Bogotá, 16 de septiembre de 2025 – La Superintendencia de Industria y Comercio (SIC) impuso una sanción administrativa por $700.836.736 a Scotiabank Colpatria, tras establecer que la entidad no garantizó adecuadamente la seguridad de la información personal de al menos 67.000 clientes, en un caso que ha encendido las alertas sobre la protección de datos en el sector financiero colombiano.
El origen del caso
La investigación de la SIC se derivó de un incidente de seguridad ocurrido entre 2019 y 2022, en el que un exempleado del banco, Walter Alexander Ladino Molano, accedió de manera irregular a bases de datos confidenciales y vendió información personal de clientes a redes criminales. Según lo determinado por la entidad de control, el funcionario remitió información sensible a su correo personal en más de 400 ocasiones, utilizando archivos cifrados.
Si bien el banco inicialmente reportó que fueron 67.000 los usuarios afectados, su propia investigación interna arrojó cifras aún más preocupantes: al menos 721.371 personas se vieron potencialmente comprometidas, y posteriormente, se estimó que el número real podría superar los 790.000 clientes.
Un esquema criminal más amplio
El caso fue detectado por Incocrédito (Asociación para la Investigación, Información y Control de los Sistemas de Tarjetas de Crédito y Débito), que alertó al banco sobre el uso indebido de estas bases de datos en actividades fraudulentas.
Según el modus operandi identificado, los datos eran utilizados por call centers y redes criminales para realizar ventas irregulares, ofrecer membresías fraudulentas y ejecutar operaciones de engaño comercial. Las estructuras involucradas en estas prácticas utilizaban Merchant IDs falsos, modificaban sus razones sociales y operaban como agregadores de otras pasarelas de pago, evadiendo controles financieros y de seguridad.
La respuesta del banco
Scotiabank Colpatria actuó separando del cargo al funcionario implicado y adoptando medidas correctivas, como el refuerzo de sus protocolos internos de seguridad y nuevas auditorías a los sistemas de acceso a la información. Sin embargo, para la SIC, estas acciones fueron insuficientes para cumplir con los estándares exigidos por la Ley 1581 de 2012 y el Decreto Único Reglamentario 1074 de 2015, normas que rigen la protección de datos personales en el país.
Sanciones impuestas
La resolución, firmada por Carolina García, Directora de Investigaciones de Protección de Datos Personales, determinó la imposición de:
- Una multa de $700.836.736 a Scotiabank Colpatria S.A., equivalente a 523 salarios mínimos legales vigentes para 2023 o 60.668 UVB para 2025.
- Una sanción individual de $8.040.192 al exempleado Walter Alexander Ladino Molano, correspondiente a 6 salarios mínimos legales de 2023 o 696 UVB para 2025.
La SIC calificó el incidente como de alta severidad, debido a la naturaleza y volumen de los datos comprometidos, que incluían información de identificación, datos socioeconómicos y ubicación de los usuarios.
Recursos y proceso
La sanción aún no se encuentra en firme, y el banco ha anunciado que interpondrá los recursos legales pertinentes. Los sancionados disponen de cinco días hábiles para realizar el pago de las multas y diez días hábiles para presentar recursos de reposición o apelación ante la Superintendencia.
Un precedente para el sector financiero
Este caso representa uno de los más graves incidentes de seguridad en el manejo de datos personales dentro del sistema bancario colombiano.