El Decreto 0368 de 2026 marca la modernización financiera de Colombia al establecer el Sistema de Finanzas Abiertas de carácter obligatorio, buscando empoderar al ciudadano al reconocerlo como el único dueño de su información personal, permitiéndole autorizar el intercambio seguro de sus datos entre entidades para acceder a productos financieros más competitivos. Conoce aquí las bases para un ecosistema financiero más abierto, transparente y accesible para todos.
| Sistema de Finanzas Abiertas en Colombia | ||
| AUTOR(ES) | Ministerio de Hacienda y Crédito Público | CITA |
| PUBLICACIÓN | Normativa | Decreto 0368 de 2026. Por medio del cual se modifica el Decreto 2555 de 2010 en lo relacionado con el Sistema de Finanzas Abiertas. 7 de abril de 2026. |
| FECHA | 7 de abril de 2026 | |
¿Sabías que el Open Banking o Finanzas abiertas ya es oficial y obligatorio?
El Decreto 0368 del 2026 establece el marco normativo para la implementación del Sistema de Finanzas Abiertas en Colombia. Esta normativa eleva el esquema de datos abiertos de un modelo voluntario a uno obligatorio para diversas entidades financieras. Su objetivo primordial es actuar como catalizador de la transformación social, promoviendo la inclusión financiera y crediticia de la “Economía Popular”, las micro, pequeñas y medianas empresas (Pymes), y poblaciones tradicionalmente excluidas.
El sistema se fundamenta en el tratamiento de datos personales bajo la autorización previa, expresa e informada del titular, garantizando la seguridad, transparencia e interoperabilidad mediante el uso de interfaces de programación de aplicaciones (API).
¿Cuáles son sus Objetivos Principales?
- Inclusión Financiera: Facilitar el acceso y uso de productos y servicios financieros para la población.
- Competencia e Innovación: Fomentar la entrada de nuevos competidores y el desarrollo de modelos de negocio innovadores basados en datos.
- Bienestar y Empoderamiento: Fortalecer el control de las personas sobre sus propios datos y mejorar su bienestar financiero.
- Interoperabilidad: Establecer reglas comunes para que los sistemas interactúen de forma eficiente y segura.
- Seguridad y Transparencia: Velar por la confianza en el sistema financiero y la protección de los derechos de los titulares.
Roles
| Rol | Definición |
| Proveedor de Datos | Entidad vigilada por la SFC que brinda acceso y suministra los datos personales e información comprendida en el sistema. |
| Tercero Receptor de Datos Vigilado | Entidad vigilada por la SFC que accede a la información bajo las condiciones del decreto. |
| Tercero Receptor de Datos No Vigilado | Persona jurídica no vigilada por la SFC que accede a la información cumpliendo requisitos específicos. |
| Titular | Persona natural o jurídica cuyos datos personales son objeto de tratamiento. |
| Autorización | Consentimiento previo, expreso e informado del Titular para el tratamiento de sus datos. |
El tratamiento de la información debe regirse por los siguientes principios adicionales a las Leyes 1266 de 2008 y 1581 de 2012:
- Acceso a datos personales: Facultad exclusiva del titular para autorizar el tratamiento.
- Transparencia: Información clara sobre participantes, mecanismos de circulación y calidad de los datos.
- Seguridad y circulación restringida: Uso de mecanismos robustos de ciberseguridad para evitar consultas no autorizadas.
- Calidad de la información: Los datos deben ser precisos, completos, actualizados y pertinentes.
- Trato no discriminatorio: Acceso en igualdad de condiciones para todos los participantes.
- Interoperabilidad: Uso de estándares comunes para el intercambio automático de información.
Asimismo, el Decreto establece un esquema de “doble verificación” para garantizar la voluntad del titular. El Tercero Receptor debe obtener una autorización clara que identifique su razón social, los datos a tratar, la finalidad específica y el tiempo de vigencia, el Proveedor de Datos debe confirmar con el titular, de forma previa a la circulación, que efectivamente otorgó dicha autorización al Tercero Receptor. Y los participantes deben usar mecanismos fuertes de autenticación según las instrucciones de la SFC para cualquier acción de otorgamiento, modificación o revocación.
Y recuerda…
- En 6 meses, la Superfinanciera publicará el cronograma de trabajo.
- En 12 meses, el directorio oficial de participantes y los indicadores de seguimiento.
- Una vez definidos los estándares técnicos, las entidades tienen hasta 12 meses para su implementación.
