Guía por sector · CIIU I55 / N79
SAGRILAFT para hoteles y operadores turísticos en Colombia
Actualizado el 6 de julio de 2026 · 8 min de lectura
El sector hotelero y turístico mueve grandes volúmenes de pagos en efectivo, reservas internacionales y clientes que rotan a diario: el escenario perfecto para que dinero ilícito se disfrace de ingresos legítimos. Si tu empresa opera hoteles, agencias u operadores turísticos vigilados por la Superintendencia de Sociedades, aquí te explicamos cuándo estás obligado a implementar SAGRILAFT, qué riesgos concretos enfrenta el sector y cómo cumplir sin frenar la operación.
La hotelería y el turismo aparecen de forma recurrente en los documentos de tipologías de la UIAF y en los estándares del GAFI: alta rotación de huéspedes, pagos en efectivo, tarifas flexibles y flujos internacionales hacen difícil distinguir un ingreso genuino de uno simulado. Por eso, aunque el sector no es de los designados con umbral reducido, la Supersociedades espera que hoteles y operadores turísticos de cierto tamaño gestionen su riesgo LA/FT con un sistema formal. Si el tema es nuevo para ti, empieza por entender qué es SAGRILAFT.
¿Qué es el SAGRILAFT y por qué le aplica a tu sector?
El SAGRILAFT — Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM — es el sistema que la Superintendencia de Sociedades exige a las empresas del sector real en el Capítulo X de la Circular Básica Jurídica (Circular Externa 100-000016 de 2020). No es un requisito exclusivo de bancos: la obligación depende de tus cifras y de tu actividad. La guía completa del SAGRILAFT cubre el sistema de punta a punta; esta página aterriza la obligación y los riesgos a tu sector. Y no lo confundas con el PTEE, que gestiona corrupción y soborno transnacional — son sistemas hermanos y muchas empresas están obligadas a ambos.
¿Qué hoteles y operadores turísticos están obligadas?
La hotelería y el turismo (CIIU I55 y N79) no están en la lista de sectores designados del Capítulo X, así que aplica la regla general: si al 31 de diciembre del año anterior tu empresa registró ingresos totales o activos totales iguales o superiores a 40.000 SMLMV —basta con superar uno de los dos—, debe implementar SAGRILAFT en Régimen Pleno. Revisa el detalle de umbrales en quién está obligado a SAGRILAFT.
Ojo con esto: la Superintendencia de Sociedades puede ordenar la implementación a cualquier sociedad supervisada, en cualquier momento, aunque no alcance el umbral — y en un sector con exposición reconocida al efectivo, esa facultad no es teórica. Si no tienes claro dónde está parada tu empresa, usa el clasificador de régimen SAGRILAFT: con tus cifras te dice en minutos si estás obligado y bajo qué régimen.
| Escenario | Umbral (ingresos o activos) | Aprox. en COP (SMLMV 2026) | Régimen |
|---|---|---|---|
| Regla general | ≥ 40.000 SMLMV | ≈ $70.036 millones | Régimen Pleno |
| Por debajo del umbral | — | — | No obligada por umbral (salvo orden del supervisor) |
En todos los escenarios basta superar uno de los dos criterios — ingresos totales o activos totales — con corte al 31 de diciembre del año anterior. Los pesos son referenciales, calculados con el SMLMV 2026 de $1.750.905 (Decretos 1469 y 1470 de diciembre de 2025, valor en controversia ante el Consejo de Estado): la norma manda en SMLMV. El detalle completo de umbrales y sectores está en quién está obligado al SAGRILAFT.
¿Pleno, Medidas Mínimas o no obligada?
Clasifica tu empresa gratis: ingresas ingresos, activos y sector, y el clasificador te dice el régimen que te corresponde bajo el Capítulo X y qué obligaciones trae.
Crea gratis el perfil de cumplimiento de tu empresa
Conoce tu régimen, verifica contrapartes contra ONU, OFAC, UE, Banco Mundial y BID, y emite conceptos con evidencia — en un solo flujo.
¿Cuáles son los riesgos LA/FT típicos del sector?
La matriz de riesgo de tu empresa no se parece a la de ningún otro sector: estas son las tipologías y señales de alerta que los documentos públicos de tipologías de la UIAF y los estándares del GAFI han descrito para tu actividad. Úsalas como insumo de tu matriz de riesgo LA/FT — no como lista exhaustiva.
Ocupación fantasma: huéspedes que nunca llegaron
Es la tipología clásica del sector: habitaciones, consumos y servicios facturados en efectivo a huéspedes que no existen, para inflar los ingresos del hotel con dinero ilícito que luego aparece «lavado» en la contabilidad. Señales de alerta: tasas de ocupación reportadas que no cuadran con consumos reales (lavandería, alimentos, energía), picos de ventas en efectivo sin temporada que los explique, folios sin datos completos del huésped y registros que nadie puede conciliar con el sistema de reservas. Tu matriz de riesgo LA/FT debe recoger este escenario en el factor producto/servicio.
Reservas grandes canceladas con reembolso desviado
Un cliente paga por adelantado un bloque de habitaciones o un paquete costoso, cancela días después y pide el reembolso a una cuenta distinta de la que originó el pago, o a nombre de un tercero. El hotel termina funcionando como intermediario financiero sin saberlo: el dinero entró sucio y salió con apariencia de devolución comercial. Alerta máxima cuando la cancelación es sistemática, el cliente no negocia penalidades o las cuentas de destino están en otra jurisdicción. Tu política debe exigir que todo reembolso vuelva por el mismo canal y a la misma cuenta del pago original.
Turismo receptivo con pagos opacos o de terceros
En el turismo receptivo el dinero suele viajar antes que el viajero: agencias y operadores reciben transferencias desde jurisdicciones opacas o de terceros sin relación aparente con el huésped que llega. Señales de alerta: el pagador no coincide con el beneficiario del servicio y no puede explicar el vínculo, pagos fraccionados desde varias cuentas para un mismo paquete, o intermediarios que se niegan a identificar al cliente final. Aquí pesan el factor jurisdicción de tu matriz y la consulta de listas restrictivas sobre pagadores y beneficiarios, no solo sobre quien firma el contrato.
Eventos y banquetes sobrefacturados
Bodas, convenciones y banquetes son ideales para inflar valores: servicios difíciles de tasar, consumos que nadie audita y un cliente dispuesto a pagar «de más» sin regatear. Facturar un evento por encima de su valor real convierte la diferencia en ingreso aparentemente legítimo. Sospecha cuando el cliente acepta tarifas muy superiores al mercado sin negociar, paga en efectivo o mediante empresas recién constituidas, o exige facturación a nombre de sociedades distintas de quien contrató. La debida diligencia debe identificar al beneficiario final de la empresa que paga, no quedarse en el organizador del evento.
¿Cuáles son los errores más comunes al implementar?
- —Creer que el check-in equivale a debida diligencia. Registrar al huésped no reemplaza la identificación de contrapartes, la matriz de riesgo ni la consulta de listas: son obligaciones distintas y la Supersociedades las evalúa por separado.
- —Aceptar reembolsos hacia cuentas de terceros. Devolver una reserva cancelada a una cuenta distinta de la del pago original es la tipología de manual: exige políticas escritas que obliguen a reembolsar por el mismo canal.
- —Medir solo al cliente y olvidar la cadena turística. Agencias mayoristas, plataformas y representantes en el exterior también son contrapartes: si no los evalúas en tu matriz, el riesgo entra por la puerta comercial.
- —Subestimar las sanciones por estar «bajo el umbral». La Supersociedades puede ordenarte implementar el sistema y multar los incumplimientos con hasta 200 SMLMV por cargo; revisa multas y sanciones antes de decidir esperar.
¿Qué sanciones arriesga tu empresa si incumple?
La base sancionatoria es el numeral 3 del artículo 86 de la Ley 222 de 1995: multas de hasta 200 SMLMV, sucesivas o no, por cada cargo formulado, contra la sociedad, sus administradores, el revisor fiscal y el oficial de cumplimiento. La práctica sancionatoria reciente — con casos y montos reales — está en sanciones del SAGRILAFT.
Y hay un costo que suele doler más que la multa: bancos que cierran productos por riesgo LA/FT, fiduciarias que no vinculan y contratantes que excluyen al proponente que no acredita su sistema. El costo real del incumplimiento es comercial antes que administrativo.
La evidencia lista antes de que te la pidan
Matriz de riesgo, screening permanente y conceptos con vigencia: el perfil de tu empresa deja rastro auditable desde el día uno.
¿Cómo implementar el SAGRILAFT en tu empresa?
La implementación seria son ocho piezas operando — política aprobada en junta, oficial de cumplimiento, matriz de riesgo, debida diligencia con beneficiario final, consulta de listas restrictivas, reportes a la UIAF, capacitación y expediente auditable. El paso a paso completo está en la guía de implementación del SAGRILAFT, y puedes empezar hoy mismo con la consulta de listas gratuita.
Transición en curso: el 2 de julio de 2026 la Supersociedades expidió la Circular Externa 100-000020 de 2026, una nueva Circular Básica Jurídica que unificaría SAGRILAFT y PTEE en un sistema integral. Al cierre de esta edición su texto oficial y sus plazos no estaban publicados: hoy sigue aplicando el Capítulo X, y actualizaremos esta página cuando la transición sea oficial.
Preguntas frecuentes
¿Mi hotel está obligado a implementar SAGRILAFT?
Si tu sociedad está supervisada por la Superintendencia de Sociedades y al 31 de diciembre del año anterior registró ingresos totales o activos totales de 40.000 SMLMV o más, debe implementar SAGRILAFT en Régimen Pleno. Basta con superar uno de los dos criterios. Además, la Superintendencia puede ordenar la implementación a cualquier supervisada.
¿La hotelería y el turismo son sectores designados con umbral reducido?
No. Los sectores designados del Capítulo X son los agentes inmobiliarios, el comercio de metales y piedras preciosas, los servicios jurídicos y contables y la construcción. Hoteles y operadores turísticos se rigen por la regla general de 40.000 SMLMV en ingresos o activos totales.
¿Qué hago si un pago llega desde una jurisdicción de alto riesgo?
Aplica debida diligencia reforzada antes de prestar el servicio: identifica al pagador y su relación con el viajero, documenta el origen de los fondos y consulta las listas restrictivas. Si hay coincidencia con la lista de la ONU, que es vinculante en Colombia, debes reportar de inmediato a la UIAF y a la Fiscalía.
¿Debo hacer debida diligencia a cada huésped que se registra?
No con la misma intensidad. El enfoque es por riesgo: el huésped ocasional que paga con tarjeta representa un riesgo distinto al cliente corporativo que contrata bloques de habitaciones, al mayorista internacional o al organizador de un gran evento. Tu matriz de riesgo define a quién exiges más información y verificación.
¿Quién responde por el SAGRILAFT en un hotel obligado?
En Régimen Pleno la junta aprueba la política y se designa un oficial de cumplimiento, persona natural, cuya designación se informa a la Superintendencia de Sociedades dentro de los 15 días hábiles. Las multas por incumplir pueden llegar a 200 SMLMV por cada cargo y alcanzan a la sociedad, sus administradores y el oficial.
Deja de administrar esto en Excel
Régimen, matriz, screening en 5 listas y concepto auditable — en una prueba gratis.
Este contenido es informativo y no constituye asesoría legal. Verifica siempre contra las fuentes oficiales y consulta a tu oficial de cumplimiento.