¿Qué es el SARLAFT? El sistema antilavado del sector financiero
Actualizado el 5 de julio de 2026 · 5 min de lectura
¿Tu banco te pide formularios, certificados y actualización de datos cada año? Detrás de todo ese papeleo está el SARLAFT. Aquí te explicamos qué es, quién lo exige, qué trajo el SARLAFT 4.0 y en qué se diferencia del SAGRILAFT — útil para empresarios, oficiales de cumplimiento y abogados que viven el sistema desde el lado del cliente.
¿Qué es el SARLAFT?
El SARLAFT —Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo— es el sistema que la Superintendencia Financiera de Colombia exige a sus entidades vigiladas (bancos, aseguradoras, comisionistas de bolsa y demás) para administrar el riesgo de ser utilizadas para lavar activos o financiar el terrorismo. Su fundamento legal es el artículo 102 del Estatuto Orgánico del Sistema Financiero (Decreto 663 de 1993).
Aunque solo obliga al sector financiero, tú lo vives a diario como cliente: cada formulario de vinculación, cada actualización de datos y cada pregunta sobre el origen de tus recursos es el SARLAFT de tu banco en acción. Si tu empresa es del sector real, tu régimen es otro: el SAGRILAFT de la Superintendencia de Sociedades.
¿Quién exige el SARLAFT y cuál es la norma vigente?
Lo exige la Superintendencia Financiera de Colombia (SFC). La norma vigente está en el Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica de la SFC (Circular Externa 029 de 2014), modificado por la Circular Externa 027 del 2 de septiembre de 2020, dirigida a los representantes legales, revisores fiscales y oficiales de cumplimiento de las entidades vigiladas, con un régimen de transición de 12 meses desde su publicación.
Esa reforma de 2020 es la que el mercado —y la propia Superfinanciera en sus comunicados— conoce como SARLAFT 4.0. Ojo: es una denominación divulgativa, no el nombre normativo; en citas formales se referencia el Capítulo IV de la Circular Básica Jurídica. La norma ha tenido ajustes posteriores, como la Circular Externa 017 de 2021 sobre conocimiento del cliente.
¿Qué cambió con el SARLAFT 4.0?
Según la propia SFC, la reforma promovió el conocimiento del cliente con base en riesgos y nuevas tecnologías, y reforzó, entre otros puntos:
- —La debida diligencia del beneficiario final: saber qué personas naturales están realmente detrás de cada cliente.
- —La debida diligencia de PEP (personas expuestas políticamente) y de la corresponsalía transnacional.
- —Las contramedidas frente a países de mayor riesgo.
- —Los requisitos de información en las transferencias.
¿A quiénes aplica el SARLAFT?
A las entidades vigiladas por la Superintendencia Financiera: el sector financiero, asegurador y bursátil. Si tu empresa no es vigilada por la SFC, el SARLAFT no la obliga; lo que puede obligarla es el SAGRILAFT de Supersociedades, si supera los umbrales del Capítulo X de su Circular Básica Jurídica (regla general: ingresos o activos de 40.000 SMLMV o más a 31 de diciembre del año anterior, con umbrales menores para sectores designados).
¿Cómo funciona el SARLAFT? Las etapas del sistema
Como todo sistema de administración del riesgo LA/FT, el SARLAFT opera en un ciclo de cuatro etapas sobre los factores de riesgo clásicos (cliente o contraparte, producto, canal y jurisdicción):
- —Identificación: detectar los riesgos de LA/FT a los que se expone la entidad por sus clientes, productos, canales y jurisdicciones.
- —Medición o evaluación: calificar la probabilidad y el impacto de esos riesgos.
- —Control: aplicar medidas que los mitiguen — aquí viven el conocimiento del cliente y la debida diligencia.
- —Monitoreo: seguimiento permanente para detectar operaciones inusuales o sospechosas.
El ciclo desemboca en los reportes a la UIAF, la unidad de inteligencia financiera del país (creada por la Ley 526 de 1999): el reporte de operaciones sospechosas (ROS) y reportes objetivos periódicos, como los de transacciones en efectivo.
¿Por qué el banco le pide tanta información a tu empresa?
Porque su SARLAFT se lo exige. Cuando abres una cuenta o pides un crédito, el banco debe conocerte: de ahí el formulario de conocimiento del cliente, los certificados de composición accionaria, la identificación de tus beneficiarios finales, las preguntas sobre el origen de los fondos y sobre si algún socio es PEP, y la verificación en listas restrictivas — la de la ONU (vinculante en Colombia por la Ley 1121 de 2006) y la lista Clinton (OFAC), entre otras.
Consejo práctico: ten listo un paquete de vinculación —composición accionaria actualizada, beneficiarios finales identificados, soportes del origen de los recursos— y responderás en días lo que a otros les toma semanas. Y si tu empresa además superó los umbrales del Capítulo X, no solo responderás formularios: tendrás que operar tu propia debida diligencia de terceros bajo el SAGRILAFT.
¿Tu empresa está obligada al SAGRILAFT?
Clasifica tu empresa en dos minutos con el clasificador gratuito de régimen: pleno, medidas mínimas o no obligada, según los umbrales del Capítulo X.
¿En qué se diferencian el SARLAFT y el SAGRILAFT?
Son primos, no gemelos: comparten el objetivo de prevenir el lavado de activos y la financiación del terrorismo, pero cambian el supervisor, los sujetos obligados y la norma.
| Aspecto | SARLAFT | SAGRILAFT |
|---|---|---|
| Supervisor | Superintendencia Financiera | Superintendencia de Sociedades |
| Sujetos obligados | Entidades vigiladas del sector financiero, asegurador y bursátil | Empresas del sector real que superan los umbrales (regla general: 40.000 SMLMV en ingresos o activos) o de sectores designados; APNFD con régimen de medidas mínimas |
| Norma | Cap. IV, Título IV, Parte I de la Circular Básica Jurídica (CE 029 de 2014), modificado por la CE 027 de 2020 («SARLAFT 4.0») | Cap. X de la Circular Básica Jurídica (CE 100-000016 de 2020) |
| Naturaleza | Sistema de administración del riesgo, bajo supervisión prudencial (art. 102 del EOSF) | Régimen de autocontrol y gestión del riesgo integral LA/FT/FPADM |
El detalle completo —sanciones, reportes y el papel del oficial de cumplimiento en cada régimen— está en SARLAFT vs SAGRILAFT. Y si quieres entender el delito que ambos sistemas previenen, empieza por la guía de lavado de activos.
Preguntas frecuentes
¿Qué significa SARLAFT?
Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo: el sistema que la Superintendencia Financiera exige a sus entidades vigiladas.
¿Qué es el SARLAFT 4.0?
Es el nombre divulgativo de la reforma introducida por la Circular Externa 027 de 2020 de la Superfinanciera, que reforzó el conocimiento del cliente, la debida diligencia del beneficiario final y de los PEP.
¿El SARLAFT aplica a mi empresa?
Solo si es una entidad vigilada por la Superintendencia Financiera; las empresas del sector real se rigen por el SAGRILAFT de la Superintendencia de Sociedades.
¿SARLAFT y SAGRILAFT son lo mismo?
No: el SARLAFT es del sector financiero (Superfinanciera) y el SAGRILAFT del sector real (Supersociedades), cada uno con su propia norma y supervisor.
¿Por qué el banco me pide actualizar mis datos?
Porque su SARLAFT le exige conocer a sus clientes y monitorear sus operaciones de manera permanente, no solo al momento de la vinculación.
Deja de administrar esto en Excel
Régimen, matriz, screening en 5 listas y concepto auditable — en una prueba gratis.
Este contenido es informativo y no constituye asesoría legal. Verifica siempre contra las fuentes oficiales y consulta a tu oficial de cumplimiento.