Ley 2573 de 2026: nueva ruta contra deudas fantasma y suplantación
Nueva ley contra deudas fantasma: así protege su bolsillo

Las deudas no reconocidas, los créditos solicitados sin autorización y las líneas telefónicas abiertas de forma fraudulenta ahora tienen un nuevo marco legal en Colombia. Con la entrada en vigencia de la Ley 2573 de 2026, se establece una ruta clara para proteger a las víctimas de suplantación de identidad y se traslada una parte importante de la responsabilidad a bancos, operadores de telecomunicaciones, entidades de crédito y comercios.

Las entidades deberán demostrar que verificaron correctamente la identidad

Según explica Santiago Montoya, CEO de AUCO, plataforma de validación de identidad y firma electrónica, el cambio responde al aumento de los fraudes digitales. Hasta hace poco, abrir una línea telefónica o adquirir un crédito utilizando la identidad de otra persona era relativamente sencillo. Con la nueva legislación, las entidades estarán obligadas a acreditar que quien solicitó el producto era realmente su titular. Si no logran demostrarlo, perderán el derecho a cobrar y deberán asumir la pérdida económica.

"Las entidades deben validar su identidad antes de aprobar cualquier tipo de producto o crédito, y deben poder probar que usted sí es usted; de no poder probarlo, pierden el derecho a cobrar y asumen la pérdida", señala Montoya.

Banner ancho de Pickt — app de listas de compras colaborativas para Telegram

Nueva ley fija un plazo de 20 días para activar la protección

El nuevo procedimiento también establece un límite de tiempo para que las víctimas activen la protección prevista en la ley. Cuando una persona detecte una obligación que no reconoce, el primer paso será informar de inmediato a la entidad correspondiente y solicitar la suspensión de los cobros, los intereses y los gastos de cobranza mientras se analiza el posible fraude.

Después de esa suspensión, la denuncia deberá presentarse ante la Fiscalía General de la Nación o la Policía Nacional dentro de los 20 días hábiles siguientes. Si vence sin que exista una denuncia formal, la entidad podrá reanudar el proceso de cobro junto con los intereses causados, salvo que durante la investigación aparezcan elementos que demuestren la existencia del fraude.

El análisis también recomienda que las personas no realicen pagos "mientras se aclara" una obligación desconocida, ya que ese comportamiento podría interpretarse como una aceptación de una operación que nunca fue realizada por el verdadero titular de la identidad. Por esa razón, insiste en la importancia de dejar registro de todas las actuaciones, solicitar números de radicado y conservar las comunicaciones relacionadas con el caso.

Bancos y comercios deberán probar cómo verificaron la identidad

Uno de los cambios más relevantes de la nueva ley es la aplicación del principio de carga dinámica de la prueba. En la práctica, la obligación de demostrar recaerá sobre la entidad que otorgó el crédito, financió una compra o activó un servicio, por ser quien tiene acceso a toda la información del proceso de validación.

Para cumplir con esa exigencia, las empresas deberán conservar un expediente digital que documente cada etapa del proceso de aprobación. Ese registro incluirá información sobre el cotejo documental, la biometría utilizada, la prueba de vida, la dirección IP, el dispositivo empleado, la geolocalización, el consentimiento otorgado por el usuario, la firma electrónica y toda la trazabilidad del procedimiento.

Desde AUCO acotaron que validar una identidad ya no consistirá únicamente en recibir una fotografía de la cédula. Será necesario comprobar que la imagen fue capturada en tiempo real, verificar que el documento sea auténtico y descartar el uso de fotocopias o imágenes manipuladas mediante inteligencia artificial.

El fraude digital obliga a reforzar los controles de seguridad

La necesidad de fortalecer estos mecanismos también responde al aumento de los ataques informáticos. Datos del Ministerio TIC y de ColCERT muestran que el fraude representó el 79,83% de los incidentes registrados durante los dos últimos años, principalmente mediante campañas de phishing y el uso no autorizado de cuentas de correo electrónico. Además, julio, agosto y septiembre concentran el mayor número de reportes de este tipo de hechos.

Banner post-artículo de Pickt — app de listas de compras colaborativas con ilustración familiar

Ante ese panorama, las empresas tendrán plazo hasta noviembre para revisar sus procesos de incorporación de clientes, fortalecer la biometría con prueba de vida, capacitar a sus equipos de servicio al cliente y áreas jurídicas y documentar adecuadamente cada aprobación.

Para los ciudadanos, la recomendación es evitar compartir fotografías de la cédula, selfies o códigos de verificación por aplicaciones de mensajería o enlaces de origen dudoso, confirmar siempre los canales oficiales y revisar periódicamente la información reportada en las centrales de riesgo. Con la entrada en vigor de la nueva ley, quien otorgue un crédito o active un servicio deberá demostrar que verificó correctamente la identidad antes de exigir cualquier pago.