Skip to content
Detección IA & DeepfakeNuevo

Señales IA, sintéticos, deepfakes

Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Cumplimiento10 min de lectura

KYC para proveedores de servicios de pago: obligaciones PBC/FT 2026

Guía completa de obligaciones KYC/AML para proveedores de servicios de pago (PSP) en España: marco PSD3, Ley 10/2010, SEPBLAC, Banco de España y automatización 2026.

El equipo CheckFile
El equipo CheckFile·
Illustration for KYC para proveedores de servicios de pago: obligaciones PBC/FT 2026 — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Los proveedores de servicios de pago (PSP) en España están sujetos a obligaciones de prevención del blanqueo de capitales y financiación del terrorismo (PBC/FT) establecidas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y supervisadas por el Banco de España (para entidades de pago y dinero electrónico) y el SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias). En 2026, un hito clave marca el sector: el 30 de junio de 2026 es la fecha límite para que los proveedores preregistrados ante SEPBLAC obtengan autorización formal del Banco de España o cesen su actividad.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico, financiero ni regulatorio. Consulte con un profesional cualificado para su situación específica.

¿Qué PSP están sujetos a obligaciones KYC en España?

La Ley 10/2010 define un amplio perímetro de sujetos obligados. En el ámbito de los servicios de pago, están incluidos:

Categoría de PSP Ejemplos Supervisor principal
Entidades de crédito Bancos, cajas de ahorro, cooperativas Banco de España + SEPBLAC
Entidades de pago (EP) Fintechs de pago, procesadores, agregadores Banco de España
Entidades de dinero electrónico (EDE) Monederos digitales, tarjetas prepago Banco de España
Proveedores de servicios en criptoactivos (PSCA) Exchanges, custodios (bajo MiCA) CNMV + Banco de España
Plataformas de financiación participativa Crowdfunding de préstamos CNMV

El artículo 3 de la Ley 10/2010 obliga a todos los sujetos obligados a identificar y verificar la identidad de sus clientes antes del establecimiento de la relación de negocio, sin perjuicio de que para operaciones ocasionales solo se exige diligencia debida cuando el importe iguala o supera los 15 000 euros.

El 30 de junio de 2026 marca una transición regulatoria importante: los proveedores de servicios de pago que operaban bajo el régimen transitorio del preregistro ante SEPBLAC deben haber completado el proceso de autorización ante el Banco de España conforme a los requisitos de PSD2 y la futura PSD3.

Marco regulatorio: Ley 10/2010, PSD3 y normativa europea

Ley 10/2010 de Prevención del Blanqueo de Capitales La Ley 10/2010, desarrollada por el Real Decreto 304/2014, es la norma central en España para las obligaciones PBC/FT. El artículo 4 establece las medidas de diligencia debida normales; el artículo 11 regula la diligencia reforzada aplicable a clientes de alto riesgo, personas de responsabilidad pública (PRP/PEP) y relaciones con países de alto riesgo. Fuente: Ley 10/2010, BOE

Reglamento (UE) 2023/1113 sobre transferencias de fondos En vigor desde el 26 de diciembre de 2024, este reglamento exige que los PSP acompañen todas las transferencias electrónicas con información completa sobre el ordenante y el beneficiario, independientemente de la divisa y el importe. Los PSP que ofrezcan servicios de transferencia inmediata deben filtrar sus bases de datos de clientes de forma inmediata tras cualquier modificación de las listas de sanciones de la UE o nacionales, y como mínimo diariamente. Fuente: Reglamento (UE) 2023/1113, EUR-Lex

AMLD6 (Directiva (UE) 2024/1640) y AMLR (Reglamento (UE) 2024/1624) Adoptados en junio de 2024 con fecha límite de transposición el 10 de julio de 2027, estos textos amplían el perímetro a prestadores de servicios en criptoactivos adicionales, armonizan los umbrales de diligencia debida y establecen la Autoridad Europea de Lucha contra el Blanqueo de Capitales (AMLA), operativa desde principios de 2026. Fuente: Directiva (UE) 2024/1640, EUR-Lex

PSD3 y Reglamento de Servicios de Pago (PSR) El acuerdo político provisional sobre PSD3 y el PSR se alcanzó el 27 de noviembre de 2025. La transposición nacional en España se espera para 2027-2028. PSD3 introducirá la verificación IBAN/nombre obligatoria para transferencias SEPA y redistribuirá la responsabilidad en caso de fraude.

Para una visión completa del marco AMLD6, consulte nuestra guía de cumplimiento AMLD6 para sujetos obligados.

Obligaciones KYC concretas para PSP en España

Diligencia debida normal (DDN)

La diligencia debida normal es obligatoria antes del establecimiento de cualquier relación de negocio y en operaciones ocasionales iguales o superiores a 15 000 euros. Para personas físicas, los PSP deben recabar y verificar:

  • Nombre completo, fecha de nacimiento, nacionalidad y domicilio
  • Documento de identificación oficial vigente (DNI/NIE para residentes en España, pasaporte para extranjeros)
  • Naturaleza de la relación de negocio y origen de los fondos (cuando proceda)

Para personas jurídicas, la diligencia debida se extiende a la identificación del titular real — persona física que posea o controle directa o indirectamente más del 25 % del capital o derechos de voto, o que ejerza el control de otra forma — mediante el Registro de Titulares Reales del Consejo General del Notariado y la escritura de constitución.

El enfoque multicapa de CheckFile — que combina extracción OCR, verificación de metadatos y validación cruzada entre documentos — permite a los PSP automatizar estos controles manteniendo el nivel de trazabilidad exigido por SEPBLAC y el Banco de España.

Diligencia debida reforzada (DDR): cuándo y cómo aplicarla

El artículo 11 de la Ley 10/2010 establece los supuestos que exigen medidas reforzadas:

  • Personas de Responsabilidad Pública (PRP/PEP): cargos públicos de alto nivel, miembros del gobierno, magistrados de tribunales superiores y sus allegados
  • Clientes con vínculos con países de alto riesgo GAFI: aquellos en las listas de jurisdicciones bajo mayor vigilancia o con llamamiento a la acción (Lista GAFI)
  • Operaciones complejas o de gran importe sin finalidad económica aparente
  • Relaciones de negocio a distancia establecidas sin presencia física del cliente

La DDR incluye obligatoriamente la obtención de información adicional sobre el origen del patrimonio y de los fondos, así como la aprobación de la alta dirección antes del inicio de la relación con una PRP.

Para profundizar en los procedimientos de debida diligencia reforzada, consulte nuestra guía de la diligencia reforzada en cumplimiento.

Monitorización continua de operaciones

Los PSP están obligados a mantener una vigilancia permanente de la relación de negocio, en virtud del artículo 9 de la Ley 10/2010:

Medida Frecuencia mínima Evento desencadenante
Revisión de transacciones Continua Anomalías detectadas por el sistema de monitorización
Actualización del expediente KYC Según perfil de riesgo Caducidad de documentos, cambio de actividad
Cribado listas de sanciones Diario (mínimo) Modificación de listas UE, ONU, OFAC
Revisión de PRP/PEP Continua Elecciones, nombramientos, ceses
Declaración de operación sospechosa Ante cada sospecha Operación atípica o sin justificación

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

Umbrales regulatorios para PSP en España

Tipo de operación Diligencia simplificada Diligencia normal Diligencia reforzada
Transferencia electrónica puntual < 1 000 € (nombre + cuenta) ≥ 1 000 € Perfil de alto riesgo
Cambio de divisas < 1 000 € ≥ 1 000 € País de alto riesgo GAFI
Dinero electrónico recargable < 250 €/mes de uso anónimo ≥ 250 €/mes o recargable Uso transfronterizo, perfil sospechoso
Tarjeta prepago no recargable ≤ 150 € valor máximo > 150 € o recargable PRP o cliente desconocido

Las transferencias de fondos físicas iguales o superiores a 10 000 euros deben declararse ante la Agencia Estatal de Administración Tributaria (AEAT) y las aduanas españolas.

Declaraciones al SEPBLAC: comunicación de operaciones sospechosas

El SEPBLAC es la Unidad de Inteligencia Financiera de España y el organismo receptor de las comunicaciones sobre operaciones sospechosas (COS). Todo PSP sujeto obligado debe comunicar al SEPBLAC cualquier operación respecto de la cual existan indicios o certeza de que está relacionada con el blanqueo de capitales o la financiación del terrorismo.

Las obligaciones de comunicación incluyen:

  • Comunicar con carácter previo a la ejecución de la operación cuando sea posible
  • Mantener confidencialidad absoluta — revelar la comunicación al cliente constituye infracción grave
  • Conservar toda la documentación que motivó la comunicación durante diez años
  • Designar un representante ante el SEPBLAC, con habilitación para hacer las comunicaciones

Fuente: SEPBLAC, guía de sujetos obligados

Sanciones en España: consecuencias del incumplimiento

El Banco de España y el SEPBLAC disponen de amplias facultades sancionadoras en virtud del Título VI de la Ley 10/2010:

  • Infracciones muy graves: multa de hasta el mayor de los siguientes importes: 10 % del volumen de negocios total anual, el doble del beneficio obtenido, o 5 millones de euros
  • Amonestación pública: sanción publicada en el Boletín Oficial del Estado y en la web del Banco de España
  • Inhabilitación de administradores y directivos responsables
  • Revocación de la autorización: sanción última que implica el cese definitivo de la actividad

Automatización del KYC para PSP

La verificación automatizada de documentos es una necesidad operativa para PSP que gestionan grandes volúmenes de incorporación. CheckFile ofrece una API integrable directamente en los flujos de alta de clientes:

  • Verificación de más de 3 200 tipos de documentos de 32 jurisdicciones, incluidos DNI/NIE, pasaportes y permisos de residencia españoles
  • Extracción automática de datos biográficos con controles de coherencia entre campos
  • Detección de documentos alterados, generados por IA o con metadatos manipulados
  • Almacenamiento conforme de evidencias de verificación durante 10 años para auditorías del Banco de España/SEPBLAC
  • Integración directa con sistemas de gestión de riesgos de cliente (CRM, core banking)

Para mejorar su enfoque basado en el riesgo en la segmentación de clientes AML, CheckFile asigna automáticamente indicadores de riesgo a cada expediente verificado. Consulte nuestra guía de precios para opciones de acceso a la API.

Preguntas frecuentes

¿Un PSP debe verificar la identidad de todos sus clientes?

Sí, pero la intensidad de las diligencias varía según el perfil de riesgo. La diligencia simplificada se aplica a productos de bajo riesgo (tarjetas prepago no recargables ≤ 150 €). La diligencia normal abarca a la mayoría de clientes. La reforzada es obligatoria para PRP/PEP, clientes con vínculos en países de alto riesgo GAFI y operaciones complejas sin finalidad aparente.

¿Con qué frecuencia debe actualizarse el expediente KYC de un cliente?

El expediente debe actualizarse ante cualquier cambio significativo en la situación del cliente y según los intervalos definidos en la política interna de riesgos. Como mínimo: anualmente para clientes de alto riesgo y PRP, cada dos años para riesgo medio, y cada cinco años para riesgo bajo.

¿Qué implica la fecha límite del 30 de junio de 2026 para PSP preregistrados?

Los PSP que operaban bajo el régimen de preregistro ante SEPBLAC (introducciones PSD2) debían haber obtenido autorización formal del Banco de España antes del 30 de junio de 2026 o cesar su actividad. A partir de esa fecha, solo pueden operar como PSP las entidades con autorización plena del Banco de España o con pasaporte europeo válido.

¿Las plataformas fintech tienen las mismas obligaciones que los bancos tradicionales?

Sí, en lo relativo a los servicios cubiertos por su autorización. Una entidad de pago autorizada por el Banco de España tiene las mismas obligaciones PBC/FT que una entidad de crédito para los servicios de pago que presta. La diferencia radica en el perímetro de la autorización, no en el nivel de cumplimiento exigido.

¿Qué información debe acompañar una transferencia según el Reglamento (UE) 2023/1113?

Para transferencias superiores a 1 000 euros, los PSP deben transmitir: nombre completo del ordenante, número de cuenta del ordenante, dirección del ordenante, número de documento de identidad y fecha de nacimiento. Para transferencias inferiores a 1 000 euros, basta con el nombre y el número de cuenta, salvo sospecha de blanqueo o financiación del terrorismo.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Cumplimiento8 min

Verificación de documentos de ingresos en KYC: nóminas, IRPF y detección de fraude

Cómo verificar los documentos de ingresos en un proceso KYC conforme con la Ley 10/2010 y SEPBLAC: documentos aceptados, detección de fraude y automatización en 2026.

Leer
Cumplimiento14 min

Cumplimiento KYC/AML para neobancos y bancos digitales: guía completa 2026

Guía completa de obligaciones KYC/AML para neobancos y bancos digitales en España y la UE en 2026: AMLD6, AMLR, SEPBLAC, onboarding digital, detección de vida y sanciones regulatorias.

Leer
Cumplimiento8 min

Know Your Supplier (KYS): verificación de proveedores y cumplimiento

Guía completa sobre KYS en España: obligaciones legales, Ley 10/2010, SEPBLAC, Ley de Cadenas de Suministro y pasos prácticos para verificar proveedores en 2026.

Leer