SIC impone millonaria multa a Scotiabank por exempleado que vendía datos de clientes a criminales

El banco mismo realizó una investigación interna en la que determinó que la información personal de 790.000 clientes se vio comprometida. Las bases de datos llegaban a centro de atención telefónica.

Scotiabank. Crédito: scotiabankcolpatria.com

Periodista egresada de la Universidad de La Sabana, magíster en asuntos Políticos e Internacionales en la U. del Rosario. Es la editora de Economía en W Radio. Trabajó como periodista política en EL TIEMPO. Ganadora del Premio Rey de España 2021. Apasionada por este oficio. Luisa María Mercado https://twitter.com/LuisaMercadoD

16/09/2025 - 10:35 h COT

La W conoció la resolución con la que la Superintendencia de Industria y Comercio le impuso una multa a Scotiabank Colpatria por 700 millones de pesos por supuestas vulneraciones a las normas de protección de datos pues un exempleado de este banco (Walter Alexander Ladino Molano) vendía datos de sus clientes a redes criminales.

El banco investigó esta situación y determinó que “el total de clientes cuya información personal se vio comprometida con la ocurrencia de este evento es de setecientas veintiún mil trescientas setenta y un (721.371) personas”. Además, se estableció que “la causa del evento corresponde al abuso y extralimitación de funciones por parte de un empleado con cargos de confianza”. Incluso, después afirmó que se trata de más de 790.000 clientes.

Lea también:SIC ordena cerrar dos hoteles en La Guajira y uno en San Andrés, tras muerte de familia

Tras ello, el banco instauró varias medidas de contención y corrección.

“Manifiesta que esta Superintendencia está reconociendo que el ex empleado se extralimitó en el desarrollo de sus actividades pese a la confianza depositada por el Banco en él y, siendo consciente de las obligaciones de confidencialidad pactadas contractualmente y las diferentes capacitaciones que hacía periódicamente en materia de protección de datos, seguridad y código de conducta, dolosamente y aprovechando la buena fe depositada en él por el Banco, decidió realizar el envío no autorizado de las mencionadas bases de datos”, afirmó la SIC.

No obstante, para la SIC, este tipo de incidente afectó la confidencialidad de los datos personales; los datos afectados corresponden a datos generales, datos de identificación, datos socio económicos, y datos de ubicación y “después de realizar el análisis de la información reportada por la sociedad, el incidente de seguridad se clasifica como severidad alta”.

Incocrédito (Asociación para la Investigación, Información y Control de los Sistemas de Tarjetas de Crédito y Débito) fue el que descubrió esto y alertó al banco y señala el modus operandi:

Adquieren bases de datos de manera ilegal y las utilizan para generar obtener ingresos.
La base de tarjetas evidenciada en el comercio puede estar circulando en otros call center realizando ventas irregulares.
Obtienen un Merchant ID para ofrecer a los tarjetahabientes una membresía por ser acreedor a una tarjeta bancaria.
Se observó que funcionan como agregador a otras pasarelas.
Cambian de razón social o de representante legal, con el fin de obtener nuevos Merchant ID
En su proceso de venta generan engaño comercial a los titulares, realizando procesos irregulares sin contar con controles o medidas se seguridad.

El exempleado hizo esto durante cuatro años (2019 a 2022).

Le puede interesar: SIC ordena cerrar dos hoteles en La Guajira y uno en San Andrés, tras muerte de familia

Hay que resaltar que esta sanción no se encuentra en firme y el banco interpondrá los recursos pertinentes contra la misma.

Escuche W Radio en vivo:

WRadio FM

Directo

El código iframe se ha copiado en el portapapeles

Bancos