Guía por sector · CIIU J62–J63
SAGRILAFT para empresas de tecnología y software en Colombia
Actualizado el 6 de julio de 2026 · 8 min de lectura
Las empresas de tecnología y software en Colombia se rigen por el umbral general del SAGRILAFT: 40.000 SMLMV en ingresos o activos al 31 de diciembre. Pero hay una excepción decisiva: si prestas servicios sobre criptoactivos, quedas obligado al Régimen Pleno desde 3.000 SMLMV de ingresos o 5.000 de activos. Aquí te explicamos cómo aplica la norma a tu empresa y qué riesgos vigilar.
El software es intangible: nadie puede «pesar» un desarrollo, una licencia o una consultoría, y esa dificultad para valorar el entregable convierte al sector en un canal atractivo para dar apariencia de legalidad a dinero ilícito. Súmale pagos internacionales constantes y el auge de los criptoactivos —que los estándares del GAFI vigilan de cerca— y entenderás por qué la Supersociedades mira con atención a las empresas de tecnología. Si aún no dominas el sistema, empieza por qué es SAGRILAFT.
¿Qué es el SAGRILAFT y por qué le aplica a tu sector?
El SAGRILAFT — Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM — es el sistema que la Superintendencia de Sociedades exige a las empresas del sector real en el Capítulo X de la Circular Básica Jurídica (Circular Externa 100-000016 de 2020). No es un requisito exclusivo de bancos: la obligación depende de tus cifras y de tu actividad. La guía completa del SAGRILAFT cubre el sistema de punta a punta; esta página aterriza la obligación y los riesgos a tu sector. Y no lo confundas con el PTEE, que gestiona corrupción y soborno transnacional — son sistemas hermanos y muchas empresas están obligadas a ambos.
¿Qué empresas de tecnología y software están obligadas?
El desarrollo de software y los servicios de tecnología (CIIU J62–J63) no están en la lista de sectores designados del Capítulo X, así que tu empresa se mide con la regla general: si al 31 de diciembre del año anterior registró ingresos totales o activos totales iguales o superiores a 40.000 SMLMV —basta uno de los dos—, debe implementar el Régimen Pleno de SAGRILAFT. Revisa los criterios completos en quién está obligado o resuélvelo en dos minutos con el clasificador de régimen. Y recuerda: la Supersociedades puede ordenarle la implementación a cualquier sociedad supervisada en cualquier momento, sin importar su tamaño.
La excepción cambia todo si tocas criptoactivos. Cuando la empresa presta servicios sobre activos virtuales —custodia, intercambio o transferencia de criptoactivos, lo que el estándar internacional llama VASP—, los umbrales caen a ingresos desde 3.000 SMLMV o activos desde 5.000 SMLMV, y no la llevan a Medidas Mínimas: la meten directo al Régimen Pleno, con oficial de cumplimiento, matriz de riesgo y reportes a la UIAF incluidos. Por eso muchas startups fintech y cripto quedan obligadas al sistema completo siendo todavía pequeñas. Si es tu caso, compara qué implica cada nivel en Régimen Pleno vs. Medidas Mínimas.
| Escenario | Umbral (ingresos o activos) | Aprox. en COP (SMLMV 2026) | Régimen |
|---|---|---|---|
| Regla general | ≥ 40.000 SMLMV | ≈ $70.036 millones | Régimen Pleno |
| Por debajo del umbral | — | — | No obligada por umbral (salvo orden del supervisor) |
En todos los escenarios basta superar uno de los dos criterios — ingresos totales o activos totales — con corte al 31 de diciembre del año anterior. Los pesos son referenciales, calculados con el SMLMV 2026 de $1.750.905 (Decretos 1469 y 1470 de diciembre de 2025, valor en controversia ante el Consejo de Estado): la norma manda en SMLMV. El detalle completo de umbrales y sectores está en quién está obligado al SAGRILAFT.
¿Pleno, Medidas Mínimas o no obligada?
Clasifica tu empresa gratis: ingresas ingresos, activos y sector, y el clasificador te dice el régimen que te corresponde bajo el Capítulo X y qué obligaciones trae.
Crea gratis el perfil de cumplimiento de tu empresa
Conoce tu régimen, verifica contrapartes contra ONU, OFAC, UE, Banco Mundial y BID, y emite conceptos con evidencia — en un solo flujo.
¿Cuáles son los riesgos LA/FT típicos del sector?
La matriz de riesgo de tu empresa no se parece a la de ningún otro sector: estas son las tipologías y señales de alerta que los documentos públicos de tipologías de la UIAF y los estándares del GAFI han descrito para tu actividad. Úsalas como insumo de tu matriz de riesgo LA/FT — no como lista exhaustiva.
Sobrefacturación de servicios intangibles
Nadie puede «pesar» un desarrollo a la medida, una licencia o una consultoría: el precio es el que las partes pacten, y esa opacidad permite inflar facturas para justificar dinero ilícito. Señales de alerta: contratos con objeto vago y sin entregables verificables, tarifas muy por encima del mercado que el cliente acepta sin negociar, facturación recurrente por «soporte» que nadie usa y clientes sin presencia real que pagan de inmediato. Este factor producto/servicio debe quedar calificado en tu matriz de riesgo LA/FT.
Pagos internacionales como canal de salida de divisas
Los pagos al exterior por licencias, regalías o servicios de desarrollo son moneda corriente en el sector, y por eso mismo sirven para sacar divisas con apariencia de legalidad. Los documentos de tipologías de la UIAF describen esquemas de facturación de servicios ficticios entre empresas vinculadas. Sospecha de contratos con proveedores del exterior sin capacidad técnica demostrable, pagos a jurisdicciones que no guardan relación con la operación, precios que no resisten una comparación de mercado y urgencia inusual por girar. Documenta el sustento económico de cada contrato transfronterizo.
Clientes fachada con suscripciones SaaS sin uso
Una empresa de papel puede pagar suscripciones de software durante meses solo para generar soporte contable de gastos: el dinero sale limpio y el «servicio» nunca se usa. Señales de alerta: cuentas que contratan planes altos y no registran usuarios activos ni inicios de sesión, pagos hechos por terceros distintos del titular del contrato, clientes que nunca reclaman ni piden soporte y renovaciones automáticas sin ninguna interacción. Antes de celebrar el contrato, verifica a la contraparte y a su beneficiario final en la consulta de listas restrictivas.
Criptoactivos que mueven valor por fuera del sistema financiero
Los criptoactivos permiten transferir valor sin pasar por bancos ni controles cambiarios, y los estándares del GAFI llevan años advirtiendo sobre su uso para lavar activos. Presta atención a clientes que insisten en pagar en cripto sin una razón de negocio clara, billeteras sin historial trazable, conversiones inmediatas a moneda fiduciaria tras cada pago y contrapartes que aparecen en listas restrictivas. Si tu producto además custodia o intercambia criptoactivos, el riesgo deja de ser una señal y se convierte en tu operación misma: trátalo como VASP.
¿Cuáles son los errores más comunes al implementar?
- —Asumir que la tecnología está exenta. El Capítulo X no excluye a ningún sector: si tus ingresos o activos alcanzan 40.000 SMLMV al 31 de diciembre, el Régimen Pleno te aplica como a cualquier empresa.
- —Ignorar el umbral VASP. Lanzar funciones de custodia, intercambio o transferencia de criptoactivos sin advertir que los umbrales caen a 3.000 SMLMV de ingresos o 5.000 de activos, con Régimen Pleno directo.
- —Medirse solo por ingresos. La obligación se activa por ingresos totales o por activos totales, basta uno de los dos; una startup con poca facturación pero balance robusto puede quedar obligada.
- —Activar clientes en autoservicio sin debida diligencia. El autoservicio del SaaS no exime de conocer a la contraparte: sin verificación de identidad, beneficiario final y listas, las multas pueden llegar a 200 SMLMV por cada cargo.
¿Qué sanciones arriesga tu empresa si incumple?
La base sancionatoria es el numeral 3 del artículo 86 de la Ley 222 de 1995: multas de hasta 200 SMLMV, sucesivas o no, por cada cargo formulado, contra la sociedad, sus administradores, el revisor fiscal y el oficial de cumplimiento. La práctica sancionatoria reciente — con casos y montos reales — está en sanciones del SAGRILAFT.
Y hay un costo que suele doler más que la multa: bancos que cierran productos por riesgo LA/FT, fiduciarias que no vinculan y contratantes que excluyen al proponente que no acredita su sistema. El costo real del incumplimiento es comercial antes que administrativo.
La evidencia lista antes de que te la pidan
Matriz de riesgo, screening permanente y conceptos con vigencia: el perfil de tu empresa deja rastro auditable desde el día uno.
¿Cómo implementar el SAGRILAFT en tu empresa?
La implementación seria son ocho piezas operando — política aprobada en junta, oficial de cumplimiento, matriz de riesgo, debida diligencia con beneficiario final, consulta de listas restrictivas, reportes a la UIAF, capacitación y expediente auditable. El paso a paso completo está en la guía de implementación del SAGRILAFT, y puedes empezar hoy mismo con la consulta de listas gratuita.
Transición en curso: el 2 de julio de 2026 la Supersociedades expidió la Circular Externa 100-000020 de 2026, una nueva Circular Básica Jurídica que unificaría SAGRILAFT y PTEE en un sistema integral. Al cierre de esta edición su texto oficial y sus plazos no estaban publicados: hoy sigue aplicando el Capítulo X, y actualizaremos esta página cuando la transición sea oficial.
Preguntas frecuentes
¿Mi empresa de desarrollo de software está obligada al SAGRILAFT?
Depende de su tamaño. Si al 31 de diciembre del año anterior registró ingresos totales o activos totales iguales o superiores a 40.000 SMLMV, debe implementar el Régimen Pleno. Además, la Superintendencia de Sociedades puede ordenar la implementación a cualquier sociedad supervisada en cualquier momento.
¿Qué umbral aplica si mi startup presta servicios sobre criptoactivos?
Si la empresa custodia, intercambia o transfiere activos virtuales (VASP), la obligación nace con ingresos desde 3.000 SMLMV o activos desde 5.000 SMLMV, y la lleva directamente al Régimen Pleno, no a Medidas Mínimas. Muchas startups cripto quedan obligadas al sistema completo siendo pequeñas.
¿Aceptar pagos en criptomonedas me convierte en VASP?
No necesariamente. El umbral reducido apunta a quienes prestan servicios sobre activos virtuales: custodia, intercambio o transferencia. Recibir cripto como medio de pago ocasional no equivale a eso, pero sí eleva tu riesgo LA/FT y debe reflejarse en tu debida diligencia y en tu matriz de riesgo.
¿Qué exige el Régimen Pleno a una empresa de tecnología?
Una política LA/FT/FPADM aprobada por la junta, un oficial de cumplimiento persona natural cuya designación se informa a Supersociedades en 15 días hábiles, matriz de riesgo por cuatro factores, debida diligencia con beneficiario final, consulta permanente de listas restrictivas y reportes ROS y AROS a la UIAF.
¿Qué sanciones arriesga una empresa de software que incumpla?
La Superintendencia de Sociedades puede imponer multas de hasta 200 SMLMV, sucesivas o no, por cada cargo, con base en el artículo 86 numeral 3 de la Ley 222 de 1995. Pueden recaer sobre la sociedad, sus administradores, el revisor fiscal y el oficial de cumplimiento.
Deja de administrar esto en Excel
Régimen, matriz, screening en 5 listas y concepto auditable — en una prueba gratis.
Este contenido es informativo y no constituye asesoría legal. Verifica siempre contra las fuentes oficiales y consulta a tu oficial de cumplimiento.