KYC/KYB y la ley – Regulaciones de la UE y del mundo

Introducción

Las obligaciones de Know Your Customer (KYC) y Know Your Business (KYB) constituyen la base de los marcos regulatorios globales de prevención del blanqueo de capitales (AML) y de financiación del terrorismo (CFT).
Estas normas exigen a las instituciones financieras y no financieras verificar la identidad de las personas físicas y comprender la estructura de propiedad y control de las personas jurídicas, incluyendo la identificación de los beneficiarios finales (UBO).
El objetivo es eliminar el anonimato en el acceso a servicios financieros y digitales y garantizar que las instituciones comprendan quiénes son sus clientes y con qué propósito establecen relaciones comerciales.

El organismo internacional de referencia es el Grupo de Acción Financiera Internacional (GAFI/FATF), cuya Recomendación 10 define los principios de diligencia debida del cliente (CDD) y de identificación del beneficiario final1.

1. Marco jurídico de la Unión Europea

1.1 Directivas contra el blanqueo de capitales (AMLD4–6)

Los principales instrumentos legislativos de la UE son:

  • Directiva (UE) 2015/849 (AMLD4) – establece las obligaciones de KYC/CDD2,

  • Directiva (UE) 2018/843 (AMLD5) – amplía el ámbito de aplicación a los proveedores de servicios de criptoactivos3,

  • Directiva (UE) 2018/1673 (AMLD6) – armoniza la responsabilidad penal de las personas jurídicas4.

El artículo 13(1) de AMLD4 exige a las entidades obligadas:

  1. identificar y verificar la identidad del cliente mediante fuentes fiables e independientes,

  2. identificar al beneficiario final,

  3. obtener información sobre el propósito y la naturaleza de la relación comercial,

  4. supervisar continuamente las transacciones2.

El artículo 30 establece la obligación de crear registros nacionales de beneficiarios finales2.
El TJUE (22 de noviembre de 2022, asuntos acumulados C-37/20 y C-601/20) limitó el acceso público a estos registros por motivos de protección de datos5.

AMLD5 amplió las obligaciones a:

  • plataformas de intercambio de criptomonedas y proveedores de monederos,

  • restringió los instrumentos prepago anónimos,

  • introdujo una diligencia reforzada para los países terceros de alto riesgo3.

AMLD6 reforzó la definición de blanqueo de capitales y la responsabilidad de las personas jurídicas4.

1.2 Nuevo paquete AML de la UE y la Autoridad AMLA

La UE está desarrollando un nuevo Reglamento de Lucha contra el Blanqueo de Capitales (AML Regulation) directamente aplicable y una nueva Autoridad Europea de Lucha contra el Blanqueo de Capitales (AMLA) con sede en Fráncfort, que tendrá competencias de supervisión sobre entidades de alto riesgo6.

1.3 RGPD y protección de datos

Todos los procesos KYC/KYB deben cumplir con el Reglamento General de Protección de Datos (RGPD)7.
Según el artículo 6(1)(c), el tratamiento se basa en una obligación legal.
El artículo 5 exige minimización de datos y limitación del periodo de conservación.
El artículo 40 de AMLD4 dispone que los datos deben conservarse durante al menos 5 años, prorrogables a 10 años2.

1.4 Criptoactivos, Travel Rule y MiCA

La UE ha incorporado la Travel Rule del GAFI en el Reglamento (UE) 2023/1113 sobre transferencias de fondos y criptoactivos (TFR)8.
Los proveedores de servicios de pago y de criptoactivos deben transmitir la información del remitente y del destinatario.
El Reglamento MiCA (UE) 2023/1114 establece normas de licencia y protección al consumidor para los proveedores de servicios de criptoactivos9.

1.5 Sectores cubiertos en la UE

Según el artículo 2(1) de AMLD4, las siguientes entidades están obligadas a aplicar KYC/KYB:

  • instituciones de crédito y financieras,

  • auditores, contables y asesores fiscales,

  • notarios y abogados,

  • proveedores de servicios fiduciarios y societarios,

  • agentes inmobiliarios,

  • casinos,

  • comerciantes que acepten pagos en efectivo ≥ 10 000 €,

  • desde AMLD5 – proveedores de servicios de criptoactivos (VASP)23.

Además, en algunos Estados miembros se incluyen telecomunicaciones (registro SIM), plataformas digitales (por ejemplo DAC7) y comerciantes de bienes de lujo.

2. Identidad digital, eIDAS y normas ETSI

El Reglamento eIDAS (UE) nº 910/2014 establece un marco para el reconocimiento mutuo de las identidades electrónicas y los servicios de confianza (firmas electrónicas cualificadas, sellos, etc.)10.
Esto permite que una persona identificada con un eID de alto nivel de seguridad pueda ser verificada en otro Estado miembro.

El próximo eIDAS 2.0 introducirá la Cartera Europea de Identidad Digital, que permitirá compartir atributos de identidad verificados de forma segura11.

Normas técnicas clave:

  • ETSI EN 319 401 – requisitos generales de seguridad para prestadores de servicios de confianza,

  • ETSI TS 119 461 – requisitos para la verificación remota de identidad y vídeo-identificación12.

Estas normas se consideran referencia para el onboarding remoto conforme a AML.

3. Jurisdicciones fuera de la UE

3.1 Estados Unidos

Marco legal:

  • Bank Secrecy Act (BSA), 31 U.S.C. §5311 y ss.13,

  • USA PATRIOT Act (2001), Título III14,

  • Regla FinCEN Customer Identification Program (CIP), 31 CFR §1020.22015,

  • Regla FinCEN Customer Due Diligence (CDD), 31 CFR §1010.23016.

Los bancos deben recopilar y verificar nombre, fecha de nacimiento, dirección y número de identificación fiscal antes de abrir una cuenta.
Las personas jurídicas deben declarar a sus beneficiarios finales (≥25 % de participación).
El Corporate Transparency Act (CTA) crea un registro federal de beneficiarios finales17.

3.2 Reino Unido

  • Proceeds of Crime Act 2002,

  • Money Laundering Regulations 2017 (MLR), enmendadas en 2019–202018.
    La FCA publica guías sobre verificación digital y biometría.
    El Registro de Entidades Extranjeras (Economic Crime Act 2022) mejora la transparencia de la propiedad inmobiliaria.

3.3 Suiza

  • Ley Federal sobre el Blanqueo de Dinero (AMLA)19,

  • Ordenanza FINMA sobre AMLA (OBA-FINMA).
    Las instituciones deben identificar a los clientes y beneficiarios finales, conservar los datos 10 años y comunicar las operaciones sospechosas a MROS.
    Suiza aplica la Travel Rule del GAFI a los activos virtuales1.

3.4 Canadá

  • Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA)20,

  • supervisada por FINTRAC.
    KYC es obligatorio para bancos, MSB, casinos y plataformas de criptoactivos.
    Se permite la verificación remota (por ejemplo, Verified.Me).
    La PIPEDA regula la protección de datos21.

3.5 Australia

  • Anti-Money Laundering and Counter-Terrorism Financing Act 200622,

  • supervisada por AUSTRAC.
    Transacciones ≥ 10 000 AUD deben reportarse.
    Caso emblemático: Westpac (2020) multada con 1,3 mil millones AUD por deficiencias AML/KYC.

3.6 Singapur

  • MAS Notice 62623.
    Todas las instituciones deben identificar a los clientes y beneficiarios finales.
    SingPass se utiliza como identidad digital nacional.
    Las transacciones sospechosas deben notificarse a STRO.

4. Análisis comparativo

Aspecto

Unión Europea

Estados Unidos

Reino Unido

Suiza

Singapur

Base legal

AMLD4–6, RGPD, eIDAS

BSA, PATRIOT Act, CIP

MLR 2017

AMLA

MAS Notice 626

Enfoque de supervisión

Basado en riesgo, coordinado por AMLA

Centrado en la aplicación (FinCEN)

Activo (FCA)

Conservador, orientado a privacidad

Enfocado en tecnología

Identidad digital

eIDAS & ETSI

Sin identidad federal

Opcional

Limitada

SingPass

Transparencia UBO

Registros centrales (acceso limitado desde 2022)

CTA (no público)

Registro público

Acceso solo a autoridades

Obligatorio (MAS)

Conservación de datos

5–10 años

5 años

5 años

10 años

Mínimo 5 años

5. Tecnología y onboarding remoto

Los reguladores aceptan cada vez más el KYC remoto, siempre que:

  1. el método ofrezca un nivel de seguridad equivalente al presencial,

  2. los datos se traten de forma segura y conforme al RGPD,

  3. el proceso sea auditable y documentado.

Las soluciones certificadas bajo ETSI TS 119 461 se consideran conformes en la UE.
Los KYC basados en API y la verificación biométrica se están convirtiendo en la norma mundial.

6. Sectores no financieros

Las obligaciones KYC/KYB se aplican también a:

  • proveedores de criptoactivos (VASP),

  • seguros,

  • juegos y apuestas,

  • bienes raíces,

  • abogados, contables y notarios,

  • comerciantes de artículos de lujo,

  • telecomunicaciones y plataformas digitales (por ejemplo, DAC7).

El GAFI considera que el riesgo de blanqueo no se limita al sector bancario1.

7. Costes y eficacia

Según estudios (Fenergo, Thomson Reuters):

  • las grandes instituciones gastan 15–30 millones USD anuales en procesos KYC,

  • el onboarding de empresas dura 2–5 meses,

  • se estima que el 2–5 % del PIB mundial procede aún de actividades de blanqueo2425.

Los marcos normativos son sólidos, pero la estandarización de datos y la cooperación internacional deben mejorar.

8. Conclusión

  • Las normativas KYC/KYB de la UE, EE. UU., Reino Unido, Suiza, Canadá, Australia y Singapur están alineadas con los estándares del GAFI.

  • La UE destaca por:

    1. su amplio alcance sectorial,

    2. la integración de la identidad digital (eIDAS),

    3. la protección de datos (RGPD),

    4. la futura autoridad central (AMLA).

  • Fuera de la UE, destacan EE. UU., Australia y Singapur por su fuerte aplicación y uso avanzado de identidades digitales.

  • Tendencia global: fin del anonimato, más transparencia, automatización y supervisión tecnológica.

El reto principal es mantener un control eficaz sin imponer una carga excesiva a las empresas ni a los clientes.

 

Solicite una consulta KYC/KYB gratuita en línea

Referencias / Notas

Czy chcesz, żebym przygotował teraz fińskie tłumaczenie tego samego artykułu (z przypisami i formatowaniem)?

Footnotes

  1. GAFI, Normas internacionales para combatir el blanqueo de capitales y la financiación del terrorismo, Recomendaciones 10, 11, 24 (2023). 2 3

  2. Directiva (UE) 2015/849 (AMLD4), DO L 141/73, 5.6.2015. 2 3 4 5

  3. Directiva (UE) 2018/843 (AMLD5), DO L 156/43, 19.6.2018. 2 3

  4. Directiva (UE) 2018/1673 (AMLD6), DO L 284/22, 12.11.2018. 2

  5. TJUE, asuntos acumulados C-37/20 y C-601/20, sentencia de 22 de noviembre de 2022.

  6. Propuesta de Reglamento que establece la Autoridad Europea contra el Blanqueo de Capitales (AMLA), COM(2021) 421 final.

  7. Reglamento (UE) 2016/679 (RGPD), DO L 119/1, 4.5.2016.

  8. Reglamento (UE) 2023/1113, relativo a las transferencias de fondos y criptoactivos (TFR).

  9. Reglamento (UE) 2023/1114, Markets in Crypto-Assets (MiCA).

  10. Reglamento (UE) nº 910/2014 (eIDAS).

  11. Propuesta de Reglamento que modifica eIDAS (eIDAS 2.0), COM(2021) 281 final.

  12. ETSI TS 119 461:2021; ETSI EN 319 401:2019.

  13. Bank Secrecy Act (31 U.S.C. §5311 y ss.).

  14. USA PATRIOT Act, Pub. L. No. 107–56 (2001).

  15. Regla FinCEN, 31 CFR §1020.220 – Programa de Identificación del Cliente.

  16. Regla FinCEN, 31 CFR §1010.230 – Requisitos de Diligencia Debida.

  17. Corporate Transparency Act, 31 U.S.C. §5336 (2021).

  18. Money Laundering, Terrorist Financing and Transfer of Funds Regulations 2017 (Reino Unido).

  19. Ley Federal sobre la Lucha contra el Blanqueo de Dinero y la Financiación del Terrorismo (AMLA), SR 955.0 (Suiza).

  20. Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA), Canadá, 2000.

  21. Personal Information Protection and Electronic Documents Act (PIPEDA), Canadá.

  22. Anti-Money Laundering and Counter-Terrorism Financing Act 2006, Australia.

  23. Monetary Authority of Singapore (MAS) Notice 626, 2020.

  24. ONUDD, Estimaciones del blanqueo de capitales, 2023.

  25. Fenergo, Global KYC/Onboarding Report 2022.

 

Solicite una consulta KYC/KYB gratuita en línea

KYB KYC AML CFT MLRO Compliance Conoce a tu cliente Conoce tu empresa Prevención del blanqueo de capitales Lucha contra la financiación del terrorismo Cumplimiento normativo
Domingo Lunes Martes Miércoles Jueves Viernes Sábado January February March April May June July August September October November December