blog due legal

¿Qué cambia para las empresas que operan con criptoactivos en Colombia? - Resolución DIAN 000240 de 2025

Legal

El ecosistema de criptoactivos en Colombia sigue evolucionando, y con él, el marco regulatorio aplicable a las empresas que prestan servicios relacionados con criptomonedas. La DIAN, ha expedido una nueva resolución para incorporar un nuevo capítulo de intercambio de información aplicable a proveedores de servicios de criptoactivos, con el fin de implementar en Colombia el estándar internacional CARF (Crypto-Asset Reporting Framework). Todo lo anterior, se traduce en términos prácticos a que se abre la puerta a un esquema de reporte anual de ciertas operaciones con criptoactivos, con el propósito de realizar un intercambio automático de información entre jurisdicciones. 

Para fintech, exchanges, custodios y plataformas que intermedian transacciones, esto no es un cambio menor, pues esto exige preparar gobierno de datos, debida diligencia sobre usuarios, capacidad tecnológica y soportes para demostrar el cumplimiento. 

A lo largo de este artículo, te explicamos de manera clara y práctica lo que establece esta resolución, que es exactamente lo que cambia, a quién aplica, qué información debe reportarse, y cómo pueden prepararse las empresas para cumplirla sin riesgos. 

Primero, es importante saber lo que cambia exactamente, para esto hay que tener en cuenta que el objetivo principal de esta resolución es implementar un estándar internacional diseñado para fortalecer la transparencia fiscal en operaciones con criptoactivos y facilitar el intercambio automático de información entre países. 

Dicho esto, ahora la DIAN ha incorporado el Capítulo 11 a la Resolución Única, bajo el nombre de “Intercambio de Información de Proveedores de Servicios de Criptoactivos”. Este capítulo se enfoca especialmente en las obligaciones relacionadas con el reporte de información bajo el marco CARF y su aplicación comienza a partir del año gravable 2026. 

Es decir, la obligación de reporte toma como periodo de análisis las operaciones realizadas entre 1 de enero y 31 de diciembre de 2026. Aunque el primer reporte se presenta después, la empresa debe capturar, organizar y conservar desde este año los datos necesarios, ya que estos movimientos serán los que se reporten a la DIAN en el reporte anual del año siguiente. 

En términos generales, la DIAN busca identificar a los usuarios que operan con criptoactivos, conocer el volumen y tipo de operaciones realizadas, compartir esta información con otras jurisdicciones cuando corresponda, y finalmente, reducir riesgos de evasión fiscal y uso indebido de criptoactivos. De esta manera, Colombia podrá cumplir con sus compromisos internacionales en materia de transparencia tributaria y cooperación fiscal.

Para saber a quienes aplica esta nueva obligación, ten en cuenta que la resolución define conceptos clave como “Proveedor de Servicios de Criptoactivos” y “Proveedor Sujeto a Reporte”. 

En esta categoría suelen ubicarse actores como exchanges, las cuales son plataformas donde se compran, venden o intercambian criptoactivos. Asimismo, plataformas que facilitan transacciones para clientes mediante la intermediación o marketplaces. Por último, también se pueden encontrar custodios, los cuales son entidades que resguardan los criptoactivos o administran billeteras custodiadas.

Ahora bien, dependiendo del caso y la naturaleza de la actividad, suelen excluirse los proveedores de software que no intermedian ni ejecutan por cuenta de los clientes. De la misma manera esto también se aplica para proyectos donde no hay un prestador que, como negocio, realice transacciones por cuenta de usuarios.  

Un punto clave a tener en cuenta, es que si tu empresa es colombiana o extranjera y presta servicios de criptoactivos y tiene usuarios reportables, deberá cumplir con estas obligaciones ante la DIAN.

En esta resolución, la DIAN introduce el concepto de usuarios reportables, los cuales son todas aquellas personas naturales o jurídicas cuyas operaciones deben ser informadas. Esto se refiere a personas naturales residentes fiscales en Colombia u otras jurisdicciones participantes, personas que operen a través de la plataforma, y beneficiarios finales o personas que ejerzan control sobre sociedades usuarias.

Para cada usuario reportable, el proveedor deberá recopilar y reportar información detallada de identificación y residencia fiscal.

Dicho lo anterior, ¿qué operaciones tienden a quedar reportables?, la DIAN las definió como  “Transacción Relevante”. Es decir, las operaciones que, por su naturaleza, pueden quedar sujetas a reporte dentro del esquema CARF. El concepto abarca, entre otras, operaciones de intercambio de cripto-fiat, como criptoacivos por pesos, intercambio cripto-cripto, como por ejemplo Bitcoin por USDT, o transferencias de criptoactivos. 

La obligación de reporte no se limita únicamente a identificar usuarios, pues la DIAN exige un alto nivel de detalle, tanto personal como transaccional. 

Por un lado, en cuanto a la información de identificación del usuario, según el tipo, deberá reportarse lo siguiente:

  1. Nombre completo o razón social;
  2. Dirección y país de residencia fiscal;
  3. NIT;
  4. Fecha y lugar de nacimiento (para personas naturales);
  5. Información de los controlantes o beneficiarios finales (en personas jurídicas).

Por otro lado, para la información de las operaciones con criptoactivos, por cada tipo de criptoactivo, se deberá reportar información agregada anual sobre los siguientes:

  1. Intercambios entre criptoactivos y moneda de curso legal;
  2. Intercambios cripto-cripto;
  3. Transferencias de criptoactivos;
  4. Pagos realizados con criptoactivos cuando superen ciertos umbrales.

El nuevo esquema empieza a jugar desde el año gravable 2026, así que la información que se deberá consolidar es la de las operaciones realizadas entre el 1 de enero y el 31 de diciembre del presente año. El reporte anual se presenta a más tardar el último día hábil del mes de mayo del año siguiente. En otras palabras, lo correspondiente a 2026 vencerá el último día hábil de mayo del 2027.

Si la DIAN solicita ajustes o aclaraciones, la corrección debe realizarse dentro de los 30 días siguientes a la comunicación. Y, finalmente, es clave no perder la trazabilidad, los soportes deben conservarse por al menos cinco años, contados desde la fecha límite de presentación del reporte. 

La información deberá enviarse en formato XML, siguiendo las especificaciones técnicas definidas por la DIAN. 

Postergar la implementación del esquema CARF puede tener tres fuentes de riesgo principales. La primera es el incumplimiento formal, pues la obligación de reporte exige tener toda la información en orden a nivel de identificación y habilitantes, como por ejemplo los datos registrales actualizados. La segunda, es el riesgo tecnológico, ya que el reporte se entrega bajo especificaciones técnicas y formatos estructuras, como los archivos tipo XML mencionados anteriormente. Pues estas requieren integraciones y trazabilidad de datos que no se obtienen de inmediato. Y, finalmente, está el riesgo probatorio, porque la regulación obliga a conservar soportes y evidencia de debida diligencia y de las transacciones reportables, de tal manera que si no se guardan desde el inicio del año gravable aplicable, después será muy difícil reconstruir información completa y defendible ante los requerimientos. 

Checklist operativo

A continuación, te compartimos un checklist operativo para que tengas en cuenta lo que deberías preparar desde ya:

  1. RUT y habilitantes formales: Revisa que el RUT esté alineado con el rol de reportante y que la operación tenga los habilitantes formales listos. En particular, vale la pena verificar y gestionar la inclusión de la Responsabilidad 67 (Intercambio Automático de Información) en el RUT, y asegurar la firma electrónica con suficiente anticipación. 
  2. KYC y debida diligencia: La resolución remite un anexo de obligaciones y procedimientos (T6.16), por lo que aquí conviene ser más precavidas. Lo que sea obligación debe venir de ese anexo, y lo que no esté explícito debe tratarse como recomendación.
  3. Datos y tecnología: Si el reporte exige un formato estructurado, lo ideal es preparar desde ya la extracción de información conforme al formato XML señalado. 
  4. Conservación y evidencia:  Es recomendable implementar una política de archivo y auditoría que asegure la conservación de soportes por 5 años contados desde el vencimiento del reporte. 
  5. Protección de datos y compliance: La recomendación es alinear avisos de privacidad, finalidades, contratos y encargos de tratamiento con lo que exige el reporte regulatorio, procurando no recolectar más información de la necesaria y asegurar que el uso de datos esté justificado por la finalidad de cumplimiento. 

¿Cómo puede ayudarte Due Legal a cumplir esta nueva obligación?

En Due Legal acompañamos a empresas fintech, startups y plataformas tecnológicas en la implementación de marcos regulatorios complejos como este.

En Due Legal te ayudamos a entender tus obligaciones y a cumplirlas de forma segura. Agenda una consulta con nuestro equipo y prepárate para el nuevo entorno regulatorio.

Camila Gutierez

Tu aliado legal, a un clic

Obtén soluciones ágiles y claras. Agenda una llamada gratuita y hablemos de cómo potenciar tu empresa.

últimos artículos

Explora nuestros artículos más recientes

Legal
Impuesto AIU en Colombia: lo que todo prestador de servicios debe saber
Legal
¿Qué cambia para las empresas que operan con criptoactivos en Colombia? - Resolución DIAN 000240 de 2025
Legal
Win Sports: ¿Amargados egoístas o defensores de un derecho legítimo?
Agendar llamada
+57 314 395 6054
info@due-legal.com
Carrera 7 #116-50, Bogotá D.C. – República de Colombia
Servicios RecurrentesServicios OneOffÁreas de prácticaEquipo
AliadosComunidadHerramientas descargablesBlog
Due-Legal S.A.S. 2025 © Todos los derechos reservados. Desarrollado por Due-Legal S.A.S.
Política de privacidad