Un Llamado a la Evolución del Enfoque Basado en Riesgos en los Sistemas de Prevención LA/FT/FP/C/ST en Colombia

Por: Juan Carlos Echeverri Garcés | CEO

La Sentencia T-113 de 2025 de la Corte Constitucional representa un hito en la doctrina jurídica del cumplimiento normativo, en tanto redefine el equilibrio entre la protección del sistema financiero y los derechos fundamentales de los ciudadanos con antecedentes penales. Esta providencia va más allá del caso concreto de negativa a la apertura de una cuenta de ahorros; constituye una guía para repensar los sistemas de administración del riesgo de lavado de activos, financiación del terrorismo, financiamiento de la proliferación de armas de destrucción masiva, corrupción y soborno transnacional (LA/FT/FP/C/ST), con fundamento en la constitucionalización del enfoque basado en riesgo.

La Corte parte de un análisis crítico al SARLAFT aplicado por entidades del sistema financiero vigiladas por la Superintendencia Financiera de Colombia, y enfatiza que este sistema, por su carácter de interés público (artículo 335 CP), no puede operar bajo criterios absolutos de exclusión, especialmente cuando existen antecedentes penales que han sido extinguidos o investigaciones penales en curso que no han derivado en condenas. Se subraya que el enfoque de riesgo debe evolucionar de una prevención automática, puramente formal, a un análisis subjetivo y contextualizado, que incorpore elementos del derecho penal sustantivo (tipicidad, antijuridicidad, culpabilidad), procedimental (etapas del proceso, presunción de inocencia, principio de legalidad) y constitucional (mínimo vital, igualdad, personalidad jurídica y debido proceso).

El SARLAFT, regulado en la Circular Básica Jurídica 029 de 2014, exige identificar, medir, controlar y monitorear los riesgos inherentes y residuales. Sin embargo, la práctica demuestra que muchas entidades financieras continúan ejecutando políticas de exclusión basadas en el conocimiento inicial del cliente (KYC), sin activar fases posteriores de seguimiento y sin brindar oportunidades de reevaluación del riesgo. La Corte, en la T-113/25, advierte que estas prácticas atentan contra la finalidad misma del SARLAFT, cuyo espíritu no es excluir preventivamente a las personas, sino evitar que las entidades sean usadas como vehículos para delitos financieros, permitiendo a su vez un acceso equitativo y no discriminatorio al sistema.

Lo que resulta innovador de esta sentencia es su impacto indirecto en los otros sistemas de prevención como el SAGRILAFT (sector real, regulado por la Superintendencia de Sociedades), el SARLAFT del sector transporte (Supertransporte) o el de vigilancia y seguridad privada (Supervigilancia), así como el Programa de Transparencia y Ética Empresarial (PTEE), el cual exige medidas frente a delitos de corrupción y soborno. En todos estos sistemas se establece la exigencia de segmentar el riesgo y aplicar medidas proporcionales según la exposición del sujeto vigilado, pero aún persiste una implementación deficiente del enfoque basado en riesgos, en especial cuando se trasladan modelos financieros restrictivos sin las salvaguardas constitucionales exigidas por esta sentencia.

En el SAGRILAFT, por ejemplo, se obliga a los sujetos a implementar matrices de riesgo que identifiquen factores como jurisdicción, tipo de contraparte, canal de operación y producto o servicio. Sin embargo, muchas empresas del sector real replican criterios absolutos: si una persona tiene antecedentes penales, aunque se haya extinguido la pena, se le niega la posibilidad de vinculación como proveedor o empleado, sin evaluar ni el tipo penal, ni la temporalidad, ni los subrogados procesales que haya recibido. Esto demuestra una desconexión entre el enfoque técnico del riesgo y la dogmática penal. Del mismo modo, en el SARLAFT del sector transporte o de vigilancia, se ha institucionalizado el “checklist negativo” como método de exclusión sin una ponderación real del contexto, olvidando que el derecho penal no tiene efectos perpetuos sobre la capacidad jurídica del individuo una vez cumplida la sanción.

En el caso abordado por la Corte, el ciudadano había cumplido una pena por el delito de peculado por apropiación y tenía una investigación en curso. A pesar de haber suministrado información sobre su actividad económica y haber solicitado nuevamente su vinculación, las entidades bancarias negaron la apertura de una cuenta de ahorros, alegando exclusivamente el antecedente penal como causa objetiva. Esta práctica contradice el principio de resocialización previsto en el artículo 13 de la Constitución y la finalidad de la pena conforme al artículo 10 del Código Penal Colombiano. La Corte fue enfática: “los antecedentes judiciales son datos personales de carácter negativo cuyo tratamiento debe cumplir con los principios de proporcionalidad y legalidad”. Además, resaltó que la presunción de inocencia no permite que una investigación penal abierta sea utilizada como base definitiva para restringir derechos económicos.

Este criterio obliga a los oficiales de cumplimiento de todas las industrias a replantear su rol más allá del cumplimiento documental o normativo. El oficial de cumplimiento debe tener formación avanzada en derecho penal y en derechos fundamentales, porque su juicio técnico se convierte en la bisagra entre el análisis del riesgo y el respeto a la dignidad humana. Debe ser capaz de discernir cuándo un riesgo es meramente reputacional (con bajo impacto sistémico) y cuándo hay un riesgo penal latente que exige medidas preventivas efectivas. Así mismo, debe conocer los efectos de la suspensión condicional de la ejecución de la pena, la extinción de la acción penal, la prescripción de la pena y los beneficios de libertad condicional, que tienen efectos sobre la lectura del riesgo jurídico y sobre las posibilidades de inclusión en el sistema económico.

Este análisis requiere articular el cumplimiento normativo con un marco de análisis subjetivo del caso: conocer los hechos, el tipo penal, la etapa procesal, las circunstancias de modo, tiempo y lugar, el entorno familiar y económico del sujeto, y la naturaleza del vínculo que se pretende establecer (cliente, proveedor, empleado). Esta subjetivación del riesgo es lo que garantiza que el enfoque basado en riesgo sea verdaderamente proporcional y conforme al bloque de constitucionalidad, y no simplemente una barrera formal que reproduce mecanismos de exclusión estructural.

Desde una perspectiva práctica, esta sentencia impone la necesidad de revisar las matrices de riesgo, las políticas de debida diligencia y los procedimientos de onboarding en todos los sectores regulados. Las guías de debida diligencia reforzada deben incluir un análisis legal del tipo penal asociado al posible delito fuente, valorar la existencia de procesos judiciales activos versus condenas ejecutoriadas, y permitir al sujeto evaluado presentar documentos de aclaración y defensa. Igualmente, debe integrarse al modelo de análisis la duración y evolución del caso penal, la colaboración del sujeto con la justicia y su situación socioeconómica actual, como elementos mitigantes del riesgo.

A nivel institucional, esta providencia también obliga a las entidades vigiladas a revisar sus modelos de scoring automatizados o matrices de segmentación que puedan generar discriminación indirecta. Tal como lo establece la ISO/IEC 29184:2020 sobre consentimiento en entornos digitales, y la ISO/IEC 38505-1 sobre gobernanza de datos personales, los algoritmos utilizados para segmentar riesgos deben ser auditables, trazables y sujetos a control humano. Si una entidad genera un bloqueo automático de productos financieros o comerciales por razones asociadas a antecedentes penales, debe ser capaz de justificar técnica y jurídicamente esa decisión, ofreciendo alternativas de mitigación.

Finalmente, la Sentencia T-113 de 2025 genera una nueva obligación implícita: la capacitación obligatoria de oficiales de cumplimiento y comités de ética en temas de dogmática penal, derechos humanos y principios del Estado social de derecho. La integración del derecho penal sustantivo y procedimental en la matriz de riesgo es un imperativo si se pretende que los sistemas de prevención de delitos económicos sean verdaderamente eficaces, respetuosos de la legalidad y socialmente responsables. La prevención de delitos no puede convertirse en un nuevo mecanismo de exclusión estructural sino en una herramienta de control basada en información objetiva, proporcional y actualizada.

En conclusión, esta sentencia representa un cambio de paradigma. Obliga a repensar los sistemas de cumplimiento no solo como estructuras técnicas de prevención, sino como plataformas de evaluación de derechos y garantías. Establece un precedente jurisprudencial que deberá irradiar todos los sectores obligados a implementar sistemas de gestión del riesgo de delitos financieros, promoviendo un cumplimiento normativo con rostro humano, anclado en la racionalidad penal y en los principios constitucionales. El cumplimiento regulado por estándares como ISO 37301, GAFI y la Circular Básica Jurídica, debe dialogar con la Corte Constitucional y no operar al margen de la justicia sustantiva. En ello radica el verdadero valor de la T-113 de 2025: un llamado a la sofisticación jurídica del análisis de riesgos, con base en el caso concreto, la normatividad vigente y los principios superiores del ordenamiento colombiano.