Trazabilidad, identidad digital y fraude: lo que exige la Ley 2573 de 2026

por Juan.SCaballero@experian.com 7 min read Junio 18, 2026

Prevenir fraude

Un nuevo estándar para la gestión de fraude en Colombia

La Ley Estatutaria 2573 del 19 de mayo de 2026 marca un cambio relevante para entidades financieras, telecomunicaciones, fintechs y comercios que otorgan bienes o servicios financiados en Colombia. Su objetivo es fortalecer la protección de las personas frente a casos de suplantación de identidad, reportes negativos y cobros derivados de fraude.

Sin embargo, más allá del componente jurídico, la ley redefine el estándar operativo de las organizaciones.

El espíritu de la norma es reforzar la protección de los titulares frente a la falsedad personal y la suplantación, armonizando la operación de las entidades con principios de seguridad, veracidad, acceso y circulación restringida, protección de datos personales y carga dinámica de la prueba.

Ese último concepto cambia completamente la conversación.

La pregunta crítica ya no es únicamente si la entidad validó la identidad. La pregunta es si puede demostrar, con evidencia suficiente y dentro de los tiempos regulatorios:

  • Cómo validó la identidad
  • Qué señales utilizó
  • Qué decisión tomó
  • Qué acciones ejecutó frente a una reclamación por suplantación

En otras palabras, la trazabilidad se convierte en un elemento clave de cumplimiento, gestión de riesgo y protección reputacional.

Protege tu empresa del fraude digital

¿Qué exige la Ley 2573?

La norma establece obligaciones concretas para operadores de telecomunicaciones, entidades financieras y establecimientos comerciales que participan en procesos de originación y financiación.

Entre los principales requerimientos se destacan:

Validación reforzada de identidad

Las entidades deberán adoptar mecanismos suficientes y razonables para verificar la identidad de las personas y validar la información suministrada durante la adquisición de productos o servicios.

Gestión oportuna de reclamaciones

La ley exige responder solicitudes y reclamaciones relacionadas con suplantación dentro de tiempos específicos, incluyendo la suspensión inmediata de cobros cuando exista una denuncia por falsedad personal.

Conservación y entrega de evidencia

Las organizaciones deberán entregar copia de los documentos e información utilizados durante el proceso de aprobación de productos o servicios.

Carga dinámica de la prueba

La ley establece que la obligación de probar recaerá sobre quien esté en mejores condiciones de hacerlo.

En la práctica, esto significa que las entidades deben contar con capacidades robustas para documentar y demostrar cómo ejecutaron sus controles antifraude.

El verdadero desafío: la trazabilidad

Muchas organizaciones ya cuentan con herramientas de prevención de fraude. El problema es que, en numerosos casos, operan de forma aislada:

  • Un proveedor para biometría
  • Otro para validación documental
  • Otro para scoring
  • Otro para señales digitales

El resultado suele ser una operación fragmentada, donde reconstruir un caso puede tardar días o incluso semanas.

Bajo el nuevo marco regulatorio, esa fragmentación representa un riesgo operativo.

La Ley 2573 no solo obliga a validar identidades. También obliga a demostrar de manera verificable qué ocurrió durante el proceso de originación, autenticación o aprobación.

La evolución del fraude digital en LATAM

La presión regulatoria responde a una realidad clara: el fraude digital continúa creciendo en sofisticación.

El auge de la banca digital, el onboarding remoto y el comercio electrónico ha incrementado la exposición a amenazas como:

  • Suplantación de identidad
  • Ingeniería social
  • Fraude sintético
  • Toma de cuentas
  • Manipulación documental
  • SIM swapping

La propia ley incorpora conceptos asociados a ciberseguridad, ingeniería social y seguridad digital como parte de su marco conceptual.

Esto obliga a las organizaciones a equilibrar tres objetivos críticos:

ObjetivoRiesgo asociado
Mejorar experiencia digitalMayor exposición al fraude
Aprobar más clientesIncremento de riesgo
Reducir fricciónMenor capacidad de validación

Por eso, las estrategias modernas de prevención de fraude requieren modelos más integrados y orquestados.

Cómo puede ayudar una estrategia integral de Identity & Fraud

Desde el portafolio de Identity & Fraud de Experian, la conversación puede apoyarse en capacidades que ayudan a fortalecer tanto la prevención de fraude como la trazabilidad regulatoria.

Entre ellas:

Orquestación antifraude

Centraliza señales, reglas y decisiones dentro de una misma arquitectura.

Validación de identidad y documental

Permite verificar autenticidad documental y consistencia de información.

Biometría facial

Fortalece la autenticación remota y reduce riesgos de suplantación.

Señales digitales y riesgo de dispositivo

Ayuda a detectar anomalías relacionadas con comportamiento y contexto transaccional.

Validaciones de telefonía

Incluye señales asociadas a:

  • Cambio de SIM
  • Portabilidad
  • Antigüedad del número celular

Scoring antifraude

Prioriza decisiones utilizando múltiples variables de riesgo e identidad.

La arquitectura específica debe configurarse según la industria, el canal, el apetito de riesgo y el tipo de cliente.

El valor diferencial: evidencia centralizada y verificable

Uno de los principales retos operativos frente a casos de fraude es consolidar rápidamente toda la evidencia necesaria.

Cuando las señales están distribuidas entre múltiples proveedores, la documentación del caso puede volverse lenta y compleja.

El valor de una plataforma integrada no está únicamente en detectar fraude. También está en permitir:

  • Centralizar evidencia
  • Documentar decisiones
  • Mantener trazabilidad
  • Responder más rápido ante reclamaciones
  • Facilitar auditorías y cumplimiento

No solo se trata de recibir información. Se trata de ayudar a que las organizaciones produzcan información más confiable, verificable y segura desde el origen.

Conclusión

La Ley 2573 acelera una transformación que ya venía tomando fuerza en Colombia y América Latina: la necesidad de construir ecosistemas de confianza digital más robustos.

En adelante, las entidades más preparadas no serán únicamente las que detecten fraude con mayor precisión. Serán aquellas capaces de demostrar, con trazabilidad integral y evidencia verificable, cómo protegieron al negocio y al consumidor.

En un entorno donde la identidad digital se convierte en uno de los principales frentes de riesgo, fortalecer capacidades de validación, orquestación y documentación ya no es solo una decisión tecnológica. Es una necesidad estratégica y regulatoria.

Preguntas frecuentes sobre la Ley 2573 de 2026, fraude no paga e identidad digital

¿Qué es la Ley 2573 de 2026 o ley de fraude no paga en Colombia?

La Ley 2573 de 2026 establece medidas para proteger a las personas que han sido víctimas de suplantación de identidad frente a cobros, obligaciones y reportes negativos originados en fraude. Para las entidades, el reto no es solo prevenir el fraude, sino demostrar que validaron correctamente la identidad y que pueden soportar esa decisión con evidencia verificable.

¿Desde cuándo aplica la Ley 2573 de 2026?

La Ley 2573 fue promulgada el 19 de mayo de 2026 y contempla una entrada en vigencia escalonada: algunos aspectos aplican desde la promulgación y otras disposiciones seis meses después. Para las organizaciones, esto implica anticipar la revisión de procesos de validación, atención de reclamaciones, conservación de evidencia y trazabilidad.

¿A quiénes aplica la Ley 2573 de 2026?

La norma aplica a operadores de telecomunicaciones, entidades financieras y crediticias, y establecimientos comerciales que participan en la aprobación o financiación de productos y servicios. En la práctica, impacta procesos de originación digital, onboarding remoto, aprobación de crédito, adquisición de líneas móviles y ventas financiadas.

¿Qué significa la carga dinámica de la prueba en casos de suplantación de identidad?

La carga dinámica de la prueba significa que debe probar quien esté en mejores condiciones de hacerlo. En casos de suplantación, esto exige que la entidad pueda entregar la información y los documentos usados para aprobar el producto o servicio. Operativamente, implica conservar registros sobre cómo se validó la identidad, qué señales se analizaron, qué regla o score se aplicó y por qué se tomó una decisión.

¿Qué evidencia debe conservar una entidad para demostrar la validación de identidad digital?

Una entidad debería conservar evidencia suficiente para reconstruir el proceso de punta a punta: documentos aportados, resultados de validación documental, biometría facial cuando aplique, señales digitales, riesgo de dispositivo, validaciones de telefonía, fecha y hora de la evaluación, canal utilizado, reglas aplicadas, score antifraude, decisión tomada y acciones posteriores ante una reclamación.

¿Qué pasa con los cobros y reportes negativos cuando una persona denuncia suplantación?

Cuando se informa un caso de suplantación, la entidad debe activar el trámite de reclamación, gestionar la solicitud dentro de los plazos definidos por la ley, suspender la prestación o suministro del bien o servicio adquirido fraudulentamente cuando corresponda y adoptar las medidas asociadas a cobros y reportes negativos según el procedimiento aplicable. Por eso, la evidencia debe estar disponible desde el primer contacto con el cliente.

¿Por qué la trazabilidad es clave para la prevención de fraude financiero?

La trazabilidad permite demostrar qué ocurrió antes, durante y después de la aprobación de un producto o servicio. Validar la identidad sin trazabilidad puede dejar a la organización sin capacidad de explicar cómo se tomó una decisión. Una arquitectura integrada ayuda a centralizar evidencia, reducir tiempos de investigación, facilitar auditorías y responder mejor ante reclamaciones por suplantación.

¿Qué tecnologías ayudan a cumplir la Ley 2573 de 2026 y reducir la suplantación de identidad?

Las capacidades más relevantes incluyen orquestación antifraude, validación de identidad y documental, biometría facial, señales digitales, riesgo de dispositivo, validaciones de telefonía, detección de cambio de SIM, portabilidad, antigüedad del número celular y scoring antifraude. La combinación debe ajustarse según industria, canal, apetito de riesgo y tipo de cliente.

¿Cómo pueden prepararse las entidades para reclamaciones y auditorías bajo la Ley 2573?

Las entidades pueden prepararse mapeando los puntos críticos del proceso de originación, integrando proveedores de validación y fraude, definiendo reglas de conservación de evidencia, estandarizando paquetes de respuesta para reclamaciones, monitoreando señales de riesgo y auditando periódicamente sus decisiones. El objetivo es que cada caso sea reconstruible, verificable y defendible.

Related Posts

Open Finance en Colombia: cómo convertir el Decreto 0368 de 2026 en valor a partir de los datos

Open Finance en Colombia: cómo convertir el Decreto 0368 de 2026 en valor a partir de los datos

Open Finance & Open Banking

Open Finance en Colombia abre una nueva etapa para maximizar el valor de la información financiera y transaccional bajo autorización del titular. Con el Decreto 0368 de 2026, el país avanza hacia un marco que fortalece y amplía las posibilidades de uso autorizado de datos, con reglas, estándares de interoperabilidad, seguridad y trazabilidad. Más que reemplazar los modelos existentes de administración y circulación de información, las finanzas abiertas los complementan. Su valor está en conectar nuevas fuentes de datos, siempre bajo consentimiento y finalidades claras, para habilitar mejores decisiones, mayor inclusión financiera, productos más relevantes y experiencias digitales más simples para personas y empresas. Conoce el Portafolio de Finanzas Abiertas de DataCrédito Experian A más información autorizada, mejores decisiones financieras Colombia cuenta desde hace años con marcos de habeas data y protección de datos personales que reconocen derechos del titular sobre su información, como la Ley 1266 de 2008 y la Ley 1581 de 2012. El régimen de finanzas abiertas refuerza ese principio al darle al titular un rol aún más visible y operativo en la autorización, administración y revocación del uso de sus datos. La oportunidad no consiste en abrir datos sin control. Consiste en habilitar que más información financiera y transaccional pueda utilizarse de forma autorizada, segura, trazable y alineada con finalidades específicas. Así, los datos se convierten en habilitadores de confianza, inclusión y crecimiento. Este enfoque tampoco desconoce la relevancia de los ecosistemas actuales de información financiera, crediticia, comercial y de servicios. Por el contrario, los complementa al incorporar nuevas capacidades, nuevos casos de uso y nuevos mecanismos de interoperabilidad. ¿Qué cambia con el Decreto 0368 de 2026? El Decreto 0368 de 2026 impulsa una etapa de mayor estandarización para el Sistema de Finanzas Abiertas en Colombia. Su aporte principal es organizar las condiciones para que la información pueda compartirse entre participantes bajo autorización, estándares técnicos, reglas de seguridad y supervisión. 1. El titular adquiere un rol aún más central El titular de la información, ya sea persona o empresa, es quien define cuándo, para qué y con quién compartir sus datos dentro del ecosistema. Esto refuerza la confianza y convierte la gestión del consentimiento en una capacidad clave de la experiencia digital. 2. Se amplía el uso autorizado de información transaccional El régimen fortalece las posibilidades de uso de información financiera y transaccional autorizada. Con más fuentes disponibles y finalidades claras, las organizaciones pueden entender mejor las necesidades de los usuarios y diseñar soluciones más pertinentes. 3. Se precisan roles y responsabilidades El ecosistema contempla actores como el titular de la información, el proveedor de datos y el receptor de datos. Cada uno debe operar bajo responsabilidades específicas para que la información se utilice de forma autorizada, segura y coherente con la finalidad aprobada por el titular. 4. El consentimiento se convierte en una capacidad operativa La autorización previa, expresa e informada deja de ser solo un requisito documental y se convierte en un proceso que debe poder gestionarse durante todo su ciclo de vida. Las organizaciones necesitarán evidencias, trazabilidad, monitoreo y mecanismos simples para modificar o revocar permisos. 5. La interoperabilidad se vuelve una ventaja estratégica El intercambio de información requiere mecanismos seguros y estandarizados. Por eso, las APIs, la seguridad, la autenticación y la trazabilidad serán componentes fundamentales para operar y escalar casos de uso en finanzas abiertas. De cumplimiento regulatorio a oportunidad de negocio Prepararse para Open Finance no es únicamente una tarea regulatoria o tecnológica. Es una oportunidad para repensar cómo los datos autorizados pueden generar valor para clientes, aliados y organizaciones. El consentimiento debe diseñarse como experiencia de confianza Los usuarios deberán entender qué datos comparten, con quién, para qué finalidad y durante cuánto tiempo. Una experiencia clara, transparente y fácil de administrar puede convertirse en un diferencial de confianza. El gobierno de datos será un habilitador de valor La calidad, actualización, trazabilidad y protección de la información serán esenciales para participar en el ecosistema. Un gobierno de datos sólido permitirá convertir la información autorizada en decisiones más precisas y soluciones más relevantes. La interoperabilidad permitirá escalar casos de uso Las APIs y los mecanismos de integración serán la infraestructura que conecte a proveedores y receptores de datos. Las organizaciones que avancen temprano en capacidades de interoperabilidad estarán mejor preparadas para competir. Los casos de uso deben partir del valor para el cliente La oportunidad no está en acumular más datos, sino en resolver problemas concretos: acceso a productos financieros, evaluación de riesgo, personalización, reducción de fricciones y creación de experiencias digitales más simples. La implementación requiere coordinación de toda la organización Negocio, tecnología, riesgo, cumplimiento, operaciones, datos y experiencia de cliente deberán trabajar de forma articulada. Open Finance exige capacidades transversales para convertir la regulación en resultados de negocio. ¿Qué son las finanzas abiertas? Las finanzas abiertas, conocidas internacionalmente como Open Finance, son un modelo que permite compartir información financiera y transaccional bajo autorización del titular, siguiendo estándares de seguridad, interoperabilidad y trazabilidad. Su propósito no es abrir datos sin control. Por el contrario, busca que la información pueda circular entre participantes autorizados bajo reglas claras, finalidades definidas y mecanismos de supervisión. La premisa es sencilla: el dato no circula porque una entidad lo solicita; circula porque el titular lo autoriza y porque existe una finalidad clara para su uso. La evolución global que inspiró el modelo colombiano La construcción del modelo de finanzas abiertas no comenzó en Colombia. El concepto evolucionó a partir de iniciativas internacionales orientadas a fomentar la competencia, mejorar la inclusión financiera y dar a los consumidores mayor control sobre el uso de sus datos. Entre los principales referentes se encuentran Europa y la regulación PSD2, Reino Unido y el desarrollo de ecosistemas basados en APIs, Australia, India y Brasil, considerado uno de los casos más relevantes en América Latina. Colombia recoge estos aprendizajes para avanzar en un modelo adaptado a las necesidades del mercado local. Roles clave en Open Finance: titular, proveedor y receptor de datos Titular de la información Es la persona natural o jurídica cuyos datos son objeto de tratamiento dentro del sistema. Tiene la capacidad de autorizar, administrar, consultar y revocar el uso de su información. Proveedor de datos Custodia la información y verifica que exista una autorización válida antes de compartirla con otros participantes del ecosistema. Receptor de datos Solicita acceso a la información para una finalidad específica previamente autorizada por el titular. Este modelo busca reducir asimetrías de información y habilitar mejores decisiones financieras para todas las partes involucradas. El consentimiento: la base de la confianza El consentimiento es la piedra angular de las finanzas abiertas. Debe ser previo, expreso, informado, trazable y revocable, y debe permitir que el titular tenga claridad sobre el uso de sus datos. Esto implica evolucionar desde modelos tradicionales de autorización hacia procesos digitales capaces de registrar evidencias, gestionar auditorías, controlar finalidades de uso, administrar revocaciones y ofrecer una experiencia clara al usuario. APIs: la infraestructura que hace posibles las finanzas abiertas Uno de los conceptos más relevantes dentro de este ecosistema es la apificación. Las APIs permiten que los datos autorizados circulen de forma segura entre proveedores y receptores de información. Con APIs gobernadas, el ecosistema puede operar con credenciales controladas, alcances definidos, accesos autorizados y trazabilidad completa. Sin estándares de interoperabilidad, las finanzas abiertas se quedarían en una intención regulatoria. ¿Qué oportunidades generan las finanzas abiertas? Mayor inclusión financiera La información autorizada puede complementar la evaluación de personas y empresas, facilitando el acceso a productos financieros más adecuados a su realidad. Mejor evaluación de riesgo La combinación de información tradicional y nuevas fuentes de datos transaccionales puede fortalecer los modelos de análisis, originación, prevención de fraude y personalización. Productos más personalizados Las organizaciones pueden diseñar ofertas más ajustadas a las necesidades, comportamientos y momentos de vida de cada usuario. Menor fricción operativa La disponibilidad de información autorizada puede simplificar procesos, reducir reprocesos y mejorar la experiencia del cliente en canales digitales. Nuevos modelos de negocio La creación de servicios basados en datos autorizados abre oportunidades de innovación, alianzas y generación de valor para todos los participantes del ecosistema. De los datos al crecimiento del ecosistema financiero El verdadero potencial de Open Finance en Colombia no está en compartir más datos por compartirlos. Está en convertir información autorizada, segura y trazable en confianza, mejores decisiones y nuevas oportunidades de crecimiento. Las organizaciones que avancen desde ahora podrán identificar casos de uso tempranos, fortalecer sus capacidades de datos y diseñar experiencias que conecten mejor con las necesidades de personas y empresas. Porque las finanzas abiertas no tratan únicamente de cumplir una regulación. Tratan de maximizar el valor de los datos, ampliar la inclusión financiera y construir soluciones más relevantes para todo el ecosistema. Preguntas frecuentes sobre Open Finance en Colombia ¿Qué es Open Finance en Colombia? Open Finance en Colombia es un modelo de finanzas abiertas que permite compartir información financiera y transaccional bajo autorización expresa del titular, con estándares de seguridad, interoperabilidad y trazabilidad. ¿Qué cambia con el Decreto 0368 de 2026? El Decreto 0368 de 2026 fortalece y amplía las condiciones para el uso autorizado de información dentro del Sistema de Finanzas Abiertas. También impulsa estándares, roles, seguridad, interoperabilidad y trazabilidad. ¿Significa que antes la información financiera estaba cerrada? No. Colombia ya cuenta con marcos de habeas data y protección de datos personales, como la Ley 1266 de 2008 y la Ley 1581 de 2012. Open Finance refuerza el rol del titular y habilita nuevas posibilidades de uso autorizado de información transaccional. ¿Quién es el titular de la información en Open Finance? Es la persona o empresa cuyos datos son objeto de tratamiento dentro del sistema. Es quien puede autorizar, administrar, consultar y revocar el uso de su información. ¿Por qué el consentimiento es tan importante en las finanzas abiertas? Porque permite que los datos circulen únicamente cuando el titular lo autoriza y para una finalidad clara. El consentimiento debe ser previo, expreso, informado, trazable y revocable. ¿Qué papel cumplen las APIs en Open Finance? Las APIs permiten el intercambio seguro y estandarizado de información entre proveedores y receptores de datos. Son la infraestructura tecnológica que hace posible la interoperabilidad del ecosistema. ¿Cómo deben prepararse las organizaciones para Open Finance? Deben fortalecer sus capacidades de gobierno de datos, gestión del consentimiento, interoperabilidad, seguridad, trazabilidad, experiencia de usuario y coordinación entre negocio, tecnología, riesgo, cumplimiento y operaciones. ¿Qué oportunidades genera Open Finance para el sector financiero? Puede habilitar mayor inclusión financiera, mejor evaluación de riesgo, productos más personalizados, menor fricción operativa y nuevos modelos de negocio basados en datos autorizados.

Published: June 17, 2026 by DataCrédito Experian
Read More about Open Finance en Colombia: cómo convertir el Decreto 0368 de 2026 en valor a partir de los datos
Fraude por suplantación financiera: cómo detectarlo y prevenirlo

Fraude por suplantación financiera: cómo detectarlo y prevenirlo

Fraude y Validación de Identidad

La suplantación de entidades financieras es un fraude que imita la confianza. Aprende a identificar señales y proteger tu empresa a tiempo.

Published: December 9, 2025 by DataCrédito Experian
Read More about Fraude por suplantación financiera: cómo detectarlo y prevenirlo
Fraudes financieros: qué son, tipos y cómo prevenirlos

Fraudes financieros: qué son, tipos y cómo prevenirlos

Fraude y Validación de Identidad

Descubre qué son los fraudes financieros, los tipos más comunes en las empresas y cómo prevenirlos con medidas efectivas para proteger tu negocio.

Published: November 26, 2025 by DataCrédito Experian
Read More about Fraudes financieros: qué son, tipos y cómo prevenirlos

Suscríbete a nuestro blog

Ingresa tu nombre y correo electrónico para recibir las últimas actualizaciones.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Suscríbete a nuestro blog

Ingresa tu nombre y correo electrónico para recibir las últimas actualizaciones.
Suscríbete