<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=7433348&amp;fmt=gif">
9 min read

Open finance y regulación: inclusión financiera en Colombia

25-may-2026 6:08:58

El 7 de abril de 2026, el Gobierno colombiano expidió el Decreto 0368. Con ese acto, el Sistema de Finanzas Abiertas (SFA) en Colombia dejó de ser voluntario y se convirtió en obligatorio para todas las entidades vigiladas por la Superintendencia Financiera de Colombia.

No es una señal ni es una consulta pública. Es un decreto presidencial vigente desde el 8 de abril de 2026.

El reloj ya está corriendo.

¿Qué es el Open Finance y por qué Colombia lo hace obligatorio?

El término Open Banking nació en el Reino Unido alrededor de 2018 para describir un modelo donde los bancos comparten datos de cuentas y pagos con terceros autorizados, a través de APIs seguras y con consentimiento explícito del cliente. La premisa es simple pero poderosa: los datos financieros le pertenecen al cliente, no a la institución que los custodia.

El Open Finance es la evolución de ese concepto. Va más allá de las cuentas corrientes y los medios de pago para abarcar el espectro completo: depósitos, crédito, seguros, inversiones, fondos de pensiones, información de vinculación como cliente. En lugar de abrir una ventana del edificio financiero, abre el edificio completo.

En Colombia, el Decreto 0368 define el SFA como "el conjunto de autoridades, normas, estándares, infraestructuras y participantes que interactúan entre sí para permitir el acceso y suministro estandarizado de datos personales de los clientes de las entidades vigiladas por la SFC, previa autorización de su Titular."

El Gobierno lo hace obligatorio por una razón explícita: "promover la inclusión financiera y crediticia de la población tradicionalmente excluida mediante el acceso a nuevas fuentes de información, la entrada de nuevos competidores al sistema financiero y el desarrollo de nuevos modelos de negocio." No es un capricho regulatorio, es política pública con respaldo constitucional y legal en el Plan Nacional de Desarrollo 2022-2026.

El cronograma real: qué debe pasar y cuándo

El Decreto establece plazos concretos que toda entidad obligada necesita conocer:

Antes de octubre de 2026 (6 meses desde la vigencia del Decreto): La SFC debe publicar el cronograma de estándares técnicos para cada categoría de datos. Este cronograma es el punto de partida de todo: sin él, los plazos de implementación no corren formalmente. Pero las entidades que esperen a ese cronograma para comenzar a prepararse ya estarán rezagadas.

12 meses desde la expedición de cada estándar: Las entidades obligadas tienen 12 meses para habilitar el acceso a los datos de cada categoría una vez la SFC expida el estándar correspondiente. La SFC puede extender este plazo por 6 meses adicionales, y otorgar hasta 6 meses más para personas jurídicas que no sean microempresas.

Antes de abril de 2027 (12 meses desde la vigencia del Decreto): La SFC debe tener operativo el Directorio de Participantes — el registro oficial de proveedores de datos, terceros receptores vigilados y vinculaciones voluntarias con terceros no vigilados.

Lo que esto significa en la práctica: si la SFC publica sus primeros estándares en octubre de 2026, las entidades tendrán hasta octubre de 2027 para cumplir con esa primera categoría. Pero los estándares se expedirán por categorías, el historial transaccional de depósitos a la vista, el historial de productos de crédito, la información de vinculación, los depósitos a término, las características generales de productos y los estándares para iniciación de pagos están todos en el cronograma mínimo obligatorio.

¿Quieres llevar tu negocio al siguiente nivel?

Quiénes están obligados: un universo más amplio de lo que parece

El artículo 2.35.8.2.3 del Decreto define las entidades obligadas como proveedoras de datos. La lista es extensa e incluye:

  • Establecimientos de crédito (bancos, corporaciones financieras, compañías de financiamiento)
  • Sociedades especializadas en depósitos y pagos electrónicos (SEDPE)
  • Sociedades fiduciarias
  • Comisionistas de bolsa de valores
  • Comisionistas de bolsa de bienes y productos agropecuarios, agroindustriales o commodities
  • Administradoras de fondos de pensiones y cesantías
  • Sociedades administradoras de inversión
  • Entidades administradoras del componente complementario de ahorro individual del pilar contributivo
  • Entidades autorizadas para financiación colaborativa (crowdfunding)
  • Aseguradoras
  • Entidades con regímenes especiales (Parte Décima del Decreto 663 de 1993)
  • Instituciones Oficiales Especiales definidas como establecimientos de crédito

Esto no es solo banca comercial. Son más de 200 entidades vigiladas que hoy tienen la obligación activa de prepararse para exponer datos a través de APIs estandarizadas.

Las fintechs y personas jurídicas no vigiladas por la SFC pueden participar como Terceros Receptores de Datos No Vigilados bajo esquemas voluntarios, sujetos a los requisitos de la Circular Básica Jurídica de la SFC.

Los tres pilares del SFA colombiano y su alcance concreto

1. Acceso a información financiera del Titular

La primera categoría de datos que el Decreto prioriza incluye:

  • Historial transaccional de depósitos a la vista de los últimos 12 meses (o el total disponible si la relación es más corta).
  • Historial transaccional de productos de crédito: saldos, uso, condiciones particulares vigentes.
  • Información de vinculación como cliente: los datos recolectados en el proceso de conocimiento del cliente conforme a las disposiciones de la SFC (equivalente al KYC).
  • Depósitos a término: condiciones e información asociada.

Esta información es la materia prima para scoring crediticio alternativo, verificación de ingresos, gestión financiera personal y productos de asesoría. Con consentimiento del usuario, un tercero puede construir una visión financiera completa que hoy solo el banco tiene.

2. Información general de productos y servicios

El Decreto también incluye la información que facilita la comparación de productos por parte de los consumidores: tasas, comisiones, condiciones generales. Esta categoría no requiere autorización previa del Titular y es la base para plataformas de comparación y asesoría financiera imparcial.

3. Iniciación de pagos

El artículo 2 del Decreto modifica explícitamente el artículo 2.17.4.1.3 del Decreto 2555 de 2010, encargando a la SFC expedir los estándares para que los servicios de iniciación de pagos (inmediatos o no inmediatos, recurrentes o no recurrentes) se ejecuten en condiciones de seguridad, transparencia y eficiencia.

Este es el pilar de mayor potencial de monetización: permite que terceros autorizados inicien transferencias desde la cuenta del usuario sin pasar por las redes de tarjetas tradicionales. El modelo de pagos cuenta a cuenta (A2A) que en el Reino Unido procesó 31 millones de transacciones solo en marzo de 2025, con crecimiento del 72% interanual, tiene ahora base legal explícita en Colombia.

El modelo de costos: qué pueden cobrar las entidades y qué no

Uno de los aspectos más relevantes para el modelo de negocio está en los artículos 2.35.8.3.8 y 2.35.8.3.9, que regulan la recuperación de costos:

Lo que los proveedores de datos SÍ pueden cobrar: Los costos directos de implementación y mantenimiento de la infraestructura de APIs, así como los costos de implementación de los estándares de la SFC. El esquema debe basarse en el volumen de consultas de cada Tercero Receptor, aplicarse en igualdad de condiciones para todos, y sustentarse en factores objetivos, medibles y verificables.

Lo que NO pueden cobrar: Los datos en sí mismos. "En ningún caso podrán cobrar por la información que sea objeto de circulación en el sistema de finanzas abiertas."

Esto define la estructura del mercado: el dato es libre, la infraestructura tiene precio. Las entidades que diseñen una arquitectura de APIs eficiente podrán recuperar sus costos de operación y construir modelos de precio racionales para los terceros que las consuman. Las que construyan infraestructura cara e ineficiente tendrán que absorber la diferencia.

El régimen de consentimiento: más exigente de lo que parece

El Decreto establece un esquema de doble verificación del consentimiento que tiene implicaciones directas para la experiencia de usuario y los flujos de implementación:

Autorización (artículo 2.35.8.3.2): El Tercero Receptor de Datos debe obtener del Titular una autorización previa, expresa e informada que incluya como mínimo: identificación del tercero, datos específicos autorizados, tipo de tratamiento, finalidad específica y tiempo de vigencia. Está prohibido solicitar autorizaciones generales o abiertas.

Confirmación (artículo 2.35.8.3.3): El Proveedor de Datos debe confirmar con el Titular, antes de compartir la información, que el Tercero Receptor cuenta efectivamente con su autorización. Esta confirmación debe facultar al Titular para autorizar o denegar el suministro en ese momento específico.

Autenticación fuerte (artículo 2.35.8.3.4): Cualquier acción que otorgue, modifique o revoque una autorización debe hacerse mediante mecanismos fuertes de autenticación conforme a las instrucciones de la SFC.

Este diseño de triple capa (autorización, confirmación y autenticación fuerte) es más robusto que muchos esquemas internacionales y requiere un diseño de experiencia de usuario cuidadoso. Un flujo mal diseñado generará abandono y desconfianza; uno bien diseñado puede convertirse en ventaja competitiva.

El camino que queda para el SFA en Colombia

El tiempo de preparación ya comenzó. El Decreto 0368, firmado por el Ministerio de Hacienda, obliga a más de 200 entidades vigiladas por la Superintendencia Financiera de Colombia a adoptar el Sistema de Finanzas Abiertas. La SFC debe publicar los estándares técnicos antes de octubre de 2026 y, desde ese momento, cada entidad tendrá solo 12 meses para cumplir con la habilitación de acceso a los datos de cada categoría.

Si tu organización aún no cuenta con un plan concreto de implementación, una arquitectura definida, casos de uso priorizados y un modelo de costos alineado, el reloj juega en tu contra. Las instituciones que lleguen preparadas lo hacen desde hoy, no en los últimos meses previos al deadline.

El desafío es más profundo que solo cumplir. El cambio regula a bancos, SEDPE, fiduciarias, aseguradoras, AFP, cooperativas y también a fintechs y empresas no vigiladas que buscan operar como Terceros Receptores. Cada organización enfrentará retos específicos: desde la integración de APIs sobre estándares internacionales probados (FAPI 2.0, OAuth 2.0), hasta la estructuración de modelos de cobro por infraestructura, el empaquetado de servicios como KYC y pagos A2A, y la creación de nuevos ingresos habilitados por el Decreto.

El Decreto 0368 exige flujos de consentimiento robustos, autenticación fuerte y un modelo en el que la infraestructura se puede monetizar, pero los datos deben circular libremente. No es solo una cuestión técnica; es la oportunidad de diseñar mejores servicios, facilitar el acceso a productos financieros y crear relaciones de confianza con quienes consumirán tus APIs.

Estar listos implica entender cada línea del Decreto y diseñar una estrategia que combine cumplimiento y visión de negocio.

En Finerio y Nisum apoyamos a las entidades en todo el recorrido: desde la arquitectura técnica y el modelo de negocio hasta la integración con sistemas existentes y la adaptación ágil ante futuras actualizaciones de la SFC. Nuestra experiencia reduce la complejidad, anticipa requisitos y acelera la implementación según los estándares globales.

¿Quieres llevar tu negocio al siguiente nivel?

Topics: Latinoamérica Open Finance

Nisum

Nisum

Fundada en California en el año 2000, Nisum es una empresa de comercio digital centrada en iniciativas estratégicas de TI que utiliza soluciones integradas que proporcionan un crecimiento real y medible.

Have feedback? Leave a comment!

Featured

Blog by Topics

See All
9 minutos de lectura

Open finance y regulación: inclusión financiera en Colombia

25-may-2026 6:08:58

El 7 de abril de 2026, el Gobierno colombiano expidió el Decreto 0368. Con ese acto, el Sistema de Finanzas Abiertas (SFA) en Colombia dejó de ser voluntario y se convirtió en obligatorio para todas las entidades vigiladas por la Superintendencia Financiera de Colombia.

No es una señal ni es una consulta pública. Es un decreto presidencial vigente desde el 8 de abril de 2026.

El reloj ya está corriendo.

¿Qué es el Open Finance y por qué Colombia lo hace obligatorio?

El término Open Banking nació en el Reino Unido alrededor de 2018 para describir un modelo donde los bancos comparten datos de cuentas y pagos con terceros autorizados, a través de APIs seguras y con consentimiento explícito del cliente. La premisa es simple pero poderosa: los datos financieros le pertenecen al cliente, no a la institución que los custodia.

El Open Finance es la evolución de ese concepto. Va más allá de las cuentas corrientes y los medios de pago para abarcar el espectro completo: depósitos, crédito, seguros, inversiones, fondos de pensiones, información de vinculación como cliente. En lugar de abrir una ventana del edificio financiero, abre el edificio completo.

En Colombia, el Decreto 0368 define el SFA como "el conjunto de autoridades, normas, estándares, infraestructuras y participantes que interactúan entre sí para permitir el acceso y suministro estandarizado de datos personales de los clientes de las entidades vigiladas por la SFC, previa autorización de su Titular."

El Gobierno lo hace obligatorio por una razón explícita: "promover la inclusión financiera y crediticia de la población tradicionalmente excluida mediante el acceso a nuevas fuentes de información, la entrada de nuevos competidores al sistema financiero y el desarrollo de nuevos modelos de negocio." No es un capricho regulatorio, es política pública con respaldo constitucional y legal en el Plan Nacional de Desarrollo 2022-2026.

El cronograma real: qué debe pasar y cuándo

El Decreto establece plazos concretos que toda entidad obligada necesita conocer:

Antes de octubre de 2026 (6 meses desde la vigencia del Decreto): La SFC debe publicar el cronograma de estándares técnicos para cada categoría de datos. Este cronograma es el punto de partida de todo: sin él, los plazos de implementación no corren formalmente. Pero las entidades que esperen a ese cronograma para comenzar a prepararse ya estarán rezagadas.

12 meses desde la expedición de cada estándar: Las entidades obligadas tienen 12 meses para habilitar el acceso a los datos de cada categoría una vez la SFC expida el estándar correspondiente. La SFC puede extender este plazo por 6 meses adicionales, y otorgar hasta 6 meses más para personas jurídicas que no sean microempresas.

Antes de abril de 2027 (12 meses desde la vigencia del Decreto): La SFC debe tener operativo el Directorio de Participantes — el registro oficial de proveedores de datos, terceros receptores vigilados y vinculaciones voluntarias con terceros no vigilados.

Lo que esto significa en la práctica: si la SFC publica sus primeros estándares en octubre de 2026, las entidades tendrán hasta octubre de 2027 para cumplir con esa primera categoría. Pero los estándares se expedirán por categorías, el historial transaccional de depósitos a la vista, el historial de productos de crédito, la información de vinculación, los depósitos a término, las características generales de productos y los estándares para iniciación de pagos están todos en el cronograma mínimo obligatorio.

¿Quieres llevar tu negocio al siguiente nivel?

Quiénes están obligados: un universo más amplio de lo que parece

El artículo 2.35.8.2.3 del Decreto define las entidades obligadas como proveedoras de datos. La lista es extensa e incluye:

  • Establecimientos de crédito (bancos, corporaciones financieras, compañías de financiamiento)
  • Sociedades especializadas en depósitos y pagos electrónicos (SEDPE)
  • Sociedades fiduciarias
  • Comisionistas de bolsa de valores
  • Comisionistas de bolsa de bienes y productos agropecuarios, agroindustriales o commodities
  • Administradoras de fondos de pensiones y cesantías
  • Sociedades administradoras de inversión
  • Entidades administradoras del componente complementario de ahorro individual del pilar contributivo
  • Entidades autorizadas para financiación colaborativa (crowdfunding)
  • Aseguradoras
  • Entidades con regímenes especiales (Parte Décima del Decreto 663 de 1993)
  • Instituciones Oficiales Especiales definidas como establecimientos de crédito

Esto no es solo banca comercial. Son más de 200 entidades vigiladas que hoy tienen la obligación activa de prepararse para exponer datos a través de APIs estandarizadas.

Las fintechs y personas jurídicas no vigiladas por la SFC pueden participar como Terceros Receptores de Datos No Vigilados bajo esquemas voluntarios, sujetos a los requisitos de la Circular Básica Jurídica de la SFC.

Los tres pilares del SFA colombiano y su alcance concreto

1. Acceso a información financiera del Titular

La primera categoría de datos que el Decreto prioriza incluye:

  • Historial transaccional de depósitos a la vista de los últimos 12 meses (o el total disponible si la relación es más corta).
  • Historial transaccional de productos de crédito: saldos, uso, condiciones particulares vigentes.
  • Información de vinculación como cliente: los datos recolectados en el proceso de conocimiento del cliente conforme a las disposiciones de la SFC (equivalente al KYC).
  • Depósitos a término: condiciones e información asociada.

Esta información es la materia prima para scoring crediticio alternativo, verificación de ingresos, gestión financiera personal y productos de asesoría. Con consentimiento del usuario, un tercero puede construir una visión financiera completa que hoy solo el banco tiene.

2. Información general de productos y servicios

El Decreto también incluye la información que facilita la comparación de productos por parte de los consumidores: tasas, comisiones, condiciones generales. Esta categoría no requiere autorización previa del Titular y es la base para plataformas de comparación y asesoría financiera imparcial.

3. Iniciación de pagos

El artículo 2 del Decreto modifica explícitamente el artículo 2.17.4.1.3 del Decreto 2555 de 2010, encargando a la SFC expedir los estándares para que los servicios de iniciación de pagos (inmediatos o no inmediatos, recurrentes o no recurrentes) se ejecuten en condiciones de seguridad, transparencia y eficiencia.

Este es el pilar de mayor potencial de monetización: permite que terceros autorizados inicien transferencias desde la cuenta del usuario sin pasar por las redes de tarjetas tradicionales. El modelo de pagos cuenta a cuenta (A2A) que en el Reino Unido procesó 31 millones de transacciones solo en marzo de 2025, con crecimiento del 72% interanual, tiene ahora base legal explícita en Colombia.

El modelo de costos: qué pueden cobrar las entidades y qué no

Uno de los aspectos más relevantes para el modelo de negocio está en los artículos 2.35.8.3.8 y 2.35.8.3.9, que regulan la recuperación de costos:

Lo que los proveedores de datos SÍ pueden cobrar: Los costos directos de implementación y mantenimiento de la infraestructura de APIs, así como los costos de implementación de los estándares de la SFC. El esquema debe basarse en el volumen de consultas de cada Tercero Receptor, aplicarse en igualdad de condiciones para todos, y sustentarse en factores objetivos, medibles y verificables.

Lo que NO pueden cobrar: Los datos en sí mismos. "En ningún caso podrán cobrar por la información que sea objeto de circulación en el sistema de finanzas abiertas."

Esto define la estructura del mercado: el dato es libre, la infraestructura tiene precio. Las entidades que diseñen una arquitectura de APIs eficiente podrán recuperar sus costos de operación y construir modelos de precio racionales para los terceros que las consuman. Las que construyan infraestructura cara e ineficiente tendrán que absorber la diferencia.

El régimen de consentimiento: más exigente de lo que parece

El Decreto establece un esquema de doble verificación del consentimiento que tiene implicaciones directas para la experiencia de usuario y los flujos de implementación:

Autorización (artículo 2.35.8.3.2): El Tercero Receptor de Datos debe obtener del Titular una autorización previa, expresa e informada que incluya como mínimo: identificación del tercero, datos específicos autorizados, tipo de tratamiento, finalidad específica y tiempo de vigencia. Está prohibido solicitar autorizaciones generales o abiertas.

Confirmación (artículo 2.35.8.3.3): El Proveedor de Datos debe confirmar con el Titular, antes de compartir la información, que el Tercero Receptor cuenta efectivamente con su autorización. Esta confirmación debe facultar al Titular para autorizar o denegar el suministro en ese momento específico.

Autenticación fuerte (artículo 2.35.8.3.4): Cualquier acción que otorgue, modifique o revoque una autorización debe hacerse mediante mecanismos fuertes de autenticación conforme a las instrucciones de la SFC.

Este diseño de triple capa (autorización, confirmación y autenticación fuerte) es más robusto que muchos esquemas internacionales y requiere un diseño de experiencia de usuario cuidadoso. Un flujo mal diseñado generará abandono y desconfianza; uno bien diseñado puede convertirse en ventaja competitiva.

El camino que queda para el SFA en Colombia

El tiempo de preparación ya comenzó. El Decreto 0368, firmado por el Ministerio de Hacienda, obliga a más de 200 entidades vigiladas por la Superintendencia Financiera de Colombia a adoptar el Sistema de Finanzas Abiertas. La SFC debe publicar los estándares técnicos antes de octubre de 2026 y, desde ese momento, cada entidad tendrá solo 12 meses para cumplir con la habilitación de acceso a los datos de cada categoría.

Si tu organización aún no cuenta con un plan concreto de implementación, una arquitectura definida, casos de uso priorizados y un modelo de costos alineado, el reloj juega en tu contra. Las instituciones que lleguen preparadas lo hacen desde hoy, no en los últimos meses previos al deadline.

El desafío es más profundo que solo cumplir. El cambio regula a bancos, SEDPE, fiduciarias, aseguradoras, AFP, cooperativas y también a fintechs y empresas no vigiladas que buscan operar como Terceros Receptores. Cada organización enfrentará retos específicos: desde la integración de APIs sobre estándares internacionales probados (FAPI 2.0, OAuth 2.0), hasta la estructuración de modelos de cobro por infraestructura, el empaquetado de servicios como KYC y pagos A2A, y la creación de nuevos ingresos habilitados por el Decreto.

El Decreto 0368 exige flujos de consentimiento robustos, autenticación fuerte y un modelo en el que la infraestructura se puede monetizar, pero los datos deben circular libremente. No es solo una cuestión técnica; es la oportunidad de diseñar mejores servicios, facilitar el acceso a productos financieros y crear relaciones de confianza con quienes consumirán tus APIs.

Estar listos implica entender cada línea del Decreto y diseñar una estrategia que combine cumplimiento y visión de negocio.

En Finerio y Nisum apoyamos a las entidades en todo el recorrido: desde la arquitectura técnica y el modelo de negocio hasta la integración con sistemas existentes y la adaptación ágil ante futuras actualizaciones de la SFC. Nuestra experiencia reduce la complejidad, anticipa requisitos y acelera la implementación según los estándares globales.

¿Quieres llevar tu negocio al siguiente nivel?

Temas: Latinoamérica Open Finance

Nisum

Nisum

Fundada en California en el año 2000, Nisum es una empresa de comercio digital centrada en iniciativas estratégicas de TI que utiliza soluciones integradas que proporcionan un crecimiento real y medible.

¿Tienes algún comentario sobre este? Déjanoslo saber!

Destacados

Blogs por tema

See All