Creant un pla de compliance global: Guia pas a pas

Key takeaways
 

Un pla de compliance global protegeix empreses fintech, bancs i exchanges davant l'augment continu de regulacions financeres internacionals.

Les noves directives europees AMLD6 i MiCA incrementen la necessitat d'implementar programes sòlids de KYC i AML basats en tecnologia automatitzada.

Formar un equip especialitzat, amb rols definits i formació contínua, és clau per adaptar-se als constants canvis regulatoris.

Eines de compliance com AML Screening i monitorització contínua permeten identificar riscos en temps real, evitant multes milionàries i danys reputacionals.

El compliment normatiu (o compliance) s'ha convertit en un factor crític per a les empreses que operen cada cop en entorns més globalitzats. Amb una pressió regulatòria a l'alça, tant a Europa com en altres mercats clau, construir un marc global de compliance sòlid no és una opció sinó una necessitat.

Perquè et facis una idea, només el 2023 es van registrar més de 800 noves normatives financeres. Seria possible que els subjectes obligats complissin amb totes elles sense un pla global, flexible i prou escalable, que anés de la mà del creixement del negoci?

L'incompliment no és una opció. "Si no prevens, ets un potencial còmplice del blanqueig de capitals", com va assegurar Luis Rodríguez Soler, CEO de ComplianZen, en una entrevista recent per a la nostra newsletter. D'altra banda, hi ha les multes per no complir amb les normatives d'AML (Anti-Money Laundering), que van superar diversos milers de milions d'euros en els darrers anys. A més, la reputació del negoci i la sostenibilitat està en joc.

En aquest article t'explicarem les etapes clau per dissenyar, implementar i escalar un pla de compliment capaç d'adaptar-se a futurs canvis regulatoris i que vagi de la mà del creixement de la teva organització. Si ets membre d'un equip de compliance d'una fintech, un banc o un exchange centralitzat de cripto, això t'interessa!

El panorama regulatori internacional el 2025

El punt de partida per dissenyar un full de ruta de compliment global és entendre el context de les principals lleis i regulacions que impacten en el teu sector. Diguem que és com conèixer les normes del joc abans de començar la partida.

Entre els principals actors que has de tenir en compte:

• El Grup d'Acció Financera Internacional (Financial Action Task Force, en anglès) és un organisme internacional de control de blanqueig de capitals i finançament del terrorisme. Aquesta organització, amb seu a París, estableix normes internacionals per prevenir aquestes activitats il·legals i el dany que causen a la societat. El GAFI/FAFT, com també es coneix, ha desenvolupat un marc no vinculant basat en 40 recomanacions, que serveixen com a punt de partida per a molts legisladors. Aquestes recomanacions han estat actualitzades recentment.
• La Unió Europea ha impulsat noves regulacions, com l'AMLD5 o AMLD6 (que entrarà en vigor properament), així com altres normatives relacionades amb la protecció de dades (GDPR) o identitat digital (eIDAS 2). A més, altres normatives com MiCA (Markets in Crypto Assets) han entrat en vigor per regular el mercat de les criptomonedes, cosa que reforça la necessitat d'un pla sòlid de KYC i AML.
• Als Estats Units, lleis com la Bank Secrecy Act (BSA) o la USA PATRIOT Act exigeixen a les institucions financeres un alt grau de diligència dels usuaris i informes de qualsevol operació que considerin sospitosa. Les sancions per incompliment han incrementat de forma notable en els darrers anys.
• Altres regions: Països com el Regne Unit, després de la seva sortida de la Unió Europea, compten amb la seva pròpia regulació (les conegudes com Money Laundering Regulations), tot i que mantenen la cooperació internacional amb els diferents organismes. En altres zones, com per exemple a Singapur, Hong Kong o Japó han reforçat les seves regulacions en matèria d'AML/CFT, buscant alinear-se amb les recomanacions del GAFI.

Com crear un pla global de compliance

Un cop coneixem les normatives en les quals hem de recolzar-nos, és hora de començar a desenvolupar el pla de compliment normatiu. Aquí tractarem qüestions relacionades com l'avaluació de riscos, l'estructuració de l'equip de compliance o l'elecció i implementació de les solucions tecnològiques.

Pas 1. Estructurar un equip de compliance

Pot passar que hagis de formar un equip de compliance per a la teva empresa des de zero, o que tu el lideris com a head of compliance. En qualsevol cas, hauràs de formar un equip i distribuir responsabilitats de manera clara.

1. Rols i responsabilitats.
   • Chief Compliance Officer (COO). Defineix les estratègies i supervisa l'execució.
   • Head of AML. Coordina les polítiques contra el blanqueig de capitals.
   • KYC Analyst o AML Analyst. Gestionen la verificació d'identitat dels usuaris (KYC), realitzant aquells processos manuals que així ho requereixin.
2. Col·laboració transversal. L'experiència dels nostres entrevistats diu que és important que el departament de compliance s'alineï amb tots els altres actors de l'empresa, per alinear objectius, metes i necessitats.
3. Formació contínua. Les actualitzacions normatives són constants. Per a això, és fonamental establir un pla de capacitació per a l'equip i per a aquelles àrees que, sense ser de compliance, hagin de complir amb certes normatives. Per exemple, Mateo Villa, KYC Analyst d'un dels exchanges de criptomonedes més importants del món, afirma que aquesta actualització contínua forma part del seu dia a dia. Pots llegir l'entrevista amb Mateo Villa completa aquí.

Pas 2. Avaluació de riscos i abast

Els perfils de risc són fonamentals, sobretot quan existeix una base nombrosa d'usuaris. Aquests permeten avaluar els potencials riscos als quals s'exposa l'organització.

1. Identifica les jurisdiccions clau. Identifica en quins països operes, incloent clients, proveïdors i partners. Algunes normatives poden sobreposar-se i fins i tot ser contradictòries. Per això és fonamental tenir un inventari clar.
2. Determina el teu perfil de risc. Ets una fintech que ofereix serveis financers? Operes amb criptomonedes? Operes amb sectors d'alt risc, com cases d'apostes o casinos online? Cada vertical o sector tindrà diferents requisits, diferent perfil de clients i, per tant, riscos diferents (major exposició a fraus o que els nostres clients apareguin en llistes de sancions, per exemple).
3. Eines i mètodes de scoring. Implementa taulers de risc que uneixin probabilitat i impacte. També és recomanable implementar metodologies reconegudes, com la ISO 3100 de gestió de riscos (article en català).

Pas 3. Definir els requisits legals i normatius

El següent pas consisteix a delimitar els requisits legals de cada jurisdicció i de cada normativa en funció de la secció en la qual treballem.

1. Revisió de la normativa local i internacional. És important conèixer les lleis i directives locals dels mercats en els quals operarem. Per exemple, hauríem de conèixer quines normatives de KYC i AML s'apliquen a Catalunya si operéssim al país. Respecte al sector, és fonamental conèixer les recomanacions internacionals del GAFI/FATF i els propis reglaments sectorials, com aquelles normes que apliquin als pagaments amb targeta (PCI-DSS) o normatives de seguretat de la informació (ISO 27001).
2. Compliment PBC/FT. Aplicar les normatives de prevenció de blanqueig de capitals i finançament del terrorisme és quelcom prioritari i no negociable. Per això, és fonamental comptar amb processos sòlids de KYC (Know Your Customer) que permetin verificar la identitat real dels clients; i AML Screening, la revisió en llistes de vigilància, sancions o PEPs.
3. Polítiques internes. Un cop coneguts els requisits externs, és imprescindible definir les polítiques internes que s'aplicaran a tota l'organització. Parlem de:
   1. Protocols de deguda diligència
   2. Elaboració de manuals d'actuació davant alertes (hits en els controls d'AML Screening, ja sigui en l'inicial o durant els controls continus diaris).
   3. Incorporar mesures de protecció de dades.

També et pot interessar...

KYC i AML: Diferències clau, compliment i millors pràctiques

Descobreix les diferències entre KYC i AML, per què són essencials per a la prevenció del frau i com integrar-los amb èxit a la teva empresa.

Llegir l'article complet

Pas 4. Implementar solucions tecnològiques

Arriba el moment d'implantar solucions tecnològiques que permetin l'automatització de les tasques i escalar els processos de compliance. L'automatització de processos com KYC succeeix gràcies a la IA i esdevé quelcom fonamental, sobretot quan hi ha un volum alt d'usuaris.

Quins beneficis ofereix l'automatització d'aquests processos? Podem veure, principalment, dos avantatges: una reducció de costos, tant humans com econòmics, i una optimització de l'experiència de l'usuari.

H4: Eines de KYC i AML

• KYC: Assegura't que la teva eina cobreixi aspectes com Verificació de Documents; Face Match 1:1; biometria i liveness detection per minimitzar el risc de suplantació.
• AML Screening: Verifica en temps real llistes globals (incloent PEPs i vigilància i sancions internacionals).
• Ongoing AML Monitoring: Et permeten mantenir les diligències dels teus clients vigents, detectant possibles canvis en els perfils de risc.

H4: El cas de Didit

A Didit oferim l'única solució gratuïta i il·limitada de KYC del mercat, ajudant a organitzacions de totes les mides a complir amb les normatives de PBC/FT. Com ho fem?

• Rapidesa: Verificacions en temps real, realitzades en menys de 30 segons.
• Fiabilitat: Comptem amb més de 10 models d'IA per combatre fraus com la falsificació de documents, deepfakes o màscares pregravades, entre altres aspectes.
• Escalabilitat sense costos ocults: KYC reutilitzable, personalització de fluxos d'onboarding i configuració de llindars de risc segons la tolerància de cada jurisdicció.
• Monitoratge AML: Incloem funcions premium com AML Screening o Ongoing AML Monitoring, per establir les bases de qualsevol programa de prevenció de blanqueig de capitals.
• Compliment internacional: Certificació ISO 27001, compliment GDPR i compatible amb eIDAS 2.

Pas 5. Monitorització i auditoria contínua

Complir amb les normatives no és implementar unes eines i deixar-les actuar per se. Per garantir l'eficàcia a llarg termini de qualsevol pla d'AML/CFT, es necessita una supervisió permanent dels usuaris. Per això, és fonamental la monitorització contínua dels clients, la monitorització de les transaccions o les auditories.

1. Ongoing AML Monitoring. Gairebé el 80% dels fraus en les institucions es produeixen després de l'onboarding. Partint d'aquesta premissa, és fonamental entendre que la verificació i comprovacions dels clients no pot fer-se una única vegada. A dia d'avui, organismes com el GAFI recomanen la monitorització contínua per reaccionar a senyals d'alerta que puguin sorgir durant la relació amb el client.
2. Monitorització de transaccions. Els perfils de risc ens permeten assentar les bases de qualsevol activitat sospitosa. Si ocorre alguna transacció a la plataforma que no encaixa amb les característiques del client, haurem d'actuar.
3. Auditories. Les internes ens permeten revisar procediments per detectar possibles bretxes; les externes brinden certificacions que enforteixen la reputació i credibilitat davant inversors i reguladors.
4. Definir els KPIs. Conèixer la taxa de falsos positius i negatius, el temps mitjà de verificació, el cost per verificació o la satisfacció de l'usuari.

També et pot interessar...

Tres mètriques que milloren en deixar de pagar per KYC i verificacions

Optimitza costos, temps d'aprovació i ROI amb Didit, el KYC gratuït que revoluciona la verificació d'identitat.

Llegir article complet

Pas 6. Escalabilitat i adaptació al canvi

L'escalabilitat és crítica en un panorama regulador que canvia constantment. Tal com vam dir al principi, un programa de compliance robust ha de poder créixer amb l'organització i adaptar-se a les noves lleis i requeriments, sense ser un llast per a la mateixa.

Per això, és recomanable:

• Preparar-se per a canvis regulatoris, atents sempre a les possibles actualitzacions de les normatives internacionals del GAFI/FATF, Estats Units i els principals reguladors internacionals. Per això, és interessant dissenyar procediments modulars que es puguin ajustar ràpidament quan apareguin noves directives que s'apliquin al teu sector.
• Conèixer els nous mercats, en cas que plantegis una expansió geogràfica de la teva solució. Revisa si tenen polítiques específiques de KYC/AML i assegura't que les solucions que tens integrades admetin la verificació de documents de diferents països. Per exemple, a Didit oferim un enfocament global, amb documentació de més de 220 països i territoris.
• La millora contínua és clau. Recull feedback dels teus empleats i clients per polir els processos.

Conclusió: Un pla de compliance robust és un blindatge de la teva organització

Crear un marc global de compliance no és només una qüestió de "complir amb la llei". Es tracta de blindar la teva organització contra sancions, protegir la seva reputació i establir relacions de confiança a llarg termini amb clients, socis i inversors.

Per això és fonamental escollir una tecnologia basada en machine learning, que permeti aplicar solucions de KYC/AML automatitzades de forma rendible i escalable. També és recomanable comptar amb un equip especialitzat i socis (o partners) confiables i compromesos.

Comptar amb proveïdors com Didit, que ofereix l'únic pla gratuït i il·limitat de KYC, a més d'AML Screening i Ongoing AML Monitoring, facilita l'adopció en un mercat internacional sense incórrer en grans costos internacionals. Més de 800 empreses ja han integrat la nostra tecnologia i molts reporten fins a un 90% d'estalvi en matèria de compliance respecte d'altres solucions.

Fes clic al banner de sota i revoluciona el teu pla de compliance global de la mà de la millor eina de KYC del mercat.

Sobre l'autor

Víctor Navarro

Especialista en identitat digital i comunicació

Sóc Víctor Navarro, amb més de 15 anys d'experiència en màrqueting digital i SEO. Em apassiona la tecnologia i com pot transformar el sector de la identitat digital. A Didit, una empresa d'intel·ligència artificial especialitzada en identitat, educo i explico com la IA pot millorar processos crítics com el KYC i el compliment normatiu. El meu objectiu és humanitzar internet en l'era de la intel·ligència artificial, oferint solucions accessibles i eficients per a les persones.

"Humanizing the internet in the AI age"

Para consultas profesionales, contacta conmigo en victor.navarro@didit.me