Acceso Clientes
Acceso Asesores

Política de uso de Inteligencia Artificial

1. OBJETIVO 

Establecer los lineamientos, límites y controles para el uso de herramientas de Inteligencia Artificial (IA) en la atención al cliente a través de WhatsApp y canales de voz, garantizando el cumplimiento del Estatuto del Consumidor, la normativa de protección de datos personales, requisitos de seguridad de la información en cumplimiento del marco normativo ISO 27001:2022 y los estándares exigidos por la Superintendencia de Industria y Comercio (SIC), en especial cuando CrediSmart actúa como fuente de información frente al consumidor.


2. ALCANCE

La presente política aplica a todas las áreas de CrediSmart involucradas en la atención al cliente, en especial Servicio al Cliente, Aliados Comerciales y Cobranzas, así como a proveedores tecnológicos y terceros que participen en la operación de canales de atención asistidos o automatizados mediante IA.

3. LINEAMIENTOS

1. MARCO NORMATIVO Y REGULATORIO DE REFERENCIA

La presente política se fundamenta, entre otras, en las siguientes normas y lineamientos, los cuales deberán interpretarse de manera sistemática y conforme a la doctrina vigente de la Superintendencia de Industria y Comercio (SIC):
• Ley 1480 de 2011 – Estatuto del Consumidor.
• Ley 1581 de 2012 y normas reglamentarias – Régimen de Protección de Datos Personales.
• Circular Externa 001 de 2025 de la SIC – Instrucciones sobre el tratamiento de datos personales en el sector fintech y en servicios de financiación digital, incluyendo el uso de tecnologías automatizadas.
• Decretos y circulares de la SIC aplicables a comercio electrónico, atención al consumidor y tratamiento de datos.
• Lineamientos y conceptos de la SIC sobre uso responsable de tecnologías automatizadas e inteligencia artificial.
• Principios de la OCDE y buenas prácticas internacionales en materia de IA responsable, en cuanto resulten compatibles con la regulación colombiana.
• ISO/IEC 27001:2022

2. PRINCIPIOS RECTORES PARA EL USO DE IA

El uso de IA en atención al cliente se regirá por los siguientes principios, los cuales deberán aplicarse de manera reforzada en atención a la calidad de la Compañía como Fintech vigilada por la SIC y fuente de información frente al consumidor:

2.1. Transparencia

El consumidor deberá ser informado de manera clara, previa y verificable cuando esté interactuando con un sistema automatizado o asistido por IA, indicando su alcance, finalidad y limitaciones.

2.2. Finalidad y minimización de datos

La IA solo podrá tratar los datos personales estrictamente necesarios para la atención de la solicitud del consumidor, conforme a la finalidad informada y autorizada, en los términos de la Circular Externa 001 de 2025 de la SIC.

2.3. Responsabilidad

La Compañía es plenamente responsable por las respuestas, orientaciones y efectos derivados del uso de IA, aun cuando el canal sea operado de forma automatizada o a través de terceros.

2.4. Supervisión humana efectiva

Toda atención mediante IA contará con mecanismos reales, accesibles y oportunos de intervención y escalamiento a un agente humano, ya sea a solicitud del consumidor o cuando la naturaleza de la interacción lo requiera.

2.5. Protección al consumidor

La IA no podrá generar confusión, inducir a error, omitir información relevante ni presentar contenidos que puedan afectar la toma de decisiones económicas del consumidor.

2.6. Protección de datos personales y datos sensibles

El tratamiento de datos personales, incluidos datos sensibles o biométricos (como la voz), deberá cumplir con las obligaciones reforzadas previstas en la Ley 1581 de 2012 y la Circular Externa 001 de 2025 de la SIC.

2.7. Confidencialidad

La información tratada por sistemas de IA que garantiza que los datos personales, financieros, biométricos y cualquier otra información sensible utilizada o generada durante las interacciones no sea accedida, divulgada ni utilizada por personas, sistemas o terceros no autorizados, incluyendo modelos de IA, proveedores tecnológicos y canales de atención.

2.8. Disponibilidad

Garantizar que los sistemas de IA, los datos que estos utilizan y los canales de atención automatizados se encuentren accesibles y operativos cuando sean requeridos por usuarios autorizados.

2.9. Integridad

Propiedad que asegura que la información procesada, utilizada o generada por sistemas de IA se mantenga exacta, completa, consistente y no sea alterada de manera no autorizada, garantizando que las respuestas entregadas al consumidor correspondan fielmente a fuentes oficiales, actualizadas y previamente aprobadas.

2.10 Trazabilidad

Registrar, conservar y reconstruir de manera íntegra las interacciones, decisiones y respuestas generadas por sistemas de IA, incluyendo los datos de entrada, lógica aplicada, versiones del modelo y resultados entregados, con el fin de permitir auditoría, supervisión, investigación de incidentes y atribución de responsabilidades.

2.11 Seguridad del Diseño

Enfoque mediante el cual la seguridad de la información se integra desde las etapas iniciales de diseño y desarrollo de sistemas, procesos o servicios, incorporando controles de seguridad de forma preventiva y no reactiva, a lo largo de todo el ciclo de vida.

3. ROL DE LA COMPAÑÍA COMO FUENTE DE INFORMACIÓN

Cuando la atención no transaccional se preste en el contexto de la financiación de productos ofrecidos por aliados comerciales, CrediSmart actuará como fuente de información frente al consumidor. En consecuencia, será responsable de:
• La veracidad, claridad y suficiencia de la información suministrada por la IA.
• La coherencia entre la información entregada por aliados, agentes humanos y canales automatizados.
• La corrección oportuna de errores informativos detectados.

Dado que CrediSmart actúa como fuente de información respecto de productos financieros otorgados y/o gestionados a través de comercios aliados, y en estricto cumplimiento de la Circular Externa 001 de 2025 de la SIC, se establecen los siguientes lineamientos de responsabilidad:

3.1 Vinculatoriedad y Atribución: Toda información suministrada por la IA se considera oficial, vinculante y atribuible directamente a CrediSmart. En consecuencia:
• Fidelidad de la Información: La IA deberá replicar de forma fiel, consistente, completa y actualizada la información contenida en contratos, términos y condiciones, reglamentos y comunicaciones formales aprobadas por las áreas de cumplimiento.
• Prohibición de Interpretación: No se permitirá que la IA interprete, simplifique de manera sustancial o adapte discrecionalmente información financiera, jurídica o contractual.
• Imputabilidad: Cualquier error, ambigüedad, desactualización o contradicción en la información entregada por la IA será responsabilidad exclusiva de la Compañía en su calidad de fuente y responsable del servicio.

3.2 Integridad y Actualización de la Información: Para garantizar el principio de veracidad:

• Sincronía de Datos: La IA solo podrá suministrar datos financieros específicos (como saldos, estados de cuenta o fechas de pago) que cuenten con una sincronización técnica con el Core Financiero cuyo rezago no supere los quince (15) minutos.
• Protocolo de Discrepancia: Ante cualquier falla técnica en la actualización de datos o discrepancia detectada por el sistema, la IA deberá abstenerse de suministrar la información y procederá al escalamiento inmediato con un agente humano, informando al consumidor que la consulta requiere una validación adicional.

3.3 Control de integridad de la información: En el cual se garantiza que la información utilizada y generada por la IA sea exacta, completa y no modificada sin autorización, asegurando su correspondencia con fuentes oficiales aprobadas.
• Validaciones automáticas de contenido: Verificación automática de que las respuestas de la IA coincidan con información oficial, vigente y aprobada.
• Hash y control de versiones: Uso de huellas digitales y control de versiones para asegurar que los contenidos no sean alterados y que la IA utilice únicamente información vigente y autorizada.

4. USOS PERMITIDOS DE LA IA (SERVICIO NO TRANSACCIONAL)

4.1. La IA podrá ser utilizada únicamente para los siguientes fines, siempre que exista base legal y finalidad autorizada para el tratamiento de los datos personales involucrados:

• Orientación general: Información sobre procesos de solicitud, canales de atención oficiales y tiempos estimados de respuesta.
• Información Estándar: Repetición literal de textos, términos y condiciones previamente aprobados por las áreas de Legal y Cumplimiento.
• Estado de Trámites: Consulta de información general sobre el estado de solicitudes, casos o PQRS, limitándose a informar la etapa del proceso sin emitir juicios, aprobaciones o decisiones.
• Gestión de PQRSF: Recepción, clasificación inicial y radicación automatizada de Peticiones, Quejas, Reclamos y Sugerencias, asignando el número de radicado correspondiente al consumidor.
• Cobranza Informativa: Envío de recordatorios de pago y notificaciones de mora de carácter estrictamente informativo, sin capacidad de negociación, ofrecimiento de descuentos o acuerdos de pago.
• Redireccionamiento: Escalabilidad y redirección a agentes humanos o a otros canales oficiales de atención según la necesidad del usuario.

4.2. Límites al contacto de Cobranza mediante IA: El uso de IA para recordatorios de pago deberá ajustarse estrictamente a los horarios, canales y frecuencias establecidos en la Ley 2300 de 2023 (Ley “Dejen de Fregar”).
La IA tiene prohibido realizar contactos por fuera de los horarios legales o a través de canales que no hayan sido autorizados expresamente por el consumidor para fines de cobranza.

La IA podrá ser utilizada únicamente para:

• Orientación general sobre procesos (solicitud, canales de atención, tiempos).
• Repetición de información estándar previamente aprobada.
• Estado general de solicitudes o casos, cuando no implique decisiones.
• Recepción y clasificación de PQRS.
• Recordatorios informativos en gestión de cobranzas (sin negociación ni acuerdos).
• Redirección a canales o agentes humanos.

5. USOS PROHIBIDOS DE LA IA

En atención al nivel de riesgo regulatorio y a lo dispuesto en la Circular Externa 001 de 2025 de la SIC, queda expresamente prohibido que la IA:

• Cotice, calcule o simule cuotas, tasas, intereses, valores finales u obligaciones económicas.
• Confirme aprobaciones, rechazos o condiciones crediticias.
• Modifique, renegocie, interprete o adapte condiciones contractuales.
• Explique cláusulas complejas, sanciones, consecuencias jurídicas o escenarios de incumplimiento.
• Celebre acuerdos de pago, compromisos vinculantes o promesas de condonación.
• Utilice lenguaje ambiguo, estimativo, probabilístico o interpretativo.
• Trate datos personales para fines distintos a los autorizados por el titular.

Adicional, a las condiciones exigidas por la SIC, se prohíbe:

• Uso de datos no autorizados o canales no autorizados.
• Entrenamiento de modelos con datos productivos sin procesos de protección de datos.

6. LINEAMIENTOS ESPECÍFICOS POR CANAL

Los sistemas que soportan la operación de los canales de WhatsApp y voz deberán contar con mecanismos de autenticación robusta que garanticen el acceso únicamente a usuarios, servicios y componentes autorizados.

Asimismo, debe contar con un esquema de gestión de identidades y accesos (IAM) que permita la administración, control y trazabilidad de los permisos otorgados, asegurando el principio de mínimo privilegio y la segregación de funciones.

6.1 WhatsApp

• El mensaje inicial deberá identificar claramente al asistente como automatizado e informar la finalidad del tratamiento de datos personales, así como confirmar la autorización del cliente para el tratamiento de sus datos personales y registro de la conversación.
• El uso del canal deberá estar soportado en el consentimiento informado del titular o en otra base legal válida.
• Los flujos, respuestas y mensajes deberán estar previamente aprobados por las áreas Legal y de Cumplimiento.
• El usuario deberá contar, en todo momento, con la opción clara de solicitar atención humana.
• Las conversaciones deberán contar con trazabilidad, registro y medidas de seguridad adecuadas.

6.2 Voz

• Al inicio de la interacción se deberá informar que se trata de un sistema automatizado y la finalidad del tratamiento de los datos, así como confirmar la autorización del cliente para el tratamiento de sus datos personales y registro de la conversación.
• Los mensajes deberán utilizar guiones cerrados y aprobados, sin generación libre de contenidos financieros.
• La interacción deberá permitir la derivación inmediata a un agente humano.
• Las llamadas deberán ser grabadas, almacenadas y protegidas conforme a la normativa de protección de datos personales.

6.3 Tratamiento de datos biométricos y validación de identidad

En el marco del proceso de vinculación (onboarding) y autenticación, CrediSmart realizará la captura y tratamiento de datos biométricos consistentes en: (i) fotografía del rostro del titular (selfie), (ii) fotografía del titular portando su documento de identidad y (iii) registro de la huella vocal en canales de voz.

• Naturaleza Sensible: Se informa al titular que estos datos son sensibles. La entrega de estos es facultativa; no obstante, su tratamiento es un requisito de seguridad indispensable para la validación de identidad y prevención de fraude en el ecosistema.
• Estándares de Seguridad: Los datos biométricos serán encriptados en tránsito y reposo. La IA actuará únicamente como canal de recolección, y el cotejo (matching) se realizará contra bases de datos oficiales o servicios de verificación con estándares de seguridad bancaria.

6.4 Seguridad de la información en la gestión de los canales

• Seguridad en las comunicaciones: Las comunicaciones en los canales de WhatsApp y voz deberán contar con mecanismos de cifrado de extremo a extremo y el uso de protocolos seguros, garantizando la confidencialidad e integridad de la información transmitida.
• Protección de logs: Los registros de eventos (logs) deben protegerse y contar con controles de acceso restringido, garantizando su integridad y disponibilidad para fines de auditoría y monitoreo.
• Datos biométricos: El tratamiento de datos biométricos deberá contemplar políticas de retención y eliminación definidas, así como mecanismos de separación lógica que eviten su uso indebido o acceso no autorizado.

7. REGISTRO DE AUDITORÍA Y EXPLICABILIDAD (LOGS)

Todo sistema de IA implementado deberá generar y conservar un registro de auditoría (log) que permita reconstruir la lógica de la interacción. En caso de reclamación por parte del consumidor o requerimiento de la SIC, la Compañía deberá estar en capacidad de explicar:

• Los criterios lógicos que llevaron a la IA a proporcionar una respuesta específica.
• El cumplimiento de los guiones y límites establecidos en los numerales 8 y 9 de esta política.
• La versión del modelo de IA utilizado al momento de la interacción.

Los registros de eventos deberán contar con un periodo de retención definido conforme a la normativa aplicable. Asimismo, deberán ser monitoreados de forma continua para la detección de eventos sospechosos o anómalos.
Adicionalmente, las alertas deben ser notificadas al correo de itsolutions@credismart.co, con el fin de fortalecer la gestión de alerta y respuesta ante incidentes de seguridad.

8. RELACIÓN CON ALIADOS COMERCIALES

• Los aliados no podrán utilizar la IA para explicar condiciones financieras.
• Toda atención automatizada relacionada con el crédito deberá canalizarse a través de la Compañía.
• Los contratos con aliados deberán incluir cláusulas sobre uso autorizado de canales y comunicaciones.

9. GOBIERNO, CONTROL Y AUDITORÍA

• CrediSmart mantendrá documentación actualizada sobre el diseño, funcionamiento, fuentes de información, límites y controles de los sistemas de IA.
• Se realizarán revisiones periódicas de contenidos, flujos, respuestas y cumplimiento de la Circular Externa 001 de 2025 de la SIC.
• Se deberán implementar evaluaciones de impacto en privacidad cuando la IA trate datos sensibles o de alto riesgo.
• Cualquier incidente, desviación o potencial incumplimiento deberá ser reportado de manera inmediata al área Legal y siguiendo la gestión de incidentes establecida dentro de CrediSmart por medio del canal de comunicación itsolutions@credismart.co
• Alinear la gestión de riesgos para los sistemas de IA de acuerdo a la metodología establecida en Credismart, Asimismo, se deberá mantener una matriz de riesgos específica para IA, actualizada periódicamente y alineada con los riesgos tecnológicos y de negocio.
• Los sistemas de IA deberán estar sujetos a auditorías internas del SGSI, asegurando la generación y conservación de evidencias documentadas que permitan verificar el cumplimiento de los controles establecidos.
• Se deberán definir, monitorear y reportar indicadores clave de desempeño (KPIs) asociados a la operación de la IA, tales como incidentes de seguridad, errores en la información generada y niveles de escalamiento a atención humana.
• La Compañía deberá asegurar la continuidad de los servicios soportados por IA mediante la definición de planes de continuidad específicos que contemplen escenarios de falla o indisponibilidad.
• Se deberán definir y gestionar roles y perfiles de acceso para los sistemas de IA, asegurando que los usuarios cuenten únicamente con los permisos necesarios para el desempeño de sus funciones, conforme al principio de mínimo privilegio.
• Los accesos deberán ser revisados de manera periódica, garantizando su vigencia, pertinencia y correcta asignación.