Creando un plan de compliance global: Guía paso a paso

Key takeaways
 

Un plan de compliance global protege a empresas fintech, bancos y exchanges ante el aumento continuo de regulaciones financieras internacionales.

Las nuevas directivas europeas AMLD6 y MiCA incrementan la necesidad de implementar programas sólidos de KYC y AML basados en tecnología automatizada.

Formar un equipo especializado, con roles definidos y formación continua, es clave para adaptarse a los constantes cambios regulatorios.

Herramientas de compliance como AML Screening y monitorización continua permiten identificar riesgos en tiempo real, evitando multas millonarias y daños reputacionales.

El cumplimiento normativo (o compliance) se ha convertido en un factor crítico para las empresas que operan cada vez en entornos más globalizados. Con una presión regulatoria al alza, tanto en Europa como en otros mercados clave, construir un marco global de compliance sólido no es una opción y sí una necesidad.

Para que te hagas una idea, solo en 2023 se registraron más de 800 nuevas normativas financieras. ¿Sería posible que los sujetos obligados cumplieran con todas ellas sin un plan global, flexible y suficientemente escalable, que fuera de la mano del crecimiento del negocio?

El incumplimiento no es una opción. “Si no previenes, eres un potencial cómplice del blanqueo de capitales”, como aseguró Luis Rodríguez Soler, CEO de ComplianZen, en una entrevista reciente para nuestra newsletter. Por otro lado, están las multas por no cumplir con las normativas de AML (Anti-Money Laundering), que superaron varios miles de millones de euros en los últimos años. Además, la reputación del negocio y la sostenibilidad está en juego.

En este artículo te contaremos las etapas clave para diseñar, implementar y escalar un plan de cumplimiento capaz de adaptarse a futuros cambios regulatorios y que vaya de la mano del crecimiento de tu organización. Si eres miembro de un equipo de compliance de una fintech, un banco o un exhcange centralizado de cripto, ¡esto te interesa!

El panorama regulatorio internacional en 2025

El punto de partida para diseñar una hoja de ruta de cumplimiento global es entender el contexto de las principales leyes y regulaciones que impactan en tu sector. Digamos que es como conocer las normas del juego antes de comenzar la partida.

Entre los principales actores que debes tener en cuenta:

• El Grupo de Acción Financiera Internacional (Financial Action Task Force, en inglés) es un organismo internacional de control de blanqueo de capitales y financiación del terrorismo. Esta organización, con sede en París, establece normas internacionales para prevenir estas actividades ilegales y el daño que causan en la sociedad. El GAFI/FAFT, como también se conoce, ha desarrollado un marco no vinculante basado en 40 recomendaciones, que sirven como punto de partida para muchos legisladores. Estas recomendaciones han sido actualizadas recientemente.
• La Unión Europea ha impulsado nuevas regulaciones, como la AMLD5 o AMLD6 (que entrará en vigor próximamente), así como otras normativas relacionadas con la protección de datos (GDPR) o identidad digital (eIDAS 2). Además, otras normativas como MiCA (Markets in Crypto Assets) han entrado en vigor para regular el mercado de las criptomonedas, lo que refuerza la necesidad de un plan sólido de KYC y AML.
• En Estados Unidos, leyes como la Bank Secrecy Act (BSA) o la USA PATRIOT Act exigen a las instituciones financieras un alto grado de diligencia de los usuarios y reportes de cualquier operación que consideren sospechosa. Las sanciones por incumplimiento han incrementado de forma notable en los últimos años.
• Otras regiones: Países como Reino Unido, tras su salida de la Unión Europea, cuentan con su propia regulación (las conocidas como Money Laundering Regulations), aunque mantienen la cooperación internacional con los distintos organismos. En otras zonas, como por ejemplo en Singapur, Hong Kong o Japón han reforzado sus regulaciones en materia de AML/CFT, buscando alinearse con las recomendaciones del GAFI.

Cómo crear un plan global de compliance

Una vez conocemos las normativas en las que debemos apoyarnos, es hora de comenzar a desarrollar el plan de cumplimiento normativo. Aquí trataremos cuestiones relacionadas como la evaluación de riesgos, la estructuración del equipo de compliance o la elección e implementación de las soluciones tecnológicas.

Paso 1. Estructurar un equipo de compliance

Puede ocurrir que debas formar un equipo de compliance para tu empresa desde cero, o que tú lo lideres como head of compliance. En cualquier caso, deberás formar un equipo y distribuir responsabilidades de manera clara.

1. Roles y responsabilidades.
   • Chief Compliance Officer (COO). Define las estrategias y supervisa la ejecución.
   • Head of AML. Coordina las políticas contra el blanqueo de capitales.
   • KYC Analyst o AML Analyst. Gestionan la verificación de identidad de los usuarios (KYC), realizando aquellos procesos manuales que así lo requieran.
2. Colaboración transversal. La experiencia de nuestros entrevistados dice que que es importante que el departamento de compliance se alinee con todos los otros actores de la empresa, para alinear objetivos, metas y necesidades.
3. Formación continua. Las actualizaciones normativas son constantes. Para ello, es fundamental establecer un plan de capacitación para el equipo y para aquellas áreas que, sin ser de compliance, deban cumplir con ciertas normativas. Por ejemplo, Mateo Villa, KYC Analyst de uno de los exchanges de criptomonedas más importantes del mundo, afirma que esta actualización continua forma parte de su día a día. Puedes leer la entrevista con Mateo Villa completa aquí.

Paso 2. Evaluación de riesgos y alcance

Los perfiles de riesgo son fundamentales, sobre todo cuando existe una base numerosa de usuarios. Estos permiten evaluar los potenciales riesgos a los que se expone la organización.

1. Identifica las jurisdicciones clave. Identifica en qué países operas, incluyendo clientes, proveedores y partners. Algunas normativas pueden solaparse e incluso ser contradictorias. Por ello es fundamental tener un inventario claro.
2. Determina tu perfil de riesgo. ¿Eres una fintech que ofrece servicios financieros? ¿Operas con criptomonedas? ¿Operas con sectores de alto riesgo, como casas de apuestas o casinos online? Cada vertical o sector tendrá diferentes requisitos, diferente perfil de clientes y, por tanto, riesgos diferentes (mayor exposición a fraudes o que nuestros clientes aparezcan en listas de sanciones, por ejemplo).
3. Herramientas y métodos de scoring. Implementa tableros de riesgo que aúnen probabilidad e impacto. También es recomendable implementar metodologías reconocidas, como la ISO 3100 de gestión de riesgos (artículo en castellano).

Paso 3. Definir los requisitos legales y normativos

El siguiente paso consiste en delimitar los requisitos legales de cada jurisdicción y de cada normativa en función de la sección en la que trabajemos.

1. Revisión de la normativa local e internacional. Es importante conocer las leyes y directivas locales de los mercados en los que vamos a operar. Por ejemplo, deberíamos conocer qué normativas de KYC y AML aplican en España si operásemos en el país. Respecto al sector, es fundamental conocer las recomendaciones internacionales del GAFI/FATF y los propios reglamentos sectoriales, como aquellas normas que apliquen a los pagos con tarjeta (PCI-DSS) o normativas de seguridad de la información (ISO 27001).
2. Cumplimiento PBC/FT. Aplicar las normativas de prevención de blanqueo de capitales y financiación del terrorismo es algo prioritario y no negociable. Para ello, es fundamental contar con procesos sólidos de KYC (Know Your Customer) que permitan verificar la identidad real de los clientes; y AML Screening, la revisión en listas de vigilancia, sanciones o PEPs.
3. Políticas internas. Una vez conocidos los requisitos externos, es imprescindible definir las políticas internas que se aplicarán en toda la organización. Hablamos de:
   1. Protocolos de debida diligencia
   2. Elaboración de manuales de actuación ante alertas (hits en los chequeos de AML Screening, ya sea en el inicial o durante los chequeos continuos diarios).
   3. Incorporar medidas de protección de datos.

También te puede interesar...

KYC y AML: Diferencias clave, compliance y mejores prácticas

Descubre las diferencias entre KYC y AML, por qué son esenciales para la prevención de fraudes y cómo integrarlos con éxito en tu empresa.

Leer artículo completo

Paso 4. Implementar soluciones tecnológicas

Llega el momento de implantar soluciones tecnológicas que permitan la automatización de las tareas y escalar los procesos de compliance. La automatización de procesos como KYC sucede gracias a la IA y se vuelve algo fundamental, sobre todo cuando hay un volumen alto de usuarios.

¿Qué beneficios ofrece la automatización de estos procesos? Podemos ver, principalmente, dos ventajas: una reducción de costes, tanto humanos como económicos, y una optimización de la experiencia del usuario.

Herramientas de KYC y AML

• KYC: Asegúrate de tu herramienta cubra aspectos como Verificación de Documentos; Face Match 1:1; biometría y liveness detection para minimizar el riesgo de suplantación.
• AML Screening: Verifica en tiempo real listas globales (incluyendo PEPs y vigilancia y sanciones internacionales).
• Ongoing AML Monitoring: Te permiten mantener las diligencias de tus clientes vigentes, detectando posibles cambios en los perfiles de riesgo.

El caso de Didit

En Didit ofrecemos la única solución gratuita e ilimitada de KYC del mercado, ayudando a organizaciones de todos los tamaños a cumplir con las normativas de PBC/FT. ¿Cómo lo hacemos?

• Rapidez: Verificaciones en tiempo real, realizadas en menos de 30 segundos.
• Fiabilidad: Contamos con más de 10 modelos de IA para combatir fraudes como la falsificación de documentos, deepfakes o máscaras pregrabadas, entre otros aspectos.
• Escalabilidad sin costes ocultos: KYC reutlizable, personalización de flujos de onboarding y configuración de umbrales de riesgo según la tolerancia de cara jurisdicción.
• Monitoreo AML: Incluimos funciones premium como AML Screening u Ongoing AML Monitoring, para sentar las bases de cualquier programa de prevención de blanqueo de capitales.
• Cumplimiento internacional: Certificación ISO 27001, cumplimiento GDPR y compatible con eIDAS 2.

Paso 5. Monitorización y auditoría continua

Cumplir con las normativas no es implementar unas herramientas y dejarlas actuar per-se. Para garantizar la eficacia a largo plazo de cualquier plan de AML/CFT, se necesita una supervisión permanente de los usuarios. Para ello, es fundamental la monitorización continua de los clientes, la monitorización de las transacciones o las auditorías.

1. Ongoing AML Monitoring. Casi el 80% de los fraudes en las instituciones se producen después del onboarding. Partiendo de esta premisa, es fundamental entender que la verificación y comprobaciones de los clientes no puede hacerse una única vez. A día de hoy, organismos como el GAFI recomiendan la monitorización continua para reaccionar a señales de alerta que puedan surgir durante la relación con el cliente.
2. Monitorización de transacciones. Los perfiles de riesgo nos permiten sentar las bases de cualquier actividad sospechosa. Si ocurre alguna transacción en la plataforma que no encaja con las características del cliente, deberemos actuar.
3. Auditorías. Las internas nos permiten revisar procedimientos para detectar posibles brechas; las externas brindan certificaciones que fortalecen la reputación y credibilidad ante inversores y reguladores.
4. Definir los KPIs. Conocer la tasa de falsos positivos y negativos, el tiempo promedio de verificación, el coste por verificación o la satisfacción del usuario.

También te puede interesar...

Tres métricas que mejoran al dejar de pagar por KYC y verificaciones

Optimiza costes, tiempos de aprobación y ROI con Didit, el KYC gratuito que revoluciona la verificación de identidad.

Leer artículo completo

Paso 6. Escalabilidad y adaptación al cambio

La escalabilidad es crítica en un panorama regulatorio que cambia constantemente. Tal y como dijimos al principio, un programa de compliance robusto debe poder crecer con la organización y adaptarse a las nuevas leyes y requerimientos, sin ser un lastre para la misma.

Para ello, es recomendable:

• Prepararse para cambios regulatorios, atentos siempre a las posibles actualizaciones de las normativas internacionales del GAFI/FATF, Estados Unidos y los principales reguladores internacionales. Por eso, es interesante diseñar procedimientos modulares que se puedan ajustar rápidamente cuando aparezcan nuevas directivas que apliquen a tu sector.
• Conocer los nuevos mercados, en caso de que plantees una expansión geográfica de tu solución. Revisa si tienen políticas específicas de KYC/AML y asegúrate de que las soluciones que tienes integradas admitan la verificación de documentos de distintos países. Por ejemplo, en Didit ofrecemos un enfoque global, con documentación de más de 220 países y territorios.
• La mejora continua es clave. Recoge feedback de tus empleados y clientes para pulir los procesos.

Conclusión: Un plan de compliance robusto es un blindaje de tu organización

Crear un marco global de compliance no es solo una cuestión de “cumplir con la ley”. Se trata de blindar tu organización contra sanciones, proteger su reputación y establecer relaciones de confianza a largo plazo con clientes, socios e inversores.

Por ello es fundamental escoger una tecnología basada en machine learning, que permita aplicar soluciones de KYC/AML automatizadas de forma rentable y escalable. También es recomendable contar con un equipo especializado y socios (o partners) confiables y comprometidos.

Contar con proveedores como Didit, que ofrece el único plan gratuito e ilimitadod e KYC, además de AML Screening y Ongoing AML Monitoring, facilita la adopción en un mercado internacional sin incurrir en grandes costes internacionales. Más de 800 empresas ya han integrado nuestra tecnología y muchos reportan hasta un 90% de ahorro en materia de compliance con respecto de otras soluciones.

Haz clic en el banner de debajo y revoluciona tu plan de compliance global de la mano de la mejor herramienta de KYC del mercado.

Sobre el autor

Víctor Navarro

Especialista en identidad digital y comunicación

Soy Víctor Navarro, con más de 15 años de experiencia en marketing digital y SEO. Me apasiona la tecnología y cómo puede transformar el sector de la identidad digital. En Didit, una empresa de inteligencia artificial especializada en identidad, educo y explico cómo la IA puede mejorar procesos críticos como el KYC y el cumplimiento normativo. Mi objetivo es humanizar internet en la era de la inteligencia artificial, ofreciendo soluciones accesibles y eficientes para las personas.

"Humanizing the internet in the AI age"

Para consultas profesionales, contacta conmigo en victor.navarro@didit.me