Hay una conversación que se repite demasiado en equipos de cumplimiento de empresas medianas: "Hemos perdido tres clientes este mes porque el proceso de alta les parecía demasiado engorroso." Y a continuación, alguien del equipo legal responde que no hay más remedio, que la ley obliga a pedir todo eso.
La ley obliga a verificar. No obliga a hacerlo mal. Y ahí es donde la mayoría de los sujetos obligados están dejando dinero —y clientes— sobre la mesa.
Qué exige la Ley 10/2010 en el onboarding
Antes de hablar de digitalización, toca tener claro qué es lo que realmente exige la normativa. El artículo 3 de la Ley 10/2010 establece cuatro medidas de diligencia debida que deben aplicarse al inicio de cualquier relación de negocio:
- Identificación formal del cliente: nombre completo, documento de identidad vigente (DNI, NIE, pasaporte), fecha de nacimiento y nacionalidad. Para personas jurídicas, escritura de constitución, CIF, y representantes legales.
- Verificación de esa identidad mediante documentación fidedigna, no solo la declaración del propio cliente.
- Identificación del titular real (UBO): la persona física que en última instancia controla o se beneficia de la relación. Obligatorio para empresas con más del 25% de participación directa o indirecta.
- Comprensión del propósito e índole de la relación de negocio: a qué se dedica el cliente, para qué necesita el servicio y, en función del riesgo, de dónde vienen los fondos.
Hasta aquí nada nuevo. El problema es que muchos equipos traducen eso en "enviamos un email pidiendo que nos manden un PDF de su DNI escaneado y esperamos a que lo hagan". Y ahí empieza el abandono.
Dato: Según estudios del sector en Europa, entre el 40% y el 70% de los clientes potenciales abandona el proceso de onboarding cuando este requiere más de tres pasos manuales o supera los 5 minutos de fricción percibida. En sectores como el inmobiliario o el asesoramiento financiero, ese abandono tiene un coste directo muy medible.
El gran malentendido: presencial no equivale a más seguro
Existe la creencia —bastante extendida, por cierto— de que pedir al cliente que venga a la oficina a presentar el DNI en mano es el procedimiento más seguro y el que menos riesgo genera en una inspección. No es exactamente así.
Lo que la normativa exige es que la verificación sea fiable, no que sea presencial. El Real Decreto 304/2014 (el reglamento de la Ley 10/2010) y las circulares del SEPBLAC reconocen expresamente varios procedimientos de identificación no presencial que son legalmente equivalentes a la presencial:
- Primer ingreso de fondos desde cuenta propia: si el cliente realiza una primera transferencia desde una cuenta bancaria ya abierta a su nombre en una entidad domiciliada en España, en la UE o en un país tercero con estándares equivalentes, eso acredita su identidad de forma suficiente para muchos supuestos.
- Copia del documento expedida por fedatario público: un notario o equivalente que dé fe de que el documento es auténtico y pertenece al titular.
- Videoidentificación: el cliente se conecta en tiempo real con un agente de verificación, que contrasta el documento y la biometría facial. El SEPBLAC ya reconoce explícitamente este mecanismo como válido en su guía de procedimientos seguros.
- Firma electrónica cualificada bajo el Reglamento eIDAS (UE 910/2014): equivalente legal a la firma manuscrita en toda la UE.
Estas cuatro vías ya permiten construir un proceso de onboarding 100% digital, cumpliente y sin que el cliente tenga que poner un pie en ningún sitio.
Cómo estructurar un onboarding PBC digital sin perder a nadie en el camino
Un proceso bien diseñado no es el que pide más información, sino el que pide la información necesaria en el momento adecuado y de forma que el cliente entienda por qué se la estamos pidiendo. Aquí está la estructura que funciona:
Fase 1 — Datos básicos y consentimiento
Lo primero es recoger nombre, apellidos, email y teléfono, y obtener el consentimiento explícito para el tratamiento de datos (RGPD) y para la realización del proceso KYC. Este paso debería durar menos de dos minutos y dejarse en marcha antes de pedir ningún documento.
Fase 2 — Verificación de identidad
Aquí viene el grueso. El cliente sube una foto de su documento de identidad (ambas caras si es DNI) y, si el proceso incluye videoidentificación o reconocimiento facial, también una selfie o una breve grabación. Un buen sistema OCR extrae automáticamente los datos del documento y los contrasta con lo declarado en la fase anterior. Si hay discrepancias, se escala a revisión manual.
El tiempo medio de este paso en soluciones modernas: entre 90 segundos y 3 minutos. El cliente lo hace desde el móvil, en cualquier momento.
Fase 3 — Cuestionario de riesgo (adaptado al perfil)
Aquí es donde muchos procesos se complican más de la cuenta. No todos los clientes necesitan el mismo cuestionario. Aplicar el principio de enfoque basado en riesgo aquí tiene un impacto enorme en la experiencia:
- Cliente de riesgo bajo: 4-5 preguntas básicas sobre actividad, facturación estimada y origen de fondos general.
- Cliente de riesgo medio: cuestionario extendido con documentación adicional de actividad (escritura, declaración fiscal, etc.).
- Cliente de riesgo alto o PEP: diligencia reforzada completa, con aprobación de la dirección y seguimiento intensificado.
La clave es que el nivel del cuestionario se determine automáticamente en función del perfil detectado en las fases anteriores, no de forma manual por cada agente.
Fase 4 — Screening y validación
Antes de dar por aceptado al cliente, hay que cruzar sus datos contra las listas de sanciones internacionales (UE, ONU, OFAC), la base de PEPs y, si el riesgo lo justifica, realizar una búsqueda de medios adversos. Este paso es el que más se descuida cuando el onboarding se hace a mano, y es el que más multas ha generado en las últimas inspecciones del SEPBLAC.
Atención: El screening no es un paso "para casos especiales". Es una obligación para todos los clientes nuevos, con independencia de su perfil aparente. La normativa no distingue: la obligación de cruzar contra listas de sanciones aplica desde el primer contacto.
Documentación y conservación: la parte que más se olvida
Cumplir con el onboarding no termina cuando el cliente firma. La Ley 10/2010 exige conservar toda la documentación durante 10 años desde el fin de la relación de negocio. Eso incluye los documentos de identidad, el cuestionario de riesgo, la evaluación del perfil y cualquier comunicación relevante del proceso de aceptación.
En papel, esto es logísticamente una pesadilla que nadie gestiona bien. En digital, con un sistema estructurado, el expediente del cliente queda cerrado y accesible en cuestión de segundos, tanto para el equipo interno como para su presentación ante el SEPBLAC en caso de inspección.
Y no es un detalle menor: en las últimas memorias de actividades del SEPBLAC, la falta de documentación o la documentación incompleta del proceso de aceptación de clientes figura sistemáticamente entre las tres deficiencias más frecuentes detectadas en las inspecciones. No es que las empresas no hicieran el KYC; es que no podían demostrar que lo habían hecho.
Lo que cambia con el nuevo paquete AML europeo de 2024
En junio de 2024, la UE publicó un nuevo paquete legislativo antilavado que modifica de forma relevante el marco de onboarding para los sujetos obligados españoles. Las fechas de aplicación son progresivas, pero conviene conocerlas ya:
- El Reglamento (UE) 2024/1624 será de aplicación directa a partir del 10 de julio de 2027 y armoniza los requisitos de diligencia debida en toda la UE, eliminando muchas de las diferencias entre estados miembros.
- La Sexta Directiva AML (6ª AMLD) requiere transposición antes de julio de 2027, con algunas disposiciones sobre titularidad real que adelantan su aplicación a 2025-2026.
- Se crea la Autoridad Europea de Lucha contra el Blanqueo (AMLA), con sede en Frankfurt, operativa a partir del 1 de julio de 2025. Supervisará directamente a las entidades financieras de mayor riesgo y coordinará a los supervisores nacionales como el SEPBLAC.
- Los prestadores de servicios de criptoactivos quedan explícitamente incluidos como sujetos obligados, con DDR obligatoria en operaciones desde 1.000 euros.
La dirección es clara: más armonización, más supervisión centralizada y menos margen para interpretaciones laxas. Los sujetos obligados que digitalicen y sistematicen su onboarding ahora tendrán mucho menos trabajo de adaptación cuando entren en vigor estas normas.
Los errores más habituales que disparan el abandono
Después de ver muchos procesos de onboarding, los fallos que más fricción generan —y más clientes cuestan— son siempre los mismos:
- Pedir toda la documentación de golpe al principio. El cliente se asusta. Mejor ir solicitándola de forma progresiva, justificando cada pedido.
- No explicar por qué se pide cada cosa. "Necesitamos tu DNI" se percibe de forma muy distinta a "Por ley, debemos verificar tu identidad antes de prestarte este servicio. Es un proceso que te llevará 2 minutos."
- Proceso solo disponible en horario de oficina. Si el cliente solo puede hacer el onboarding de 9 a 18, pides que interrumpa su día. Un enlace digital que puede completarse a las 11 de la noche tiene tasas de finalización muy superiores.
- Sin confirmación de recepción ni estado del proceso. El cliente no sabe si lo que ha enviado ha llegado, si falta algo o si está pendiente de revisión. Esa incertidumbre genera abandono o soporte innecesario.
- Revisión manual de todo sin priorización por riesgo. Si el equipo de cumplimiento revisa manualmente cada expediente, el cuello de botella es inevitable. Automatizar la validación de los perfiles de bajo riesgo libera tiempo para concentrarse en los que realmente lo necesitan.
Conclusión
El onboarding de clientes cumpliendo PBC no tiene por qué ser una carrera de obstáculos. El marco legal español ya permite procesos 100% digitales que son igual de válidos que la identificación presencial. El problema casi nunca es la normativa; es cómo se interpreta y cómo se implementa.
Un proceso bien diseñado recoge lo que exige la ley, en el orden adecuado, con la fricción mínima necesaria, y genera automáticamente el expediente documentado que protege a la empresa en caso de inspección. Y eso, hoy en día, no es un lujo ni una opción exclusiva de las entidades financieras grandes. Está al alcance de cualquier sujeto obligado que decida dejar de gestionar el compliance a mano.