El pasado 7 de abril de 2026, el Ministerio de Hacienda firmó el Decreto 368, que establece el marco obligatorio del Sistema de Finanzas Abiertas (SFA) en Colombia y modifica el Decreto 2555 de 2010. Con esto, el país da el salto definitivo de un esquema voluntario (vigente desde el Decreto 1297 de 2022) a uno de carácter obligatorio, en cumplimiento del artículo 89 de la Ley 2294 de 2023 (Plan Nacional de Desarrollo).
En suma, el decreto que entró en vigor es un sistema de primera generación sólido en sus fundamentos (consentimiento informado, estándares técnicos, directorio centralizado, seguimiento trimestral), pero que sacrificó la reciprocidad que equilibraba los incentivos entre proveedores y receptores, los terceros de confianza que facilitaban la entrada de no vigilados, y la gratuidad que reducía las barreras de acceso. La pregunta que queda abierta es si el regulador tiene en mente una implementación escalonada en la que las piezas más ambiciosas lleguen por vía de regulación posterior, o si el decreto final representa el techo real del sistema y no su piso. El riesgo concreto es que, sin reciprocidad ni gratuidad, el SFA obligatorio termine pareciéndose demasiado al esquema voluntario que lo precedió: formalmente vigente, pero con incentivos insuficientes para que los receptores de datos participen activamente y para que los proveedores habiliten sus APIs con la calidad y disponibilidad que el sistema requiere.
Es importante señalar que todo acceso a las dos primeras categorías requiere autorización previa, expresa e informada del titular, y los proveedores de datos deben confirmar dicha autorización antes de suministrar cualquier información. Asimismo, los titulares podrán en todo momento conocer, revocar, actualizar su autorización y obtener explicación sobre el uso dado a sus datos. La Superintendencia Financiera de Colombia (SFC) será la encargada de definir los estándares técnicos, tecnológicos y operacionales del sistema, publicar el directorio de participantes y expedir los indicadores de seguimiento trimestrales. Las entidades obligadas tendrán 12 meses desde la expedición de cada estándar para habilitar el acceso, plazo prorrogable hasta 6 meses adicionales por la SFC, con un margen adicional de otros 6 meses exclusivo para personas jurídicas que no sean microempresas. La SFC tiene a su vez 6 meses para publicar el cronograma de estandarización y 12 meses para poner en funcionamiento el directorio.
Al respecto, se recomienda a las entidades que harán parte del SFA que prevean en sus programas integrales de protección de datos personales mecanismos de autorización de sus clientes que los habiliten a compartir sus datos personales, así como medidas de seguridad y acuerdos de circulación que les permitan cumplir con las obligaciones que asumirán.
El Decreto 368 es más conservador que el proyecto inicialmente puesto a comentarios en diciembre de 2024 y en junio de 2025, y los cambios introducidos merecen atención especial: (i) se eliminaron los terceros de confianza, que verificarían el cumplimiento de requisitos de participantes no vigilados por la SFC; (ii) se eliminó el proveedor de servicios de acceso, figura que permitía a terceros receptores con limitaciones tecnológicas acceder al sistema sin cumplir directamente los requisitos de infraestructura; (iii) se eliminó el principio de reciprocidad, que habría obligado a los terceros receptores a participar también como proveedores de datos; (iv) hubo un giro en materia de tarifas, pasando de gratuidad absoluta a permitir el cobro por uso de infraestructura para recuperar costos directos, aunque prohibiendo cobrar por la información en sí misma; (v) la iniciación de pagos quedó desvinculada estructuralmente del SFA; (vi) el directorio se simplificó, reemplazando módulos de terceros de confianza y proveedores de servicios de acceso por un módulo de vinculaciones voluntarias; y (vii) los plazos exigidos a la SFC se suavizaron, eliminando fechas concretas para estándares específicos.