Serie Compliance Traveller | Guía de campo: Colombia
La serie Compliance Traveller explora el mundo con “lentes regulatorios”, leyendo el panorama AML de un país como un viajero lee un nuevo destino.
Colombia es un país que premia la preparación profunda. Lo que sigue no es un mapa abstracto de obligaciones de cumplimiento, sino un relato desde el terreno de lo que el Oficial de Cumplimiento debe demostrar hoy, señalando con precisión dónde las instituciones no logran cerrar la brecha entre la documentación SARLAFT y la evidencia operativa que los reguladores esperan ver.
Descubrir una transacción sospechosa solía sentirse como el punto final de un proceso de monitoreo. Hoy, es apenas el comienzo.
¿De dónde provino el cliente? ¿Qué verificaciones se realizaron en la vinculación? ¿Se verificó al beneficiario final? ¿El equipo de fraude vio las mismas señales de alerta que el equipo de SARLAFT? ¿Se escaló el caso a tiempo?
Aquí es donde se está acumulando la presión sobre SARLAFT. El marco no es nuevo. Los bancos, los proveedores de servicios de pago, las SEDPE y otras instituciones reguladas ya conocen el lenguaje de la debida diligencia del cliente, las PEP, el listado de sanciones, el monitoreo transaccional, el reporte de ROS y la supervisión por parte de la Junta Directiva. Lo que está cambiando es el nivel de prueba que se le exige al Oficial de Cumplimiento.
Colombia está entrando en esta fase bajo presión desde dos frentes. La regulación se está endureciendo, mientras el fraude digital crece más rápido y se vuelve más difícil de contener. TransUnion reportó un aumento interanual del 43,5% en intentos sospechosos de fraude digital en Colombia durante el primer semestre de 2024. ACIS ha advertido que las pérdidas por fraude de identidad podrían superar los COP 50 billones en 2025, y más del 80% de los usuarios bancarios colombianos reportan haber sido blanco de intentos de fraude, según cifras de FICO.
Más allá del SARLAFT en sí mismo, el entorno más amplio de gobernanza de riesgos se está endureciendo en frentes paralelos. La Circular Externa 015 de 2025 introduce el SARAS —gestión de riesgos ambientales, sociales y climáticos—, un marco independiente pero que exige la misma postura basada en evidencia y la integración con los sistemas de riesgo existentes, incluido el SARLAFT. Dentro del perímetro AML/CFT, la Resolución 16615 de 2025 vincula al sector transporte de manera más profunda al marco del SARLAFT. La Circular Externa 001 de 2026 evidencia que la implementación de las Finanzas Abiertas está orientando a las entidades a gestionar el consentimiento, las APIs, la seguridad y la evidencia como parte de un mismo entorno de control.
Para el Oficial de Cumplimiento, todos estos desarrollos confluyen en un mismo punto: la capacidad de demostrar que los controles funcionan dentro del negocio, a través de expedientes reales, alertas, decisiones y escalamientos.
La brecha del fraude
Las cifras anteriores exponen la brecha entre el cumplimiento formal y el control operativo. Un manual SARLAFT, una matriz de riesgo y una política aprobada por la Junta Directiva no impiden que las identidades sintéticas superen los controles de vinculación. No impiden que las cuentas mula muevan fondos entre instituciones. No sirven de mucho si las alertas de fraude están en un sistema y el monitoreo AML en otro.
SARLAFT nunca fue concebido como un archivador. Así como una guía de viaje le indica qué esperar, no lo protege de lo que realmente ocurre al llegar. SARLAFT debe ayudarle a la institución a entender quién es el cliente, qué riesgo representa, cómo se comportan sus transacciones, cuándo surge la sospecha y si la institución puede demostrar lo que hizo.
El trabajo ahora se define por la prueba.
Lo que el Oficial de Cumplimiento debe demostrar
El Oficial de Cumplimiento en Colombia siempre ha tenido una responsabilidad seria. Bajo SARLAFT, el Oficial de Cumplimiento no es simplemente el dueño de las políticas. Su rol está cercano a la Junta Directiva, al marco de riesgo y al proceso de reporte ante la UIAF. Lo que está cambiando es la carga práctica. Un programa SARLAFT documentado es el requisito de entrada, pero lo que hoy examinan los reguladores y la UIAF es si ese programa produjo una traza rastreable y expedientes reales, revisiones documentadas y registros de escalamiento que resistan el escrutinio.
En la práctica, las preguntas son simples: ¿por qué se clasificó a este cliente como de alto riesgo? ¿Qué verificaciones se realizaron en la vinculación? ¿Se revisó el beneficiario final? ¿Las señales de fraude llegaron al equipo AML? ¿Por qué un caso se convirtió en un ROS y otro no?
La última pregunta suele ser la más difícil: ¿puede la institución demostrar que la Junta Directiva tuvo la información correcta a tiempo para actuar?
Muchas instituciones tropiezan en ese punto. Sus documentos formales de cumplimiento lucen aceptables. Su evidencia operativa es más débil.
SARLAFT ahora tiene que conectar los puntos
El modelo de cumplimiento tradicional trataba los riesgos en compartimentos separados. El AML tenía un flujo de trabajo, el fraude otro, y la ciberseguridad y la protección al consumidor se ubicaban en otro lado. La protección de datos solía vivir en los equipos legales o de privacidad.
Los servicios financieros digitales hacen que esa separación sea cada vez más difícil de defender.
Un ataque de phishing puede convertirse en un asunto de protección al consumidor, un incidente de ciberseguridad, un caso de toma de control de cuenta y un posible evento AML. Una identidad sintética puede ingresar a través de la vinculación, obtener acceso a un producto financiero, construir un perfil aparentemente normal y luego servir de soporte a la actividad de cuentas mula. Una relación con un tercero en un entorno de Open Finance puede plantear, al mismo tiempo, preguntas sobre SARLAFT, protección de datos, seguridad de las APIs, consentimiento y riesgo operativo.
El reto del Oficial de Cumplimiento es conectar las señales que ya existen dentro de la institución. La evaluación de riesgo SARLAFT necesita dialogar con la inteligencia de fraude. La debida diligencia del cliente debe conectarse con el monitoreo transaccional. El listado de sanciones y la verificación de PEP deben operar a lo largo de todo el ciclo de vida. La gestión de casos debe preservar una traza limpia de las decisiones. El gobierno del dato debe sustentar la explicación.
La tecnología importa, pero la pregunta jurídica sigue siendo la efectividad del control. La ley colombiana no impone una tecnología específica de identidad, monitoreo o autenticación. Las instituciones eligen sus controles con base en su perfil de riesgo, productos, canales y análisis de protección de datos. La prueba es si el entorno de control es lo suficientemente sólido para identificar el riesgo, monitorear el comportamiento, escalar la sospecha y preservar la evidencia.
El Open Finance suma un nuevo problema de evidencia
El Open Finance transforma el trabajo del Oficial de Cumplimiento porque genera nuevas relaciones, nuevos flujos de datos y nuevos requisitos de evidencia.
Navegar el modelo de Open Finance colombiano es como gestionar un vuelo con múltiples conexiones: el intercambio de datos depende de una cadena de autorizaciones del cliente, estándares técnicos, controles de seguridad y traspasos a terceros. Saltarse el “check-in” de cumplimiento en cualquier punto compromete todo el trayecto.
Las reglas de transición de la SFC a través de la Circular Externa 001 de 2026 muestran que la implementación es compleja. Las instituciones necesitan tiempo para cumplir con los estándares técnicos, de seguridad y operativos, y los supervisores saben que la construcción técnica hace parte del reto de cumplimiento.
Para SARLAFT, el reto es práctico: esas nuevas relaciones deben ser filtradas, monitoreadas y evidenciadas.
Un receptor de datos puede necesitar ser tratado como cliente o cliente potencial para efectos de debida diligencia AML. Los registros de consentimiento deben ser confiables. Los logs de las APIs deben soportar la auditabilidad. El riesgo de terceros debe entenderse. La iniciación de pagos, una vez en operación, suma una capa adicional, porque el tercero puede ayudar a iniciar el movimiento de fondos y no solamente leer datos.
Para el Oficial de Cumplimiento y las instituciones, el problema práctico es explicar toda la cadena.
Poder explicar quién accedió a los datos, qué autorización lo respaldó, qué participante los recibió y si el receptor estuvo sujeto a debida diligencia. Si hay iniciación de pagos involucrada, la traza también debe mostrar qué pasó, qué alertas se generaron, quién las revisó y dónde se almacena la evidencia.
Por lo tanto, la respuesta de SARLAFT no puede estar por fuera de ese flujo. Tiene que estar integrada dentro de él.
La señal del sector transporte
La Resolución 16615 de 2025 importa más allá del sector transporte. El transporte, la logística y la infraestructura han sido atractivos para el lavado basado en comercio, el contrabando, el movimiento de efectivo, el crimen organizado y las contrapartes de alto riesgo. Cuando la Superintendencia de Transporte modifica su capítulo SARLAFT, el mensaje es consistente con el patrón más amplio: las expectativas en materia de AML/CFT son cada vez más operativas en todos los sectores.
Para los bancos y los proveedores de pagos, esto importa porque sus clientes y contrapartes pueden operar en esos sectores. Un banco que vincula una empresa de transporte no tiene por qué convertirse en el supervisor de transporte. Sí debe, sin embargo, comprender si esa empresa está sujeta a deberes sectoriales de SARLAFT, si tiene controles implementados y si su perfil de riesgo corresponde con su actividad. Esto también le da al Oficial de Cumplimiento un rol más comercial: ayudar a la institución a decidir a qué clientes puede atender, bajo qué controles y con qué nivel de confianza.
El problema de la Junta Directiva
Las Juntas Directivas suelen pedir claridad. No siempre la reciben. Informes extensos. Tableros estáticos. Actualizaciones de políticas. Cifras de capacitación. Volúmenes de alertas. Conteos de ROS.
Esas cifras son relevantes, pero no siempre responden la pregunta correcta.
Un paquete de información más robusto para la Junta Directiva debería mostrar hacia dónde se está moviendo el riesgo. ¿Qué tipologías están aumentando? ¿Qué segmentos de clientes están generando más alertas? ¿Qué canales están presentando fraude en la apertura de cuentas? ¿Con qué rapidez se escalan los casos de alta prioridad? ¿Cuántos casos se reabren porque el primer análisis fue incompleto? ¿Dónde están los retrasos: en la vinculación, el monitoreo, la investigación, la revisión legal o el reporte?
Esa es la diferencia entre un programa de cumplimiento sobre el papel y una función de cumplimiento que puede defenderse por sí misma. El Oficial de Cumplimiento no debería tener que convencer a la Junta Directiva de que SARLAFT importa. La evidencia debería dejarlo claro por sí sola.
Qué significa esto para el Oficial de Cumplimiento
El entorno de cumplimiento en Colombia está entrando en un capítulo más exigente. SARAS, Open Finance, el SARLAFT del sector transporte, los debates sobre gobernanza de la IA, la protección de datos y la presión del fraude vienen desde frentes distintos, pero confluyen dentro de la misma institución.
Confluyen en la vinculación, la calificación de riesgo del cliente, la debida diligencia de terceros, el monitoreo, los expedientes de caso y el reporte a la Junta Directiva.
Las instituciones que gestionen bien esta etapa no serán las que tengan los manuales más largos. Serán las que puedan responder las preguntas prácticas de un supervisor: ¿qué pasó?, ¿por qué se trató de esa manera?, ¿quién lo aprobó?, ¿qué cambió después? y ¿dónde está la evidencia?
Esa es la prueba SARLAFT hoy. El manual sigue importando, pero la evidencia debe sostenerse por sí sola.
Preguntas frecuentes
El SARLAFT (Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo) es el marco obligatorio impuesto por la Superintendencia Financiera de Colombia (SFC) a las entidades bajo su supervisión —bancos, aseguradoras, compañías de financiamiento, cooperativas financieras, fintechs reguladas y SEDPEs— para prevenir, detectar y reportar actividades de lavado de activos y financiación del terrorismo.
Todas las instituciones vigiladas por la SFC: bancos, compañías de financiamiento, cooperativas financieras, aseguradoras, fiduciarias, administradoras de fondos de pensiones, gestoras de fondos de inversión, fintechs reguladas y SEDPEs. El sector real no financiero cuenta con un marco equivalente —el SAGRILAFT— bajo la supervisión de la Superintendencia de Sociedades.
El incumplimiento del SARLAFT puede derivar en multas impuestas por la SFC, sanciones personales contra administradores y Oficiales de Cumplimiento y, en casos graves, la revocación de la licencia de funcionamiento. La magnitud de la sanción depende de la gravedad y reincidencia de la infracción, conforme al Estatuto Orgánico del Sistema Financiero (Decreto 663 de 1993).
Un Reporte de Operación Sospechosa (ROS) debe presentarse ante la UIAF cuando, tras aplicar el proceso de debida diligencia con el cliente, la entidad cuente con elementos razonables para considerar que una transacción es sospechosa, sin que sea necesario probar el delito subyacente. La oportunidad y calidad del reporte hacen parte de la evidencia que examinan los supervisores.
El SARLAFT aplica al sector financiero vigilado por la SFC. El SAGRILAFT (Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT) aplica al sector real no financiero bajo la supervisión de la Superintendencia de Sociedades. Ambos comparten principios —enfoque basado en riesgo, debida diligencia y reporte a la UIAF—, pero difieren en alcance, proporcionalidad y periodicidad de los reportes.
Mientras la serie Compliance Traveller se prepara para su próximo destino, familiarícese con las guías regulatorias Compliance Lens & Strategic Spyglass.