.

© El contenido de LexLatin, incluyendo todas sus imágenes, ilustraciones, diseños, fotografías, videos, íconos y material escrito, está protegido por derechos de autor, marcas y demás derechos de la propiedad intelectual, y es publicado para sus suscriptores y lectores con propósitos informativos únicamente. No se permite la reproducción, modificación, copia, distribución, reedición, transmisión, proyección o explotación de cualquier forma de los materiales o contenido publicado por LexLatin, a menos que el interesado obtenga la autorización escrita de LexLatin.