República de Colombia · Diario Oficial 53.496
Promulgada el 19 de mayo de 2026
Edición interactiva

Ley Estatutaria 2573

De 2026 13 artículos en total
Vigencia 6 meses tras promulgación

Medidas, procesos y políticas para proteger los derechos de las personas suplantadas en su identidad frente al reporte negativo ante operadores de información y al cobro de obligaciones por parte de operadores de telecomunicaciones, entidades financieras–crediticias y demás establecimientos comerciales.

Sancionada por
Presidencia de la República Gustavo Petro Urrego
Tipo de norma
Ley Estatutaria Trámite especial constitucional
Ámbito
Nacional Aplicación en todo el territorio
Materia
Habeas data Protección de datos personales
Comenzar lectura Probar el simulador Ver línea de tiempo

La presente ley tiene por objeto la adopción de medidas, procesos y políticas por parte de los operadores de telecomunicaciones, las entidades financieras–crediticias y demás establecimientos comerciales con esta competencia, para proteger los derechos de las personas suplantadas en su identidad de reportes negativos ante operadores de información y el cobro de obligaciones.

Se trata del primer marco legal colombiano que articula explícitamente la respuesta institucional ante la suplantación —tanto física como digital— y que traslada la carga de la prueba hacia la entidad que mejor pueda probar la legítima vinculación contractual.

Habeas data Reportes negativos Cobro de obligaciones Operadores TIC Sector financiero Seguridad digital
Artículo 2° — Principios

Cuatro pilares que rigen
el tratamiento de los datos.

Aplicables conforme a la Ley 1266 de 2008 y la Ley 1581 de 2012. Pulsa cada pilar para leer su definición completa.

A · Acceso

Acceso y circulación restringida

El tratamiento de datos se sujeta a la naturaleza del dato y a la autorización del titular.

Solo podrá hacerse por personas autorizadas por el titular. Los datos personales no podrán estar disponibles en internet salvo que el acceso sea técnicamente controlable para brindar conocimiento restringido a los titulares o terceros autorizados.
B · Seguridad

Seguridad de la información

Medidas técnicas, humanas y administrativas para proteger los registros.

La información sujeta a tratamiento deberá manejarse evitando su adulteración, pérdida, consulta o acceso no autorizado o fraudulento. Implica controles preventivos, correctivos y de monitoreo continuo.
C · Veracidad

Veracidad de los datos

Información veraz, completa, exacta, actualizada, comprobable y comprensible.

Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. La fuente y el operador son responsables de la calidad del dato en todo el ciclo.
D · Carga dinámica

Carga dinámica de la prueba

Prueba quien esté en mejores condiciones de hacerlo. Cambio de paradigma.

En materia de suplantación, los operadores y entidades financieras deberán entregar la información y documentos que recibieron para la aprobación del bien o servicio. La víctima ya no carga con probar el negativo.
Artículo 3° — Glosario

Siete conceptos que estructuran la ley.

Definiciones operativas para entender la norma. Busca por palabra clave o pulsa una tarjeta para expandir.

7 / 7
Desarrollo de capacidades de entidades públicas y privadas para defender y anticipar las amenazas cibernéticas o de ingeniería social, con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad.
Método utilizado por los atacantes cibernéticos para engañar a los usuarios informáticos, para que realicen una acción que normalmente produce consecuencias negativas, como la descarga de virus informáticos y/o la divulgación de información personal.
Es la persona natural y/o jurídica que es afectada por la utilización de sus datos personales de forma fraudulenta a través de medios físicos y/o digitales.
Situación de normalidad y tranquilidad del entorno digital, resultado de la promoción de la gestión del riesgo, el tratamiento adecuado de datos personales, la implementación de medidas de ciberseguridad y el uso efectivo de las capacidades de defensa digital.
Hacerse pasar por otra persona para obtener un beneficio a través de programas informáticos, páginas electrónicas, correos, ingeniería social o mensajes de texto (SMS).
Hacerse pasar por otra persona para obtener bienes y servicios con cargo a la persona suplantada, incurrir en fraudes u otras conductas ilícitas mediante medios físicos.
Persona, entidad u organización que recibe o conoce datos personales de los titulares y que, en razón de autorización legal o del titular, los suministra a un operador de información, quien a su vez los entregará al usuario final.
Artículo 4°

Dos modalidades reconocidas
de suplantación.

La ley distingue entre la suplantación que opera sobre documentos y datos físicos y la que se vale de medios electrónicos. Alterna las pestañas para comparar.

01 Documentos de identificación personal nacional o extranjera que no le pertenezcan a quien la posee.
02 Datos personales sin autorización del titular de los mismos.
03 Tarjetas débito o crédito de entidades financieras que no le pertenezcan a quien las posee.
04 Perfiles digitales falsos que afecten la honra y el buen nombre del titular.
01 Diseño, elaboración, desarrollo o descarga de medios electrónicos para obtener datos sin autorización.
02 Comercialización, envío, venta o suministro de medios ilícitos dirigidos a obtener información personal.
03 Uso para fines ilícitos de medios electrónicos dirigidos a obtener información o datos personales sin autorización del titular.
Artículos 5° y 6°

Obligaciones por cada actor.

Lo que deben hacer las entidades obligadas y lo que la persona suplantada debe acreditar para activar la protección.

01
Seguridad digital. Adoptar medidas suficientes y razonables para establecer la veracidad de la identidad de las personas y los documentos presentados.
Art. 5°
02
Reporte especial. Ante denuncia de falsedad personal, marcar el reporte como «víctima de falsedad personal» sin impactar la puntuación de la presunta víctima.
Art. 5°
03
Validación. Adoptar mecanismos que permitan validar la información de personas que adquieren sus productos o servicios, bajo principio de buena fe.
Art. 5°
04
Trámite oportuno. Dar trámite a solicitudes y quejas dentro de los 10 días hábiles siguientes a la radicación, conforme a la Ley 2157 de 2021.
Art. 5°
05
Suspensión inmediata. Suspender la prestación o suministro de los bienes o servicios adquiridos por conducta fraudulenta una vez sean informados.
Art. 5°
06
Comunicación de términos. Informar a la persona suplantada el término del artículo 7° para ser beneficiaria de la suspensión de cobros y reportes.
Art. 5°
07
Entrega de documentos. Entregar copia de la información y documentos aportados para la aprobación del producto. Bajo ninguna circunstancia podrá negarse esta entrega.
Art. 5°
08
Reporte DIAN. Emitir el respectivo reporte ante la DIAN para evitar consecuencias tributarias derivadas de la suplantación de identidad.
Art. 5°
09
Investigación interna. Realizar investigación interna para determinar el origen del fraude y las medidas correctivas pertinentes.
Art. 5°
10
Cultura de seguridad. Desarrollar campañas de sensibilización y educación sobre seguridad digital para sus usuarios y clientes.
Art. 5°
01
Notificar al operador. Informar al operador de telecomunicaciones o entidad financiera que ha sido víctima de suplantación de identidad.
Art. 6°
02
Aportar prueba sumaria. Allegar prueba sumaria de que no adquirió el bien o servicio objeto de cobro, adjuntando documentos de identificación para cotejo.
Art. 6°
03
Presentar denuncia. Interponer denuncia por falsedad personal ante la Fiscalía General de la Nación dentro de los 20 días hábiles siguientes a la notificación.
Art. 6°
04
Allegar soportes. Presentar al operador o entidad los soportes de la denuncia penal instaurada ante la Fiscalía General de la Nación.
Art. 6°
05
Colaborar con la investigación. Brindar toda la información disponible que pueda contribuir a la identificación del autor del fraude.
Art. 6°
Simulador de caso

¿Y si yo fuera la persona suplantada?

Recorre paso a paso la ruta que activa la ley desde el momento de la notificación hasta la exoneración. Cada paso indica el actor responsable, el plazo y el artículo que lo respalda.

Paso 1 de 7
Artículos 7° al 10°

Línea de tiempo
del proceso legal.

Arrastra el punto de control o pulsa cualquier hito para ver el detalle: actor, plazo y artículo de respaldo.

Artículos 5°, 11° y 12°

Las entidades
que sostienen la protección.

Cada una con un rol específico: reglamentar, supervisar, denunciar, atender, sensibilizar.

Supervisión

Superintendencia de Industria y Comercio

Reglamenta protocolos de atención a reportes de suplantación. Recibe solicitudes de imposición de sanciones por incumplimiento.

Art. 5° §1Art. 11°
Supervisión

Superintendencia Financiera de Colombia

Reglamenta protocolos para entidades financieras. Impone sanciones ante incumplimiento del habeas data financiero.

Art. 5° §1Art. 11°
Reglamentación

Ministerio de Tecnologías (MinTIC)

Coordina reglamentación de protocolos y financia productos audiovisuales de cultura de seguridad digital.

Art. 12°
Investigación

Fiscalía General de la Nación

Recibe denuncias por falsedad personal y conexos. Determina si efectivamente ocurrió la falsedad personal.

Art. 6°Art. 8°
Obligados

Operadores de Telecomunicaciones

Adoptan medidas de seguridad, atienden solicitudes y suspenden cobros de forma inmediata al recibir notificación.

Art. 5°Art. 7°
Obligados

Entidades Financieras y Crediticias

Adoptan protocolos de identificación, gestionan solicitudes y reportes de suplantación, y realizan investigaciones internas.

Art. 5°Art. 7°
Coordinación

Gobierno Nacional

Diseña y publica la ruta pública integral de servicio y atención a personas afectadas por suplantación (6 meses).

Art. 11°
Tributario

DIAN

Recibe el reporte de la entidad para evitar consecuencias tributarias derivadas de la suplantación de identidad.

Art. 5°
Beneficiarios

Personas suplantadas

Naturales o jurídicas afectadas por uso fraudulento de su identidad. Activan la protección notificando al operador o entidad.

Art. 3°Art. 6°
Cifras clave

Plazos y cifras
que marcan la ley.

Los términos cuantitativos que estructuran la protección. Pasa por encima para revisar el artículo de respaldo.

0
días hábiles
Para el cotejo de documentos y modificación del dato negativo.
Arts. 5° y 7°
0
días hábiles
Para interponer denuncia ante la Fiscalía y allegar soportes.
Art. 8°
0
días hábiles
Para resolver peticiones y reclamos (prorrogables 8 más).
Art. 7° · Silencio
0
meses
Para reglamentar protocolos por la SIC y la Superfinanciera.
Art. 5° §1°
0
meses
Vigencia general de la ley desde la promulgación.
Art. 13°
0
artículos
Componen la Ley Estatutaria 2573 de 2026.
Ley completa
Artículo 13°

Dos regímenes de entrada en vigencia.

La ley adopta una vigencia escalonada: ciertas disposiciones aplican desde la promulgación; las demás, seis meses después.

⚡ Vigencia inmediata
19 May 2026 Fecha de promulgación

Parágrafos 1° y 2° del Artículo 5°

Establecen la obligación de reglamentación de protocolos por parte de la SIC y la Superfinanciera, y las consecuencias del incumplimiento de lineamientos de seguridad. Aplican desde la firma presidencial.

📅 Vigencia diferida
19 Nov 2026 Seis meses después

Demás disposiciones de la ley

Incluye principios, definiciones, tipos de suplantación, obligaciones generales, proceso de reporte, suspensión de cobros, entidades y cultura de seguridad digital.

PDF oficial
Enlace copiado al portapapeles.