La guía de cumplimiento KYC AML para tu MVP fintech


En esta página
- Qué significan KYC y AML en fintech
- Por qué el cumplimiento KYC AML determina un MVP fintech
- KYC en la etapa de MVP
- Los fundamentos del monitoreo AML
- Prevención de fraude y monitoreo de transacciones
- Comprar o construir el cumplimiento (proveedores KYC/AML)
- La IA en la detección de fraude
- Checklist de cumplimiento antes del lanzamiento
Pregúntale a un fundador fintech qué le quita el sueño antes de lanzar, y el cumplimiento KYC AML sale a relucir casi tan seguido como la pista de despegue financiera. Tiene sentido. Una app de pagos, un producto de préstamos o un neobanco que mueve dinero real necesita demostrarle a un banco socio, a una red de tarjetas o a un regulador que conoce a sus clientes y que puede detectar dinero moviéndose adonde no debería. La parte tranquilizadora es esta. Lo que necesita un MVP fintech en esta etapa es mucho más acotado de lo que la mayoría de los fundadores imagina. No hace falta un departamento de cumplimiento interno, solo tener claro qué exige el KYC, qué exige el AML, qué espera tu banco socio y dónde conviene comprar en lugar de construir. Esta guía cubre las dos cosas, además de dónde realmente ayuda la IA contra el fraude. Para la parte de los datos de tarjeta, revisa nuestro checklist de cumplimiento PCI DSS para startups.
Qué significan KYC y AML en fintech
KYC son las siglas en inglés de Know Your Customer, o conoce a tu cliente. Significa verificar que una persona, o un negocio, es quien dice ser antes de dejarlo abrir una cuenta o mover dinero. En la práctica eso implica pedir un documento de identidad oficial, revisarlo contra los datos que la persona ingresó y, casi siempre, correr una selfie o una prueba de vida para confirmar que detrás de la solicitud hay una persona real y no una foto o un bot. AML son las siglas de Anti-Money Laundering, o antilavado de dinero, el programa más amplio dentro del que vive el KYC. Mientras el KYC responde si esta persona es real, el AML plantea una pregunta constante: ¿la actividad de esta cuenta sigue pareciendo legítima? Eso incluye el cruce contra listas de sanciones y de personas políticamente expuestas (PEP) al momento del alta, el monitoreo continuo de transacciones después, y presentar un reporte (un Suspicious Activity Report, o SAR, en Estados Unidos, un STR en muchos otros países) cuando algo no cuadra. El KYC ocurre sobre todo al inicio y de forma periódica después. El AML corre de manera continua, mientras la cuenta exista.
| Pregunta | KYC (identidad) | AML (monitoreo continuo) |
|---|---|---|
| Qué responde | ¿Es real esta persona? | ¿La actividad sigue pareciendo legítima? |
| Cuándo se ejecuta | En el alta, y después de forma periódica | De manera continua |
| Resultado típico | Identidad verificada, nivel de riesgo | Alertas marcadas, reportes presentados |
| Herramientas comunes | Verificación de documento y prueba de vida | Monitoreo basado en reglas y en ML |
Hay un matiz que muchos fundadores pasan por alto. KYC y AML no siempre corren a cargo del mismo proveedor. Es habitual usar un servicio para la verificación de identidad y otro distinto para el monitoreo de transacciones, sobre todo cuando el volumen supera lo que una sola herramienta maneja bien.
Por qué el cumplimiento KYC AML determina un MVP fintech
El cumplimiento determina decisiones que tomas en la primera semana. Cómo estructuras el alta de usuarios, qué datos puedes guardar, a qué países puedes atender y qué banco socio siquiera contesta tu llamada. La mayoría de las fintech en etapa temprana no tienen licencia propia de transmisor de dinero ni licencia bancaria. Operan a través de un socio de Banking as a Service (BaaS) o un banco patrocinador, y ese socio marca el piso de tu programa de cumplimiento KYC AML, casi siempre más estricto de lo que elegirías por tu cuenta. Un banco patrocinador que protege su licencia suele exigir un nivel concreto de verificación y derecho de auditoría sobre tu proceso antes de dejarte mover un solo dólar por sus rieles. Por eso los plazos de desarrollo de software fintech suelen ser más largos que los de un MVP estándar. El ciclo de revisión del banco socio suele ser la parte más lenta.
KYC en la etapa de MVP
La mayoría de las fintech lanzan con un KYC por niveles. Un chequeo más ligero para cuentas con límites bajos y una verificación más completa cuando el cliente quiere mover montos mayores. A nadie le exigen construir, en su primer producto, el flujo de verificación más pesado que se te ocurra, y hacerlo solo frena tu propia incorporación de usuarios. Un flujo típico funciona así. El cliente sube un documento de identidad oficial y una selfie, un servicio automatizado revisa el documento en busca de manipulación, compara la selfie con la foto y cruza el nombre contra listas de sanciones y de personas políticamente expuestas. Cuando todo coincide sin problemas, esto suele terminar en minutos. Cuando no, el caso pasa a revisión manual, lo que toma desde horas hasta un par de días hábiles, más si el solicitante viene de un país de mayor riesgo o los documentos no son claros. Construye esto sobre la API de un proveedor y no sobre tu propio modelo. La cobertura de documentos y las tasas de falsos positivos tardan años de ajuste en madurar. Los exchanges de criptomonedas están en el extremo más estricto de este espectro, y nuestra guía sobre cómo construir una app de intercambio de criptomonedas como Coinbase cubre esa versión, mientras que una app de préstamos estándar o un neobanco suelen necesitar un nivel más ligero.
Los fundamentos del monitoreo AML
El cumplimiento AML es el programa que cubre todo lo que pasa después del alta. Vigila las transacciones en busca de patrones que no encajan con un uso legítimo, cruza los nombres contra listas de sanciones de forma continua y no solo una vez al registrarse, y mantiene registros que resistirían si un regulador pidiera verlos. La mayoría de los sistemas de monitoreo arrancan con reglas. Marcan transacciones grandes, marcan movimientos rápidos de fondos y marcan transferencias justo por debajo de un umbral de reporte, un patrón llamado fraccionamiento porque la gente esquiva el disparador del reporte partiendo una transferencia grande en varias más pequeñas. En Estados Unidos ese umbral está en $10,000 bajo la Bank Secrecy Act, y cada jurisdicción fija el suyo, así que revisa cuál aplica donde tienes tu licencia. Cuando salta una regla, el caso entra a una cola para que lo revise una persona, casi siempre tu oficial de cumplimiento o el equipo de tu socio BaaS, quien decide si hace falta un reporte formal. La mayoría de las alertas resultan no ser nada grave. El trabajo del programa es atrapar las pocas que sí lo son.
Prevención de fraude y monitoreo de transacciones
El monitoreo AML y la prevención de fraude se superponen tanto que muchos fundadores creen que son el mismo sistema. Están relacionados, pero responden preguntas distintas. AML se pregunta si el movimiento de dinero parece lavado. La prevención de fraude mira si la transacción en sí es legítima, algo tan variado como una tarjeta robada, un inicio de sesión secuestrado, una identidad sintética o un bot probando números de tarjeta de a pocos centavos por vez. Un motor de fraude suele combinar varias señales. Huella digital del dispositivo, verificación de geolocalización, patrones de comportamiento y controles de velocidad sobre cuántas veces una tarjeta intenta una transacción en poco tiempo. Ninguna señal por sí sola demuestra fraude. Juntas arman una puntuación de riesgo que decide si la transacción pasa, recibe un desafío adicional o se bloquea. Algunos proveedores de KYC AML incluyen la puntuación de fraude dentro de su servicio, otros esperan que uses un proveedor aparte. En cualquier caso, planea ambas cosas desde el inicio, antes de que un bot que prueba tarjetas encuentre tu flujo de pago.
Pide una cotización de alcance cerrado para tu MVP fintech
Cuéntanos tus requisitos de cumplimiento y la fecha de lanzamiento que tienes en mente. Te devolvemos un número, un plazo y una línea clara entre lo que construimos y lo que integramos.
Pide tu cotizaciónComprar o construir el cumplimiento (proveedores KYC/AML)
Las herramientas de cumplimiento son una de las decisiones de compra más claras en un MVP fintech, y una de las áreas donde construirlo tú mismo trae un riesgo real además del costo extra.
Verificación de identidad
Proveedores como Persona, Onfido, Sumsub y Trulioo manejan la revisión de documentos, la detección de prueba de vida y el cruce contra listas de sanciones a través de una API que integras en días. Mantienen plantillas de documentos para decenas de países y reentrenan sus modelos con muchos más datos de los que cualquier fintech individual podría generar por su cuenta.
Monitoreo de transacciones
ComplyAdvantage, Alloy y herramientas similares manejan el monitoreo basado en reglas y en ML, además de la gestión de casos. Algunos socios BaaS exigen una herramienta de una lista aprobada, así que confírmalo antes de firmar el contrato con un proveedor.
Cuándo tiene sentido construirlo internamente
La cuenta cambia cuando el cumplimiento se vuelve un diferenciador real. Una puntuación de riesgo propia sobre un conjunto de datos grande ya existente, o una empresa cuyo producto es justamente la herramienta de cumplimiento. En tu primer MVP fintech, casi nunca estás ahí todavía.
Construir tu propio sistema de cruce contra listas de sanciones para ahorrarte una suscripción es un error común al inicio. Vimos a un fundador pasar tres semanas ajustando falsos positivos en un verificador de listas hecho en casa, en lugar de construir las funciones que su producto sí necesitaba. La suscripción le habría costado menos que una semana de tiempo de ese ingeniero.
La IA en la detección de fraude
El monitoreo basado en reglas atrapa los patrones que se te ocurrió escribir como regla. Los modelos de machine learning atrapan algunos de los que no se te ocurrieron, evaluando las transacciones contra patrones aprendidos de datos históricos en vez de una lista fija. Esa es la promesa honesta de la IA en la detección de fraude. La mayoría de las herramientas modernas ya combinan ambos enfoques, porque las reglas solas tienden a marcar de más, lo que frustra a los buenos clientes, o a marcar de menos, lo que deja pasar patrones nuevos según van apareciendo. Un modelo bien ajustado reduce los falsos positivos, algo que importa más de lo que parece. Cada transacción marcada que resulta ser legítima cuesta un ciclo de revisión y, muchas veces, un cliente frustrado atrapado en un bucle de verificación. Hay algo que la IA no reemplaza. Una persona sigue firmando el informe de actividad sospechosa antes de presentarlo, y un regulador va a esperar que le expliques por qué un modelo marcó, o no marcó, un caso concreto. Trata la puntuación de la IA como una forma de priorizar la cola, no como un programa de cumplimiento completo. La mayoría de los proveedores de KYC AML ya lo incluyen, así que lo más probable es que lo heredes en vez de tener que construirlo tú.
Checklist de cumplimiento antes del lanzamiento
Antes de lanzar tu MVP fintech en vivo, repasa esta lista con quien sea responsable del cumplimiento en tu equipo, aunque sea un asesor a tiempo parcial o el equipo de tu socio BaaS:
- Confirma tu ruta de licencia. ¿Licencia de un banco patrocinador, licencia de pagos o tu propio registro como transmisor de dinero? Esto determina casi todo lo demás en esta lista.
- Define una estructura de niveles de KYC que trate distinto a una cuenta de $50 y a una de $5,000, antes de que tu diseñador de onboarding empiece a armar los wireframes.
- Elige tus proveedores de verificación de identidad y de monitoreo de transacciones, y confirma que estén en cualquier lista aprobada que exija tu socio bancario.
- Documenta un proceso de escalamiento. Quién revisa un caso marcado, en cuánto tiempo, y quién puede presentar un reporte o cerrar una cuenta.
- Define una política de retención de registros. La mayoría de los marcos AML esperan que conserves los registros durante años, no meses, después de que se cierra una cuenta.
- Designa a una persona responsable, incluso en un equipo pequeño, cuyo rol incluya el cumplimiento por escrito.
Nada de esto sustituye el asesoramiento legal específico para tu jurisdicción. Tómalo como la mitad operativa de esa conversación. Una vez que la forma del cumplimiento de tu MVP está definida, la construcción sigue un camino bastante estándar, que cubrimos en nuestra guía sobre cómo construir una app fintech.
Tags
Pregúntale a un fundador fintech qué le quita el sueño antes de lanzar, y el cumplimiento KYC AML sale a relucir casi tan seguido como la pista de despegue financiera. Tiene sentido. Una app de pagos, un producto de préstamos o un neobanco que mueve dinero real necesita demostrarle a un banco socio, a una red de tarjetas o a un regulador que conoce a sus clientes y que puede detectar dinero moviéndose adonde no debería. La parte tranquilizadora es esta. Lo que necesita un MVP fintech en esta etapa es mucho más acotado de lo que la mayoría de los fundadores imagina. No hace falta un departamento de cumplimiento interno, solo tener claro qué exige el KYC, qué exige el AML, qué espera tu banco socio y dónde conviene comprar en lugar de construir. Esta guía cubre las dos cosas, además de dónde realmente ayuda la IA contra el fraude. Para la parte de los datos de tarjeta, revisa nuestro checklist de cumplimiento PCI DSS para startups.
Qué significan KYC y AML en fintech
KYC son las siglas en inglés de Know Your Customer, o conoce a tu cliente. Significa verificar que una persona, o un negocio, es quien dice ser antes de dejarlo abrir una cuenta o mover dinero. En la práctica eso implica pedir un documento de identidad oficial, revisarlo contra los datos que la persona ingresó y, casi siempre, correr una selfie o una prueba de vida para confirmar que detrás de la solicitud hay una persona real y no una foto o un bot. AML son las siglas de Anti-Money Laundering, o antilavado de dinero, el programa más amplio dentro del que vive el KYC. Mientras el KYC responde si esta persona es real, el AML plantea una pregunta constante: ¿la actividad de esta cuenta sigue pareciendo legítima? Eso incluye el cruce contra listas de sanciones y de personas políticamente expuestas (PEP) al momento del alta, el monitoreo continuo de transacciones después, y presentar un reporte (un Suspicious Activity Report, o SAR, en Estados Unidos, un STR en muchos otros países) cuando algo no cuadra. El KYC ocurre sobre todo al inicio y de forma periódica después. El AML corre de manera continua, mientras la cuenta exista.
| Pregunta | KYC (identidad) | AML (monitoreo continuo) |
|---|---|---|
| Qué responde | ¿Es real esta persona? | ¿La actividad sigue pareciendo legítima? |
| Cuándo se ejecuta | En el alta, y después de forma periódica | De manera continua |
| Resultado típico | Identidad verificada, nivel de riesgo | Alertas marcadas, reportes presentados |
| Herramientas comunes | Verificación de documento y prueba de vida | Monitoreo basado en reglas y en ML |
Hay un matiz que muchos fundadores pasan por alto. KYC y AML no siempre corren a cargo del mismo proveedor. Es habitual usar un servicio para la verificación de identidad y otro distinto para el monitoreo de transacciones, sobre todo cuando el volumen supera lo que una sola herramienta maneja bien.
Por qué el cumplimiento KYC AML determina un MVP fintech
El cumplimiento determina decisiones que tomas en la primera semana. Cómo estructuras el alta de usuarios, qué datos puedes guardar, a qué países puedes atender y qué banco socio siquiera contesta tu llamada. La mayoría de las fintech en etapa temprana no tienen licencia propia de transmisor de dinero ni licencia bancaria. Operan a través de un socio de Banking as a Service (BaaS) o un banco patrocinador, y ese socio marca el piso de tu programa de cumplimiento KYC AML, casi siempre más estricto de lo que elegirías por tu cuenta. Un banco patrocinador que protege su licencia suele exigir un nivel concreto de verificación y derecho de auditoría sobre tu proceso antes de dejarte mover un solo dólar por sus rieles. Por eso los plazos de desarrollo de software fintech suelen ser más largos que los de un MVP estándar. El ciclo de revisión del banco socio suele ser la parte más lenta.
KYC en la etapa de MVP
La mayoría de las fintech lanzan con un KYC por niveles. Un chequeo más ligero para cuentas con límites bajos y una verificación más completa cuando el cliente quiere mover montos mayores. A nadie le exigen construir, en su primer producto, el flujo de verificación más pesado que se te ocurra, y hacerlo solo frena tu propia incorporación de usuarios. Un flujo típico funciona así. El cliente sube un documento de identidad oficial y una selfie, un servicio automatizado revisa el documento en busca de manipulación, compara la selfie con la foto y cruza el nombre contra listas de sanciones y de personas políticamente expuestas. Cuando todo coincide sin problemas, esto suele terminar en minutos. Cuando no, el caso pasa a revisión manual, lo que toma desde horas hasta un par de días hábiles, más si el solicitante viene de un país de mayor riesgo o los documentos no son claros. Construye esto sobre la API de un proveedor y no sobre tu propio modelo. La cobertura de documentos y las tasas de falsos positivos tardan años de ajuste en madurar. Los exchanges de criptomonedas están en el extremo más estricto de este espectro, y nuestra guía sobre cómo construir una app de intercambio de criptomonedas como Coinbase cubre esa versión, mientras que una app de préstamos estándar o un neobanco suelen necesitar un nivel más ligero.
Los fundamentos del monitoreo AML
El cumplimiento AML es el programa que cubre todo lo que pasa después del alta. Vigila las transacciones en busca de patrones que no encajan con un uso legítimo, cruza los nombres contra listas de sanciones de forma continua y no solo una vez al registrarse, y mantiene registros que resistirían si un regulador pidiera verlos. La mayoría de los sistemas de monitoreo arrancan con reglas. Marcan transacciones grandes, marcan movimientos rápidos de fondos y marcan transferencias justo por debajo de un umbral de reporte, un patrón llamado fraccionamiento porque la gente esquiva el disparador del reporte partiendo una transferencia grande en varias más pequeñas. En Estados Unidos ese umbral está en $10,000 bajo la Bank Secrecy Act, y cada jurisdicción fija el suyo, así que revisa cuál aplica donde tienes tu licencia. Cuando salta una regla, el caso entra a una cola para que lo revise una persona, casi siempre tu oficial de cumplimiento o el equipo de tu socio BaaS, quien decide si hace falta un reporte formal. La mayoría de las alertas resultan no ser nada grave. El trabajo del programa es atrapar las pocas que sí lo son.
Prevención de fraude y monitoreo de transacciones
El monitoreo AML y la prevención de fraude se superponen tanto que muchos fundadores creen que son el mismo sistema. Están relacionados, pero responden preguntas distintas. AML se pregunta si el movimiento de dinero parece lavado. La prevención de fraude mira si la transacción en sí es legítima, algo tan variado como una tarjeta robada, un inicio de sesión secuestrado, una identidad sintética o un bot probando números de tarjeta de a pocos centavos por vez. Un motor de fraude suele combinar varias señales. Huella digital del dispositivo, verificación de geolocalización, patrones de comportamiento y controles de velocidad sobre cuántas veces una tarjeta intenta una transacción en poco tiempo. Ninguna señal por sí sola demuestra fraude. Juntas arman una puntuación de riesgo que decide si la transacción pasa, recibe un desafío adicional o se bloquea. Algunos proveedores de KYC AML incluyen la puntuación de fraude dentro de su servicio, otros esperan que uses un proveedor aparte. En cualquier caso, planea ambas cosas desde el inicio, antes de que un bot que prueba tarjetas encuentre tu flujo de pago.
Pide una cotización de alcance cerrado para tu MVP fintech
Cuéntanos tus requisitos de cumplimiento y la fecha de lanzamiento que tienes en mente. Te devolvemos un número, un plazo y una línea clara entre lo que construimos y lo que integramos.
Pide tu cotizaciónComprar o construir el cumplimiento (proveedores KYC/AML)
Las herramientas de cumplimiento son una de las decisiones de compra más claras en un MVP fintech, y una de las áreas donde construirlo tú mismo trae un riesgo real además del costo extra.
Verificación de identidad
Proveedores como Persona, Onfido, Sumsub y Trulioo manejan la revisión de documentos, la detección de prueba de vida y el cruce contra listas de sanciones a través de una API que integras en días. Mantienen plantillas de documentos para decenas de países y reentrenan sus modelos con muchos más datos de los que cualquier fintech individual podría generar por su cuenta.
Monitoreo de transacciones
ComplyAdvantage, Alloy y herramientas similares manejan el monitoreo basado en reglas y en ML, además de la gestión de casos. Algunos socios BaaS exigen una herramienta de una lista aprobada, así que confírmalo antes de firmar el contrato con un proveedor.
Cuándo tiene sentido construirlo internamente
La cuenta cambia cuando el cumplimiento se vuelve un diferenciador real. Una puntuación de riesgo propia sobre un conjunto de datos grande ya existente, o una empresa cuyo producto es justamente la herramienta de cumplimiento. En tu primer MVP fintech, casi nunca estás ahí todavía.
Construir tu propio sistema de cruce contra listas de sanciones para ahorrarte una suscripción es un error común al inicio. Vimos a un fundador pasar tres semanas ajustando falsos positivos en un verificador de listas hecho en casa, en lugar de construir las funciones que su producto sí necesitaba. La suscripción le habría costado menos que una semana de tiempo de ese ingeniero.
La IA en la detección de fraude
El monitoreo basado en reglas atrapa los patrones que se te ocurrió escribir como regla. Los modelos de machine learning atrapan algunos de los que no se te ocurrieron, evaluando las transacciones contra patrones aprendidos de datos históricos en vez de una lista fija. Esa es la promesa honesta de la IA en la detección de fraude. La mayoría de las herramientas modernas ya combinan ambos enfoques, porque las reglas solas tienden a marcar de más, lo que frustra a los buenos clientes, o a marcar de menos, lo que deja pasar patrones nuevos según van apareciendo. Un modelo bien ajustado reduce los falsos positivos, algo que importa más de lo que parece. Cada transacción marcada que resulta ser legítima cuesta un ciclo de revisión y, muchas veces, un cliente frustrado atrapado en un bucle de verificación. Hay algo que la IA no reemplaza. Una persona sigue firmando el informe de actividad sospechosa antes de presentarlo, y un regulador va a esperar que le expliques por qué un modelo marcó, o no marcó, un caso concreto. Trata la puntuación de la IA como una forma de priorizar la cola, no como un programa de cumplimiento completo. La mayoría de los proveedores de KYC AML ya lo incluyen, así que lo más probable es que lo heredes en vez de tener que construirlo tú.
Checklist de cumplimiento antes del lanzamiento
Antes de lanzar tu MVP fintech en vivo, repasa esta lista con quien sea responsable del cumplimiento en tu equipo, aunque sea un asesor a tiempo parcial o el equipo de tu socio BaaS:
- Confirma tu ruta de licencia. ¿Licencia de un banco patrocinador, licencia de pagos o tu propio registro como transmisor de dinero? Esto determina casi todo lo demás en esta lista.
- Define una estructura de niveles de KYC que trate distinto a una cuenta de $50 y a una de $5,000, antes de que tu diseñador de onboarding empiece a armar los wireframes.
- Elige tus proveedores de verificación de identidad y de monitoreo de transacciones, y confirma que estén en cualquier lista aprobada que exija tu socio bancario.
- Documenta un proceso de escalamiento. Quién revisa un caso marcado, en cuánto tiempo, y quién puede presentar un reporte o cerrar una cuenta.
- Define una política de retención de registros. La mayoría de los marcos AML esperan que conserves los registros durante años, no meses, después de que se cierra una cuenta.
- Designa a una persona responsable, incluso en un equipo pequeño, cuyo rol incluya el cumplimiento por escrito.
Nada de esto sustituye el asesoramiento legal específico para tu jurisdicción. Tómalo como la mitad operativa de esa conversación. Una vez que la forma del cumplimiento de tu MVP está definida, la construcción sigue un camino bastante estándar, que cubrimos en nuestra guía sobre cómo construir una app fintech.
Tags

En esta página
- Qué significan KYC y AML en fintech
- Por qué el cumplimiento KYC AML determina un MVP fintech
- KYC en la etapa de MVP
- Los fundamentos del monitoreo AML
- Prevención de fraude y monitoreo de transacciones
- Comprar o construir el cumplimiento (proveedores KYC/AML)
- La IA en la detección de fraude
- Checklist de cumplimiento antes del lanzamiento




