La Ley 2573 de 2026, promulgada el 19 de mayo de 2026 y publicada en el Diario Oficial No. 53496 del 20 de mayo, es una ley estatutaria colombiana que introduce un nuevo régimen de protección frente a la suplantación de identidad e impone obligaciones operativas a tres categorías de sujetos: operadores de telecomunicaciones, entidades financieras y crediticias, y establecimientos comerciales con competencia para ofrecer productos que generen obligaciones crediticias. Su régimen general entra en vigor seis meses después de la promulgación, hacia noviembre de 2026. Solo en 2025, la Policía Nacional recibió 62.299 denuncias por delitos informáticos relacionados con suplantación, en un país donde el 82 % de las transacciones bancarias ya ocurre en canales digitales.
Qué es la Ley 2573 de 2026 y por qué llega ahora
La Ley 2573 de 2026 es una ley estatutaria que desarrolla los derechos al habeas data, a la intimidad y al buen nombre frente a la suplantación de identidad en el ecosistema digital. Se inscribe en el marco abierto por la Ley Estatutaria 1266 de 2008 (habeas data financiero) y la Ley Estatutaria 1581 de 2012 (protección de datos personales), pero da un paso más: pasa del derecho a “cómo proteger los datos” al derecho a “qué deben hacer las empresas cuando la suplantación ya ocurrió”.
Su llegada responde a una presión doble: la masificación del crédito digital y del onboarding remoto, que ha sustituido casi por completo a la sucursal física como punto de vinculación, y el crecimiento sostenido del fraude por identidad sintética, una de las modalidades más utilizadas para abrir productos crediticios con datos reales pero sin un titular consciente detrás.
Quiénes son los sujetos obligados por la Ley 2573
La Ley 2573 obliga a tres categorías de sujetos en Colombia:
- Entidades financieras y crediticias: bancos, compañías de financiamiento, cooperativas con actividad financiera, sociedades especializadas en depósitos y pagos electrónicos (SEDPE), fintech con licencia y casas de crédito no vigiladas que operen mecanismos crediticios.
- Operadores de telecomunicaciones: operadores móviles y proveedores de servicios de comunicación que activen líneas o servicios asociados a la identidad del usuario.
- Establecimientos comerciales con competencia crediticia: empresas que ofrezcan productos cuya contratación genere obligaciones crediticias (financiación de electrodomésticos, ventas a plazos, libranzas comerciales, planes pospago).
La vigilancia se reparte entre la Superintendencia Financiera de Colombia (SFC) para las entidades vigiladas, la Superintendencia de Industria y Comercio (SIC) para protección de datos y comercios, y el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) para los operadores de telecomunicaciones.
Cuándo entra en vigencia la Ley 2573: noviembre de 2026
Promulgada el 19 de mayo de 2026, su régimen general entra en vigencia seis meses después, hacia noviembre de 2026. Conviene leer los parágrafos primero y segundo del articulado: contemplan reglas específicas para determinadas obligaciones, lo que crea una hoja de ruta escalonada.
En la práctica, los sujetos obligados disponen de ese plazo para adecuar sus sistemas de verificación de identidad, sus procedimientos de atención al usuario y sus protocolos de reporte a centrales de riesgo y a la DIAN. Quien llegue a noviembre sin la capa operativa lista no incumple un manual de buenas prácticas: incumple una ley estatutaria con régimen sancionatorio asociado.
Las 5 obligaciones operativas que la Ley 2573 impone a los bancos
Más allá de los principios, la ley exige cinco actuaciones concretas que cualquier banco, fintech, telco o comercio crediticio en Colombia debe poder ejecutar antes de noviembre de 2026.
1. Verificación de identidad y seguridad digital reforzada
La ley exige medidas de seguridad digital “razonables y suficientes” para verificar la identidad del usuario en el momento de la vinculación y en operaciones sensibles posteriores. No prescribe una tecnología concreta, pero sí el resultado: que la entidad pueda demostrar, ante una reclamación, que adoptó controles capaces de detectar la suplantación. En la práctica, esto se traduce en verificación documental con OCR, lectura NFC del chip de la cédula, cotejo facial 1:1 contra el documento y prueba de vida facial pasiva.
2. Suspensión inmediata de cobros, intereses y gastos de cobranza
Al recibir la denuncia de suplantación, la entidad debe suspender de forma inmediata el cobro de cuotas, intereses y gastos de cobranza asociados a la obligación reclamada. La suspensión opera por el solo hecho de la denuncia, mientras se aclaran los hechos. No es discrecional ni queda condicionada al resultado de la investigación interna.
3. Marca “víctima de falsedad personal” en centrales de riesgo
Los sujetos obligados deben reportar a los operadores de información una marca específica: “víctima de falsedad personal”. Esta etiqueta impide que el caso reclamado afecte el puntaje crediticio del usuario mientras se resuelve, y se mantiene hasta el pronunciamiento judicial definitivo o la verificación interna por parte de la entidad.
4. Reporte tributario a la DIAN
Cuando la suplantación genera ingresos ficticios atribuidos al titular —por ejemplo, créditos desembolsados que aparecen como flujo del usuario—, la entidad debe comunicar la situación a la Dirección de Impuestos y Aduanas Nacionales (DIAN) para que la víctima no asuma consecuencias tributarias por operaciones que nunca realizó.
5. Investigación interna bajo carga dinámica de la prueba
La entidad debe adelantar una investigación interna del caso en plazos definidos por la ley. El cambio relevante respecto al régimen anterior es la carga dinámica de la prueba: ya no es el usuario quien debe demostrar que fue suplantado, sino la entidad la que debe acreditar que su proceso de vinculación funcionó correctamente. Quien tiene la evidencia, prueba.
| Obligación | Sujeto obligado | Plazo | Tecnología / capacidad necesaria |
|---|---|---|---|
| Verificación de identidad reforzada | Bancos · fintech · SEDPE · telcos · comercios crediticios | Continuo desde noviembre de 2026 | OCR documental · NFC · cotejo facial 1:1 · prueba de vida · búsqueda biométrica 1:N |
| Suspensión inmediata de cobros | Entidades financieras y crediticias · operadores móviles | Inmediata tras la denuncia del titular | Workflow de incidencias conectado a core bancario y CRM |
| Marca «víctima de falsedad personal» | Sujetos que reporten a centrales de riesgo | Inmediata · vigente hasta la resolución | Integración con operadores de información (Datacrédito, TransUnion, Cifin) y trazabilidad del estado |
| Reporte tributario a la DIAN | Entidades que reportaron ingresos al usuario suplantado | Tras la confirmación del caso | Capa de evidencia auditable para reconstruir la operación y notificar |
| Investigación interna y carga dinámica de la prueba | Todos los sujetos obligados | Plazos legales · evidencia exigible en cualquier momento | Logs de onboarding, evidencia biométrica, biometría conductual y pKYC |
Cómo se verifica la identidad bajo la Ley 2573
La ley no prescribe una tecnología concreta, pero exige un resultado: que la entidad pueda demostrar, ante un reclamo, que su proceso de verificación de identidad fue razonable y suficiente. Ese estándar abierto se traduce, en la práctica colombiana, en una pila técnica relativamente estándar.
En el momento de la vinculación, las entidades despliegan verificación documental con OCR y lectura NFC del chip de la cédula amarilla o de la cédula digital, cotejo facial 1:1 entre la selfie del usuario y la fotografía del documento, y prueba de vida facial pasiva para evitar que un atacante presente una foto o un vídeo en lugar de un rostro real. Para frenar vinculaciones repetidas con el mismo rostro y documentos distintos, se añade una búsqueda biométrica 1:N contra el histórico de clientes.
El objetivo no es solo bloquear el fraude en el momento. Es generar evidencia auditable que, meses más tarde, permita reconstruir cómo se vinculó al usuario reclamante y por qué.
Carga dinámica de la prueba: qué cambia para el sector financiero
La carga dinámica de la prueba es el cambio jurídico más relevante de la Ley 2573 para los sujetos obligados. En el régimen previo, el usuario que denunciaba una suplantación debía probar que él no era quien había contratado el producto. Con la Ley 2573, la lógica se invierte: es la entidad quien debe acreditar que su proceso de vinculación funcionó correctamente y que las medidas de seguridad digital fueron las exigibles.
Si la entidad no puede probarlo, la consecuencia es directa: pierde el derecho a perseguir el cobro y absorbe la pérdida. Operativamente, esto convierte la evidencia continua en activo regulatorio. No basta con verificar al usuario el día del onboarding: hay que mantener trazabilidad de operaciones sensibles posteriores mediante biometría de comportamiento y verificación de identidad continua (pKYC), capaces de demostrar que la persona detrás del dispositivo es la misma que se vinculó.
Sanciones y consecuencias del incumplimiento
La vigilancia se reparte entre la SFC para las entidades vigiladas, la SIC en materia de habeas data y establecimientos comerciales, y el MinTIC para los operadores de telecomunicaciones. Las sanciones administrativas aplicables provienen del régimen sancionatorio de cada autoridad: multas, planes de ajuste y, en casos graves, intervención.
A la sanción regulatoria se suma una consecuencia económica directa derivada de la carga dinámica de la prueba: cada caso en el que la entidad no pueda demostrar la solidez de su verificación de identidad se traduce en exoneración del usuario, suspensión definitiva del cobro y, eventualmente, indemnización. El costo del incumplimiento no es solo la multa: es la pérdida de la cartera reclamada.
Cómo cumplir la Ley 2573 antes de noviembre de 2026: checklist operativo
A seis meses de la entrada en vigor del régimen general, un plan de adecuación realista para una entidad financiera en Colombia cubre los siguientes pasos:
- Mapear los productos afectados. Identificar todos los flujos de onboarding y los productos que pueden ser objeto de suplantación: cuentas, créditos, financiación, libranzas, líneas móviles.
- Auditar la capa de verificación actual. Revisar qué controles existen hoy en cada flujo y dónde no se genera evidencia auditable.
- Cerrar la brecha biométrica. Allí donde el cotejo facial 1:1 o la prueba de vida sean débiles o inexistentes, desplegar capacidades que generen logs reutilizables ante reclamación.
- Activar la búsqueda 1:N y la detección de cuentas mula. Identificar coincidencias biométricas en el histórico para frenar la vinculación de identidades sintéticas.
- Conectar denuncia, suspensión, centrales y reporte DIAN en un único workflow. El SLA debe poder cumplirse desde el día uno de vigencia.
- Construir el expediente de evidencia por vinculación. Documentos, biometría, scores, IP, dispositivo, decisión del motor antifraude: es lo que se va a pedir bajo carga dinámica de la prueba.
- Capacitar al equipo de atención y validar protocolos con el área legal interna.
La Ley 2573 de 2026 marca un cambio de paradigma en Colombia: ya no basta con tener políticas; los sujetos obligados deben probar que sus controles funcionan, antes y después de la vinculación. Para las entidades vigiladas por la SFC, ese rastro de evidencia se construye con la misma capa de identidad digital que sostiene SARLAFT y el cumplimiento normativo en Colombia, incluida la apertura del régimen de Finanzas Abiertas del Decreto 0368 de 2026.
Preguntas frecuentes
La Ley 2573 de 2026 es una ley estatutaria colombiana promulgada el 19 de mayo de 2026 que establece medidas para proteger a las personas frente a reportes negativos y cobros indebidos derivados de casos de suplantación de identidad ante operadores de telecomunicaciones, entidades financieras y crediticias y demás establecimientos comerciales con competencia crediticia.
La Ley 2573 fue promulgada el 19 de mayo de 2026 y su régimen general entra en vigencia seis meses después, hacia noviembre de 2026. Los parágrafos primero y segundo del articulado contemplan reglas de entrada en vigencia específicas. Las entidades obligadas disponen de ese plazo para adecuar sus sistemas de verificación de identidad y sus procedimientos internos.
La Ley 2573 obliga a tres categorías de sujetos: operadores de telecomunicaciones, entidades financieras y crediticias, y establecimientos comerciales con competencia para ofrecer productos o servicios que generen obligaciones crediticias. La vigilancia corresponde a la Superintendencia Financiera, la Superintendencia de Industria y Comercio y el MinTIC, según el sector.
Los bancos deben adoptar medidas de seguridad digital razonables para verificar identidad, suspender cobros y reportes inmediatamente al notificar la suplantación, marcar al titular como “víctima de falsedad personal” en centrales sin afectar su score, reportar a la DIAN para evitar perjuicios tributarios y adelantar investigaciones internas bajo carga dinámica de la prueba.
Es la marca que los sujetos obligados deben reportar a los operadores de información cuando un usuario denuncia haber sido suplantado. Esta etiqueta impide que el caso impacte el puntaje crediticio de la víctima mientras se resuelve. La marca se mantiene hasta el pronunciamiento judicial definitivo o la verificación interna por la entidad.
La ley exige medidas de seguridad digital suficientes y razonables para verificar identidad, sin prescribir tecnología concreta. En la práctica, las entidades despliegan verificación documental con OCR, lectura NFC del chip de la cédula, cotejo facial 1:1, prueba de vida pasiva y búsqueda biométrica 1:N para prevenir vinculaciones fraudulentas y generar evidencia auditable.
La vigilancia corresponde a la SFC, la SIC y el MinTIC según el sector. Las sanciones administrativas aplicables provienen del régimen sancionatorio de cada superintendencia. En paralelo, la entrega de información incompleta o tardía bajo el principio de carga dinámica de la prueba puede derivar en exoneración del usuario y pérdida del cobro para la entidad.