|

Todos los artículos

Finanzas Abiertas

Guía: Interoperabilidad Financiera en Colombia — Todo lo que su Institución Necesita Saber en 2026

Guía completa sobre el marco regulatorio de Open Finance en Colombia: plazos, requisitos técnicos y cómo preparar su institución para el cumplimiento.

Guía: Interoperabilidad Financiera en Colombia — Todo lo que su Institución Necesita Saber en 2026

El panorama regulatorio financiero en Colombia está atravesando una transformación fundamental. Si su institución está supervisada por la Superintendencia Financiera de Colombia (SFC), necesita actuar ahora. El sistema de interoperabilidad financiera —conocido internacionalmente como open finance— ya no es opcional, y los plazos de implementación están más cerca de lo que muchas organizaciones anticipan.

Esta guía proporciona todo lo que su institución necesita saber sobre el marco regulatorio de Open Finance en Colombia, los requisitos técnicos obligatorios, y cómo prepararse estratégicamente para el cumplimiento normativo.

¿Qué es la Interoperabilidad Financiera y Por Qué Importa Ahora?

La interoperabilidad financiera es la práctica mediante la cual las entidades supervisadas por la SFC abren sus sistemas para que los datos financieros de los consumidores puedan ser compartidos de forma estandarizada con otras entidades o terceros, siempre con autorización del consumidor.

Este no es simplemente un ejercicio de cumplimiento normativo, sino que representa un cambio estructural en cómo operan los servicios financieros en Colombia:

  • Empoderamiento del consumidor: Los usuarios pueden compartir sus datos financieros con quien elijan, facilitando la comparación de productos y el acceso a servicios personalizados.
  • Innovación del ecosistema: Fintechs y nuevos actores pueden construir servicios financieros innovadores sobre infraestructura estandarizada.
  • Competencia mejorada: Reduce las barreras de entrada y los costos de cambio para los consumidores.
  • Iniciación de pagos: Permite pagos directos desde cuentas bancarias sin tarjetas intermediarias.

Lo crítico es esto: después de años de desarrollo voluntario, Colombia está transitando a un sistema obligatorio de finanzas abiertas que aplicará a todas las entidades supervisadas por la SFC, incluyendo bancos, sociedades comisionistas, aseguradoras y más.

El Marco Regulatorio: De Voluntario a Obligatorio

Decreto 1297 de 2022: La Base Fundacional

El 25 de julio de 2022, el gobierno colombiano emitió el Decreto 1297, que modificó el Decreto 2555 de 2010 para establecer el marco regulatorio inicial de finanzas abiertas en Colombia.

Este decreto estableció varios elementos fundamentales:

  • Definió oficialmente el concepto de finanzas abiertas en el sistema colombiano
  • Autorizó a las entidades supervisadas a comercializar su tecnología e infraestructura a terceros
  • Creó el marco de "Ecosistemas Digitales" (Título 9 del Decreto 2555)
  • Estableció la iniciación de pagos a través de sistemas de pagos de bajo valor
  • Asignó a la SFC la responsabilidad de definir los estándares técnicos, de seguridad e interoperabilidad

Sin embargo, este marco era voluntario. Las instituciones podían optar por participar, pero no estaban obligadas.

Circular Externa 004 de 2024: Las Reglas Técnicas

El 7 de febrero de 2024, la SFC emitió la Circular Externa 004, que proporcionó las instrucciones técnicas específicas para implementar finanzas abiertas:

PRIMERA: Creó el Capítulo IX "Reglas relativas a las finanzas abiertas", definiendo los estándares de tecnología, seguridad e interoperabilidad que las instituciones deben seguir.

SEGUNDA: Estableció el Capítulo X sobre "Comercialización de Tecnología e Infraestructura a Terceros", regulando cómo las instituciones pueden ofrecer sus servicios tecnológicos.

QUINTA: Dio un régimen de transición de 18 meses a las entidades que ya tenían estándares diferentes para adoptar los nuevos estándares del subnumeral 3.2.

SEXTA: Estableció plazos específicos:

  • 18 meses para adoptar los estándares de finanzas abiertas (subnumeral 3.2)
  • 6 meses para otras instrucciones del Capítulo IX
  • 12 meses para reglas de comercialización de tecnología
  • Planes de adopción debían presentarse a la SFC antes del 1 de agosto de 2024

Circular Externa 009 de 2025: Extensión de Plazos

Reconociendo la complejidad técnica y operacional de la implementación, la SFC emitió la Circular Externa 009 el 6 de agosto de 2025, que extendió el plazo de cumplimiento obligatorio por 6 meses adicionales.

Nueva fecha límite: 6 meses desde el 8 de agosto de 2025 = 8 de febrero de 2026

La SFC justificó esta extensión señalando que la implementación requiere "acuerdos técnicos y operativos significativos, así como transformaciones de sistemas" que necesitan tiempo adicional para ejecutarse correctamente.

Crucialmente, la Circular también indicó que la SFC revisará las instrucciones una vez que se publique el decreto de finanzas abiertas obligatorio.

El Decreto Obligatorio: El Cambio de Juego

En noviembre de 2025, la junta de la Unidad de Regulación Financiera (URF) aprobó un nuevo decreto que hace que el sistema de finanzas abiertas sea obligatorio para todas las entidades supervisadas por la SFC.

Aunque el decreto está pendiente de publicación en la gaceta oficial, sus elementos conocidos son significativos:

  • Aplicación universal: Todas las entidades supervisadas por la SFC (banca, valores, seguros) deberán participar
  • Gobernanza público-privada: Se creará una estructura de gobernanza compartida para el ecosistema
  • Plazo de implementación: Las entidades a las que hace referencia el decreto deberán habilitar el acceso a los datos en un plazo máximo de doce (12) meses contados a partir de la expedición de cada uno de los estándares requeridos para su suministro
  • Reciprocidad: El intercambio de datos debe ser estandarizado y recíproco
  • Consentimiento: Todo basado en autorización explícita del consumidor

Este decreto transforma las finanzas abiertas de una iniciativa voluntaria a un requisito regulatorio obligatorio para todo el sector financiero colombiano.

Requisitos Técnicos: Lo que su Institución Debe Implementar

La SFC ha definido estándares técnicos específicos que todas las instituciones deben adoptar. Estos no son recomendaciones; son requisitos obligatorios de cumplimiento.

1. Protocolo de Seguridad: FAPI 2.0

Colombia ha adoptado el estándar FAPI 2.0 (Financial-grade API), no el OAuth 2.0 estándar. FAPI 2.0 es un perfil de seguridad específicamente diseñado para transacciones financieras de alto riesgo.

Características clave de FAPI 2.0:

  • Autenticación mutua mediante TLS
  • Tokens de acceso firmados
  • Protección contra ataques de replay y man-in-the-middle
  • Requisitos estrictos de expiración de tokens
  • Vinculación de tokens a clientes específicos

Este es un estándar significativamente más riguroso que OAuth 2.0, y requiere capacidades técnicas especializadas para implementar correctamente.

2. Arquitectura API RESTful

Todas las APIs de finanzas abiertas deben seguir principios RESTful:

  • Endpoints estandarizados y predecibles
  • Uso apropiado de métodos HTTP (GET, POST, PUT, DELETE)
  • Respuestas en formato JSON
  • Códigos de estado HTTP estándar
  • Versionado de API para gestión de cambios

3. Directorio de la SFC

Las instituciones deben registrarse en el Directorio oficial de la SFC, que funciona como el registro central del ecosistema de finanzas abiertas. Este directorio:

  • Valida la identidad de participantes
  • Facilita el descubrimiento de entidades y servicios
  • Gestiona certificados y credenciales
  • Proporciona información sobre el estado de cumplimiento

4. Seguridad Nivel SOC 2 Type II

La SFC requiere controles de seguridad equivalentes a una certificación SOC 2 Type II, que incluye:

  • Seguridad de datos en tránsito y en reposo
  • Controles de acceso y gestión de identidad
  • Monitoreo continuo de seguridad
  • Planes de respuesta a incidentes
  • Auditorías de seguridad regulares
  • Gestión de vulnerabilidades

5. Gestión de Consentimiento

Las instituciones deben implementar sistemas robustos de gestión de consentimiento que permitan:

  • Consentimiento granular: Los usuarios eligen exactamente qué datos compartir
  • Transparencia completa: Información clara sobre qué se comparte, con quién y por qué
  • Revocación fácil: Los usuarios pueden retirar el consentimiento en cualquier momento
  • Caducidad de consentimiento: Los permisos expiran y requieren renovación
  • Registro auditable: Historial completo de todos los consentimientos otorgados y revocados

6. Estándares de Datos

Los datos deben compartirse en formatos estandarizados que cubren:

  • Información de cuentas (saldos, transacciones, detalles)
  • Datos de productos financieros
  • Información de clientes (con consentimiento)
  • Datos de pagos
  • Metadatos de API (disponibilidad, rendimiento)

Lista de Verificación: ¿Está su Institución Preparada?

Evalúe el estado de preparación de su organización con esta lista de verificación:

Evaluación Regulatoria

  • ¿Ha revisado el Decreto 1297 de 2022 y las Circulares Externas 004 y 009?
  • ¿Presentó su plan de adopción a la SFC antes del 1 de agosto de 2024?
  • ¿Tiene claridad sobre cómo el decreto obligatorio afectará su institución?
  • ¿Ha identificado todos los productos y servicios que deben incluirse?

Capacidad Técnica

  • ¿Su equipo técnico comprende los requisitos de FAPI 2.0?
  • ¿Tiene la capacidad de desarrollar y mantener APIs RESTful de grado financiero?
  • ¿Sus sistemas actuales pueden integrarse con APIs estandarizadas?
  • ¿Cuenta con infraestructura para gestionar autenticación y autorización robustas?

Seguridad y Cumplimiento

  • ¿Sus controles de seguridad cumplen con los estándares SOC 2 Type II?
  • ¿Tiene un sistema de gestión de consentimiento implementado o planificado?
  • ¿Sus procesos de seguridad pueden manejar el modelo de amenazas de open finance?
  • ¿Cuenta con monitoreo y respuesta a incidentes 24/7?

Operaciones y Gobierno

  • ¿Ha designado un equipo responsable de la implementación de finanzas abiertas?
  • ¿Tiene presupuesto aprobado para desarrollo, implementación y operaciones?
  • ¿Sus equipos legales y de cumplimiento están alineados con los requisitos?
  • ¿Ha definido SLAs y métricas de rendimiento para APIs?

Preparación del Ecosistema

  • ¿Comprende cómo integrarse con el Directorio de la SFC?
  • ¿Ha identificado potenciales socios o proveedores de tecnología?
  • ¿Tiene estrategia para probar APIs con otros participantes?
  • ¿Ha planificado la capacitación de usuarios y equipos de soporte?

Si respondió "no" a más de tres preguntas en cualquier categoría, su institución enfrenta brechas significativas de preparación.

La Decisión Estratégica: ¿Construir o Comprar?

Las instituciones financieras enfrentan una decisión crítica: desarrollar infraestructura de finanzas abiertas internamente o asociarse con un proveedor especializado.

Construir Internamente

Ventajas:

  • Control total sobre arquitectura y cronograma
  • Personalización completa según necesidades específicas
  • Propiedad total del código y sistemas

Desventajas:

  • Inversión significativa en desarrollo, equipo y certificaciones
  • 12-18 meses de tiempo de implementación
  • Requiere contratar o capacitar talento especializado en FAPI 2.0
  • Riesgo de retrasos y sobrecostos
  • Responsabilidad total de mantenimiento, actualizaciones y seguridad
  • Costos operativos continuos considerables
  • Necesidad de mantenerse al día con cambios regulatorios

Asociarse con un Proveedor de Infraestructura

Ventajas:

  • Tiempo de implementación de 3-6 meses
  • Inversión inicial significativamente menor
  • Cumplimiento normativo garantizado desde el primer día
  • Experiencia probada en múltiples jurisdicciones
  • Actualizaciones automáticas cuando cambia la regulación
  • Soporte técnico especializado
  • Infraestructura ya probada en producción

Desventajas:

  • Dependencia de proveedor externo
  • Menor control sobre roadmap técnico
  • Costos operativos mensuales recurrentes

El Caso de Fiskil

Fiskil proporciona infraestructura como servicio, diseñada específicamente para instituciones que necesitan cumplir con regulaciones de finanzas abiertas en América Latina.

Números que importan:

  • 60+ clientes financieros en múltiples países
  • 3.35 mil millones de requests API procesados
  • 99.95% SLA de disponibilidad
  • SOC 2 Type II certificado
  • 4-6 meses tiempo típico de implementación
  • Pricing transparente que escala con su negocio

La infraestructura de Fiskil está diseñada para el ecosistema latinoamericano, con comprensión profunda de los requisitos regulatorios de la SFC y experiencia implementando sistemas similares en Brasil, México y otros mercados de la región.

Próximos Pasos: Cómo Actuar Ahora

Con la fecha límite de febrero de 2026 próxima y el decreto obligatorio en camino, las instituciones financieras deben actuar inmediatamente:

1. Evalúe su Posición Actual (Semana 1-2)

  • Realice una auditoría de capacidades técnicas actuales
  • Identifique brechas críticas de cumplimiento
  • Evalúe recursos internos disponibles (presupuesto, personal, tiempo)

2. Defina su Estrategia (Semana 3-4)

  • Decida entre construir internamente o asociarse con un proveedor
  • Si elige un proveedor, evalúe opciones basándose en experiencia en mercados que ya han adoptado Open Finance, certificaciones, y casos de uso comprobados
  • Obtenga aprobación ejecutiva y presupuesto

3. Inicie la Implementación (Mes 2-6)

  • Si construye: forme equipo, defina arquitectura, comience desarrollo
  • Si compra: ejecute contrato, inicie integración, configure sistemas
  • Establezca cronograma de hitos con responsables específicos

4. Pruebe y Valide (Mes 6-7)

  • Realice pruebas de seguridad exhaustivas
  • Valide cumplimiento con estándares FAPI 2.0
  • Pruebe integración con Directorio SFC
  • Simule escenarios de uso con datos de prueba

5. Despliegue y Registre (Mes 8)

  • Complete registro en Directorio SFC (Cuando esté habilitada la opción)
  • Lance en producción con monitoreo intensivo
  • Capacite equipos de soporte y operaciones
  • Prepare documentación para usuarios y desarrolladores

6. Opere y Optimice (Continuo)

  • Monitoree rendimiento y disponibilidad de APIs
  • Responda a cambios regulatorios
  • Itere basándose en feedback de usuarios y socios
  • Mantenga certificaciones de seguridad actualizadas

Conclusión: El Momento de Actuar es Ahora

Open Finance en Colombia ya no es una posibilidad futura; es una realidad regulatoria inminente. El decreto obligatorio transformará fundamentalmente cómo operan los servicios financieros en el país, y las instituciones que no estén preparadas enfrentarán no solo riesgos de cumplimiento, sino también desventajas competitivas significativas.

Las instituciones que actúan ahora tienen la oportunidad de:

  • Liderar la transformación del ecosistema financiero colombiano
  • Construir ventajas competitivas mediante servicios innovadores
  • Establecer relaciones estratégicas con fintechs y otros participantes
  • Evitar la prisa y riesgos de implementaciones de último minuto

La pregunta no es si su institución implementará finanzas abiertas, sino cómo lo hará y qué tan bien preparada estará cuando el sistema obligatorio entre en vigor.

¿Su institución está lista para el futuro de las finanzas en Colombia?

¿Necesita acelerar su preparación para portabilidad financiera?

Fiskil proporciona infraestructura de fintech lista para cumplir con las regulaciones de la SFC, permitiendo que instituciones financieras implementen finanzas abiertas en meses, no años. Con experiencia comprobada en América Latina, certificación SOC 2 Type II, y 99.95% de disponibilidad, Fiskil es el socio de infraestructura para instituciones que necesitan cumplir con confianza.

Visite fiskil.com para aprender cómo podemos ayudar a su institución a prepararse para el futuro de las finanzas en Colombia.

Referencias y Recursos:

Esta guía fue preparada por Fiskil como recurso educativo para instituciones financieras en Colombia. La información es precisa al momento de publicación (febrero 2026) pero debe verificarse con fuentes oficiales para decisiones de cumplimiento. Fiskil no proporciona asesoría legal; consulte con sus equipos legales y de cumplimiento para aplicación específica a su institución.