Boletín Jurídico No. 119
Jurisprudencia
Reseña de jurisprudencia
Seguro de cumplimiento, variación contractual .
Radicado 08001-31-53-012-2022-00046-01 SC1983-2025 del 7 de noviebre de 2025. El tomador y/o asegurado está obligado a notificar a la compañía de seguros, antes de incluir en el contrato garantizado cualquier modificación que, con su consentimiento, pretenda alterar, a fin de garantizar que la compañía de seguros pueda exigir el ajuste de la prima que corresponda. Su omisión priva directamente al asegurador de evaluar lo necesario para la eventual continuidad del vínculo contractual bajo las circunstancias sobrevenidas, por lo que la falta de notificación oportuna provoca la terminación del contrato de seguro.
Conceptos de la Superintendencia Financiera
Datos biométricos, Certificado de Depósito a Término (CDT)
Síntesis: corresponde a cada entidad vigilada determinar las operaciones que de acuerdo con su evaluación generan mayor exposición al riesgo de fraude o suplantación y, por tanto, requieren mecanismos fuertes de autenticación, entre ellos el uso de datos biométricos.
«(…) mediante la cual fórmula dos solicitudes respecto de las instrucciones emitidas por este Organismo, las cuales deben ser absueltas por el representante legal de la SFC.
De modo preliminar, en atención a los términos de su oficio, le informamos que conforme a lo dispuesto en el artículo 13 y siguientes del Código de Procedimiento Administrativo y Contencioso Administrativo, es deber de las autoridades atender las peticiones que les sean presentadas y se encuentren dentro de su ámbito de competencia, sin que para ello se requiera que la respuesta sea “suscrita por el representante legal” o “apoderado(a) debidamente constituido(a)” por la entidad.
En ese sentido, y atendiendo las funciones que le asigna el artículo 11.2.1.4.6. del Decreto 2555 de 2010 a la Dirección Jurídica de esta Superintendencia, se procede a dar respuesta así:
“1. Se sirvan informar cuáles son los lineamientos y/o instrucciones que ha impartido la Superintendencia a sus vigilados, en relación con el uso de datos biométricos, específicamente cuando un titular (cliente) desea constituir un certificado de depósito a término (CDT)”
Sobre el particular, sea lo primero precisar que la función de instrucción de este Organismo tiene como propósito orientar a las entidades vigiladas sobre el cumplimiento de las normas que regulan su actividad, mediante la indicación de los criterios técnicos, jurídicos y procedimientos para tal efecto, así como acerca de la administración de los riesgos implícitos en sus operaciones (literal a, numeral 3, artículo 325 del Estatuto Orgánico del Sistema Financiero).
En ejercicio de esa función y en desarrollo de lo previsto en literal a, artículo 3 de la Ley 1328 de 2009[1], esta Superintendencia ha instruido a sus entidades vigiladas en materia de seguridad y calidad en los distintos canales de distribución de servicios, y en ese contexto ha fijado algunos lineamientos para el uso de biometría como factor fuerte de autenticación, los cuales se encuentran contemplados en el Capítulo I, Título II, Parte I de su Circular Básica Jurídica (Circular Externa 006 de 2025), así:
2.2. Definiciones aplicables
(…)
2.2.6. Mecanismos fuertes de autenticación: se entienden como mecanismos fuertes de autenticación los siguientes:
2.2.6.1. Biometría en combinación con un segundo factor de autenticación para operaciones no presenciales. En aquellos eventos en que la operación se efectúe de manera presencial no se requerirá el uso de un segundo factor de autenticación.
(…)
2.3.9. Requerimientos mínimos para la implementación y uso de biometría como factor de autenticación electrónica.
En aquellos eventos en que las entidades usen biometría como factor de autenticación electrónica, deben realizar el proceso de verificación de la identidad del cliente contra las bases de datos de la Registraduría Nacional del Estado Civil, los operadores de servicios ciudadanos digitales o de identidad digital autorizados, o contra sus propias bases de datos.
Las entidades deben establecer mecanismos alternativos que permitan completar los procesos de autenticación, cuando por razones médicas o físicas el cliente no pueda hacer uso de la biometría.
En aquellos eventos en que se utilicen bases de datos propias las entidades deben:
2.3.9.1. Almacenar las plantillas biométricas utilizando sistemas de tokenización o algoritmos de cifrado fuertes.
2.3.9.2. Abstenerse de almacenar muestras biométricas que hayan sido tomadas con el propósito de realizar procesos de autenticación, salvo que se cuente con la autorización explicita referida en el literal a del artículo 6 de la Ley 1581 de 2012 o aquellas normas que lo reglamenten, modifiquen o adicionen y siempre que sean necesarias en la ejecución de programas de inclusión financiera en sectores apartados del territorio nacional. En todo caso, el almacenamiento debe realizarse bajo estándares en materia de seguridad de datos biométricos, tales como ISO 24741:2007 y 24745:2011 o aquellos que lo modifiquen, sustituyan o adicionen.
2.3.9.3. Almacenar la información demográfica del cliente de manera separada de las plantillas biométricas, relacionándolas entre sí por medio de códigos generados por algoritmos matemáticos que no sean fácilmente descifrados.
2.3.9.4. En la implementación de factores biométricos se deben contemplar mecanismos de prueba de vida para fortalecer la confiabilidad y seguridad del sistema tales como: i) medición de propiedades fisiológicas del individuo, ii) identificación de respuestas de comportamiento humano o iii) protocolos de desafío-respuesta.
2.3.9.5. Establecer controles en la captura inicial de las muestras biométricas de los clientes que aseguren que la información se obtenga directamente del titular del dato.
2.3.9.6. Realizar una adecuada gestión de los riesgos asociados, verificar regularmente la efectividad de los controles implementados y dar cumplimiento a las normas vigentes en materia de protección de datos y habeas data.
Ahora bien, es de señalar que conforme a lo dispuesto en el subnumeral 2.3.3.1.27 del referido instructivo, corresponde a cada entidad vigilada determinar las operaciones que de acuerdo con su evaluación generan mayor exposición al riesgo de fraude o suplantación y, por tanto, requieren mecanismos fuertes de autenticación.
El texto completo de las citadas instrucciones puede ser consultado en la página web de este Organismo, www.superfinanciera.gov.co, en la ruta: Marco Jurídico / Normativa General / Circular Básica Jurídica (C.E. 006/25).
“2. Se sirvan indicar cuáles son las directrices impartidas a sus vigilados en cuanto a los mecanismos alternos disponibles cuando un titular (cliente) desea constituir un certificado de depósito a término (CDT), y éste no autorice el tratamiento de sus datos biométricos, especialmente la huella digital.”
Al respecto, le informamos que esta Superintendencia no ha emitido directrices con el alcance particular al que se refiere, sin perjuicio de reiterar que en materia de uso de biometría como factor fuerte de autenticación las entidades vigiladas deben observar las instrucciones previstas en el referido Capítulo I, Título II, Parte I de su Circular Básica Jurídica, citada en la respuesta anterior.
[1] “… Las entidades vigiladas deberán observar las instrucciones que imparta la Superintendencia Financiera de Colombia en materia de seguridad y calidad en los distintos canales de distribución de servicios financieros”.
Otros conceptos - síntesis
Relación de algunos conceptos proferidos recientemente por la Superintendencia Financiera de Colombia
Juntas directivas, vinculos laborales, prohibición de conformación de mayorias decisorias
Concepto 2025163680-001 del 5 de novimbre de 2025
Las juntas directivas, consejos directivos o de administración de las entidades vigiladas no pueden integrarse con miembros, principales y suplentes vinculados laboralmente a estas que puedan conformar, por sí mismos, mayorías decisorias. Esta es una prohibición específica establecida en la ley.
Grandes exposiciones y concentración de riesgo, grupo conectado de contrapartes, excepción
Concepto 2025185606-002 del 4 de diciembre de 2025
No será necesario incluir en un grupo conectado de contrapartes a entes territoriales o entidades descentralizadas del sector público cuando el establecimiento de crédito determine, con fundamento en un documento técnico, que aquellos cuentan con autonomía administrativa y financiera respecto de las personas del grupo con el cual deban ser agregados, cualquiera sea su naturaleza.
Infraestructura tecnológica, comercialización, ofrecimiento de productos y servicios
Concepto 2025162821-008 del 12 de diciembre de 2025
La autorización a las entidades vigiladas para ofrecer productos o servicios de terceros en sus canales no presenciales, productos o servicios propios en plataformas tecnológicas de terceros y comercializar con estos la tecnología que utilice para la prestación de sus servicios no implica que aquellas puedan permitir el uso de sus plataformas o infraestructura tecnológica de manera indiscriminada.
Datos biométricos, Certificado de Depósito a Término (CDT)
Concepto 2025218928-003 del 18 de diciembre de 2025
El certificado de existencia y representación legal que expide esta Superintendencia no suple el sistema de publicidad mercantil a cargo de las cámaras de comercio, por tanto, es obligación de las entidades vigiladas, en su calidad de comerciantes, matricularse en el registro mercantil e inscribir los actos y documentos sujetos a dicha formalidad.
Certificados de Depósito a Término (CDT) desmaterializados, seguro de depósitos
Concepto 2025177308-009 del 18 de diciembre de 2025
Los CDT emitidos por bancos, corporaciones financieras y compañías de financiamiento están amparados por el seguro de depósitos, sin importar si se emiten en formato físico o desmaterializado.