Superfinanciera fortalece la seguridad en la autenticación biométrica

La Superintendencia Financiera de Colombia, mediante el Concepto 2025218928 del 18 de diciembre de 2025, reforzó los estándares de seguridad para el uso de datos biométricos, obligando a las entidades a cruzar información con la Registraduría Nacional del Estado Civil e implementar “pruebas de vida”.

En un esfuerzo por blindar el sistema financiero contra el fraude y la suplantación de identidad, se definieron los lineamientos para la implementación de la biometría como factor fuerte de autenticación. Bajo el marco de la Circular Externa 006 de 2025, las entidades financieras ahora deben asumir una responsabilidad técnica mucho más estricta sobre la forma en que capturan, almacenan y validan la identidad de sus clientes.

No basta con una simple validación interna. Las entidades que opten por el uso de biometría deberán realizar el proceso de verificación contra bases de datos oficiales de la Registraduría Nacional del Estado Civil, operadores de servicios ciudadanos digitales autorizados o sus propias bases de datos, siempre bajo estándares rigurosos.

La norma es clara: cada entidad deberá realizar una evaluación de riesgos para determinar qué operaciones, por su naturaleza o monto, requieren este nivel de seguridad. Además, se introduce un criterio de inclusión y accesibilidad, obligando a los bancos a ofrecer alternativas de autenticación para aquellos clientes que, por condiciones médicas o físicas, no puedan utilizar métodos biométricos.

Para las entidades que decidan gestionar sus propias bases de datos biométricas, la Superintendencia estableció requisitos técnicos de obligatorio cumplimiento:

• Cifrado de alto nivel: las plantillas biométricas deben estar protegidas mediante tokenización o algoritmos de cifrado robustos.
• Prohibición de almacenamiento de muestras: salvo casos excepcionales de inclusión financiera en zonas remotas y con autorización explícita, las entidades no podrán conservar la “foto” o muestra original, sino únicamente el patrón matemático.
• Segregación de datos: la información demográfica deberá mantenerse separada de la biométrica, conectadas únicamente mediante códigos cifrados.
• Pruebas de vida: será obligatorio implementar mecanismos que confirmen que el usuario es una persona real, ya sea mediante medición de propiedades fisiológicas o protocolos de “desafío-respuesta”.
• Captura directa: se deberán extremar los controles para asegurar que la muestra inicial sea tomada directamente del titular.
• Gestión de riesgos: se exige un monitoreo constante y el estricto cumplimiento de la ley de Habeas Data.

Este nuevo marco normativo no solo busca reducir las pérdidas por fraude, sino también fortalecer la confianza del consumidor en los canales digitales, elevando el estándar de la banca colombiana a niveles de vanguardia internacional.