Hay una pregunta que más de un profesional se ha hecho en voz baja antes de firmar un contrato con un cliente nuevo: "¿Y si este tipo no es lo que dice ser?". La buena noticia es que la normativa española te da una respuesta clara. La mala, que esa respuesta implica trabajo real antes del primer apretón de manos —o del primer clic.
El KYC (Know Your Customer, o "conoce a tu cliente") no es un capricho regulatorio. Es el mecanismo que obliga a los sujetos obligados en España a asegurarse de que la persona con quien van a trabajar es quien dice ser, que su dinero procede de donde dice que procede, y que no aparece en ninguna lista que debería preocuparte. Ignorarlo no es una opción legal.
¿Quién tiene que hacer KYC en España?
La Ley 10/2010 de prevención del blanqueo de capitales y financiación del terrorismo establece quiénes son "sujetos obligados" y por tanto deben aplicar medidas KYC. La lista es más larga de lo que mucha gente imagina:
- Entidades de crédito, aseguradoras de vida y empresas de servicios de inversión
- Entidades de pago y dinero electrónico
- Promotores inmobiliarios y agencias inmobiliarias
- Notarios y registradores de la propiedad
- Auditores, asesores fiscales, abogados y gestorías (en ciertas operaciones)
- Joyerías, anticuarios y galerías de arte
- Casinos y operadores de juego online
- Proveedores de servicios de activos virtuales (criptomonedas), desde 2021
Si tu empresa aparece en alguna de estas categorías, no importa tu tamaño. El KYC aplica igual a una asesoría de tres personas que a un banco con 10.000 empleados.
Dato relevante: La Directiva Europea AMLD6 (Directiva UE 2024/1640), en vigor desde mayo de 2024, ha reforzado las obligaciones de diligencia debida y ha ampliado el perímetro de sujetos obligados a nivel comunitario. España deberá transponer buena parte de estas novedades en los próximos meses.
Los cuatro pilares del KYC: qué tienes que verificar
Hacer KYC no es solo "pedir el DNI". El proceso tiene cuatro dimensiones que hay que cubrir antes de aceptar a un cliente. Si falta alguna, el expediente está incompleto y, en una inspección, eso cuenta en tu contra.
1. Identificación del cliente
El primer paso es acreditar que la persona es quien dice ser. Para personas físicas, los documentos aceptados son:
- DNI o NIE (para ciudadanos españoles y residentes extranjeros)
- Pasaporte
- Permiso de residencia
- Carnet de conducir (en algunos contextos, como operaciones de menor riesgo)
Para personas jurídicas —empresas, fundaciones, asociaciones— hay que acreditar su existencia y su representación: escritura de constitución, CIF, y documentación del apoderado o representante legal que actúe en nombre de la entidad.
2. Identificación del Titular Real (UBO)
Cuando el cliente es una empresa, la obligación no termina en el sello corporativo. La Ley exige llegar hasta la persona física que está detrás. Se considera Titular Real (Ultimate Beneficial Owner) a quien tenga, directa o indirectamente, más del 25% del capital o de los derechos de voto de la entidad, o quien de otra forma ejerza el control efectivo de la gestión.
Esta es, sin duda, la obligación que más se incumple en la práctica. Se registra a la empresa, se guarda la escritura, pero nadie pregunta quién tiene realmente el control. En una inspección del SEPBLAC, es uno de los primeros puntos que se revisa.
3. Propósito y naturaleza de la relación de negocio
No basta con saber quién es el cliente. También hay que entender para qué va a usar tus servicios. Preguntas básicas que debes poder responder y documentar: ¿cuál es la actividad principal del cliente?, ¿cuál es el volumen esperado de operaciones?, ¿tiene presencia en jurisdicciones de alto riesgo?
Esta información determina el nivel de riesgo del cliente y, por tanto, qué nivel de diligencia vas a aplicar. No es un formulario que se rellena por cumplir; es la base del análisis de riesgo.
4. Origen de los fondos
En determinadas circunstancias —clientes de alto riesgo, operaciones de importe elevado, PEPs— hay que ir un paso más allá e indagar de forma razonada de dónde procede el dinero. Esto puede implicar solicitar declaración de renta, escrituras de venta de activos, justificantes de herencia u otros documentos que acrediten que los fondos tienen un origen lícito.
Los tres niveles de diligencia: no todo el mundo necesita lo mismo
Uno de los principios fundamentales del marco KYC español es el enfoque basado en el riesgo: la intensidad de la verificación debe ser proporcional al riesgo que presenta el cliente. Hay tres niveles:
- Diligencia simplificada: Para clientes con perfil de bajo riesgo (entidades financieras reguladas, organismos públicos, empresas cotizadas en mercados regulados de la UE). Se mantiene la identificación básica, pero se puede reducir la frecuencia y profundidad de las comprobaciones adicionales.
- Diligencia normal o estándar: El estándar aplicable a la mayoría de relaciones comerciales habituales. Identificación completa, registro del propósito de la relación y monitorización continuada.
- Diligencia reforzada (ampliada): Obligatoria cuando hay factores de riesgo elevado. Los casos más comunes: clientes de países de la lista de alto riesgo del GAFI, Personas Políticamente Expuestas (PEPs), relaciones de negocio no presenciales en ciertos sectores, y operaciones inusualmente complejas o de gran valor.
Error frecuente: Aplicar el mismo proceso estándar a todos los clientes, independientemente del riesgo. Tanto el exceso (verificar con diligencia reforzada a un organismo público) como el defecto (no aplicar diligencia reforzada a un PEP) son incumplimientos. El Reglamento exige que el nivel de diligencia esté documentado y justificado.
Identificación no presencial: el SEPBLAC y las videoconferencias
El mundo ha cambiado y el SEPBLAC lo sabe. Desde hace años, la normativa permite identificar a clientes de forma remota, siempre que se utilicen procedimientos aprobados o autorizados por el propio SEPBLAC. En la práctica, esto incluye:
- Videoconferencia con verificación en tiempo real del documento de identidad
- Soluciones de verificación biométrica (reconocimiento facial, liveness detection) certificadas
- Proceso de identificación reforzado con transferencia bancaria de contraste desde una cuenta a nombre del cliente
Lo que no vale es "me enviaron una foto del DNI por WhatsApp". Sin procedimiento homologado, la identificación no presencial no cumple con los estándares exigidos y el expediente quedará en situación de irregularidad.
¿Cuándo hay que hacer KYC? Los umbrales que debes conocer
La Ley 10/2010 establece que la diligencia debida se aplica antes de iniciar una relación de negocio continuada. Pero también en operaciones puntuales que superen ciertos umbrales:
- 15.000 euros: umbral general para operaciones ocasionales en metálico o sin relación comercial previa
- 1.000 euros: en el caso de transferencias electrónicas de fondos sin relación de negocio establecida
- Sin umbral en el caso de sospecha de blanqueo o financiación del terrorismo, independientemente del importe
En el sector inmobiliario, la diligencia debida aplica a cualquier compraventa, sin importar el importe. Hay sectores donde el umbral es cero.
Conservación de documentos: diez años, no cinco
Todo lo que documentes en el proceso KYC —identificaciones, expedientes, registros de operaciones, análisis de riesgo— hay que conservarlo durante diez años desde la fecha del documento o desde la finalización de la relación de negocio. No hay margen de maniobra ahí.
Además, los documentos deben estar disponibles de forma ágil para cuando el SEPBLAC los solicite. "Lo tenemos guardado, pero tardamos un mes en localizarlo" no es una respuesta aceptable en una inspección.
Conclusión
El KYC no es un trámite puntual que se hace una vez y se olvida. Es un proceso continuo: verificas antes de aceptar, vuelves a revisar cuando el riesgo cambia, y mantienes los expedientes actualizados durante toda la relación comercial. Y si el cliente cambia —nueva dirección, nueva estructura societaria, nuevas operaciones inusuales— el proceso se reactiva.
La diferencia entre una empresa que cumple y una que tiene problemas con el SEPBLAC no está en la intención, sino en la sistemática. Tener un proceso documentado, reproducible y bien aplicado es lo que distingue un expediente correcto de uno con lagunas. Hacerlo manualmente, cliente por cliente, es posible —pero consume un tiempo que muy pocas pymes pueden permitirse. Para eso existen las herramientas AML modernas: para que el proceso sea robusto sin que se convierta en tu trabajo a tiempo completo.