Medidas y controles para tu KYC reforzado

La normativa de PBC/FT nos obliga a aplicar medidas reforzadas de diligencia debida ante situaciones de alto riesgo de BC/FT. ¿Pero qué medidas son las que habitualmente se aplican? ¿Se trata igual a una persona jurídica y una física? Respondamos a este tipo de preguntas.

Medidas y controles para tu KYC reforzado

Cliente de riesgo alto o medio-alto, ¿qué medidas adicionales debo aplicar? Es la eterna pregunta y, como siempre, se tendrá que aplicar el enfoque basado en el riesgo (risk-based approach), o sea que dependerá de las señales de riesgo identificadas.

En este artículo, no solo te guiaremos en la aplicación de medidas reforzadas para tu KYC, sino que conocerás los conceptos de "KYC reforzado asíncrono" y "KYC reforzado en tiempo real", siendo este último un enfoque el más estratégico para la operativa de PBC/FT.

¿Vamos a por ello? ¡Empezamos!


Qué es el KYC reforzado

El KYC reforzado o la debida diligencia reforzada es el conjunto de medidas y controles adicionales que aplicamos sobre el cliente en el proceso de KYC ("Conoce a tu cliente").

Este proceso se recoge en la Ley 10/2010 de prevención de blanqueo, y aunque es de obligado cumplimiento, la normativa no ofrece guías específicas para su aplicación práctica.

“Los sujetos obligados aplicarán, en función de un análisis del riesgo, medidas reforzadas de diligencia debida en aquellas situaciones que por su propia naturaleza puedan presentar un riesgo más elevado.” - Ley 10/2010 de PBC/FT.

Cuándo aplicar medidas reforzadas en el KYC

La respuesta es sencilla: siempre que se identifiquen factores de alto riesgo. Y esto no solo aplica al KYC inicial (onboarding), las medidas reforzadas también se deben aplicar durante la relación comercial si el riesgo aumenta por cualquier motivo.

Qué medidas reforzadas puedo aplicar en el KYC

Entramos en materia. La respuesta dependerá mucho de los indicadores de alto riesgo identificados y del tipo de cliente. En realidad, se debe analizar cada caso con detalle y entender también los riesgos propios de tus productos o servicios.

Pero para tratar de entenderlo, hemos dividido estas medidas reforzadas en función del tipo de cliente: persona jurídica y persona física

⚠️ Son consejos generales y para nada deberías tomar nuestras recomendaciones como 100% válidas en el contexto en el que operes.

Medidas para el KYC reforzado de personas jurídicas

Antes de considerar medidas reforzadas concretas de diligencia debida, conozcamos algunas red flags comunes o señales de alto riesgo en personas jurídicas.

KYC reforzado asíncrono VS en tiempo real

Señales de alto riesgo en el KYC onboarding de una persona jurídica (algunos ejemplos):

  • Titularidad real opaca o difusa: la estructura empresarial incluye múltiples capas societarias que complican la identificación del titular real, especialmente cuando se utilizan jurisdicciones con baja transparencia.
  • Actividad económica incoherente o atípica, como discrepancias entre el objeto social declarado y las transacciones previstas.
  • Relación con países considerados de alto riesgo, ya sea por su baja cooperación internacional en materia de blanqueo de capitales o por estar sujetos a sanciones.
  • Comportamientos sospechosos en el KYC: negativas a proporcionar información, deseo de realizar operaciones innecesariamente complejas sin justificación...
  • Representantes legales sin una conexión clara con la empresa.
  • Identificación de una o más PEP (Politically Exposed Person) en la estructura de la empresa

Estas señales deben activar los protocolos internos para realizar un KYC reforzado. Veamos ahora algunas medidas adicionales que podrías implementar ante estos escenarios:

  • Verificación adicional de la identidad del titular real, utilizando fuentes independientes, como registros mercantiles oficiales o bases de datos reconocidas.
  • Solicitud de documentación complementaria, como estatutos actualizados, actas notariales, estructura accionarial completa o estados financieros auditados.
  • Entrevistas presenciales o videollamada con los representantes legales o titulares reales para validar la información proporcionada y conocer el propósito de la relación de negocio.
  • Aprobación de superiores antes de establecer o continuar la relación comercial.

Estos controles son exclusivos del onboarding de KYC, sin embargo, también debemos considerar un seguimiento intensificado de la relación comercial, con medidas tales como:

  • Establecer límites en las operaciones, o requerir autorizaciones adicionales para ciertas transacciones.
  • Cribado de PEP, sanciones y búsqueda de noticias adversas cada cierto tiempo (3 meses, por ejemplo).
  • Establecer restricciones geográficas.
  • Supervisión más frecuente de las operaciones realizadas, especialmente aquellas que exceden el perfil económico declarado de la entidad.

Medidas para el KYC reforzado de personas físicas

Del mismo modo que hemos visto antes para personas jurídicas, veamos primero cuáles son las señales de alerta más habituales en el KYC de personas físicas:

  • Dificultades en la verificación de la identidad: los sistemas de verificación documental y biométrica (como el reconocimiento facial) devuelven puntuaciones elevadas de inconsistencia o riesgo de manipulación, lo que podría indicar el uso de tecnologías avanzadas para intentar evadir los controles de KYC.
  • Actividad económica no coherente con su perfil personal: la información declarada sobre su ocupación, ingresos o patrimonio no se corresponde con el tipo de productos financieros que solicita o con el volumen de operaciones previstas.
  • Relación con países de alto riesgo: la persona reside en, tiene nacionalidad de, o mantiene vínculos financieros o familiares con países considerados de riesgo elevado por su escasa cooperación en materia de PBC o por estar sujetos a sanciones internacionales.
  • Comportamientos sospechosos durante el proceso de onboarding: se muestra evasivo al responder preguntas básicas, evita proporcionar documentación requerida o insiste en realizar operaciones complejas sin una justificación clara.
  • Condición de PEP (PRP: persona con responsabilidad política): aquí puedes verificar qué cargos en España otorgan la condición de PRP y, por tanto, son considerados de alto riesgo.

Estas red flags y otras que puedas encontrar deben activar acciones adicionales de diligencia debida. Estas son algunas prácticas reforzadas recomendadas:

  • Verificación adicional de la identidad del cliente: recurriendo a fuentes independientes y fiables, como bases de datos gubernamentales, servicios de verificación biométrica o sistemas de identidad digital certificada.
  • Solicitud de documentación adicional: como declaraciones de bienes, certificados de ingresos, justificantes del origen de fondos o prueba del domicilio real.
  • Entrevista personal o cuestionario adicional: para conocer el perfil económico del cliente y el uso previsto de productos y servicios.
  • Aprobación por parte de un responsable: en especial cuando el cliente es una PEP o se encuentra vinculado a un país de alto riesgo.

Si el perfil es de alto riesgo, muchas veces se intensifica también la labor de búsqueda de noticias negativas y coincidencias con PEP o sancionados, más allá de "pasar el check".

Además, la condición de alto riesgo nos obliga a, una vez admitido el cliente, llevar a cabo una supervisión más intensa de la relación comercial. Establecer límites en las operaciones; cribado de PEP y sanciones más frecuente; análisis reforzado de las operaciones del cliente...

Tipos de KYC reforzado

Para terminar, nos gustaría reflexionar sobre el tipo de KYC reforzado, el cual dependerá siempre de las automatizaciones que hayamos previsto. Vamos a explicarlo.

Por simplificar, reconocemos dos tipos de KYC reforzado:

  • KYC reforzado asíncrono 🐢
  • KYC reforzado en tiempo real ⚡️
Tipos de KYC reforzado
KYC reforzado asíncrono VS en tiempo real

En qué consiste el KYC reforzado asíncrono

¿Cómo es el proceso de un KYC reforzado asíncrono?

  1. Envías al cliente un KYC estándar (formulario estándar o simplificado)
  2. Recibes la documentación del cliente y, al revisarla, detectas factores de riesgo.
  3. KYC reforzado asíncrono: de forma manual, envías un nuevo cuestionario con preguntas y solicitudes adicionales.

En la práctica, este tipo de KYC tiende a ser más lento y manual, aunque muchas veces es necesario si el equipo no cuenta con una tecnología de KYC avanzada.

En qué consiste el KYC reforzado en tiempo real

Ahora bien, así sería un proceso de un KYC reforzado en tiempo real:

  1. Envías al cliente un KYC estándar (formulario estándar o simplificado)
  2. El cliente completa un formulario dinámico (con automatizaciones)
  3. Si una cuestión requiere medidas reforzadas, se solicita al instante. ⚡

Siendo realistas, el KYC reforzado en tiempo real es el modelo deseable, requiere menos tiempo, intercambio de correos y dolores de cabeza.

Además, un KYC dinámico no solo refuerza la diligencia debida, también simplifica el proceso en relaciones de bajo riesgo.


Con los procesos de KYC de Parallel puedes simplificar tu operativa del KYC/AML. Contacta con nosotros para conocer de cerca la solución. 🚀

Solucion de KYC y diligencia debida reforzada