Skip to content
Caso de clienteTarifasSeguridadComparativaBlog

Europe

Americas

Oceania

Cumplimiento12 min de lectura

KYC 2026: nuevos requisitos de verificación documental en Europa

Guía de cumplimiento KYC 2026: 6.a Directiva europea contra el blanqueo de capitales, requisitos de AMLA y automatización con IA. Guía completa para empresas españolas.

Carlos Ruiz, Consultor de cumplimiento normativo
Carlos Ruiz, Consultor de cumplimiento normativo·
Illustration for KYC 2026: nuevos requisitos de verificación documental en Europa — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

La regulación europea de KYC está experimentando su transformación más significativa desde la 4.a Directiva contra el blanqueo de capitales. La 6.a Directiva (AMLD6) ha entrado en fase de aplicación y los reguladores nacionales de toda Europa están endureciendo los controles de supervisión. Las entidades obligadas deben replantearse de raíz sus procesos de verificación documental. Esta guía cubre los nuevos requisitos, las sanciones por incumplimiento y los pasos prácticos para preparar su empresa.

Qué cambia con la 6.a Directiva contra el blanqueo de capitales (AMLD6)

La 6.a Directiva contra el blanqueo de capitales (Directiva 2024/1640), adoptada como parte del paquete legislativo PBC de la UE de 2024, establece un calendario de transposición exigente para los Estados miembros. La mayoría de los países de la UE, incluida España, deben completar la integración de todas las disposiciones a finales de 2026.

Cambios regulatorios clave

Tres cambios estructurales redefinen las obligaciones de las entidades reguladas:

Umbrales de titularidad real más bajos. El umbral de participación que activa la identificación del titular real desciende del 25% al 15% para entidades de alto riesgo. Para estructuras opacas (fideicomisos, sociedades instrumentales, vehículos corporativos escalonados), el umbral baja al 5%.

Delitos subyacentes armonizados. La lista de delitos subyacentes del blanqueo de capitales queda armonizada en toda la UE bajo el Reglamento contra el blanqueo de capitales (Reglamento 2024/1624). Las 22 categorías incluyen ahora explícitamente la ciberdelincuencia y el fraude medioambiental, ampliando el alcance de la diligencia debida para todas las empresas reguladas.

Diligencia debida reforzada obligatoria. Las medidas de diligencia debida reforzada se convierten en obligatorias --no opcionales-- para relaciones comerciales con terceros países de alto riesgo, personas políticamente expuestas (PEP) y transacciones complejas superiores a 10.000 €.

El papel de AMLA (Autoridad contra el blanqueo de capitales)

La Autoridad Europea contra el Blanqueo de Capitales (AMLA), operativa desde 2025 con sede en Frankfurt, supervisa directamente a las entidades financieras de mayor riesgo del bloque. Emite Normas Técnicas de Regulación (RTS) que los reguladores nacionales --como el SEPBLAC y el Banco de España en España, BaFin en Alemania o la ACPR en Francia-- transponen en requisitos operativos para las entidades locales.

El alcance supervisor de AMLA es sustancial. Tiene autoridad de supervisión directa sobre aproximadamente 40 grupos financieros transfronterizos considerados de mayor riesgo de blanqueo de capitales. Para todas las demás entidades obligadas, AMLA coordina a los supervisores nacionales y puede intervenir cuando detecta fallos de supervisión a nivel nacional. La consecuencia práctica: las empresas ya no pueden confiar en el arbitraje regulatorio entre jurisdicciones. Una brecha de cumplimiento tolerada en un Estado miembro será señalada y escalada por el marco de evaluación de riesgos centralizado de AMLA.

Requisitos regulatorios reforzados para 2026

Las autoridades supervisoras nacionales de toda Europa han actualizado sus directrices para la verificación de identidad remota. En España, el SEPBLAC ha publicado directrices detalladas sobre la identificación y verificación de identidad del cliente, en línea con el marco regulatorio más amplio de la UE en materia de PBC. Estas directrices, vinculantes en 2026, imponen estándares técnicos precisos a las empresas reguladas.

Verificación de identidad: los nuevos estándares

Criterio Requisito 2024 Requisito 2026
Verificación de documentos Comprobación visual o automatizada Comprobación automatizada obligatoria con detección de falsificación
Verificación biométrica Recomendada para casos de alto riesgo Obligatoria para toda incorporación remota
Conservación de evidencias 5 años tras el fin de la relación 5 años + pista de auditoría completa del proceso de verificación
Frecuencia de actualización Enfoque basado en riesgo Revisión mínima anual para clientes de alto riesgo
Detección de documentos fraudulentos Medidas apropiadas Uso obligatorio de herramientas de detección automatizada

Áreas prioritarias de supervisión

Los reguladores de toda Europa concentran la aplicación en cinco áreas críticas que toda entidad regulada debe dominar:

  1. Calidad del proceso de identificación. Los reguladores verifican que los documentos de identidad se comprueban según un marco técnico documentado, no solo mediante inspección visual.

  2. Cruce de datos recopilados. La información extraída de los documentos debe cruzarse con bases de datos oficiales (listas de sanciones, registros de PEP, listas nacionales de vigilancia).

  3. Trazabilidad de las decisiones. Cada decisión de aceptar o rechazar a un cliente debe estar documentada, fechada y vinculada a la evidencia justificativa.

  4. Formación del personal. Todos los empleados involucrados en el proceso KYC deben completar una formación anual con evaluación de competencias.

  5. Marco de gobernanza. Un responsable designado de PBC/FT debe validar los procedimientos e informar al consejo de administración u órgano de supervisión.

Quién se ve afectado: el alcance ampliado de las entidades reguladas

El alcance de las entidades sujetas a obligaciones KYC se amplía significativamente en 2026. Más allá de los actores tradicionales (bancos, aseguradoras, gestoras de activos), nuevas categorías de empresas quedan bajo la regulación PBC.

Entidades reguladas recientemente

  • Plataformas de financiación participativa autorizadas bajo el Reglamento europeo de crowdfunding (ECSPR), independientemente de su tamaño.
  • Proveedores de servicios de criptoactivos (PSAV), ahora sujetos al Reglamento de Mercados de Criptoactivos (MiCA).
  • Agentes inmobiliarios para transacciones superiores a 10.000 €.
  • Agentes deportivos y clubes profesionales para transferencias internacionales.
  • Proveedores de servicios societarios (domicilios sociales, agentes de constitución de empresas).

Sanciones por incumplimiento

Las sanciones por infracciones KYC se han incrementado sustancialmente:

Tipo de sanción Cuantía / Consecuencia
Multa administrativa (persona jurídica) Hasta el 10% de la facturación anual o 10 millones EUR
Multa administrativa (persona física) Hasta 5 millones EUR
Sanción penal Hasta 5 años de prisión y 375.000 € de multa
Publicación de la sanción Obligatoria, en la web del regulador durante 5 años
Revocación de licencia Posible desde la primera infracción grave

En España, el SEPBLAC y el Banco de España son los principales organismos encargados de supervisar y sancionar el cumplimiento de estas obligaciones. La CNMV supervisa las obligaciones en el ámbito de los mercados de valores.

Cómo la IA transforma el cumplimiento KYC

El cumplimiento KYC con IA ya no es una ventaja competitiva: es una necesidad regulatoria. Las propias autoridades supervisoras recomiendan herramientas automatizadas para alcanzar los niveles de fiabilidad exigidos por los nuevos estándares.

Lo que aporta la IA en el proceso KYC

Detección de falsificación documental. Los algoritmos de visión por computador analizan más de 120 puntos de control en cada documento de identidad: zonas MRZ, hologramas, microimpresión, consistencia tipográfica y alteraciones digitales. Las mejores soluciones alcanzan una tasa de detección del 99,2% para documentos falsificados, frente al 65%-75% de la inspección visual manual.

Extracción y verificación automatizada de datos. El OCR combinado con IA extrae los datos del documento en menos de 2 segundos, los estructura y los verifica contra bases de datos regulatorias. Un proceso que manualmente requiere de 15 a 25 minutos.

Cribado continuo y dinámico. La IA permite el cribado permanente de bases de datos de clientes contra listas de sanciones (ONU, UE, OFAC), registros de PEP y bases de datos de noticias adversas. Las alertas se priorizan por nivel de riesgo, reduciendo los falsos positivos en un 80%, eliminando el cuello de botella que satura a los equipos de cumplimiento.

Monitorización continua y reevaluación del riesgo. La AMLD6 exige la monitorización continua de las relaciones comerciales, no solo comprobaciones puntuales en el momento de la incorporación. Los sistemas de IA rastrean cambios en el comportamiento del cliente, estructuras societarias e indicadores externos de riesgo en tiempo real. Cuando el perfil de riesgo de un cliente cambia --por un cambio de titularidad, una nueva inclusión en listas de sanciones o cobertura mediática adversa-- el sistema activa una revisión automática, garantizando que los estándares de seguridad se mantienen durante todo el ciclo de vida de la relación.

ROI de la automatización KYC

Las empresas que automatizan sus procesos KYC obtienen mejoras medibles:

Métrica Proceso manual Proceso automatizado Mejora
Tiempo de verificación por expediente 15-25 min 30 seg - 2 min -92%
Coste por verificación 8-15 € 0,50-2 € -87%
Tasa de detección de fraude 65-75% 98-99,5% +35%
Tiempo de incorporación del cliente 2-5 días Minutos -98%
Tasa de falsos positivos (cribado) 85-95% 15-25% -75%

Lista de verificación para el cumplimiento KYC 2026

Este es el plan de acción para alcanzar el cumplimiento con los nuevos requisitos KYC a finales del primer semestre de 2026.

Fase 1: Evaluación (T1 2026)

  • Mapear todas las obligaciones aplicables según su estatus regulatorio (entidad de crédito, aseguradora, PSAV, etc.).
  • Auditar su marco KYC existente (procedimientos, herramientas, formación).
  • Identificar brechas entre las prácticas actuales y los nuevos requisitos AMLD6.
  • Estimar el volumen de expedientes de clientes que necesitan re-verificación bajo los nuevos umbrales.

Fase 2: Implementación (T2 2026)

  • Actualizar su clasificación de riesgos de clientes para incorporar los nuevos criterios (umbrales de titularidad real, delitos subyacentes ampliados).
  • Desplegar una herramienta de verificación documental automatizada que cumpla los estándares técnicos establecidos por el SEPBLAC y el Banco de España.
  • Integrar bases de datos de cribado actualizadas (listas de AMLA, registros nacionales).
  • Formar a todo el personal relevante (formación inicial + evaluación de competencias).
  • Documentar los procedimientos en un manual de cumplimiento actualizado.

Fase 3: Pruebas y mejora continua (S2 2026)

  • Realizar controles internos de primer nivel sobre una muestra de expedientes procesados.
  • Realizar pruebas de estrés del sistema con escenarios de fraude (documentos falsificados, identidades sintéticas).
  • Establecer informes mensuales al responsable de PBC/FT.
  • Preparar un expediente de evidencias en previsión de una inspección regulatoria.

Los errores más frecuentes que debe evitar

El análisis de las sanciones regulatorias publicadas en 2024 y 2025 revela patrones recurrentes de incumplimiento que las empresas deben corregir de inmediato. Los informes del SEPBLAC subrayan la magnitud del desafío: las comunicaciones de operaciones sospechosas continúan en aumento, y las notas de inteligencia transmitidas a las autoridades judiciales y organismos colaboradores siguen creciendo.

No actualizar los expedientes de clientes. El 40% de las sanciones emitidas en 2024 se referían a expedientes de clientes que no se habían actualizado en más de 3 años. La revisión periódica no es opcional.

Subestimar el riesgo PEP. Los sistemas de detección de PEP siguen siendo inadecuados en muchas entidades, debido a la falta de acceso a bases de datos actualizadas en tiempo real.

Documentación insuficiente de las decisiones. Aceptar a un cliente sin documentar el razonamiento detrás de la decisión expone a la empresa a sanciones sistemáticas durante una auditoría.

Dependencia exclusiva de controles manuales. Los reguladores consideran ahora que la inspección visual por sí sola no puede alcanzar el nivel de fiabilidad requerido para la verificación documental. La automatización es de facto obligatoria.

Stack tecnológico fragmentado. Muchas entidades utilizan herramientas desconectadas para la verificación documental, el cribado de sanciones y las comprobaciones de PEP. Esto crea silos de datos, puntuación de riesgos inconsistente y brechas de auditoría. Los reguladores esperan un proceso unificado de extremo a extremo con una pista de auditoría única. Invertir en soluciones integradas --en lugar de parchear herramientas puntuales-- es tanto un imperativo de cumplimiento como de eficiencia. Consulte nuestros precios para opciones escalables que consolidan estos flujos de trabajo.

Preguntas frecuentes

¿Mi empresa está sujeta a las obligaciones KYC 2026?

Si es una entidad financiera, aseguradora, corredor, agente inmobiliario, plataforma de financiación participativa, proveedor de servicios de criptoactivos o proveedor de servicios societarios, sí. El alcance de la AMLD6 se ha ampliado en 2026 para incluir plataformas de criptoactivos (bajo MiCA), agentes deportivos y agentes inmobiliarios para transacciones superiores a 10.000 €.

¿Cuál es la diferencia entre KYC y KYB?

KYC (Know Your Customer, Conozca a su Cliente) se refiere a la verificación de la identidad de personas físicas. KYB (Know Your Business, Conozca a su Empresa) se refiere a la verificación de personas jurídicas: existencia legal, titulares reales, administradores y situación financiera. Ambas son exigidas por la AMLD6. Para el componente de verificación corporativa, consulte nuestra guía detallada de KYB.

¿Qué sanciones se aplican por incumplimiento KYC?

Las multas pueden alcanzar el 10% de la facturación anual o 10 millones de euros para personas jurídicas. Las personas físicas se enfrentan a multas de hasta 5 millones de euros y 5 años de prisión. La publicación obligatoria de la sanción en la web del regulador durante 5 años y la revocación de licencia también son posibles desde la primera infracción grave.

¿La inspección visual manual de documentos sigue siendo suficiente en 2026?

No. Los reguladores europeos consideran ahora que la inspección visual por sí sola no puede alcanzar el nivel de fiabilidad exigido por los nuevos estándares. El uso de herramientas de detección automatizada es de facto obligatorio para la verificación documental dentro de los procesos KYC. Las soluciones con IA alcanzan tasas de detección de fraude del 98%-99,5%, frente al 65%-75% de los controles manuales.

Prepare su empresa ahora

Los requisitos KYC de 2026 no son un ajuste regulatorio menor. Representan un cambio de paradigma en cómo las empresas verifican la identidad de sus clientes y socios, alineado con las Recomendaciones del GAFI actualizadas en octubre de 2025. La automatización con IA ya no es opcional: es un prerrequisito para cumplir los estándares de fiabilidad exigidos por los reguladores.

CheckFile acompaña a las entidades reguladas en esta transición. Nuestra plataforma de verificación documental con IA cumple los requisitos técnicos establecidos por los reguladores europeos y procesa todo el flujo de trabajo KYC --desde la captura documental hasta la decisión de cumplimiento-- en menos de 30 segundos. Solicite una demo para evaluar la brecha entre su configuración actual y los requisitos de 2026.

Lectura relacionada: Para las obligaciones detalladas de la AMLD6 que impulsan estos cambios en KYC, consulte nuestra guía de cumplimiento AMLD6. Para la incorporación B2B con verificación de entidades corporativas, lea nuestra guía de verificación documental KYB. Para entender el panorama de fraude documental que estas regulaciones pretenden abordar, consulte nuestras estadísticas de fraude 2026.

Profundizar en el tema

Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.

Artículos relacionados

Cumplimiento10 min

Gestión de riesgos de terceros (TPRM): guía completa 2026

Guía completa de gestión de riesgos de terceros (TPRM): marco DORA, CNMV, evaluación de proveedores, monitoreo continuo y cumplimiento normativo en España 2026.

Leer
Cumplimiento15 min

Evaluación de riesgos de cumplimiento normativo: guía práctica 2026

Cómo identificar, evaluar y mitigar riesgos regulatorios con el marco CNMV y SEPBLAC. Guía completa de compliance risk management para empresas españolas.

Leer
Cumplimiento10 min

GRC: gobernanza, gestión de riesgos y cumplimiento — guía 2026

Qué es el GRC (governance risk management compliance), sus tres pilares, requisitos regulatorios en España bajo CNMV y Sepblac, y cómo implementar un marco eficaz.

Leer