El 7 de abril, el presidente Gustavo Petro firmó el Decreto 0368 de 2026, que convierte el sistema de finanzas abiertas en obligatorio para todas las entidades vigiladas por la Superintendencia Financiera de Colombia. La medida no significa que cualquiera pueda acceder a la información bancaria de cualquiera. Significa que, cuando un usuario lo autorice de forma expresa, sus datos financieros pueden compartirse con terceros regulados bajo condiciones estrictas. El principio que organiza todo el sistema es uno: los datos son del usuario, no del banco. A partir de ese punto, la norma establece reglas sobre cómo, cuándo y con quién puede circular esa información. El decreto establece un mecanismo de doble consentimiento: primero el usuario autoriza, y luego la entidad debe confirmar nuevamente antes de compartir la información. El usuario puede revocar esa autorización en cualquier momento y tiene derecho a saber exactamente qué datos se comparten, con quién, para qué fin y por cuánto tiempo. Hay un punto que suele quedar en segundo plano: ninguna entidad podrá cobrar por los datos del cliente. Solo se permite cobrar por el uso de la infraestructura tecnológica. Eso significa que el acceso a la propia información financiera no se convierte en un costo adicional para el usuario. “El dato sigue siendo del usuario, no de la institución”, explicó a El Cronista Colombia David López Agudelo, vicepresidente de ventas para Latinoamérica de AppGate. “Compartirlo no es automático: requiere autorización clara, autenticación fuerte y monitoreo continuo de identidad.” Para López Agudelo, el mayor error sería tratar esto como un proyecto de integración o de cumplimiento: “Es un proyecto de arquitectura de confianza.” Hoy, cuando una app necesita acceder a información bancaria, en muchos casos pide usuario y contraseña directamente. Es una práctica conocida como screen scraping, que equivale a entregar una copia de las llaves de la casa a un tercero para que entre y tome lo que necesite. Las APIs reguladas de Open Finance eliminan ese mecanismo: el banco entrega datos específicos y autorizados de forma directa, sin que nadie almacene las credenciales del cliente. “El usuario pasa de no tener control a tener control total”, señala Roberto Gaudelli, director comercial de Prometeo, empresa especializada en infraestructura de finanzas abiertas. La trazabilidad de ese proceso (quién accedió, cuándo, para qué) es lo que el decreto convierte en obligación para todas las entidades del sistema. Que el sistema exista no garantiza que la gente lo use. Según datos de Certena, empresa especializada en gestión del consentimiento, el 62% de los usuarios teme que sus datos se utilicen para fines distintos a los autorizados, y el 43% cree que no podría revocar el acceso fácilmente. Al mismo tiempo, solo el 31% conoce hoy el concepto de Open Finance. “Durante años, el consentimiento se redujo a aceptar términos y condiciones extensos y difíciles de comprender”, explica Nathalia Landeta, CEO y cofundadora de Certena. “Ahí es donde se amplifican muchos de los riesgos, como el fraude o la ingeniería social.” Cuando se explican los beneficios concretos del sistema, la disposición a participar sube de forma significativa, lo que sugiere que el obstáculo no es la desconfianza en sí, sino la falta de información y de control efectivo. El decreto no fijó fechas directamente. La Superintendencia Financiera tiene seis meses desde la vigencia de la norma para publicar el cronograma de implementación. Una vez establecido ese plazo, las entidades tendrán doce meses para cumplir, con una extensión única de seis meses adicionales si la complejidad técnica lo justifica. Colombia no empieza desde cero. El camino regulatorio viene desde el Decreto 1297 de 2022 (que introdujo el marco inicial de Open Finance), siguió con la Circular Externa 004 de 2024 (que estableció los estándares técnicos obligatorios) y llegó hasta este decreto presidencial, que convierte en obligatorio lo que hasta ahora dependía de la voluntad de cada institución. El referente regional es Brasil, que lleva cuatro años con el sistema en funcionamiento: más de 62 millones de consentimientos activos, más de 800 instituciones conectadas y un incremento del 25% en aprobaciones de crédito para segmentos que antes quedaban fuera del sistema financiero, según el Banco Central de ese país.