Por: Sebastián Ruiz.
La expedición de la Ley 2502 del 28 de julio de 2025 marca un hito significativo en la evolución del derecho penal colombiano y su adaptación frente a los desafíos tecnológicos del siglo XXI. Esta normativa, que modifica el artículo 296 del Código Penal para agravar el delito de falsedad personal cuando se utiliza inteligencia artificial, representa tanto una respuesta necesaria como un primer paso hacia una regulación más amplia de las tecnologías emergentes.
La proliferación de deepfakes y tecnologías de suplantación digital ha generado riesgos sin precedentes para la identidad personal, la privacidad y la confianza en la información. Los casos de uso malicioso de estas herramientas han crecido de manera exponencial, desde la creación de contenido pornográfico no consensuado hasta la manipulación de procesos electorales y la comisión de fraudes financieros. En este contexto, la definición precisa que hace la ley del concepto de «DeepFake» como «la creación, modificación y utilización de un registro audiovisual mediante Inteligencia Artificial de manera que el registro parezca auténtico del discurso o conducta real de un individuo» demuestra una comprensión técnica adecuada del fenómeno. Esta claridad conceptual era indispensable para evitar vacíos normativos que pudieran ser explotados por quienes cometen estos delitos.
El enfoque adoptado por el legislador colombiano presenta varios aspectos positivos que merecen reconocimiento. La creación de un agravante específico, con aumento de hasta una tercera parte de la multa para casos donde se utilice inteligencia artificial en la suplantación, es proporcional y reconoce la mayor lesividad que representa el uso de estas tecnologías. La integración de conceptos como «identidad», «imagen» e «individualidad» proporciona un marco conceptual robusto que permite abordar las múltiples dimensiones afectadas por este tipo de conductas. Particularmente acertada resulta la inclusión de aspectos «emocionales y reputacionales» en la definición de imagen, reconociendo que el daño trasciende lo meramente físico y se extiende hacia la construcción social de la persona.
El mandato de formulación de políticas públicas contenido en el artículo cuarto constituye posiblemente el elemento más visionario de la ley. Los ocho lineamientos establecidos, que van desde el marco ético hasta la cooperación internacional, configuran una hoja de ruta integral que trasciende la respuesta punitiva tradicional. La exigencia de colaboración intersectorial entre el Ministerio de Justicia, el Ministerio de Tecnologías de la Información y las Comunicaciones, la Fiscalía General de la Nación y la Policía Nacional refleja una comprensión adecuada de la naturaleza transversal del problema. Especialmente relevante resulta la obligación impuesta a la Fiscalía de adoptar herramientas específicas de inteligencia artificial para la detección de deepfakes, lo que representa un enfoque proactivo en la construcción de capacidades y reacción del Estado colombiano.
Sin embargo, la ley también presenta limitaciones importantes que ameritan un análisis crítico. La sanción prevista, consistente únicamente en multa, puede resultar insuficiente para disuadir conductas que pueden generar daños masivos e irreversibles. En casos de suplantación con fines de extorsión, chantaje o manipulación electoral, una sanción meramente pecuniaria podría no guardar proporción con la gravedad del daño causado. Esta deficiencia se agudiza cuando se considera que el sujeto activo de este tipo de delitos suele operar desde el extranjero o a través de estructuras criminales organizadas que pueden absorber fácilmente el costo de las multas como un gasto operacional.
Adicionalmente, la ley se centra exclusivamente en la modalidad de suplantación, dejando por fuera otras aplicaciones problemáticas de la inteligencia artificial en el ámbito penal. La manipulación de evidencia digital, la automatización de conductas delictivas, el uso de algoritmos para la comisión de fraudes masivos o la generación de contenido para la radicalización y el reclutamiento criminal quedan sin regulación específica por ahora. Esta limitación del ámbito de aplicación puede generar lagunas que los delincuentes tecnológicos podrían explotar mediante el desarrollo de nuevas modalidades delictivas no contempladas en la norma.
El plazo de dos años otorgado para la formulación de políticas públicas, aunque necesario para una implementación técnicamente sólida, puede resultar excesivo considerando la velocidad de evolución de estas tecnologías. Durante este período, los vacíos normativos y operativos podrían seguir siendo explotados, y las tecnologías maliciosas podrían evolucionar hacia formas más sofisticadas que hagan obsoletas las herramientas de detección que se están desarrollando e implementado. La experiencia internacional sugiere que, en materia de regulación tecnológica, la velocidad de respuesta es tan importante como la calidad técnica de las medidas adoptadas para mitigar este tipo de riesgos.
La verdadera fortaleza de esta ley no radica tanto en su componente punitivo como en su visión sistémica del problema. El establecimiento de obligaciones específicas para la Fiscalía General de la Nación en materia de desarrollo de herramientas de detección, trazabilidad y generación de estadísticas representa un avance significativo hacia la construcción de un sistema de justicia penal tecnológicamente capacitado. La previsión de informes anuales al Congreso sobre tendencias y riesgos emergentes configura un mecanismo de seguimiento que puede facilitar ajustes normativos futuros basados en evidencia empírica.
La dimensión internacional de la regulación también merece destacarse. La obligación de fomentar alianzas internacionales y la implementación de acuerdos multilaterales refleja una comprensión adecuada de que los delitos cibernéticos trascienden fronteras nacionales y requieren respuestas coordinadas. Colombia se posiciona así como un actor proactivo en la construcción de estándares regionales e internacionales para el control de tecnologías maliciosas, lo que puede fortalecer su capacidad de respuesta ante amenazas transnacionales.
La Ley 2502 debe entenderse como el primer eslabón de una cadena regulatoria más amplia que Colombia necesita construir en los próximos años. La experiencia internacional demuestra que la regulación efectiva de la inteligencia artificial requiere un enfoque que combine elementos preventivos, educativos, tecnológicos y punitivos, articulados en un marco coherente que evolucione al ritmo de la tecnología. Es fundamental que durante el período de implementación se evalúe rigurosamente la efectividad de las medidas adoptadas y se considere la necesidad de ampliar progresivamente el marco normativo frente a las múltiples modalidades delictivas en el marco del uso de las nuevas tecnologías.
En perspectiva futura, Colombia debería considerar el fortalecimiento del régimen sancionatorio para casos graves, y el desarrollo de mecanismos efectivos de reparación para las víctimas. Igualmente, resulta importante la construcción de capacidades institucionales especializadas, tanto en el sistema de justicia como en los organismos de control, que permitan una aplicación efectiva de la norma.
La expedición de la Ley 2502 de 2025 representa un paso significativo hacia la modernización del ordenamiento jurídico colombiano y su adaptación a los desafíos de la era digital. Si bien presenta limitaciones técnicas y de alcance que requerirán ajustes posteriores, su enfoque integral y su visión preventiva constituyen una base sólida para enfrentar los riesgos emergentes que plantea el uso malicioso de la inteligencia artificial. El éxito de esta normativa dependerá, en gran medida, de la efectividad de su implementación, de la capacidad del Estado y sus instituciones para desarrollar las herramientas técnicas y humanas necesarias, y de la voluntad política para continuar adaptando el marco legal a medida que evolucionen las tecnologías y las amenazas.
Colombia ha dado el primer paso en un camino complejo pero necesario. La regulación de la inteligencia artificial no debe ser vista como una limitación al desarrollo tecnológico, sino como una condición indispensable para su aprovechamiento ético y responsable. En este sentido, la Ley 2502 representa no solo una respuesta a los riesgos actuales, sino una inversión estratégica en la construcción de un futuro digital más seguro, confiable y equitativo para todos los colombianos. La verdadera medida de su éxito no será solo su capacidad para sancionar conductas delictivas, sino su contribución a la creación de un ecosistema digital en el que la innovación tecnológica y la protección de los derechos fundamentales puedan coexistir armoniosamente.
