El Registro PSAV ante la Superintendencia Financiera de Colombia: Arquitectura Normativa, Cumplimiento y Perspectivas de Desarrollo del Ecosistema Digital

Resumen ejecutivo

El presente estudio analiza el Registro de Proveedores de Servicios de Activos Virtuales (PSAV) de Colombia, instrumento regulatorio administrado por la Superintendencia Financiera de Colombia (SFC) desde la promulgación del Decreto 1297 de 2023. Se examina su arquitectura normativa, los requisitos de inscripción, el régimen sancionatorio y las implicaciones para el ecosistema fintech nacional. El estudio concluye que, aunque Colombia ha avanzado significativamente en la formalización del sector cripto -posicionándose entre los líderes regulatorios de América Latina-, persisten desafíos estructurales relacionados con los costes de cumplimiento para pequeñas empresas, la interoperabilidad institucional y la ausencia de marcos específicos para activos emergentes como los NFT y las plataformas DeFi.

Introducción y contexto regional

La irrupción de los activos virtuales en los sistemas financieros globales ha generado una tensión regulatoria sin precedentes entre la necesidad de fomentar la innovación tecnológica y la obligación de proteger la integridad del sistema financiero. Colombia no ha sido ajena a este fenómeno: con una penetración estimada de criptoactivos entre el 12% y el 15% de la población adulta bancarizada, el país se enfrenta a la urgencia de establecer un marco normativo robusto que permita la coexistencia del sistema financiero tradicional con los nuevos intermediarios digitales.

En este contexto, el Registro de Proveedores de Servicios de Activos Virtuales (PSAV) se configura como la pieza angular de la política regulatoria colombiana para el sector cripto. En 2026, este mecanismo ha alcanzado plena operatividad, constituyendo un requisito de habilitación legal para todo operador que ofrezca servicios vinculados a criptomonedas, custodia digital o transferencias de valor sobre tecnología blockchain.

"Colombia ha optado por un modelo de supervisión basado en el registro obligatorio, priorizando la transparencia operativa y la prevención del lavado de activos sobre la restricción de la actividad en sí misma."

Esta aproximación regulatoria, compatible con los estándares del Grupo de Acción Financiera Internacional (GAFI) —en particular su Recomendación 15 sobre nuevas tecnologías— posiciona a Colombia junto a Brasil, México y Chile como referentes del desarrollo normativo latinoamericano en materia de activos digitales.

Marco histórico-normativo

La evolución del marco regulatorio colombiano para activos virtuales puede estructurarse en tres fases claramente diferenciadas, cada una respondiendo a presiones distintas del entorno económico y tecnológico.

Hasta 2021 - Vacío normativo: El mercado cripto colombiano operó bajo un régimen de permisividad implícita. La ausencia de prohibición expresa no equivalía a reconocimiento legal; las criptomonedas no constituían medio de pago de curso legal ni instrumento financiero supervisado. La SFC emitió comunicados advirtiendo sobre riesgos, pero sin capacidad de intervención regulatoria.

2021–2022: Experimentación regulada (sandbox). La SFC habilitó un entorno de pruebas controlado que permitió a entidades bancarias y exchanges pilotar operaciones de compraventa de criptoactivos. Este período fue determinante para que el regulador acumulara información técnica y operativa sobre el funcionamiento real del mercado.

2023: Decreto 1297 - creación del Registro PSAV. Hito fundacional del actual marco normativo. El decreto establece la definición legal de PSAV, crea el registro obligatorio, determina las obligaciones en materia de prevención del lavado de activos (AML) y asigna a la SFC la función supervisora con apoyo de la UIAF.

2024–2026: Consolidación operativa. El registro alcanza madurez institucional. Se publican guías técnicas sobre ciberseguridad y gobierno corporativo. El número de PSAV inscritos crece sostenidamente, especialmente en Bogotá y Medellín. Comienza el debate regulatorio sobre NFT, DeFi y stablecoins.

Definición y alcance del PSAV

El Decreto 1297/2023 define al Proveedor de Servicios de Activos Virtuales (PSAV) como toda persona jurídica o natural que, por cuenta de terceros, realice de forma habitual o profesional una o más de las siguientes actividades:

Servicios de intercambio

• Exchanges o plataformas de compraventa de criptomonedas.
• Conversión entre moneda fiduciaria y activos virtuales.
• Servicios de arbitraje entre activos digitales.

Servicios de custodia

• Wallets centralizadas con custodia de claves privadas.
• Resguardo institucional de criptoactivos.
• Gestión de fondos digitales por cuenta ajena.

Transferencias y pagos

• Remesas internacionales en criptoactivos.
• Procesadores de pago con criptomonedas.
• Servicios de liquidación en activos digitales.

Servicios financieros digitales

• Productos de inversión o crédito en criptoactivos.
• Intermediación financiera con activos virtuales.
• Participación en ofertas iniciales de tokens.

Resulta significativa la amplitud del alcance subjetivo de la norma: la obligación de registro no se limita a las grandes plataformas de intercambio, sino que se extiende a cualquier operador que intermedie en el mercado digital con habitualidad, independientemente de su tamaño o volumen de operaciones.

Requisitos de inscripción

El proceso de habilitación ante la SFC exige el cumplimiento simultáneo de cuatro categorías de requisitos, cuya evaluación es independiente y acumulativa. La insuficiencia en cualquiera de ellas determina la denegación de la inscripción.

1. Requisitos legales y societarios: El operador debe estar constituido legalmente en Colombia o contar con una sucursal debidamente registrada ante la Cámara de Comercio. La norma exige la identificación plena de la estructura de control -socios, administradores y beneficiarios finales- con especial atención a los esquemas de propiedad indirecta que pudieran encubrir la identidad real de los controlantes. Se excluyen expresamente quienes registren antecedentes penales o sanciones por delitos financieros, incluyendo lavado de activos, financiación del terrorismo o captación ilegal de recursos.

2. Requisitos financieros: La SFC establece umbrales de capital mínimo operativo diferenciados según la tipología de servicios prestados, siendo superiores para los custodios y las plataformas de intercambio que para los procesadores de pago. La acreditación de solvencia se realiza mediante la presentación de estados financieros auditados por revisor fiscal inscrito ante la Junta Central de Contadores. La norma también exige la constitución de coberturas de seguro o garantías que salvaguarden los fondos de clientes ante eventualidades operativas.

3. Requisitos tecnológicos: Aspectos críticos de ciberseguridad - Los proveedores deben implementar sistemas de ciberseguridad certificados según estándares internacionales reconocidos (ISO 27001 o equivalentes). Se requiere la adopción de mecanismos específicos de protección de claves privadas y custodia de fondos, así como la elaboración y prueba periódica de planes de contingencia y recuperación ante desastres (DRP/BCP). La SFC puede solicitar auditorías técnicas externas en cualquier momento de la relación supervisora.

4. Requisitos de cumplimiento normativo: Este bloque constituye el núcleo de la política antilavado. Los PSAV deben implementar políticas documentadas de KYC (Know Your Customer) y AML (Anti-Money Laundering), con procedimientos de debida diligencia escalonada según el perfil de riesgo del cliente. El reporte periódico de operaciones sospechosas a la UIAF es obligatorio, así como la designación de un oficial de cumplimiento con independencia funcional dentro de la organización. Finalmente, la norma exige la adopción de un manual de gobierno corporativo y un sistema de gestión de riesgos documentado y actualizable.

Proceso de inscripción: fases y plazos

3–6 Meses de tramitación estimada, 5 Fases del proceso de inscripción, 4 Categorías de requisitos evaluados: El procedimiento de inscripción sigue una lógica secuencial en la que la superación de cada fase habilita el acceso a la siguiente. La SFC ha adoptado un enfoque de evaluación integral -no fragmentado-, lo que implica que la totalidad de la documentación requerida debe estar disponible desde el momento de la solicitud formal.

La fase de solicitud comprende la presentación ante la SFC de toda la documentación legal, financiera, técnica y de compliance. La evaluación inicial permite al equipo supervisor verificar la completitud del expediente y formular requerimientos de subsanación en un plazo determinado. La revisión sustantiva analiza en profundidad las políticas de prevención y los sistemas de ciberseguridad. Tras la verificación de solvencia, la SFC emite resolución motivada de aprobación o denegación. La inscripción aprobada genera el acceso a la base pública de PSAV autorizados, elemento de transparencia central del sistema.

La duración efectiva del proceso varía significativamente según la complejidad del modelo de negocio y la calidad de la documentación presentada. Los operadores especializados en un único tipo de servicio tienden a obtener la aprobación en los plazos inferiores del rango, mientras que los modelos multiservicios pueden requerir los seis meses completos o incluso una prórroga excepcional.

Régimen sancionatorio

El sistema de sanciones diseñado por el Decreto 1297/2023 y desarrollado en la normativa secundaria de la SFC adopta una estructura escalonada que combina medidas administrativas, económicas y penales, buscando un efecto disuasorio efectivo sobre la informalidad.

La determinación de la cuantía de las multas sigue criterios de proporcionalidad vinculados al beneficio económico obtenido, el grado de culpabilidad, el daño causado a consumidores y la conducta posterior del infractor. La inhabilitación -la sanción más severa- opera no solo frente al operador como persona jurídica, sino también frente a sus administradores y beneficiarios finales identificados.

Coordinación institucional: SFC, UIAF y Banco de la República

La eficacia del sistema regulatorio colombiano descansa en buena medida sobre la articulación entre tres organismos con mandatos complementarios, cuya coordinación opera a través de protocolos de intercambio de información y mecanismos de actuación conjunta.

La SFC actúa como autoridad de supervisión prudencial y de conducta, siendo la ventanilla única de inscripción y el interlocutor principal de los PSAV. La UIAF (Unidad de Información y Análisis Financiero) recibe los reportes de operaciones sospechosas generados por los PSAV y analiza patrones de comportamiento financiero anómalos, notificando a la Fiscalía cuando detecta indicios de actividad delictiva. El Banco de la República, si bien no reconoce las criptomonedas como medio de pago de curso legal, participa en el diseño de las políticas macroeconómicas que inciden sobre el ecosistema de activos digitales, especialmente en lo relativo a flujos de capital y estabilidad monetaria.

Limitación estructural a considerar: La falta de un marco legal específico para stablecoins y activos digitales referenciados a moneda fiduciaria genera una zona gris regulatoria que el Banco de la República y la SFC deberán abordar conjuntamente en el corto plazo, dado el creciente uso de estas herramientas en transacciones comerciales.

Impacto, desafíos y perspectivas

Transcurridos tres años desde la promulgación del Decreto 1297/2023, el balance del Registro PSAV presenta luces y sombras que merecen un análisis diferenciado.

1. Efectos positivos verificables: La reducción documentada del fraude en plataformas no reguladas, el incremento de la confianza institucional en el sector cripto y el crecimiento del número de empresas formalizadas —particularmente en los ecosistemas fintech de Bogotá y Medellín— constituyen indicadores positivos inequívocos. El registro ha actuado como señal de calidad para inversores extranjeros que requieren seguridad jurídica antes de comprometer capital en el mercado colombiano.

2. Desafíos estructurales pendientes: No obstante, persisten tensiones de difícil resolución en el corto plazo. Los costes de cumplimiento resultan desproporcionadamente elevados para las startups cripto de menor tamaño, que en ocasiones deben destinar una fracción significativa de su capital operativo a satisfacer los requisitos técnicos y legales exigidos. Esta carga regulatoria asimétrica podría generar efectos de concentración de mercado contrarios a los objetivos de innovación que el propio regulador declara perseguir.
A ello se suma la necesidad de una mayor educación financiera en los usuarios finales, cuya comprensión de los mecanismos de protección que ofrece el registro es todavía limitada.

3. Agenda regulatoria emergente: Los próximos desarrollos normativos previsiblemente abordarán la tokenización de activos reales y el marco aplicable a los NFT de naturaleza financiera, la regulación de las plataformas DeFi -cuya naturaleza descentralizada plantea interrogantes filosóficos y técnicos sobre la identidad del sujeto regulado-, y el tratamiento de las stablecoins respaldadas por moneda fiduciaria, con especial atención a los riesgos sistémicos de descalce de reservas.

Conclusión - Evaluación y perspectiva de largo plazo

El Registro PSAV constituye un avance institucional significativo que demuestra la capacidad del Estado colombiano para adaptar sus estructuras de supervisión financiera a las realidades de la economía digital. El modelo elegido -basado en registro obligatorio, supervisión continua y articulación interinstitucional- es coherente con las mejores prácticas internacionales y permite anticipar un ecosistema de activos virtuales más robusto, transparente y confiable en los próximos años.

Sin embargo, la madurez regulatoria plena requerirá avanzar sobre las zonas grises normativas aún existentes, reducir las barreras de cumplimiento para operadores de menor escala y consolidar la educación financiera de los usuarios. Colombia ha demostrado que regular no implica frenar la innovación; el reto de los próximos años será demostrar que tampoco implica concentrarla.

Referencias normativas y bibliográficas

• Colombia. Ministerio de Hacienda y Crédito Público. (2023). Decreto 1297 de 2023: Por el cual se establecen las condiciones y requisitos para el Registro de Proveedores de Servicios de Activos Virtuales. Diario Oficial No. 52.487.
• Superintendencia Financiera de Colombia. (2024). Guía técnica para el cumplimiento de requisitos de ciberseguridad en entidades PSAV. Circular Externa SFC.
• Financial Action Task Force (FATF/GAFI). (2021). Updated Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers. Paris: FATF.
• Unidad de Información y Análisis Financiero (UIAF). (2025). Informe de tipologías de lavado de activos en el sector de activos virtuales: Colombia 2024. Bogotá: UIAF.
• Banco de la República. (2026). Reporte de Estabilidad Financiera: Riesgos asociados a activos virtuales en el sistema financiero colombiano. Bogotá: Banco de la República.
• BID (Banco Interamericano de Desarrollo). (2024). Regulación de criptoactivos en América Latina y el Caribe: Análisis comparativo de marcos normativos. Washington D.C.: BID.