Entidades financieras pueden establecer el uso de datos biométricos como autenticación electrónica
Cada entidad financiera debe identificar aquellas operaciones que, según su evaluación específica, presentan un mayor riesgo de fraude o suplantación, y, en consecuencia, requieren mecanismos de autenticación sólidos, como el uso de datos biométricos. La Superintendencia Financiera ha emitido lineamientos detallados sobre el uso de biometría en su Circular Externa 006/25, que abordan varios aspectos fundamentales para garantizar la seguridad de las transacciones y la protección de los usuarios.
Lineamientos de la Circular Externa 006/25
La normativa emitida por la Superintendencia Financiera establece un conjunto de obligaciones técnicas y operativas que las entidades deben cumplir al implementar sistemas de autenticación biométrica. A continuación se presentan los aspectos fundamentales de esta regulación.
Verificación de Identidad
Es esencial que las entidades realicen la verificación de identidad del cliente mediante la comparación con bases de datos autorizadas, como las de la Registraduría Nacional del Estado Civil u operadores de servicios ciudadanos digitales.
Mecanismos Alternativos
En situaciones donde el cliente no pueda utilizar biometría por razones médicas o físicas, deben establecerse mecanismos alternativos que permitan completar el proceso de autenticación sin afectar el acceso a los servicios financieros.
Almacenamiento Seguro
Las plantillas biométricas deben almacenarse utilizando sistemas de tokenización o algoritmos de cifrado fuertes. Además, se debe evitar almacenar muestras biométricas, a menos que exista autorización explícita y sea necesario para programas de inclusión financiera en regiones aisladas.
Separación de Datos
La información demográfica del cliente debe almacenarse por separado de las plantillas biométricas, utilizando códigos generados por algoritmos matemáticos seguros para relacionarlas. Esta separación reduce el impacto de posibles vulneraciones de seguridad.
Prueba de Vida
Para aumentar la seguridad del sistema, deben implementarse mecanismos de prueba de vida, que pueden incluir la medición de propiedades fisiológicas, la identificación de respuestas de comportamiento humano o el uso de protocolos de desafío-respuesta.
Controles en Captura Inicial
Es crucial establecer controles en la captura inicial de muestras biométricas para asegurar que la información provenga directamente del titular del dato, previniendo suplantaciones desde el origen del proceso.
Gestión de Riesgos en la Autenticación Biométrica
La regulación establece que las entidades financieras deben llevar a cabo una gestión adecuada de los riesgos asociados al uso de biometría, con un enfoque tanto preventivo como correctivo.
Obligaciones de gestión de riesgos
Las entidades deben verificar regularmente la efectividad de los controles implementados y cumplir con la normativa sobre protección de datos y habeas data, garantizando que los derechos de los titulares de la información sean respetados en todo momento del ciclo de vida del dato biométrico.
Riesgos asociados que deben gestionarse
- Fraude en la captura: Suplantación del titular durante el registro inicial de datos biométricos
- Vulneración de bases de datos: Acceso no autorizado a plantillas biométricas almacenadas
- Ataques de presentación: Uso de réplicas físicas o digitales para engañar los sistemas de autenticación
- Fallas en la prueba de vida: Sistemas que no detectan correctamente la presencia de una persona real
- Incumplimiento de habeas data: Uso indebido o no autorizado de los datos biométricos del usuario
Obligaciones Técnicas para las Entidades
La implementación de sistemas de autenticación biométrica exige que las entidades financieras adopten estándares técnicos rigurosos en cada etapa del proceso, desde la captura hasta el almacenamiento y la verificación.
Aspectos técnicos clave
- Tokenización de plantillas: Transformación de los datos biométricos en representaciones matemáticas no reversibles que protejan la información original
- Cifrado fuerte: Uso de algoritmos de cifrado reconocidos y actualizados para la protección de datos en tránsito y en reposo
- Separación lógica y física: Los datos demográficos y biométricos deben residir en entornos diferenciados, vinculados únicamente mediante identificadores seguros
- Pruebas de detección de vida activa y pasiva: Mecanismos que garanticen la autenticidad de la interacción humana en tiempo real
- Auditoría y trazabilidad: Registro de todas las operaciones de autenticación para facilitar la revisión y el control posterior
Inclusión Financiera y Excepciones Aplicables
La regulación reconoce que existen contextos donde la biometría puede no ser accesible para todos los usuarios, y por ello contempla disposiciones especiales orientadas a garantizar la inclusión financiera.
Flexibilidad normativa para la inclusión
La Circular Externa 006/25 permite excepciones al almacenamiento de muestras biométricas brutas cuando:
- Exista autorización explícita e informada del titular del dato
- Sea necesario para ejecutar programas de inclusión financiera en regiones geográficamente aisladas
- Se establezcan mecanismos alternativos para personas con condiciones médicas o físicas que impidan el uso de biometría convencional
Protección de Datos Personales y Habeas Data
El uso de datos biométricos en el sector financiero implica el tratamiento de información de naturaleza sensible, por lo que debe estar enmarcado dentro del régimen de protección de datos personales establecido en la legislación colombiana.
Consentimiento informado
Las entidades deben obtener el consentimiento expreso, previo e informado del titular antes de capturar, almacenar o utilizar sus datos biométricos para cualquier finalidad de autenticación.
Finalidad definida
Los datos biométricos solo pueden ser utilizados para los fines específicos autorizados por el titular, y no pueden ser compartidos con terceros sin autorización o fuera del marco legal aplicable.
Derechos del titular
Los usuarios conservan sus derechos de acceso, rectificación, supresión y revocatoria del consentimiento sobre sus datos biométricos, conforme a la normativa de habeas data vigente.
Conclusión
Los lineamientos de la Superintendencia Financiera contenidos en la Circular Externa 006/25 buscan garantizar un entorno seguro y confiable para las transacciones financieras, protegiendo tanto a las entidades como a los clientes frente a posibles amenazas de fraude y suplantación.
Balance entre seguridad e inclusión
La regulación reconoce que la implementación de biometría debe estar acompañada de mecanismos alternativos y una sólida gestión del riesgo, de modo que la tecnología sea un vehículo de protección y no una barrera de acceso. Las entidades financieras que adopten estos estándares estarán mejor posicionadas para prevenir el fraude, fortalecer la confianza de sus usuarios y cumplir con las obligaciones normativas vigentes.
Asesoría jurídica en derecho financiero y protección de datos
Brindamos acompañamiento integral en regulación financiera, cumplimiento normativo, protección de datos y habeas data para entidades del sector financiero.
- Derecho financiero y bancario
- Regulación de entidades financieras
- Protección de datos personales y habeas data
- Cumplimiento normativo ante la Superintendencia Financiera
- Gestión de riesgos tecnológicos y ciberseguridad
- Asesoría en implementación de tecnologías financieras (FinTech)
Conozca nuestros servicios de Derecho Financiero y Protección de Datos
Contáctenos: +57 3155695901 | info@gilroaabogados.com
