Hablar con Ventas
Ley 2573 de 2026

La Ley Estatutaria 2573 de 2026 obliga a las empresas a fortalecer sus procesos de KYC

/

, ,

El pasado 19 de mayo entró en vigor la Ley Estatutaria 2573 de 2026, una norma que establece medidas concretas para proteger a las personas que han sido víctimas de suplantación de identidad, especialmente cuando como consecuencia de ese fraude aparecen cobros de obligaciones o reportes negativos en centrales de riesgo que nunca autorizaron.

Los casos de suplantación de identidad son más frecuentes de lo que parecen: alguien usa los datos de otra persona para obtener un crédito, un celular o cualquier bien o servicio, y la víctima termina cargando con las consecuencias financieras. Hasta ahora, demostrar que se era víctima era un proceso largo y desgastante que recaía casi completamente sobre el ciudadano afectado. Esta ley cambia esa lógica.

Pero la norma no es solo una herramienta de protección para las personas naturales. También representa una señal clara para las empresas: mejorar los procesos de verificación de identidad, ciberseguridad y gestión de datos personales ya no es opcional, es una obligación legal con consecuencias directas en caso de incumplimiento.

Los principios que guían la ley:

La norma se apoya en cuatro principios tomados de la Ley 1266 de 2008 y la Ley 1581 de 2012, que orientan cómo deben tratarse los datos personales en estos contextos:

  1. Acceso y circulación restringida: los datos personales solo pueden ser tratados por personas autorizadas por su titular. Los datos personales no pueden circular libremente en internet ni en medios masivos, salvo que el acceso esté técnicamente controlado y sea restringido únicamente a los titulares o terceros autorizados.
  2. Seguridad: quien sea responsable del tratamiento de datos debe aplicar las medidas técnicas, humanas y administrativas necesarias para evitar su adulteración, duplicación, pérdida o acceso no autorizado.
  3. Veracidad: la información tratada debe ser exacta, completa y actualizada. Está prohibido trabajar con datos parciales, fraccionados o que puedan inducir a error.
  4. Carga dinámica de la prueba: en casos de suplantación, debe probar quien esté en mejores condiciones de hacerlo. Esto significa que las entidades financieras y operadores de telecomunicaciones están obligados a entregar los documentos que recibieron al momento de aprobar el producto o servicio en disputa.

Lo que deben hacer las empresas:

La ley establece un conjunto de obligaciones para operadores de telecomunicaciones, entidades financieras, crediticias y demás establecimientos comerciales. Entre las más relevantes están:

  • Deben implementar medidas de seguridad digital que permitan verificar de manera efectiva la identidad de quienes adquieren sus productos o servicios. Aquí la debida diligencia juega un papel crucial, pues una validación deficiente puede derivar en responsabilidades legales posteriormente.
  • Cuando exista una denuncia de suplantación, deben suspender de forma inmediata el cobro del bien o servicio, incluyendo intereses y gastos de cobranza, y reportar a los operadores de información la situación marcándola como “Víctima de Falsedad Personal”, sin que esto afecte el score crediticio del titular.
  • Están obligadas a entregar, a solicitud de la persona presuntamente suplantada, copia de todos los documentos que se usaron para aprobar el producto o servicio. Bajo ninguna circunstancia pueden negarse a hacerlo.
  • También deben notificar a la DIAN para evitar que la víctima enfrente perjuicios tributarios derivados del fraude, e investigar internamente si algún funcionario de la entidad pudo haber tenido participación en la suplantación.
  • Deben atender las solicitudes y quejas dentro de los 10 días hábiles siguientes a su radicación. Si no lo hacen, la ley aplica el silencio administrativo positivo: la solicitud se entiende resuelta a favor del ciudadano.

Las consecuencias de no cumplir:

Si una empresa incumple los protocolos de seguridad y como resultado ocurre una suplantación, deberá devolver los dineros y eliminar las deudas generadas por el fraude. No podrá congelar recursos ni esperar autorizaciones para revertir transacciones fraudulentas. La Superintendencia de Industria y Comercio y la Superintendencia Financiera tendrán facultad para imponer sanciones adicionales, cuyo detalle deberá quedar reglamentado dentro de los seis meses siguientes a la promulgación de la ley.

Por ello, los procesos de KYC deben ser extremadamente rigurosos. Solo así se garantiza que la identidad del usuario sea auténtica y que la empresa cumpla con los estándares de seguridad exigidos, reduciendo al mínimo el riesgo de fraude y las sanciones derivadas.

Las obligaciones de la persona suplantada:

La ley también establece deberes para quien haya sido víctima. Una vez tenga conocimiento de la suplantación, debe informarlo de inmediato a la entidad correspondiente y aportar los documentos que sirvan como prueba sumaria del fraude. Debe interponer la denuncia ante la Fiscalía General de la Nación o la Policía Nacional por los delitos de falsedad personal y conexos, y tiene un plazo de 20 días hábiles para hacerlo desde que la entidad le notifica la suspensión del cobro. Si la suplantación ocurrió mediante la creación de perfiles falsos en redes sociales, también debe reportarlo ante esas plataformas y ante la Fiscalía.

El KYC y la debida diligencia:

La Ley 2573 de 2026 no solo protege al ciudadano, sino que eleva el estándar de responsabilidad para todas las entidades que manejan datos personales y aprueban productos o servicios a nombre de terceros. Con esta nueva ley el KYC y la debida diligencia dejaron de ser opcionales para convertirse en obligaciones con consecuencias reales.

Cuando una entidad financiera, un operador de telecomunicaciones o un establecimiento comercial aprueba un producto o servicio sin verificar adecuadamente la identidad de quien lo solicita, no solo está exponiéndose a ser víctima de un fraude. Ahora, bajo esta ley, también asume responsabilidades frente a la persona suplantada.

Por eso, las empresas deben preguntarse: ¿Mis procesos de onboarding y validación de identidad están a la altura de lo que esta ley exige? ¿Cuento con herramientas tecnológicas suficientes para verificar que quien dice ser mi cliente realmente lo es? ¿Mi equipo conoce los principios de seguridad digital, veracidad y carga dinámica de la prueba que establece esta norma?

El cumplimiento empieza por conocer la norma:

En Risks International entendemos que detrás de cada proceso de debida diligencia hay una decisión que puede proteger o exponer a una organización. Por eso, además de acompañar a las empresas en la implementación de sus sistemas de prevención y gestión de riesgos, ponemos a disposición herramientas de formación especializada para quienes tienen la responsabilidad de proteger los datos personales dentro de sus organizaciones.

Nuestro Diplomado en Tratamiento de Datos Personales está diseñado para dar a los profesionales las herramientas necesarias para entender y aplicar el marco normativo vigente en Colombia.

En un entorno donde una ley como la 2573 de 2026 eleva el estándar de responsabilidad frente al manejo de datos e identidad, conocer la norma no es suficiente. Hay que saber aplicarla.

¿Tu empresa está preparada?

Por: Luisa Caicedo

Fuente:

Ley Estatutaria No. 2573 del 19 de mayo de 2026 – Congreso de Colombia.

Proteja sus datos personales en el mundo digital: guía de recomendaciones de la SIC
Síganos en nuestro Canal de Whatsapp
Síganos en nuestra principal red social.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Síganos en LinkedIn
en_USEnglish
en_USEnglish