Blog · 13 de junio de 2026

Requisitos de Cumplimiento KYC en 2026: Una Guía Completa (ES)

El cumplimiento KYC en 2026 se basa en cuatro obligaciones principales: CIP, CDD, EDD y monitoreo continuo. Descubra lo que las empresas reguladas deben hacer, los requisitos de FATF y los marcos AML de la UE, y cómo cumplir.

Por Didit13 de junio de 2026Actualizado el 13 jun 2026

El cumplimiento KYC en 2026 exige que las empresas reguladas satisfagan cuatro controles fundamentales: Programa de Identificación del Cliente (CIP), Diligencia Debida del Cliente (CDD), Diligencia Debida Mejorada (EDD) y monitoreo continuo. Juntos forman el marco operativo que exigen los estándares globales contra el lavado de dinero (AML) y que aplican los reguladores nacionales.

Esta guía detalla lo que realmente requiere cada obligación, cómo las recomendaciones de FATF y los marcos AML de la UE los enmarcan, y cómo la tecnología puede cerrar la brecha de cumplimiento sin convertir el proceso de incorporación en fricción.

Puntos clave

El cumplimiento KYC se centra en CIP (identificar al cliente), CDD (evaluar su riesgo), EDD (escrutinio elevado para cuentas de alto riesgo) y monitoreo continuo.
Las Recomendaciones de FATF y el Reglamento Único AML de la UE definen la base global; los reguladores locales los aplican en las normas nacionales.
Los requisitos de propiedad beneficiaria extienden el KYC a los clientes corporativos: los UBO (propietarios beneficiarios finales) detrás de un negocio deben ser identificados y verificados.
Las obligaciones de mantenimiento de registros suelen ser de cinco años desde el final de la relación con el cliente.
Didit es el único proveedor formalmente certificado por un gobierno de un estado miembro de la UE (Tesoro / BdE / SEPBLAC / CNMV de España) como más seguro que la verificación en persona.
Flujo central completo: $0.33 por verificación, 500 gratis/mes, sin mínimos.

Programa de Identificación del Cliente (CIP)

El CIP es la primera obligación. Antes de establecer una relación financiera, una empresa regulada debe recopilar y verificar suficiente información para establecer quién es el cliente.

El conjunto mínimo de datos bajo la mayoría de los regímenes incluye: nombre legal completo, fecha de nacimiento, dirección residencial y un número de identificación emitido por el gobierno. La verificación significa confirmar que la información es precisa, no solo registrar lo que el cliente afirma.

Para clientes individuales, los métodos de verificación incluyen:

Verificación de documentos — examinar una identificación emitida por el gobierno (pasaporte, tarjeta de identidad nacional, licencia de conducir) para autenticidad y extraer los datos mediante OCR.
Verificación biométrica — verificación pasiva de vivacidad más coincidencia facial con la fotografía del documento, confirmando que el presentador es el titular genuino del documento.
Validación de base de datos — cotejar la identidad declarada con registros de agencias de crédito, telecomunicaciones o registros gubernamentales.

Para la mayoría de los productos financieros en mercados regulados —banca, pagos, criptomonedas— la verificación de documentos y biométrica es el estándar esperado. La verificación de ID de Didit ($0.15) + Detección de Vivacidad Pasiva ($0.10) + Coincidencia Facial ($0.05) + Análisis de IP ($0.03) ofrece una capa CIP completa a $0.33 por verificación, en menos de 2 segundos, en más de 220 países y más de 14,000 tipos de documentos.

Diligencia Debida del Cliente (CDD)

La CDD se basa en la identidad verificada. Una vez que se sabe quién es el cliente, la CDD establece qué riesgo representa.

Una evaluación CDD estándar incluye:

Monitoreo de listas de vigilancia — verificar la identidad contra listas de sanciones (OFAC, ONU, UE), registros de personas políticamente expuestas (PEP), bases de datos de medios adversos y listas de aplicación de la ley.
Origen de los fondos — comprender de dónde proviene el dinero del cliente, al menos para relaciones de mayor valor.
Propósito comercial — registrar por qué el cliente está utilizando su producto y qué transacciones espera.
Clasificación de riesgo — asignar una calificación de riesgo (baja, media, alta) que determina el nivel de escrutinio continuo aplicado.

La Diligencia Debida Simplificada (SDD) está permitida para clientes de bajo riesgo en algunas circunstancias, lo que implica procedimientos de identificación reducidos y monitoreo menos frecuente. Los clientes de mayor riesgo requieren Diligencia Debida Mejorada.

El Monitoreo AML de Didit ($0.20) compara una identidad verificada con más de 1,300 listas de vigilancia y devuelve una clasificación de riesgo. Al combinarlo con la Verificación de ID en una sola sesión, el CIP y la CDD se ejecutan juntos sin integración adicional.

Diligencia Debida Mejorada (EDD)

La EDD se aplica cuando el perfil de riesgo de un cliente se eleva por encima del umbral estándar. Los escenarios que suelenB activar la EDD incluyen:

Personas Políticamente Expuestas (PEP) — funcionarios públicos actuales o anteriores y sus asociados cercanos.
Jurisdicciones de alto riesgo — clientes de o que realizan transacciones con jurisdicciones en la lista de alto riesgo o monitoreada de FATF.
Estructuras de propiedad complejas — clientes corporativos con cadenas UBO inusuales, capas de empresas fantasma o propiedad beneficiaria opaca.
Transacciones de alto valor o inusuales — actividad de cuenta inconsistente con el propósito declarado.

La EDD requiere recopilar información adicional más allá del conjunto de datos CDD estándar: prueba del origen de los fondos, aprobación de la alta gerencia, ciclos de revisión más frecuentes y monitoreo de transacciones más estricto.

Requisitos de propiedad beneficiaria

Para clientes corporativos, el KYC se extiende más allá de la entidad legal. Las empresas reguladas deben identificar y verificar a los UBO (Propietarios Beneficiarios Finales), típicamente definidos como personas físicas que poseen o controlan más del 25% de la entidad, o que ejercen un control efectivo por otros medios.

Esto significa realizar un KYC individual para cada UBO y documentar la estructura de propiedad. El producto KYB de Didit gestiona la verificación de la entidad (búsqueda en el registro, datos del funcionario, extracción de la propiedad) y genera sesiones KYC vinculadas para cada UBO, de modo que el mismo flujo de trabajo que incorpora un negocio también verifica a las personas detrás de él.

Monitoreo continuo

El cumplimiento KYC no termina en la incorporación. Las empresas reguladas deben monitorear continuamente su base de clientes y revisar los registros cuando cambian las circunstancias.

El monitoreo continuo implica: revisión periódica de los registros de CDD (la frecuencia se ajusta con la calificación de riesgo), nueva verificación de listas de vigilancia cuando estas se actualizan, monitoreo de transacciones para detectar patrones sospechosos y actualización de las clasificaciones de riesgo cuando surge nueva información.

El Monitoreo AML Continuo de Didit ($0.07 por usuario al año) proporciona vigilancia continua de listas de vigilancia con alertas automáticas cuando aparece una coincidencia. El Monitoreo de Transacciones de Didit cubre patrones de comportamiento posteriores a la incorporación en actividades fiduciarias y de criptomonedas.

Mantenimiento de registros

La mayoría de los marcos regulatorios exigen que las empresas conserven los registros KYC durante cinco años a partir del final de la relación con el cliente, o desde la fecha de la transacción para verificaciones únicas. Los registros deben incluir la información recopilada, los documentos en los que se basó y el resultado de cualquier monitoreo AML.

Didit almacena los registros de sesión y los datos de decisión en su cuenta, accesibles a través de la Consola de Negocios y la API, con un rastro de auditoría completo.

El marco regulatorio global

Las Recomendaciones de FATF (Grupo de Acción Financiera Internacional) son el estándar internacional. La Recomendación 10 cubre la CDD; la Recomendación 12 cubre a las PEP; la Recomendación 15 cubre las nuevas tecnologías; la Recomendación 22 extiende las obligaciones a empresas y profesiones no financieras designadas.

Los reguladores nacionales traducen las Recomendaciones de FATF en ley. En la UE, el Reglamento Único AML —el paquete regulatorio AML consolidado del bloque— establece estándares vinculantes en todos los estados miembros. Las empresas reguladas que operan en la UE deben seguir los estándares técnicos vinculantes emitidos bajo este marco.

Didit es el único proveedor formalmente certificado por un gobierno de un estado miembro de la UE (Tesoro / BdE / SEPBLAC / CNMV de España) como más seguro que la identificación en persona, el respaldo regulatorio independiente más alto del mercado.

Casos de uso

EMI y servicios de pago — Las Instituciones de Dinero Electrónico en la UE deben cumplir con los requisitos de la directiva AML. CIP + CDD en la incorporación y el monitoreo continuo satisfacen la condición principal de la licencia.

VASPs de criptomonedas — La regulación MiCA (Mercados de Criptoactivos) y la guía de FATF exigen CIP y monitoreo AML para todos los titulares de cuentas, con medidas mejoradas para transacciones por encima del umbral.

Préstamos al consumo — los prestamistas deben verificar la identidad del prestatario y evaluar el riesgo antes de otorgar crédito. CIP + monitoreo AML en una sola sesión cubre la base regulatoria.

iGaming — los operadores de juegos regulados enfrentan tanto la verificación de edad (una obligación CIP) como las obligaciones AML. Realizar KYC + AML en el registro cubre ambas.

Cómo integrar con Didit

El creador de flujos de trabajo de Didit le permite componer un flujo de cumplimiento completo en la Consola de Negocios: verificación de documentos + biométrica para CIP, monitoreo AML para CDD y monitoreo continuo para el ciclo de vida posterior a la incorporación. Inicie una sesión:

curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "your_compliance_workflow_id",
    "vendor_data": "user_33001",
    "callback": "https://yourapp.com/webhook/kyc"
  }'

Certificado SOC 2 Tipo 1, ISO/IEC 27001:2022 e iBeta Nivel 1 PAD. Más de 1,500 empresas utilizan Didit para el cumplimiento de identidad y fraude.

Preguntas frecuentes

¿Cuál es la diferencia entre CDD y EDD?

La CDD es la evaluación de riesgo estándar aplicada a todos los clientes. La EDD es el escrutinio elevado aplicado a clientes de alto riesgo —PEP, conexiones con países de alto riesgo o estructuras de propiedad complejas— y requiere información adicional y monitoreo más estricto.

¿Cuánto tiempo deben conservarse los registros KYC?

La mayoría de los marcos exigen cinco años desde el final de la relación con el cliente. Didit almacena los registros de sesión y las decisiones en su cuenta, accesibles a través de la API y la Consola de Negocios.

¿Didit cubre la verificación de propiedad beneficiaria?

Sí. El producto KYB de Didit gestiona la búsqueda en el registro de la entidad y genera sesiones KYC vinculadas para cada UBO, cerrando el ciclo de los requisitos de propiedad beneficiaria.

¿Cuánto cuesta un flujo completo de incorporación de cumplimiento?

El CIP a través del flujo principal de Didit cuesta $0.33 (ID + Vivacidad + Coincidencia Facial + IP). Agregue el Monitoreo AML por $0.20 y el Monitoreo Continuo por $0.07/usuario/año. 500 verificaciones gratuitas al mes, sin mínimos.

¿Didit cumple con las regulaciones AML de la UE?

Didit opera bajo los estándares regulatorios de la UE y es el único proveedor formalmente certificado por el Tesoro / BdE / SEPBLAC / CNMV de España como más seguro que la identificación en persona. Revise las certificaciones en la página de Confianza y Seguridad.

¿Listo para empezar?

Descripción del producto → Verificación de Usuario
Documentación de integración → docs.didit.me
Precios → didit.me/pricing — $0.33 KYC completo, 500 gratis/mes
Empieza gratis → business.didit.me