Open Finance en Colombia: ya es obligatorio

Cómo esta regulación sienta las bases del futuro financiero en América Latina

El 7 de abril de 2026, Colombia convirtió en ley lo que hasta ahora era voluntario. Los bancos tienen doce meses para cumplir. Pero el verdadero plazo no es el regulatorio: es el competitivo. 

Durante décadas, el banco fue el único custodio de los datos financieros de sus clientes. Era conocedor de sus salarios, sus gastos, sus deudas, etc. Esa información no salía de sus sistemas. No era portable, no era compartible y, desde luego, no era del cliente. 

Esa asimetría no era un accidente. Era la base sobre la que se construyó el poder estructural de la banca tradicional: quien controla el dato, controla la relación. 

El Decreto 0368 de 2026 empieza a transformar ese paradigma. 

No es un ajuste técnico ni una actualización normativa menor. Es un cambio de principio: los datos financieros pertenecen al usuario que los genera, no a la institución que los almacena. Y si pertenecen al usuario, corresponde a este decidir quién puede acceder a ellos, bajo qué condiciones y con qué propósito. 

Colombia acaba de hacer ese principio obligatorio. 

Cuatro años de construcción que culminan en una obligación

Colombia no llegó a este decreto por sorpresa. El camino tiene hitos bien definidos que conviene conocer para entender el alcance real de lo que acaba de cambiar. 

En 2022, el Decreto 1297 estableció el primer marco de Open Finance colombiano, de carácter voluntario. Sentó la arquitectura general y habilitó a las entidades financieras a tratar y comercializar datos de clientes bajo consentimiento. En febrero de 2024, la Circular Externa 004 de la SFC concretó los estándares técnicos de arquitectura, seguridad y tecnología que las entidades deberían cumplir. Y en febrero de 2026, la Circular Externa 001 amplió los plazos de transición de 18 a 30 meses, reconociendo la complejidad operativa del proceso. 

El Decreto 0368 cierra ese ciclo de cuatro años y da el paso definitivo: sustituye el marco voluntario por uno obligatorio para todas las entidades vigiladas por la Superintendencia Financiera de Colombia —bancos, fiduciarias, aseguradoras, administradoras de fondos de pensiones, emisoras de tarjetas. 

Para aquel que quiera entender el recorrido completo de este modelo y su impacto en la región, el análisis de cómo el Open Banking ha evolucionado hacia el Open Financeofrece una perspectiva imprescindible.

Un movimiento regional, no un caso aislado

Colombia no es un caso aislado. Es parte de un movimiento regional que está reordenando las reglas del sector financiero en América Latina. 

El referente más claro es Brasil, donde el Open Finance lleva varios años en funcionamiento con decenas de millones de consentimientos activos y un ecosistema plenamente operativo.  

Chile ya ha definido su marco legal y avanzará hacia una implementación progresiva a partir de julio de 2027. 

En paralelo, México, Perú y Argentina construyen sus propios marcos normativos, con distintos grados de madurez pero bajo una misma lógica: abrir el acceso a los datos financieros con consentimiento del usuario. 

En el contexto de los eventos financieros que están definiendo la agenda en Latinoamérica, el patrón es consistente: el Open Finance deja de ser promesa y se convierte en infraestructura operativa. 

El Decreto 0368 no es solo una norma de Colombia. Es una señal de hacia dónde va toda la región. 

Para quien lidere la banca latinoamericana, la pregunta ya no es si habrá regulación. Es si la institución estará preparada para convertirla en ventaja antes de que se convierta en problema. 

El doble consentimiento: la arquitectura que genera eventos en tiempo real 

El Decreto 0368 no se limita a ordenar que los datos circulen. Define con precisión cómo debe ocurrir ese flujo, y en ese detalle reside una implicación operativa que pocas entidades han dimensionado todavía. 

La norma establece una arquitectura de doble capa de consentimiento:  

• Primero, el usuario autoriza al tercero receptor, identificando qué datos comparte, con qué finalidad y por cuánto tiempo.  
• Después, la entidad financiera debe confirmar activamente esa autorización antes de liberar cualquier información. No basta con que el tercero afirme tenerla. El banco debe verificarla. Y hacerlo mediante mecanismos fuertes de autenticación, según las instrucciones de la SFC. 

Este consentimiento es doble y vinculante, regulado en los artículos 2.35.8.3.2 y 2.35.8.3.3 del Decreto 2555 de 2010 modificado. No es una formalidad. Es la columna vertebral del sistema. 

Lo que este diseño implica en la práctica es que cada autorización, cada modificación de permisos y cada revocación del consentimiento genera un evento que requiere respuesta inmediata del banco. El usuario autoriza: notificación. El banco confirma: notificación. El usuario revoca: notificación. Desde una perspectiva jurídica, este modelo fortalece la autonomía del titular, la trazabilidad del consentimiento y la seguridad jurídica. Pero desde una perspectiva operativa introduce un problema evidente: la fricción regulatoria. Y la fricción, en este contexto, no es solo un problema de experiencia de usuario. Es un riesgo de cumplimiento normativo. 

Cada uno de esos momentos es, al mismo tiempo, una obligación regulatoria y una oportunidad relacional. La entidad que los gestione bien no solo cumple: construye confianza. 

El fallo que nadie ve venir: la comunicación

Cuando se discute el Open Finance en foros técnicos, la conversación suele girar alrededor de APIs, OAuth, arquitecturas de microservicios y estándares de interoperabilidad. 

Pero hay una dimensión que rara vez aparece en ese debate y que es tan crítica para el cumplimiento real del decreto como cualquier capa tecnológica: 

¿Cómo notifica el banco a su cliente cada vez que alguien accede a sus datos?

El consentimiento en el sistema de finanzas abiertas colombiano no es un trámite puntual. Es un proceso dinámico y continuo. El cliente autoriza. Puede revocar. Puede modificar los permisos. Y en cada uno de esos momentos, el banco tiene la obligación —y la oportunidad— de comunicarse con él en tiempo real. 

Una notificación que llega tarde es un fallo operativo. Una que no queda registrada es un problema regulatorio. Una genérica, sin contexto, es una oportunidad de confianza desaprovechada. 

El Decreto 0368 no deja esto a la discreción de cada entidad. La obligación de «responsabilidad demostrada» —o accountability, en la terminología que el decreto toma prestada de marcos como el GDPR europeo— implica que el banco debe poder acreditar ante la SFC que cada evento fue comunicado correctamente. Que el mensaje llegó. Por qué canal. A qué hora. Con qué contenido. 

Eso no lo resuelve un CRM. No lo resuelve el core bancario. Lo resuelve una infraestructura de comunicaciones diseñada para el cumplimiento normativo, con trazabilidad completa del ciclo de vida de cada notificación y resiliencia ante fallos de proveedor o picos de demanda. 

El consentimiento como nuevo activo relacional

Hay una forma reactiva de leer el Open Finance: los datos que antes eran exclusivos del banco ahora pueden circular hacia terceros. Eso se percibe como pérdida. Y hay una forma estratégica. 

Cada vez que un cliente autoriza expresamente que sus datos viajen hacia un tercero, realiza un acto de confianza deliberado y consciente. Y en ese momento, el banco que notifica en tiempo real —que confirma al instante, que acompaña al cliente en la gestión de sus permisos— no pierde terreno, lo gana. 

Porque la relación bancaria más valiosa en un entorno de datos abiertos no es la que tiene más productos. Es la que genera más confianza. La que el cliente percibe como su aliado en la gestión de su información, no como el propietario de ella. 

Eso requiere un motor de gestión de preferencias que permita al cliente decidir qué alertas recibir, por qué canal y en qué momento, y que garantice que esas preferencias se respetan en cada interacción. Y requiere que esas comunicaciones descansen sobre una arquitectura de seguridad y cumplimiento normativo que funcione incluso en los escenarios más críticos. 

No es un problema de experiencia de cliente. Es un problema de infraestructura. 

Los plazos reales, sin eufemismos

El decreto fija una cadena de plazos que conviene tener clara. 

La Superintendencia Financiera de Colombia (SFC) tiene seis meses desde la firma —es decir, hasta octubre de 2026— para publicar el cronograma de estándares técnicos por categoría de datos. A partir de ahí, las entidades tienen doce meses para habilitar el acceso, prorrogables por seis meses más a criterio del regulador. En la práctica, el horizonte de cumplimiento total alcanza 2027 o incluso 2028 para algunas entidades. 

Eso puede sonar holgado, pero no lo es. 

Boston Consulting Group documenta que siete de cada diez transformaciones digitales no alcanzan sus objetivos. La razón más frecuente no es la tecnología: es haber subestimado el tiempo y la complejidad organizativa del cambio. 

Tres preguntas que todo banco colombiano debería responderse hoy

¿Puede tu infraestructura de comunicaciones actuar en tiempo real ante eventos de consentimiento?

¿Tiene tu bancos trazabilidad completa de cada notificación enviada?

¿Tu capa de comunicaciones está desacoplada del core bancario?

El Open Finance introduce eventos nuevos, con frecuencias y criticidades que los cores tradicionales no están diseñados para absorber. La gobernanza de las comunicaciones bancarias necesita operar como una capa independiente, auditable y escalable.

En Latinia llevamos más de 25 años ayudando a bancos en Europa y América Latina a gobernar sus comunicaciones críticas con trazabilidad, resiliencia y cumplimiento normativo. Si quieres saber cómo preparar tu infraestructura de notificaciones para el Open Finance colombiano, hablemos.