CONTACTO
Decreto 0368 de 2026 — Boletín Regulatorio AIC
Mesa Legal y Política Pública

Decreto 0368 de 2026 — Una lectura completa del Open Finance obligatorio

Abril 2026
5 min de lectura
Decreto 0368 / Decreto 2555

El 7 de abril el Gobierno dio un paso estructural: convirtió el Open Finance en obligatorio mediante el Decreto 0368 de 2026, que modifica el Decreto 2555 de 2010, y da cumplimiento al mandato de la Ley 2294 de 2023 (Plan Nacional de Desarrollo, artículo 89).

Lo que este decreto realmente hace es redistribuir el poder sobre los datos financieros — y eso tiene implicaciones distintas según desde dónde se mire.

La mirada desde las aseguradoras

Las aseguradoras quedan directamente obligadas por el artículo 2.35.8.2.3 del Decreto 2555 de 2010 (modificado). Ya no es opcional. Deben:

  • Compartir datos de sus clientes con terceros receptores vigilados, siempre que el cliente lo autorice. Art. 2.35.8.3.1
  • Implementar APIs estandarizadas con los requisitos técnicos y de seguridad que defina la SFC. Art. 2.35.8.3.6
  • Confirmar activamente la autorización del cliente antes de liberar cualquier dato — no basta con que el tercero diga que la tiene. Art. 2.35.8.3.3
  • Inscribirse en el directorio de participantes administrado por la SFC. Arts. 2.35.8.5.1 y 2.35.8.5.4
  • Reportar indicadores de funcionamiento del sistema, al menos trimestralmente. Art. 2.35.8.7.2

La mirada desde las entidades NO vigiladas

Aquí entra el esquema voluntario regulado en el Capítulo 6 del Decreto (arts. 2.35.8.6.1 y 2.35.8.6.2) — y es donde se encuentran oportunidades interesantes.

Una entidad no vigilada por la SFC puede vincularse al sistema si una entidad vigilada decide incluirla, bajo criterios claros, objetivos y publicados. ¿Quiénes son estas entidades?

Plataformas insurtech Brokers digitales de seguros Fintechs no reguladas Agregadores financieros Startups de análisis de datos Empresas B2B2C en servicios financieros

El artículo 2.35.8.6.2 prohíbe expresamente el trato discriminatorio hacia terceros no vigilados que cumplan los requisitos, y obliga a las entidades vigiladas a publicar sus criterios de vinculación.

Las oportunidades para ambos lados

Para aseguradoras y entidades vigiladas
Acceder como receptores de datos de otras entidades para construir perfiles más completos y fortalecer modelos de suscripción y pricing.
Desarrollar nuevos modelos de negocio basados en datos: análisis de comportamiento, prevención de fraude, personalización de coberturas.
Monetizar su infraestructura tecnológica cobrando por el uso de las APIs, dentro de los límites del art. 2.35.8.3.8.
Para entidades no vigiladas e intermediarios
Acceso (con autorización del cliente) a información financiera consolidada que hoy no tienen: historial de crédito, depósitos, vinculación bajo el esquema del art. 2.35.8.6.1.
Marco regulatorio claro que respalda modelos de negocio que antes dependían de acuerdos bilaterales.
Oportunidad de posicionarse como terceros receptores de confianza antes de que el mercado se consolide.
Para el ecosistema en general
Mayor competencia e innovación — objetivo explícito del art. 2.35.8.1.4, numeral 2.
Inclusión financiera real: clientes con poco historial bancario pueden usar su información transaccional para acceder a productos — mandato directo del artículo 89 de la Ley 2294 de 2023.
Alineación con estándares globales: Open Banking UK, PSD2 en Europa, Open Finance Brasil.

Lo que hay que tener en cuenta

  • El consentimiento es doble y vinculante (arts. 2.35.8.3.2 y 2.35.8.3.3): autorización del titular al tercero receptor + confirmación del proveedor antes de compartir.
  • No se puede cobrar por los datos, solo por infraestructura (art. 2.35.8.3.9): esto cambia la lógica de monetización de información entre entidades.
  • El directorio es la puerta de entrada (art. 2.35.8.5.4): sin inscripción, no hay acceso. La SFC puede suspender o retirar participantes en cualquier momento.
  • La protección de datos no cede (art. 2.35.8.3.1): todo el sistema opera bajo las Leyes 1266 de 2008 y 1581 de 2012. La SIC mantiene competencia sobre tratamiento de datos personales.

¿Qué sigue?

La SFC tiene plazos concretos para poner en marcha el ecosistema:

Hasta el 7 de octubre de 2026
La SFC debe publicar el cronograma de estándares técnicos (art. 4, numeral 1).
Hasta el 7 de abril de 2027
La SFC debe poner en funcionamiento el directorio de participantes (art. 4, numeral 2).
12 meses desde estándares
Plazo para habilitar el acceso desde la publicación de estándares técnicos de cada categoría de información, prorrogables por 6 meses adicionales (art. 2.35.8.8.1).
El momento para prepararse es ahora

Las entidades que se adelanten tendrán ventaja competitiva cuando el sistema entre en funcionamiento.

Revisar flujos de autorización
Evaluar capacidades de API
Identificar oportunidades de vinculación
Anticipar conversaciones con aliados

⚠️ El incumplimiento queda bajo la lupa de la SFC, que puede inspeccionar y retirar del directorio a quienes no cumplan (arts. 2.35.8.5.5 y 2.35.8.5.8).

Contacto
MV
Mathilde Viola
Directora Ejecutiva — Asociación Insurtech Colombia
mathilde@insurtechcolombia.com

Boletín regulatorio elaborado por la Mesa Legal y Política Pública de la Asociación Insurtech Colombia (AIC).