Ley 2573 de 2026 y su impacto en crédito digital en Colombia

May 20, 2026 | Colombia, Consultoría, Crédito digital, Fintech, Noticias fintech, Regulación, Riesgo, Riesgo crediticio | 0 Comentarios

Implicaciones regulatorias, operativas y tecnológicas para entidades originadoras

Resumen ejecutivo

 

La Ley 2573 de 2026 introduce un cambio relevante en el manejo de casos de suplantación de identidad en Colombia, particularmente cuando estos derivan en obligaciones financieras, crediticias o comerciales adquiridas fraudulentamente a nombre de terceros.

Aunque desde una primera lectura podría interpretarse como una norma enfocada únicamente en protección al consumidor y habeas data, su alcance real es considerablemente mayor. Para el ecosistema de crédito digital, esta ley modifica el estándar operativo esperado en procesos de originación, autenticación de identidad, prevención de fraude, tratamiento de reclamaciones, gestión de cobranza y conservación de evidencia contractual.

En términos prácticos, la norma desplaza parte importante del riesgo operativo hacia las entidades originadoras. Ya no basta con habilitar un canal digital de contratación y asumir que la responsabilidad probatoria recae exclusivamente en el cliente afectado. La expectativa regulatoria ahora exige demostrar diligencia razonable en la validación de identidad y capacidad de reconstrucción probatoria frente a disputas por fraude.

Para fintechs, lenders digitales, cooperativas con originación remota, BNPLs y cualquier actor que otorgue crédito mediante canales físicos o digitales, esta ley representa una señal clara de endurecimiento en materia de control antifraude.

1. Contexto general de la norma

 

La Ley 2573 fue expedida con el objetivo de proteger a personas naturales y jurídicas víctimas de suplantación de identidad, evitando que sean sometidas a cobros indebidos o reportes negativos derivados de obligaciones que nunca adquirieron legítimamente.

La norma aplica a operadores de telecomunicaciones, entidades financieras, entidades crediticias y establecimientos comerciales con capacidad de originar obligaciones financieras o comerciales.

Su diseño normativo se conecta directamente con el régimen colombiano de habeas data financiero y protección de datos personales, particularmente con la Ley 1266 de 2008, la Ley 1581 de 2012 y las disposiciones incorporadas previamente por la Ley 2157 de 2021.

Sin embargo, su principal novedad no está en reiterar derechos existentes, sino en introducir obligaciones operativas concretas y consecuencias directas para entidades que no logren demostrar controles adecuados frente a fraude de identidad.

2. Qué cambia materialmente

 

El cambio más relevante es conceptual.

Históricamente, en muchos procesos financieros, cuando un consumidor alegaba fraude o suplantación, la dinámica práctica consistía en exigirle demostrar que no había adquirido la obligación. La Ley 2573 altera sustancialmente esa lógica mediante la incorporación expresa del principio de carga dinámica de la prueba.

Esto significa que la obligación probatoria recae sobre quien se encuentre en mejores condiciones de aportar evidencia. En un proceso de originación digital, normalmente será la entidad quien tenga acceso a registros, trazabilidad tecnológica, soportes contractuales, mecanismos de autenticación y evidencia documental.

En consecuencia, una defensa basada únicamente en afirmar que existió una aceptación digital o una validación superficial puede resultar insuficiente.

Adicionalmente, la norma establece que, cuando exista una reclamación formal por suplantación, la entidad debe suspender inmediatamente el cobro de la obligación. Esto incluye no solo capital, sino intereses, cargos asociados y gestión de cobranza.

El impacto práctico de esta disposición es profundo, porque obliga a rediseñar workflows operativos que tradicionalmente continuaban la gestión de collection mientras el caso era analizado.

Otro cambio importante es la creación de la marcación “Víctima de Falsedad Personal” dentro del ecosistema de información crediticia. La ley establece expresamente que esta condición no constituye un reporte negativo, no debe deteriorar el score del consumidor ni afectar sus análisis crediticios futuros, salvo para habilitar mecanismos reforzados de validación de identidad.

3. Impacto sobre crédito digital

 

El mayor efecto de esta ley se concentra en modelos de originación remota.

En operaciones presenciales tradicionales, la validación física del cliente y la interacción documental directa reducen ciertos riesgos de impersonación. En cambio, en crédito digital, donde la contratación ocurre mediante journeys completamente remotos, el nivel de exposición es sustancialmente mayor.

Esto obliga a revisar críticamente la robustez real de los mecanismos de identity proofing implementados.

Muchas operaciones latinoamericanas todavía descansan en controles relativamente débiles, como OTPs enviados por SMS como único factor de autenticación, validaciones documentales limitadas a OCR básico, ausencia de liveness detection o trazabilidad insuficiente del journey contractual.

Bajo el nuevo marco, estas aproximaciones pueden representar vulnerabilidades significativas.

Si una entidad no logra demostrar que aplicó medidas razonables de autenticación y prevención de fraude, podría enfrentar no solo disputas individuales, sino pérdidas económicas completas derivadas de obligaciones fraudulentas imposibles de cobrar.

En ese sentido, esta norma convierte el fraude por suplantación en un tema estructural de unit economics, no únicamente de compliance.

4. Implicaciones tecnológicas

 

Desde la perspectiva tecnológica, la ley eleva el estándar esperado para la originación digital segura.

No existe una obligación explícita de adoptar tecnologías específicas; sin embargo, el lenguaje regulatorio sobre “medidas suficientes y razonables” inevitablemente incrementará el escrutinio sobre la arquitectura antifraude utilizada.

Esto probablemente acelerará la adopción o el fortalecimiento de capacidades como biometría facial con prueba de vida, validación documental avanzada, device intelligence, análisis de consistencia geográfica, reputación de canales de contacto, detección de SIM swap y modelos de fraude comportamental.

Más importante aún, la entidad deberá poder demostrar retrospectivamente cómo operaron esos controles.

Eso convierte la preservación de evidencia en un componente crítico de cumplimiento.

No basta con ejecutar controles; es indispensable conservar trazabilidad verificable.

5. Implicaciones operativas y de cobranza

 

La ley también obliga a rediseñar procesos internos.

Un reclamo por suplantación ya no puede tratarse como una simple PQRS convencional. Debe convertirse en un flujo operativo especializado con reglas claras de suspensión, validación, investigación, documentación y eventual resolución.

Esto implica coordinación entre múltiples áreas que frecuentemente operan de forma fragmentada:

  • originación
  • riesgo
  • fraude
  • servicio al cliente
  • collections
  • compliance
  • jurídico
  • proveedores tecnológicos

En entidades con arquitecturas poco integradas, este punto puede convertirse en un desafío operativo considerable.

El área de cobranza es particularmente impactada, porque pierde la posibilidad de continuar procesos coercitivos mientras exista controversia activa bajo los términos de la norma.

6. Riesgos para las entidades

 

Desde una perspectiva ejecutiva, el riesgo principal es asumir que esta ley es únicamente un cambio documental.

En realidad, las exposiciones son múltiples.

Existe riesgo económico directo por pérdida de principal en originaciones fraudulentas. Existe riesgo regulatorio frente a autoridades como SIC y SFC. Existe riesgo reputacional derivado de conflictos con consumidores afectados. Y existe riesgo judicial asociado a disputas probatorias, hábeas data y reclamaciones por cobros indebidos.

Adicionalmente, entidades con dependencias fuertes en terceros para onboarding, biometría, firma electrónica o antifraude deben recordar que la tercerización tecnológica no elimina responsabilidad regulatoria.

7. Recomendaciones estratégicas

 

La respuesta correcta no es un simple ajuste jurídico.

Lo recomendable es abordar esta norma como un proyecto transversal de evaluación operativa y tecnológica.

Como punto de partida, toda entidad de crédito digital debería realizar un assessment estructurado que responda preguntas críticas:

¿Nuestra originación puede reconstruirse integralmente en caso de disputa?

¿Los mecanismos actuales soportan un escrutinio probatorio serio?

¿Collections tiene protocolos específicos de suspensión?

¿Existe trazabilidad suficiente de autenticación, consentimiento y aceptación contractual?

¿Nuestros proveedores realmente cumplen el estándar esperado?

Responder estas preguntas permitirá identificar brechas antes de que el riesgo se materialice.

Conclusión

 

La Ley 2573 no debe interpretarse como un ajuste marginal al marco de habeas data.

Para crédito digital, representa un endurecimiento material del estándar operativo esperado en prevención de fraude y validación de identidad.

Las entidades que reaccionen únicamente desde lo jurídico probablemente quedarán cortas.

Las que lo entiendan como un proyecto integral de riesgo, tecnología y operación podrán convertir el cumplimiento regulatorio en ventaja competitiva.

Cómo puede apoyar Technovation

 

Technovation puede acompañar a entidades financieras y fintechs en la evaluación integral del impacto de esta norma, incluyendo diagnóstico regulatorio-operativo, assessment de originación digital, revisión antifraude, rediseño de workflows de dispute management y fortalecimiento de la arquitectura tecnológica de validación y evidencia.

¿Te fue de utilidad este post? Ayuda a otros compartiéndolo y recomendándolo 🤝

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *