Fraud Intelligence Report: Descubre cómo evoluciona el fraude digital y protege la identidad de tus clientes

Descarga la guía

InversoresContacta

Colombia / SARLAFT & SFC

Cumplimiento SARLAFT & SFC
para Colombia, sin brechas de evidencia

La SFC no valora solo políticas. Exige controles que funcionen en vinculación, monitoreo, reportes y auditoría. Facephi integra KYC, AML y autenticación en una defensa 360° audit-ready alineada con el SARLAFT 4.0 y el Decreto 0368/2026.

  • Construido sobre 20 años de herencia regulatoria europea.
    Cumple con GDPR e ISO 27001.

Solicita tu auditoría de compliance gratuita

¿No es tu país?

Clientes que confían en nosotros

Logo Banco Santander
Logo Scotiabank
Logo Banrural
Logo Banco Industrial
Logo de Itaú
Logo Banco General
Logo Banco Guayaquil

Certificaciones y estándares internacionales

Logo ISO

ISO 30107-3

iBeta logo

iBeta Level 2

Logo ISO

ISO 27001

Logo AICPA SOC 2

SOC 2

Logo ISO

ISO 30107-3

iBeta logo

iBeta Level 2

Logo ISO

ISO 27001

Logo AICPA SOC 2

SOC 2

Contexto regulatorio

Por qué están aumentando las exigencias de cumplimiento normativo en Colombia

Colombia combina un supervisor financiero consolidado con amplios poderes de enforcement y un régimen LA/FT bajo escrutinio internacional sostenido. La próxima Evaluación Mutua del GAFI medirá efectividad real, no solo cumplimiento técnico formal.

Marco regulatorio SFC / UIAF

  • SFC: Supervisión consolidada; inspecciones SARLAFT ordinarias y extraordinarias

  • UIAF: Receptor de ROS; análisis financiero y coordinación Grupo Egmont

  • CE 006/2025: Nueva Circular Básica Jurídica, vigente desde junio 2025

  • Leyes 1581 y 1266: Protección de datos de doble vía

NIST FPAD & FRTE

  • SARLAFT 4.0: CE 027/2020 + CE 006/2025; fases de prevención y control

  • Decreto 0368/2026: Finanzas Abiertas obligatorias para entidades SFC

  • CE 001/2025 SIC: Datos biométricos como datos sensibles en fintech

  • Ley 1708/2014: Extinción de dominio sin condena penal

5.ª Ronda GAFI

  • Metodología 2022: efectividad por encima del cumplimiento técnico formal

  • Colombia en seguimiento reforzado desde Evaluación Mutua 2018

  • Evidencia operativa —no políticas— es la prueba que evalúa el GAFILAT

  • Resultado afecta acceso a corresponsales internacionales

30 años 10 a 30 años de prisión por lavado de activos (Art. 323, Ley 599/2000)

50 k SMLMV multa máxima por incumplimiento AML

5 % Umbral beneficiario final Art. 631-5 ET

5 años Retención mínima logs de API Open Finance

Guía de cumplimiento Colombia 2026

SARLAFT 4.0 · UIAF · Finanzas Abiertas · Decreto 0368/2026. Para CCO y equipos AML/CFT.

Hitos regulatorios críticos

Calendario de cumplimiento 2025–2026

Fechas clave que tu institución no puede perder de vista.

Jun 2025

Vigente

CE 006/2025 — Nueva CBJ

Consolidación de la Circular Básica Jurídica. Reorganización estructural del SARLAFT en texto navigable web.

2025

Vigente

CE 001 y 003/2025 SIC

Datos biométricos como datos sensibles en fintech y cláusulas modelo para transferencias internacionales de datos.

Abr 2026

Obligatorio

Decreto 0368/2026 — Open Finance

Sistema de Finanzas Abiertas obligatorio para entidades SFC. Activa debida diligencia SARLAFT sobre receptores de datos.

Jun 2026

En vigor

CE 004/2026 — Nueva CBF

Nueva Circular Básica Financiera. Reemplaza la CBCF (CE 100/1995). Reorganiza instrucciones prudenciales y supervisoras.

2026-2030

Próximo

5.ª Ronda GAFI

Evaluación Mutua bajo la Metodología 2022: efectividad demostrable en supervisión, reportes e investigación.

Pendiente

En trámite

Proyecto Ley 510/2025 — PSAV

Marco formal para prestadores de activos virtuales: supervisión, KYC y AML. No promulgado aún.

Checklist de cumplimiento

Requisitos clave que los Oficiales de Cumplimiento deben validar

La SFC exige evidencia operativa de que los controles funcionan, no solo políticas documentadas.

KYC y vinculación digital

  • Verificación documental cédula colombiana con OCR en tiempo real

  • Cotejo biométrico 1:1 y búsqueda 1:N en BBDD

  • Liveness pasivo certificado ISO 30107-3 / iBeta L2

  • Cribado PEP · sanciones ONU/OFAC · medios adversos integrado

  • Rastro de evidencia SARLAFT auditable desde el primer clic

Monitoreo transaccional y ROS

  • Monitoreo continuo, no solo revisión periódica

  • Detección de anomalías conductuales y redes de cuentas mula

  • ROS sin umbral monetario con independencia del Oficial

  • Cribado de sanciones en tiempo real (Art. 20, Ley 1121/2006)

  • Informe anual de efectividad SARLAFT a la Junta Directiva

Beneficiario final y gobierno

  • Identificación de personas naturales con ≥5% del capital (Art. 631-5)

  • Verificación operativa —no declarativa— contra fuentes independientes

  • Reporte trimestral al RUB de la DIAN (Res. 227/2025)

  • Oficial de Cumplimiento con reporte directo a la Junta

  • Manual SARLAFT aprobado anualmente por la Junta Directiva

Finanzas Abiertas — Decreto 0368/2026

  • Inscripción al directorio de participantes de la SFC

  • Autenticación fuerte para otorgar / revocar consentimiento (CE 004/2024)

  • Debida diligencia SARLAFT sobre receptores de datos

  • Logs de API · 5 años retención · enmascaramiento por sensibilidad

  • FAPI 2.0 · OAuth 2.0 · JWT PS256 · mTLS · ISO 20022

Soluciones Facephi para Colombia

Ciclo de identidad: cada etapa cubierta

El SARLAFT exige control continuo desde la vinculación hasta cada transacción. Facephi genera la evidencia auditable en cada nivel.

Usuaria usando el móvil para autenticarse

Nivel 1 - Onboarding y KYC

KYC y verificación de identidad digital

En la vinculación el riesgo se centra en quién es realmente el cliente. Los bancos deben verificar identidades con precisión, cumpliendo con el SARLAFT, sin incrementar el abandono.

  • Captura documental y OCR de cédula colombiana

    Validación de autenticidad del documento en el punto de entrada.

  • Liveness pasivo + cotejo 1:1 y 1:N

    Certif. iBeta Nivel 1 y 2. Detecta suplantación y cuentas duplicadas.

  • Cribado PEP · sanciones ONU/OFAC · medios adversos

    En el mismo flujo, antes de crear la cuenta. Rastro SARLAFT auditable.

Ver Facephi Onboarding
Facephi Authentication

Nivel 2 - Autenticación

Autenticación y prevención de Account Takeover

El SARLAFT exige que el aseguramiento de la identidad continúe después de la vinculación. MFA adaptativo y biometría conductual protegen cada sesión.

  • MFA adaptativo y passkeys

    Autenticación reforzada en transferencias, cambio de beneficiario y operaciones de riesgo.

  • Behavioural Biometrics en sesión

    Dispositivo, red, ubicación y patrón de interacción para detectar ATO sin interrumpir la sesión.

Ver Facephi Authentication
Usuaria con un portátil tratando de hacer una transacción financiera, pero detectada como fraude

Nivel 3 - Monitoreo AML

AML, monitoreo transaccional y cuentas mula

Las redes de cuentas mula distribuyen fondos entre múltiples cuentas e instituciones. La detección requiere análisis de patrones, no solo umbrales estáticos.

  • Money Mule Detection

    Identifica cuentas inactivas con actividad súbita, ciclos rápidos y beneficiarios anómalos.

  • Alertas, escalamiento y log de decisión

    El rastro de evidencia que sustenta el ROS sin umbral monetario ante la UIAF.

Ver detección de cuentas mula
Usuaria consultando datos de nuestra plataforma en un portátil

Transversal - Finanzas abiertas

Finanzas Abiertas y trazabilidad audit-ready

El Decreto 0368/2026 exige autenticación fuerte cuando el consumidor otorga o revoca consentimiento de datos. Cada decisión debe ser trazable y auditable.

  • Autenticación fuerte para consentimiento

    CE 004/2024 exige autenticación robusta para otorgar, modificar o revocar autorizaciones de datos.

  • Debida diligencia sobre receptores de datos

    Los receptores deben recibir tratamiento SARLAFT como clientes para efectos de KYC.

Soluciones antifraude
Antifraude - IA
Antifraude - IA

Advanced Injection Defense

Bloquea deepfakes y medios sintéticos en el flujo de captura biométrica. Esencial ante la Ley 1273/2009.

Ver solución
KYC - KYB - AML
KYC - KYB - AML

Facephi IDV

Orquesta KYC, KYB y cribado AML en una plataforma unificada. Cobertura 360° con rastro SARLAFT.

Ver solución

Mapa de autoridades

Quién supervisa qué en Colombia

Una debilidad identificada por una autoridad se vuelve rápidamente relevante para las demás.

AUTORIDAD MANDATO MARCO CLAVE IMPACTO EN IDENTIDAD DIGITAL
SFC
Superintendencia Financiera 		Supervisión consolidada: prudencial, conducta, LA/FT y consumidor CE 006/2025 · CE 004/2026 · CE 004/2024 KYC, clasificación de riesgo, logs de auditoría, gobierno del Oficial
UIAF
Superintendencia Financiera 		Inteligencia financiera y análisis de ROS (Grupo Egmont) Ley 526/1999 · Res. 314/2021 ROS sin umbral monetario; independencia real del canal de reporte
SIC
Superintendencia de Industria y Comercio 		Protección de datos y habeas data Ley 1581/2012 · CE 001/2025 · CE 003/2025 Biometría como dato sensible: autorización explícita y retención limitada
DIAN
Dirección de Impuestos y Aduanas 		Tributos, aduanas y RUB (beneficiario final) Res. 227/2025 · Concepto 1621/2023 Beneficiario final ≥5% (Art. 631-5); actualización trimestral al RUB
SuperSoc.
Superintendencia de Sociedades 		SAGRILAFT para sector real y PSAV fuera del perímetro SFC CE 100-000016/2020 Cap. X PSAV que superen umbrales de ingresos/activos de la Superintendencia

Contexto del mercado

Colombia: mercado financiero clave de América Latina

El cumplimiento en Colombia es también una ventaja competitiva. Las entidades con mejores controles acceden más fácilmente a licenciamientos y corresponsales internacionales.

Supervisor más robusto de LATAM

La SFC combina prudencial, conducta, LA/FT y consumidor bajo una sola autoridad con amplios poderes de enforcement.

Open Finance obligatorio desde 2026

El Decreto 0368/2026 convierte el sistema en obligatorio. Colombia lidera en LATAM en integración de Open Finance regulado.

Inclusión financiera como objetivo regulatorio

Las SEDPE (Ley 1735/2014) habilitan KYC digital simplificado. Cumplimiento y acceso financiero van de la mano.

Seguimiento reforzado GAFILAT activo

La próxima evaluación bajo la 5.ª Ronda del GAFI priorizará efectividad demostrable, no solo el marco legal.

Preguntas frecuentes

FAQ: SARLAFT, SFC y Finanzas Abiertas en Colombia

El SARLAFT exige integrar verificación de identidad, cribado de sanciones y clasificación de riesgo en el punto de entrada. Para canales digitales de mayor riesgo implica validación biométrica o controles equivalentes. La SFC exige evidencia operativa: archivos de cliente, resultados de cribado, calificaciones de riesgo y logs de auditoría. No basta con políticas documentadas.

Hace obligatorio el sistema para entidades SFC desde abril 2026. Activa cuatro frentes: tratamiento SARLAFT de receptores de datos como clientes, doble verificación de consentimiento, logs de API con retención de 5 años, e inscripción al directorio de la SFC. La autenticación fuerte es obligatoria para otorgar o revocar autorizaciones de datos (CE 004/2024).

SARLAFT aplica a entidades vigiladas por la SFC (bancos, SEDPE, aseguradoras, fiduciarias). SAGRILAFT aplica al sector real no vigilado por la SFC, incluidos PSAV que superen umbrales de ingresos o activos, administrado por la Superintendencia de Sociedades (CE 100-000016/2020).

El Art. 631-5 ET define como beneficiario final a quien posea el 5% o más del capital o los votos. La verificación debe ser operativa, no declarativa: verificar contra fuentes independientes y actualizar de forma continua basada en riesgo. El reporte al RUB de la DIAN se revisa trimestralmente (Res. 227/2025).

El ROS se presenta cuando la entidad forma una sospecha razonable de LA/FT. No tiene umbral monetario. El Art. 42 de la Ley 190/1995 protege de responsabilidad civil los ROS presentados de buena fe. El Oficial de Cumplimiento puede reportar sin interferencia de la administración, y el GAFILAT verifica esa independencia.

Los datos biométricos son datos sensibles. El tratamiento exige: autorización explícita e informada, justificación por necesidad, proporcionalidad al riesgo y limitación de retención. Una plantilla usada para verificación LA/FT y otra para autenticación pueden tener análisis distintos según si aplica la Ley 1266 o la Ley 1581.

¿Listo para cumplir?

Construya la evidencia que la SFC y la UIAF esperan encontrar

Especialistas en compliance para Colombia. SARLAFT 4.0 · UIAF · Decreto 0368/2026

Habla con un experto

Tus datos están seguros. No compartimos tu información con terceros.

Facephi Facephi Identity Platform Onboarding Authentication UX Consultancy Facephi Builder Facephi Central Services Fraud Intelligence Platform Identity Fabric KYB Platform Teseo Identity Wallet IDV Suite Cuentas Mula Behavioural Biometrics Linkedin YouTube X Facebook
Secret Link