¿Qué es la garantía de identidad? Niveles, marcos y requisitos explicados (2026)

Según el Departamento de Ciencia, Innovación y Tecnología del Reino Unido, la verificación de identidad es una de las principales causas de fraude en los procesos de incorporación digital. A pesar de ello, muchos equipos y expertos en cumplimiento normativo aún no le prestan la atención necesaria y la tratan como si fuera una simple verificación de identidad.

La garantía de identidad es el grado de confianza en que una persona afirma serlo. identidad digital En realidad, pertenece a la persona que lo presenta. Incluye todo, desde cómo los equipos recopilan y verifican la evidencia hasta cómo cumplen con las regulaciones necesarias. No importa si es durante la incorporación de nuevos clientes bajo la norma NIST SP 800-63 o el Marco de Confianza de Identidad Digital y Atributos del Reino Unido (DIATF), el nivel de garantía debe ser alto, ya que eso determinará su posición en cuanto al cumplimiento de las regulaciones y la protección contra el fraude.

Garantía de identidad vs. Verificación de identidad vs. Autenticación

La gente suele usar estos tres términos indistintamente, pero cumplen funciones diferentes:

Verificación de identidad Es el proceso de comprobar si un documento de identidad o un dato biométrico es auténtico.

Aseguramiento de identidad Es un término más completo que abarca la solidez de todo el proceso de verificación. Incluye la evidencia recopilada durante el proceso, cómo la validaron los equipos de cumplimiento y otros equipos pertinentes, y la fiabilidad con la que se puede confiar en ella a lo largo del tiempo.

Autenticación se refiere al proceso que Esto se realiza después de la verificación. Confirma que la misma persona verificada regresa a una sesión, no que su identidad se haya establecido correctamente desde el principio.

Conocer la diferencia entre estos tres asuntos es importante, especialmente para las empresas que están reguladas, porque, digamos, una institución financiera logra autenticación de cliente fuertePero si tiene una revisión inicial deficiente, no podrá satisfacer a los auditores y reguladores.

IAL1, IAL2 e IAL3: Explicación de los niveles de garantía de identidad del NIST

Las Directrices de Identidad Digital del NIST (SP 800-63A) definen tres Niveles de Garantía de Identidad (IAL). Estos constituyen el estándar global para determinar con qué rigor se ha verificado una identidad:

Según nuestra experiencia, la mayoría de los servicios financieros suelen alcanzar el nivel IAL2. Para lograrlo, su empresa u organización debe contar con un método fiable para realizar la verificación de documentos, el reconocimiento facial biométrico y la detección de vitalidad cuando sea necesario.

Niveles de seguridad de eIDAS: Bajo, sustancial y alto.

El Reglamento eIDAS (UE 910/2014) y su revisión eIDAS 2.0 El marco proporciona tres niveles de garantía que puede utilizar como referencia para la identificación electrónica en todos los estados miembros de la UE:

• Bajo: Esto tiene el mriesgo mínimo de uso indebido de identidad  y  sAdecuado para la mayoría de los servicios digitales básicos.
• Sustancial: Este significativamente rreduce el riesgo de de su cliente Identidad siendo utilizada indebidamente. También rrequiere un serie of autenticación de múltiples factores con credenciales verificadas.
• Alta: ItEs la nivel más fuerte de seguridad y La identidad suele estar vinculada a una credencial física o criptográfica que se verifica en persona o mediante un método equivalente. métodos que están preaprobados. Lo's usualmente se usa para de la máquina servicios públicos y privados de alto riesgo.

Para los servicios transfronterizos que operan en toda la UE, el nivel de seguridad sustancial o alto de eIDAS es el requisito mínimo para los servicios financieros. eIDAS 2.0 amplía este marco para incluir las carteras digitales, incorporando los requisitos de verificación de identidad directamente en los procesos de incorporación de clientes.

UK DIATF: Garantía de identidad en el mercado británico (2026)

La Marco de confianza de identidad y atributos digitales del Reino Unido (DIATF) Fue publicado por DIST y actualmente se encuentra en la fase de certificación beta. Proporciona un enfoque basado en la certificación para que las empresas garanticen la identidad de su base de clientes. Esto es lo que dice:

• Confianza media: Equivalente a IAL2. Tla requeriría anuncioverificación de documentos y biométrica, que deben ser cotejados contra una única fuente fuerte.
• Alta confianza: Equivalente a IAL3. Esto requeriría negocios actuar mmúltiples comprobaciones de fuentes independientesEstos pueden incluir factores como historial de actividad y vinculación biométrica.

Las empresas del Reino Unido que utilizan proveedores de servicios de identidad certificados en virtud del DIATF obtienen una base legal para confiar en esas comprobaciones para el derecho al trabajo, el derecho al alquiler y la verificación de antecedentes penales (DBS).

Para las empresas de servicios financieros bajo Autoridad de Conducta Financiera La supervisión y los controles de confianza media son el mínimo exigido para la incorporación de clientes según las normas vigentes contra el blanqueo de capitales.

¿Qué nivel de verificación de identidad necesita su empresa?

Depende totalmente de su entorno regulatorio, la exposición al riesgo y la naturaleza de la transacción:

IAL2 es el estándar principal que la mayoría de los operadores de fintech, criptomonedas e iGaming deben tener en cuenta. Shufti's verificación de documentos, verificación facial, el detección de AML Se combinan para ofrecer una garantía equivalente a IAL2 a gran escala, con registros de auditoría de sesión completa para satisfacer la revisión regulatoria.

¿Qué pruebas se requieren para alcanzar el Nivel 2 de Garantía de Identidad?

IAL2 exige que las empresas demuestren la identidad de las personas mediante pruebas de identidad vinculadas a una persona real en registros fiables y autorizados. Según NIST SP 800-63A, esto normalmente incluye:

• Una prueba contundente: Esto es cuando un documento de identidad con fotografía emitido por el gobierno (pasaporte, documento nacional de identidad o permiso de conducir) que, también ha sido verificado para manipulación es utilizado por una organización.
• Vinculación biométrica: Este proceso implica tomar una Coincidencia facial entre el retrato de identificación y una selfie en vivo del usuario. cliente. También debería ser un Detección de vitalidad conforme a la norma ISO 30107-3 para garantizar todo tipo de ataques de presentación están bloqueados.
• Correspondencia de dirección o registro: Este es opcional pero muy recomendable recomendado, especialmente para servicios financieros, a través de facturas de servicios públicos, extractos bancarios o cotejo de registros electrónicos.

Verificación de identidad frente a garantía de identidad

La verificación de identidad es la parte operativa del proceso que implica que las empresas recopilen documentos, realicen controles biométricos y verifiquen la identidad de los clientes cotejándola con listas de vigilancia.

La garantía de identidad es el resultado normativo derivado de ese proceso. Se trata del nivel de confianza que se asigna a dicho proceso de verificación, en función de la calidad de la evidencia y del rigor del procedimiento.

Una empresa puede llevar a cabo una revisión exhaustiva, pero aun así podría alcanzar un bajo nivel de seguridad si decide no documentar su metodología, no utilizar tipos de evidencia aprobados y no conservar registros de auditoría.

Es por eso que la Plataforma KYC La solución proporcionada por Shufti genera registros de auditoría estructurados y bien organizados para cada una de las verificaciones que realiza su organización. Proporciona la cadena de evidencia documentada que empresas como la suya pueden utilizar para mostrar a los reguladores cuando evalúen si su nivel de garantía es el adecuado.

Si su sistema de verificación actual no puede demostrar una garantía equivalente a IAL2, conviene revisarlo antes de su próxima auditoría de cumplimiento. Solicita una demo para ver cómo Shufti se ajusta a los requisitos de NIST, eIDAS y DIATF del Reino Unido.