Por Angélica González Barrantes, Identity Solutions Manager
En los últimos meses, muchas conversaciones en el sector financiero colombiano giran alrededor del Decreto 0368 de 2026, que convierte las finanzas abiertas en obligatorias para todas las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC).
¿Qué significa esto? Todas las entidades bancarias están obligadas a compartir datos (con consentimiento del usuario), lo que se traduce en nuevos modelos de negocio y mayor competencia, bajo un marco donde el usuario es el dueño del dato y el consentimiento adquiere un rol central.
Pero hay algo que me parece importante poner sobre la mesa desde el inicio:
Esto no es un cambio tecnológico. Es un cambio estructural de cómo se construye confianza en el sector financiero.
Hasta ahora, los datos estaban contenidos dentro de cada entidad; ahora con Open Finance, esos datos empiezan a circular entre múltiples actores… y ahí es donde cambia todo.
Del dato como activo al dato como infraestructura de confianza
Durante años la ventaja competitiva estuvo en la posesión del dato; hoy ese paradigma cambia, porque cuando los datos se abren, dejan de ser exclusivos y cuando eso pasa dejan de ser una ventaja. Entonces la verdadera diferencia empieza a estar en otro lugar: está en la capacidad de usarlos de forma segura, confiable y regulada.
El Decreto 0368, la Ley 1581 y la Ley 1266: regulación como habilitador
El Decreto 0368 de 2026, que da cumplimiento al artículo 89 de la Ley 2294 de 2023 (Plan Nacional de Desarrollo) y se apoya en la Ley 1581 de 2012 y la Ley 1266 de 2008 sobre protección de datos personales, no introduce conceptos completamente nuevos, lo que hace es algo más relevante… escala más alto esos principios de consentimiento, trazabilidad, seguridad… y los sube a obligatoriedad, interoperable y auditable en tiempo real.
Consentimiento del usuario: el centro del nuevo ecosistema de Finanzas Abiertas
Hay una narrativa importante aquí: el dato se abre, pero el control no se pierde, el usuario sigue siendo el dueño y ahora tiene más visibilidad, más control y más poder sobre cómo se utiliza y esto redefine completamente la relación entre entidades y sus clientes.
El reto real para la banca colombiana: cumplir sin romper la experiencia de usuario
Aquí es donde muchas organizaciones ya están sintiendo la presión porque más regulación implica:
Más validaciones
Más controles
Más fricción potencial
Y esto impacta directamente los indicadores de conversión de usuarios en onboarding Digital y autenticación, por eso debemos tener claro que cumplir no debe costar clientes.
Confianza como infraestructura: consentimiento, autenticación fuerte y antifraude
En este nuevo entorno hay algo que cambia radicalmente y es que la confianza pasa a ser infraestructura que debe ser medible, auditable y escalable. Aquí entran tres elementos claves: la gestión de un modelo reforzado de consentimiento que se traduce operativamente en doble validación que exige el decreto, los esquemas basados en factores fuertes de autenticación definidos por la SFC, y la prevención del fraude de identidad.
Biometría en Colombia: de mejora de UX a control de cumplimiento
Uno de los cambios más interesantes que estamos viendo es el rol de la biometría. Históricamente en Colombia la biometría se veía como una mejora de experiencia en el onboarding digital. Hoy, bajo el Decreto 0368, es un mecanismo crítico de cumplimiento que permite responder a la exigencia de autenticación fuerte, soportar el doble consentimiento y garantizar la trazabilidad del consentimiento.
El diferencial competitivo: compliance by design para entidades vigiladas
Creo que aquí está la conversación más importante para los próximos meses porque no se trata solo de cumplir, se trata de cómo cumples. En Colombia las organizaciones deben diseñar sus procesos pensando en regulación, experiencia de usuario y conversión para tener una ventaja clara.
Cómo Facephi acompaña a entidades vigiladas en el cumplimiento del Decreto 0368
Desde nuestra experiencia trabajando con entidades vigiladas, vemos este reto de forma muy concreta y entendemos que el desafío no es solo regulatorio sino operativo y de negocio, por eso nuestro enfoque debe estar en ayudar a las entidades a adaptarse al decreto 0368 con menos fricción y mejores tasas de conversión.
Con un plazo máximo de 12 meses desde que la SFC publique cada estándar técnico, las entidades vigiladas tienen una ventana corta para diseñar onboarding, autenticación y consentimiento que cumplan sin romper la conversión.
Si tu entidad está revisando hoy cómo adaptar onboarding, autenticación y consentimiento al Decreto 0368, podemos compartir cómo lo estamos resolviendo con bancos, fintech, aseguradoras y entidades vigiladas por la SFC en Colombia y más de 30 países. Hablemos.
FAQs
El Decreto 0368 de 2026, expedido por el Ministerio de Hacienda y Crédito Público el 7 de abril de 2026, hace obligatorio el sistema de finanzas abiertas (Open Finance) en Colombia para todas las entidades vigiladas por la Superintendencia Financiera. Modifica el Decreto 2555 de 2010 y reemplaza el esquema voluntario que regía desde el Decreto 1297 de 2022.
El Decreto 0368 aplica de forma obligatoria a las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC): establecimientos bancarios, corporaciones financieras, compañías de financiamiento, cooperativas financieras, sociedades especializadas en depósitos y pagos electrónicos (Sedpe), sociedades fiduciarias, comisionistas de bolsa, administradoras de fondos de pensiones y cesantías, administradoras de inversión, entidades de financiación colaborativa y compañías aseguradoras. Los terceros no vigilados (fintechs, insurtechs, agregadores) pueden participar de forma voluntaria si cumplen los criterios de la SFC.
El Decreto 0368 entró en vigor el 7 de abril de 2026, fecha de su publicación en el Diario Oficial. La implementación efectiva es gradual: la SFC tiene un plazo máximo de 6 meses para publicar el cronograma de estándares técnicos, y desde la expedición de cada estándar las entidades vigiladas cuentan con 12 meses para habilitar el acceso a la categoría correspondiente, prorrogables por 6 meses adicionales.
El doble consentimiento es el mecanismo de doble validación que exige el Decreto 0368: primero, el cliente autoriza al tercero receptor de forma previa, expresa e informada, identificando receptor, datos, finalidad y plazo. Segundo, la entidad proveedora confirma con el titular esa autorización antes de compartir cualquier dato. Toda la gestión debe realizarse mediante mecanismos fuertes de autenticación según las instrucciones de la SFC.