Conozca a su cliente (KYC): Panorama global de las normas regulatorias y de cumplimiento.

Conozca a su cliente (KYC) El proceso de verificación de identidad (KYC) es un procedimiento implementado por las empresas, especialmente las de banca, tecnología financiera y servicios financieros, para verificar la identidad de sus clientes, evaluar la legitimidad de sus fondos y analizar su perfil de riesgo general. Esto se logra mediante la recopilación y validación de información clave, como documentos de identidad, comprobante de domicilio, estados financieros y, en ocasiones, el origen de su patrimonio. El KYC va más allá de la incorporación de clientes e incluye el monitoreo continuo de las transacciones financieras y la revisión periódica del riesgo del cliente, de modo que se puedan detectar comportamientos sospechosos a tiempo y tomar las medidas adecuadas.

KYC es la piedra angular de la lucha global contra el blanqueo de capitales (AML) y el terrorismo. 

Los esfuerzos de financiación (CTF) permiten a las empresas prevenir el uso indebido de sus plataformas y cumplir con las regulaciones nacionales e internacionales establecidas por organizaciones como el Grupo de Acción Financiera Internacional (GAFI). No implementar procedimientos KYC adecuados puede exponer a las instituciones a sanciones regulatorias, daños a su reputación y una pérdida significativa de la confianza del consumidor.

Aunque la implementación de procedimientos de verificación de identidad (KYC) puede ser compleja y requerir muchos recursos, es esencial para el crecimiento sostenible tanto a nivel nacional como internacional. Las prácticas KYC bien implementadas permiten prevenir el fraude y proteger los datos de los clientes, lo que posibilita servicios más personalizados y relaciones comerciales más sólidas. A medida que el mundo se interconecta digitalmente, innovaciones como el e-KYC, la verificación biométrica y la evaluación de riesgos basada en IA se utilizan cada vez más para optimizar el cumplimiento normativo y mejorar la experiencia del cliente, convirtiendo al KYC no solo en un requisito regulatorio, sino también en una ventaja competitiva.

Marco regulatorio KYC

El marco para el cumplimiento de las normas KYC (Conozca a su Cliente) está en gran medida determinado por el Grupo de Acción Financiera Internacional (GAFI), un organismo intergubernamental establecido en 1989 que define los estándares contra el lavado de dinero y la financiación del terrorismo a nivel mundial. Más de 200 jurisdicciones han adoptado las 40 Recomendaciones del GAFI, que se han actualizado continuamente a lo largo de los años, y las han desarrollado a nivel nacional.

La organización realiza evaluaciones mutuas para valorar a los países miembros tanto en lo que respecta al cumplimiento técnico de sus leyes contra el blanqueo de capitales y la financiación del terrorismo como a la eficacia de su implementación. Los países que no superen estas evaluaciones pueden ser incluidos en la lista gris o la lista negra del GAFI, lo que limita gravemente su acceso a los mercados financieros internacionales. Estar en estas listas puede tener un impacto extraordinario en el bienestar financiero de una región, lo que impulsa a los países a promulgar y aplicar leyes pertinentes.

Si bien algunos principios generales son universales, como la debida diligencia del cliente (CDD), la debida diligencia reforzada (EDD) para clientes de alto riesgo y el monitoreo continuo, las normas específicas pueden variar significativamente de un país a otro. Las regulaciones nacionales pueden interpretar las directrices del GAFI a través de evaluaciones de riesgo locales, la madurez del sector financiero y las capacidades de aplicación. La mayoría de las jurisdicciones cuentan con organismos reguladores especializados que velan por el cumplimiento de las normas KYC y AML y pueden imponer multas o exigir reformas cuando se detectan incumplimientos.

Debido a la naturaleza digital del sistema financiero moderno, se están implementando a nivel internacional nuevas disposiciones relativas a la incorporación remota de clientes, la verificación de identidad digital y el monitoreo automatizado de transacciones. En algunas partes del mundo, el alcance regulatorio también se ha ampliado para incluir instituciones no bancarias como proveedores de servicios de activos virtuales (VASP), startups fintech, plataformas de intercambio de criptomonedas, profesionales inmobiliarios e incluso abogados y contadores. Esto refleja un creciente reconocimiento de que el lavado de dinero y el fraude pueden extenderse más allá de los canales financieros tradicionales. 

A continuación, se presenta una descripción general, jurisdicción por jurisdicción, de los principales reguladores de KYC, las tendencias nacionales en la aplicación de la normativa y las acciones de cumplimiento de alto perfil de los últimos años, destacando cómo se están aplicando los principios globales en contextos locales.

Estados Unidos

Estados Unidos cuenta con uno de los sistemas más amplios y de mayor alcance para el cumplimiento de las normas KYC (Conozca a su Cliente) y AML (Antilavado de Dinero). Este sistema se basa en la Ley de Secreto Bancario (BSA, por sus siglas en inglés) de 1970, que ha evolucionado significativamente a lo largo de los años para abordar la creciente complejidad de los delitos financieros, incluyendo la Ley Patriota de Estados Unidos de 2001 y la Ley contra el Lavado de Dinero de 2020.

FinCEN (Red de Ejecución de Delitos Financieros)

FinCEN es una oficina del Departamento del Tesoro de los Estados Unidos que vela por el cumplimiento de la Ley de Secreto Bancario (BSA) y supervisa el cumplimiento de las normas KYC/AML para empresas como bancos, empresas de servicios monetarios, casinos, firmas de valores y un número creciente de proveedores de servicios de tecnología financiera y de activos virtuales (VASP). También supervisa la presentación de Informes de Actividad Sospechosa (SAR), las obligaciones de Debida Diligencia del Cliente (CDD) y la transparencia sobre la titularidad real, según lo estipulado en la Ley de Transparencia Corporativa de 2024.

OFAC (Oficina de Control de Activos Extranjeros)

La OFAC administra y aplica las sanciones económicas y comerciales de Estados Unidos, en consonancia con los objetivos de seguridad nacional y política exterior establecidos por el Presidente y mediante leyes del Congreso. Como parte de las obligaciones de Conozca a su Cliente (KYC), las instituciones deben verificar a sus clientes cotejándolos con la lista de Nacionales Especialmente Designados (SDN) y la lista de personas bloqueadas de la OFAC. 

Aplicación reciente de la ley 

TD Bank (octubre de 2024)

En una de las mayores acciones de cumplimiento de la ley contra el lavado de dinero (ALD) de la historia reciente, TD Bank se declaró culpable de violaciones de la Ley de Secreto Bancario (BSA) y acordó pagar una multa de 3 mil millones de dólares. Esto se debió a que TD no supervisó ni reportó adecuadamente más de 670 millones de dólares en transacciones sospechosas a lo largo de varios años, lo que reflejó fallas sistémicas en los controles internos, el monitoreo de transacciones y la presentación de informes de actividades sospechosas (SAR). Como parte del acuerdo, TD Bank tuvo que designar a un supervisor de cumplimiento independiente para supervisar sus esfuerzos de remediación de ALD durante un período de tres años. 

Reino Unido

Desde su salida de la Unión Europea, el Reino Unido ha mantenido y ampliado sus propios mandatos en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo, en su mayoría de conformidad con el Reglamento sobre blanqueo de capitales de 2017, y modificados según ha sido necesario.

Autoridad de Conducta Financiera (FCA)

La FCA tiene amplia autoridad para supervisar a las empresas de servicios financieros y hacer cumplir los requisitos de prevención del blanqueo de capitales y de identificación del cliente (AML/KYC), evaluando cómo gestionan los riesgos de delitos financieros, incluyendo cómo realizan las verificaciones de identidad de los clientes, mantienen los controles de diligencia debida y supervisan las transacciones. También tiene la facultad de imponer multas, restringir las actividades comerciales o, en casos extremos, revocar las licencias. 

Aplicación reciente de la ley 

Equifax Limited (octubre de 2023)

La Autoridad de Conducta Financiera (FCA, por sus siglas en inglés) multó recientemente a Equifax Limited con 11.16 millones de libras esterlinas por deficiencias significativas en la gestión de un ciberataque ocurrido en 2017 que afectó a su empresa matriz en Estados Unidos, lo que provocó la exposición de los datos personales de 14 millones de clientes británicos. La FCA determinó que Equifax UK no había ejercido la supervisión suficiente sobre el manejo de datos personales sensibles por parte de su empresa matriz y, a pesar de que el proceso se llevó a cabo en el extranjero, Equifax Limited conservó la responsabilidad según la normativa británica. La FCA citó deficiencias en la gestión de riesgos, las medidas de seguridad y los procedimientos de gobernanza de Equifax, factores que contribuyeron directamente al impacto de la filtración en los clientes británicos.

Unión Europea (UE)

La Unión Europea ha adoptado un enfoque progresivo y gradual para combatir los delitos financieros, haciendo hincapié en la coherencia transfronteriza en la forma en que las instituciones identifican a los clientes, evalúan el riesgo e informan sobre actividades sospechosas.  

Directivas contra el blanqueo de capitales (DBC)

Establecidas en 1991, las Directivas contra el Blanqueo de Capitales (AML) han perfeccionado y reforzado las expectativas de cumplimiento en toda Europa. La Cuarta Directiva AML (2015) estableció requisitos mínimos de identificación del cliente (KYC) y de diligencia debida para bancos, agentes inmobiliarios, contables y otros proveedores de servicios financieros, mientras que la Quinta Directiva AML (2018) amplió su alcance para incluir plataformas de criptomonedas y emisores de tarjetas prepago. 

Más recientemente, la Sexta Directiva contra el Blanqueo de Capitales (2021) amplió la responsabilidad penal por delitos relacionados con el blanqueo de capitales a las personas jurídicas, lo que significa que las propias empresas pueden ser consideradas responsables de las infracciones en materia de blanqueo de capitales cometidas por sus empleados.

Aplicación reciente de la ley 

Banco Euram (octubre de 2024)

En octubre de 2024, la Autoridad Austriaca del Mercado Financiero (FMA) ordenó al banco de inversión europeo-americano AG (Euram Bank) que cesara sus operaciones de inmediato debido a la insuficiencia de sus controles contra el blanqueo de capitales. La FMA ya había advertido a Euram Bank a principios de año sobre la necesidad de cumplir con las Directivas contra el Blanqueo de Capitales para prevenir este delito, pero se constató que no había abordado adecuadamente estas cuestiones.

China

China utiliza una estructura de doble regulador para la supervisión financiera nacional y la aplicación de la normativa contra el blanqueo de capitales, con responsabilidades divididas entre el banco central y la autoridad reguladora financiera designada. En los últimos años, China ha intensificado sus esfuerzos para alinear las iniciativas nacionales con los estándares internacionales, al tiempo que aborda desafíos internos específicos como las transacciones en efectivo a gran escala y las redes bancarias clandestinas.

Banco Popular de China (PBC)

En virtud de la Ley contra el Blanqueo de Capitales de la República Popular China, el Banco Popular de China (PBC) es responsable de elaborar políticas contra el blanqueo de capitales, establecer requisitos reglamentarios para la verificación de la identidad de los clientes e investigar a las instituciones financieras sospechosas de incumplimiento normativo. El PBC también supervisa el Centro de Análisis y Vigilancia contra el Blanqueo de Capitales de China (CAMLMAC), que, al igual que otras Unidades de Inteligencia Financiera (UIF), recopila y analiza datos de transacciones para detectar comportamientos sospechosos en todo el sistema financiero.

Comisión Reguladora de Banca y Seguros de China (CBIRC)

El CBIRC garantiza que las instituciones implementen correctamente las normas contra el blanqueo de capitales establecidas por el PBC mediante la revisión de los mecanismos de control interno, los procedimientos de incorporación y las iniciativas de debida diligencia continua. Desde su creación en 2018, el CIBRC ha contribuido a mejorar los protocolos KYC de China, especialmente entre las instituciones financieras estatales y rurales, que históricamente han presentado deficiencias en el cumplimiento normativo.

Aplicación reciente de la ley

Grupo Ant (julio de 2023)

Tras la conclusión de una investigación que duró varios años, la PBC impuso una multa de Ant Group recibió una multa de 7.123 millones de yuanes (aproximadamente 984 millones de dólares) por diversas infracciones, entre ellas fallos en la lucha contra el blanqueo de capitales, prácticas deficientes de protección al consumidor y una gobernanza corporativa inadecuada. Con esta multa, los reguladores dejaron claro que las empresas fintech, independientemente de su tamaño o influencia, deben cumplir con las normativas KYC (Conozca a su cliente) en la misma medida que los bancos tradicionales para prevenir el uso indebido de sus productos financieros. 

India

La principal ley de la India en materia de lucha contra el blanqueo de capitales es la Ley de Prevención del Blanqueo de Capitales, creada en 2002, que proporciona la base jurídica para una amplia gama de obligaciones de cumplimiento que se han implementado en las últimas dos décadas.

Reserve Bank of India (RBI)

El Banco de la Reserva de la India (RBI, por sus siglas en inglés), el banco central del país, emite directivas generales y actualizaciones periódicas que especifican cómo las instituciones financieras deben verificar la identidad de sus clientes, mantener registros y evaluar el riesgo. Además de la elaboración de normas, el RBI también realiza auditorías, inspecciones in situ y revisiones temáticas para garantizar que las instituciones no solo adopten políticas adecuadas en teoría, sino que también las implementen de manera efectiva. Su poder coercitivo incluye la imposición de multas y restricciones a las operaciones comerciales por incumplimiento reiterado.

Unidad de Inteligencia Financiera (UIF-IND)

La FIU-IND es la agencia central de la India encargada de recibir, procesar y analizar los informes de transacciones sospechosas (ITS) presentados por las entidades informantes, y trabaja para facilitar la cooperación interinstitucional y apoyar las investigaciones policiales. En los últimos años, la FIU-IND ha hecho mayor hincapié en la monitorización basada en datos, el intercambio de inteligencia intersectorial y una respuesta más rápida ante las deficiencias en materia de cumplimiento (especialmente a medida que los servicios financieros se digitalizan).

Aplicación reciente de la ley

HDFC Bank y Punjab & Sind Bank (marzo de 2025)

En marzo de 2025, el Banco de la Reserva de la India (RBI) impuso multas de 75 lakh de rupias (aproximadamente 87 000 USD) y 68.20 lakh de rupias (aproximadamente 80 000 USD) a HDFC Bank y Punjab & Sind Bank, respectivamente. Estas multas se debieron a deficiencias en los procedimientos de identificación de clientes y a la falta de coherencia en los protocolos de clasificación de riesgos. Si bien los reguladores señalaron que estas sanciones fueron consecuencia de fallos en los procedimientos y no de mala conducta deliberada, recalcaron la importancia de mantener una supervisión estricta, especialmente ante la creciente popularidad de la incorporación digital de clientes.