Daniel Acevedo

El laberinto del IVA en Colombia: cuando cumplir la ley es el mayor riesgo operativo

Daniel Acevedo — Tue, 10 Feb 2026 23:14:53 GMT

Imagina ser el gerente de e-commerce o el director financiero de una plataforma de comercio transfronterizo en Colombia el pasado 30 de enero de 2026. Pasaste diciembre reprogramando tu pasarela de pagos. Invertiste las primeras semanas de enero capacitando a tu equipo de servicio al cliente y ajustando tus integraciones de API con las empresas de mensajería (couriers) para cumplir con una nueva norma: cobrar el 19% de IVA a los paquetes que antes estaban exentos. Modificaste tu estructura de precios, notificaste a tus usuarios y empezaste a recaudar.

Cumpliste. Hiciste la tarea.

Y entonces, un comunicado de prensa de la Corte Constitucional te dice que la norma bajo la cual operaste durante todo el mes “no produce efectos” desde ese momento. De golpe, tu sistema de cobro, que hasta ayer era “cumplimiento normativo”, hoy podría interpretarse como un cobro indebido al consumidor.

¿Qué haces con el dinero recaudado? ¿Lo devuelves uno a uno a miles de clientes? ¿Se lo giras a la DIAN aunque la norma esté suspendida? ¿Detienes los envíos en aduana? Bienvenidos al laberinto de la incertidumbre jurídica en Colombia. Un lugar donde la transformación digital no se rompe por falta de tecnología, sino por falta de certeza operativa.

Cronología de un caos anunciado

Para entender la magnitud del riesgo empresarial, consideremos la cadena de hechos. No se trata de estar a favor o en contra de los impuestos, sino de analizar la calidad de la implementación estatal.

29 de diciembre de 2025: El Gobierno Nacional expide el Decreto Legislativo 1474 de 2025, en el marco de una emergencia económica. El artículo clave modifica el estatuto tributario para reducir el umbral de exclusión del IVA en importaciones por tráfico postal y en envíos urgentes. Lo que antes estaba exento hasta USD 200 ahora solo lo está exento hasta USD 50.
15 de enero de 2026: La DIAN emite el Comunicado de Prensa No. 005, explicando la racionalidad de la medida: “equilibrar la cancha” entre productores nacionales y plataformas extranjeras y cerrar la vena rota del contrabando técnico fraccionado. Las empresas ajustan sus operaciones. El mensaje es claro: hay que cobrar.
29 de enero de 2026: La Corte Constitucional publica el Comunicado No. 01. En él, anuncia la suspensión provisional del Decreto 1390 (el decreto madre de la emergencia) y, mediante los Autos 082 y 084 de 2026, ordena explícitamente que los decretos derivados, como el 1474, “no producirán efectos” desde la fecha de la decisión y mientras se surte el control de constitucionalidad definitivo.

En un lapso de 31 días, una regla fundamental del comercio exterior cambió, se implementó, operó y se suspendió.

El costo invisible de la incertidumbre

La teoría económica y los manuales de derecho suelen asumir que la ley es binaria: existe o no existe. Pero en la operación diaria de una empresa, la ley es un flujo de procesos.

La OCDE, en sus reportes sobre Tax Certainty, ha sido enfática en señalar que la inversión y el crecimiento empresarial dependen menos de la tasa impositiva nominal y más de la previsibilidad del sistema. Cuando las reglas del juego cambian de forma abrupta o retroactiva, el costo de capital aumenta.

Para una empresa de retail o logística, este “limbo” jurídico genera costos reales que no aparecen en el informe del P&G bajo el rubro de “impuestos”, pero que drenan la caja:

Costos tecnológicos: Reprogramar un checkout o un ERP (sistema de planificación de recursos empresariales) no es mover un interruptor. Requiere horas de desarrollo, pruebas de QA (aseguramiento de la calidad) y despliegue. Hacerlo dos veces en un mes es un desperdicio de recursos productivos.
Fricción logística: Los operadores postales y los intermediarios aduaneros operan con declaraciones masivas. Si un paquete salió de Miami el 28 de enero (con IVA) y llega a Bogotá el 30 de enero (con la norma suspendida), ¿cómo se nacionaliza? La mercancía detenida en depósitos cuesta dinero diario.
Contingencia contable: El dinero recaudado por un impuesto que “perdió vigencia” se convierte en un pasivo tóxico. Si la empresa lo declara como impuesto, la DIAN podría rechazarlo o aceptarlo bajo cuerdas separadas. Si lo declara como ingreso, es falso. Si lo mantiene como “pago en exceso por devolver”, activa una pesadilla operativa de microtransacciones bancarias.

Entre la espada de la DIAN y la pared de la SIC

Aquí es donde el asunto se vuelve peligroso para el representante legal y el oficial de cumplimiento. La empresa queda atrapada en un fuego cruzado entre dos obligaciones legales que, en este escenario de caos, parecen contradictorias.

1.- El riesgo de no cumplir (o haber cumplido tarde)

Durante la vigencia del Decreto 1474 (del 1 al 29 de enero), la obligación consistía en cobrar. Las empresas que, por lentitud tecnológica o por decisión gerencial, no implementaron el cobro del 19% sobre los bienes de entre USD 50 y USD 200, técnicamente incurrieron en una omisión tributaria.

La DIAN tiene facultades de fiscalización extensivas. Aunque la norma haya sido suspendida a futuro (efectos ex nunc desde el 29 de enero, salvo que la Corte module lo contrario en la sentencia final), el hueco fiscal de esos 29 días existe. ¿Perseguirá la administración esos montos? La historia nos dice que el Estado rara vez perdona deudas, incluso las nacidas en el caos.

2.- El riesgo de cumplir "por si acaso" (protección al consumidor)

Ante la duda, el instinto conservador de muchos abogados y contadores es: “Sigamos cobrando el IVA y lo guardamos; es más seguro que debérselo a la DIAN”.

Esto es un error garrafal desde la óptica del Derecho del Consumo.

La Ley 1480 de 2011 (Estatuto del Consumidor) es implacable respecto de la información y el precio.

Artículo 23: Los proveedores tienen la obligación de suministrar información “clara, veraz, suficiente, oportuna, verificable, comprensible, precisa e idónea”.
Artículo 26: El precio debe ser público e incluir todos los impuestos y costos adicionales. “El consumidor solo estará obligado a pagar el precio anunciado”.

Si una empresa sigue cobrando un 19% adicional bajo el concepto de “IVA” o “arancel” basándose en una norma que la Corte Constitucional ha declarado sin efectos, está incurriendo, técnicamente, en un cobro de lo no debido y en información engañosa. Le está diciendo al consumidor: "El Estado me obliga a cobrarte esto”, cuando el Estado (vía la Corte) ha dicho: “Pare, no cobre esto por ahora”.

La Superintendencia de Industria y Comercio (SIC) tiene dientes afilados. El Artículo 61 de la Ley 1480 permite imponer multas sucesivas de hasta 2.000 salarios mínimos legales mensuales vigentes. Un error en la configuración tributaria del checkout puede derivar en una investigación administrativa por violación de los derechos del consumidor, o, peor aún, en una demanda de acción de grupo si el volumen de afectados es alto.

El riesgo reputacional es aún mayor. En la era de las redes sociales, un usuario que se dé cuenta de que le cobraron un impuesto suspendido no presentará un derecho de petición; hará un video viral denunciando “robo”. Y técnicamente, tendrá un punto válido.

La responsabilidad del Estado: el gran ausente

Es fácil culpar a las empresas. “Deberían tener sistemas más ágiles”, dicen algunos. “Deberían tener mejores abogados”, dicen otros. Pero la raíz del problema radica en la gestión pública del cambio normativo.

La administración pública y el legislador (en este caso, el Ejecutivo legislando en emergencia) tienen el deber de considerar la implementación como parte de la política pública. Emitir un decreto que altera millones de transacciones digitales sin un periodo de transición técnica adecuado y luego tener un choque de trenes institucional que lo suspende de un día para otro constituye una falla sistémica.

La OCDE y el Banco Mundial han señalado repetidamente que la complejidad tributaria no solo se mide por la cantidad de impuestos, sino también por el tiempo y esfuerzo requeridos para cumplirlos. Colombia, al crear estos escenarios de intermitencia normativa, castiga desproporcionadamente al empresario formal. El contrabandista no reprogramó su sistema; el contrabandista siguió pasando mercancía por debajo de la mesa. Fue la empresa legal, la que paga licencias de software y contrata auditores, la que tuvo que asumir el costo del caos.

La transformación digital exige certeza

El caso del IVA al comercio electrónico de 2026 debe servir como una lección dolorosa pero necesaria. La digitalización de la economía no es solo un asunto de "máquinas" y código; es un asunto de reglas claras.

Las empresas deben blindarse. Esto implica:

Tener capacidad de reacción tecnológica inmediata (arquitectura de software flexible).
Integrar mesas de crisis en las que el director financiero, el abogado y el jefe de tecnología hablen el mismo idioma en tiempo real.
Priorizar la transparencia para el consumidor. Si hay duda, se debe comunicar. Es preferible devolver el dinero con una explicación clara que retenerlo bajo una premisa legal falsa.

La transformación digital no se rompe por falta de tecnología; se rompe por falta de certeza operativa. Y cuando la certeza falla, el costo lo pagan siempre los mismos: el empresario correcto que intenta navegar la tormenta y el consumidor común que termina financiando la ineficiencia del sistema.

El escrow de software como salvavidas en la contratación pública en Colombia

Daniel Acevedo — Tue, 10 Feb 2026 17:15:36 GMT

La modernización tecnológica del Estado y de las empresas de servicios públicos en Colombia suele venderse bajo la promesa de la eficiencia: medidores inteligentes, plataformas de recaudo en la nube, sistemas SCADA automatizados para el control de fluidos. Sin embargo, detrás de la interfaz de usuario y las métricas de rendimiento, se esconde un riesgo silencioso que solo se vuelve evidente cuando la relación con el proveedor se rompe: la pérdida del control operativo.

El reciente debate en torno a EMCALI y su sistema de control de acueducto es el ejemplo perfecto de este dilema. Cuando la operación de una infraestructura crítica, como el suministro de agua potable de una ciudad, pasa a depender de un software propietario cerrado, la entidad contratante se enfrenta a una vulnerabilidad estratégica: si el proveedor quiebra, desaparece o decide unilateralmente suspender el soporte por una disputa comercial, la entidad queda con una "caja negra" que no puede mantener, auditar ni reparar. El agua deja de ser un problema de ingeniería hidráulica para convertirse en un problema de ingeniería de software y, fundamentalmente, de ingeniería contractual.

En este escenario, el escrow de código fuente (depósito en garantía de software) deja de ser una cláusula exótica de abogados anglosajones para convertirse en un mecanismo esencial para la continuidad del negocio y la soberanía tecnológica. En Colombia, no obstante, su implementación suele ser deficiente, confundiéndose con el registro de derechos de autor o limitándose a cláusulas muertas que, en el momento de la crisis, resultan inejecutables.

Este artículo desglosa la naturaleza operativa y jurídica del escrow de software en el ordenamiento colombiano, proponiendo una ruta para pasar de la teoría a la protección real de la infraestructura crítica.

1.- La ilusión del control: Qué es (y qué no es) un escrow

Para entender la necesidad del escrow, debemos superar la confusión habitual entre "comprar software" y "licenciar uso". En la gran mayoría de los contratos de modernización tecnológica estatal o corporativa, la entidad no compra la propiedad intelectual del software lo cual sería costosísimo e innecesario, sino que adquiere una licencia de uso.

Esto implica que el código fuente, las instrucciones legibles por humanos que permiten entender y modificar el programa, permanece bajo el control exclusivo del proveedor. Aquí nace el riesgo de Vendor Lock-in: la entidad depende totalmente del proveedor original para cualquier corrección, actualización o parche de seguridad. Si ese proveedor falla, el sistema muere.

El software escrow es el mecanismo para mitigar este riesgo. Según definiciones internacionales aceptadas, como las analizadas por la OCDE en el ámbito de la seguridad digital, es un acuerdo tripartito entre: (i) el licenciante (proveedor), dueño del software; (ii) el licenciatario (cliente/entidad), usuario del sistema; y (iii) el agente de escrow (tercero de confianza), custodio neutral.

El proveedor deposita el código fuente y la documentación técnica crítica en manos del agente de escrow. Este agente se obliga a custodiarlo y a no entregarlo al cliente a menos que ocurra una "condición de liberación" (release event) pactada previamente (ej., quiebra del proveedor).

Lo que NO es un Escrow

.- No es una cesión de derechos patrimoniales: el cliente no se convierte en dueño del código al firmar el contrato. Solo accede a él si ocurre el desastre y, usualmente, con una licencia restringida exclusivamente para el mantenimiento ("licencia de supervivencia").

.- No es el registro ante la DNDA: En Colombia, muchos abogados confunden el escrow con el Registro de Software ante la Dirección Nacional de Derecho de Autor. El registro ante la DNDA tiene fines probatorios de titularidad y de publicidad; no es un mecanismo operativo para entregar el código al cliente en caso de falla. La DNDA no actúa como un agente contractual de liberación rápida.

.- No es un backup: No se trata de guardar una copia del ejecutable (.exe), sino de los planos de construcción (código fuente, scripts de compilación, librerías, documentación, etc.).

2.- Depósito, fiducia y propiedad intelectual

Colombia no tiene una "Ley de escrow de software". Por tanto, la figura debe construirse a partir de las herramientas del derecho privado y del derecho administrativo existentes. La solidez del mecanismo depende de la figura jurídica que se elija para estructurarlo.

A. El contrato de depósito (Código Civil)

La base más elemental es el contrato de depósito regulado en el Código Civil (Art. 2236 y ss.). El proveedor (depositante) confía una cosa corporal o incorporal (el soporte magnético o las llaves de acceso al repositorio) a un tercero (depositario) para que la guarde y la restituya en especie a voluntad del depositante o cuando se cumplan las condiciones del contrato.

Limitación: El depósito civil es precario para activos digitales complejos y no ofrece las garantías de un patrimonio autónomo en caso de que el agente de escrow mismo entre en problemas.

B. La fiducia mercantil y el encargo fiduciario

Esta es la estructura más robusta y realista en el ordenamiento jurídico colombiano. Bajo el Código de Comercio (Art. 1226) y la doctrina de la Superfinanciera, se puede constituir un patrimonio autónomo o un encargo fiduciario en el que el bien fideicomitido es el soporte del código fuente (o de las credenciales de acceso).

Ventaja: La fiduciaria actúa como un agente profesional, imparcial y regulado. Las instrucciones irrevocables garantizan que, si se demuestra el incumplimiento técnico o la insolvencia del proveedor, la fiduciaria otorgará a la entidad contratante el acceso al código sin que el proveedor pueda bloquearlo arbitrariamente.
Uso práctico: En fusiones y adquisiciones (M&A) en Colombia, el escrow es estándar para retener una parte del precio; la misma lógica aplica para retener el "know-how" crítico del software.

C. El escrow en la contratación estatal

La guía de adquisición de software de Colombia Compra Eficiente reconoce la tensión entre adquirir licencias (en las que no se entrega el código) y el desarrollo a la medida (en el que el Estado suele pedir la cesión de derechos).
El escrow se presenta como la vía media ideal para sistemas híbridos o modernizaciones. Un precedente técnico relevante se encuentra en los procesos de la DIAN, donde, en etapas de indagación de mercado (RFI), se ha contemplado explícitamente el "acuerdo de escrow" o "depósito en garantía" del código fuente como alternativa para mitigar riesgos en soluciones que involucran propiedad intelectual preexistente del proveedor.

Esto respeta la Decisión Andina 351 sobre derecho de autor: el proveedor mantiene su propiedad patrimonial (y puede seguir vendiendo su software a otros), pero la entidad pública asegura que, si el proveedor desaparece, el servicio público no se detendrá, ya que tendrá el derecho contractual de acceder al código para mantenerlo operativo.

3.- El checklist para un acuerdo funcional

Una cláusula que simplemente diga "el proveedor depositará el código" es letra muerta. El software moderno es casi un organismo vivo, complejo y dependiente de múltiples factores. Un acuerdo de escrow mal diseñado puede hacer que, al momento de la crisis, la entidad reciba un código obsoleto, encriptado o imposible de compilar.

Para que el escrow funcione, debe incluir estas condiciones técnicas y legales:

A. Alcance del depósito (El "Qué")

No basta con el código. El depósito debe incluir:

Código fuente completo (versión exacta en producción).
Scripts de compilación (Build scripts) y de despliegue.
Documentación técnica y manuales de arquitectura.
Lista de librerías de terceros y dependencias (Bill of materials).
Si se trata de infraestructura en la nube: los scripts de Infrastructure as Code (Terraform, Ansible, CloudFormation).
Advertencia: Nunca se deben depositar credenciales vivas (passwords) sin una política de rotación, ya que supone un riesgo de seguridad.

B. Verificación técnica (El "Test de Vida")

Este es el punto en el que falla el 90% de los escrows. Depositar un USB o un archivo ZIP cerrado no sirve.

Verificación de nivel 1: El agente verifica que los archivos no estén corruptos y sean legibles.
Verificación de nivel 2 (Compilación): Un tercero técnico toma el material depositado e intenta compilarlo y ejecutarlo en un ambiente limpio. Si el software no "corre" con lo depositado, el proveedor incumple. Esto debe hacerse anualmente o con cada actualización mayor (Release).

C. Los triggers de liberación (El "Cuándo")

Las condiciones deben ser objetivas y verificables para evitar litigios que paralicen la entrega:

Disolución, liquidación o admisión a procesos de insolvencia del proveedor.
Cesación de operaciones o abandono del soporte técnico durante más de “X días”.
Incumplimiento grave de Acuerdos de Nivel de Servicio (SLA) críticos no subsanados.
Fusión o adquisición del proveedor en la que el nuevo dueño descontinúa el producto.

D. Procedimiento de liberación (El "Cómo")

Notificación del beneficiario al agente de escrow.
Periodo de objeción corto para el proveedor (p. ej., 10 días) para demostrar que no ha ocurrido el incumplimiento.
Mecanismo de resolución expedita (p. ej., dictamen de perito técnico) ante una disputa, para no esperar años a un fallo en la jurisdicción ordinaria.

E. Licencia posliberación (El "Para Qué")

El contrato debe establecer que, al producirse la liberación, se otorga automáticamente a la entidad una licencia de uso y modificación del código fuente.

Alcance: estrictamente para fines de mantenimiento, corrección de errores y continuidad del negocio propio.
Restricción: Prohibición expresa de comercializar, vender o distribuir ese código a terceros (protegiendo el patrimonio del proveedor).

4.- Conclusión

El caso de las alertas en EMCALI sobre el control del software de acueducto es un aviso temprano de la nueva realidad de la gestión pública y corporativa. A medida que la infraestructura física (tubos, cables, edificios) depende de la infraestructura lógica (código, algoritmos, nubes), la propiedad de la máquina es irrelevante si no se tiene control sobre el "cerebro" que lo opera.

Implementar esquemas de escrow en Colombia no es un acto de desconfianza hacia el proveedor tecnológico, sino un estándar de madurez en la gestión de riesgos. Es el equivalente digital de tener un seguro de lucro cesante. Para las entidades públicas y las empresas de servicios esenciales, exigir estas cláusulas y, sobre todo, auditar su cumplimiento técnico es la única forma de garantizar que la modernización no se convierta en una trampa de dependencia. El software puede fallar, las empresas pueden quebrarse, pero el agua, la energía y la salud no pueden dejar de fluir. Ese riesgo se gobierna, antes que con código, con contratos inteligentes y previsivos.