¿Qué es Conoce a tu Cliente (KYC)?

¿Qué es Conoce a tu Cliente?

Conoce a tu Cliente —casi siempre referido como KYC— es el proceso de verificar quiénes son tus clientes antes de hacer negocios con ellos. Suena directo, y en esencia lo es. Pero la realidad práctica implica un conjunto estructurado de controles y procedimientos que los negocios del sector financiero y de pagos están legalmente obligados a seguir.

KYC existe porque los sistemas financieros son tan fiables como las personas que los usan. Si un banco, un proveedor de pagos o un comercio no puede confirmar con quién está tratando, se vuelve vulnerable al fraude, al blanqueo de capitales, a la financiación del terrorismo y a un montón de otros delitos financieros. KYC es la primera línea de defensa: es el proceso de asegurarte de que la persona o el negocio con el que operas es quien dice ser.

El marco legal

Los requisitos de KYC nacen de la legislación de prevención del blanqueo de capitales (AML, Anti-Money Laundering). En el Reino Unido, la norma principal son las Money Laundering, Terrorist Financing and Transfer of Funds Regulations 2017 (MLR 2017). Esas regulaciones obligan a los negocios de sectores regulados a realizar la diligencia debida sobre el cliente (Customer Due Diligence, CDD) antes de establecer una relación de negocio o de realizar determinadas transacciones.

La Financial Conduct Authority (FCA) supervisa el cumplimiento de KYC para las firmas de servicios financieros, y no realizar un KYC adecuado puede acarrear multas significativas, acciones de cumplimiento e incluso procesos penales. No es un ejercicio de marcar casillas: los reguladores esperan que las firmas entiendan de verdad quiénes son sus clientes y qué riesgos presentan.

Los tres niveles de diligencia debida

KYC no es uniforme. La profundidad de los controles requeridos depende del perfil de riesgo del cliente y de la naturaleza de la relación de negocio:

Diligencia debida simplificada (SDD)

Para clientes y transacciones de bajo riesgo, se permite un enfoque más ligero. Puede aplicarse a transacciones pequeñas y rutinarias o a clientes que claramente presentan un riesgo bajo de blanqueo. Aun así, los negocios tienen que poder justificar por qué han aplicado medidas simplificadas: no es un atajo para saltarse los controles.

Diligencia debida estándar (CDD)

Es el nivel base de verificación que se aplica a la mayoría de los clientes. Implica verificar la identidad del cliente con fuentes fiables e independientes (como un pasaporte o un permiso de conducir), verificar su domicilio, entender el propósito y la naturaleza prevista de la relación de negocio e identificar a los titulares reales en clientes corporativos (esto es, las personas que finalmente poseen o controlan el negocio).

Diligencia debida reforzada (EDD)

Para clientes de mayor riesgo se exigen controles más exhaustivos. Puede aplicarse a personas con responsabilidad pública (PEP), a clientes de jurisdicciones de alto riesgo o a transacciones inusualmente complejas o grandes. La EDD implica una investigación más profunda del trasfondo del cliente, el origen de los fondos y la justificación de la relación de negocio. También exige un seguimiento continuo más frecuente.

Qué implica KYC en la práctica

Para la mayoría de los negocios del sector de pagos, KYC es algo que ocurre en la fase de alta —antes de que se permita usar la plataforma a un nuevo cliente o comercio—. Un proceso KYC típico podría tener este aspecto:

• Verificación de identidad Recoger y verificar documentos de identidad como pasaportes, permisos de conducir o documentos nacionales de identidad. En empresas, esto se extiende a la documentación registral y a la identificación de administradores y titulares reales.
• Verificación de domicilio Confirmar la dirección del cliente mediante facturas de suministros, extractos bancarios o correspondencia oficial. Algunos proveedores usan servicios de verificación electrónica que cotejan las direcciones contra bases de datos públicas.
• Screening Comprobar al cliente contra listas de sanciones, bases de datos de PEP y fuentes de medios adversos. Esto ayuda a identificar a personas o entidades que presentan un riesgo elevado.
• Evaluación de riesgo Asignar una calificación de riesgo al cliente en función de la información recopilada. Esto determina el nivel de monitorización continua necesaria.
• Monitorización continua KYC no termina con el alta. Los negocios deben seguir monitorizando la relación, actualizar periódicamente la información del cliente y vigilar cambios en los patrones de transacción que puedan indicar actividad sospechosa.

Por qué KYC importa a los negocios

Más allá de la obligación legal, KYC tiene sentido empresarial. Saber quiénes son tus clientes te ayuda a prevenir el fraude antes de que ocurra, en lugar de gestionar las consecuencias después. Protege a tu negocio de ser usado —consciente o inconscientemente— para facilitar delitos financieros. Construye confianza con clientes, socios y reguladores. Y reduce el riesgo de multas costosas y de acciones de cumplimiento.

También tiene una dimensión práctica. Los procesadores de pago y los bancos adquirentes exigen a sus comercios disponer de procedimientos KYC adecuados. Si tu KYC se considera insuficiente, podrías perder la capacidad de procesar pagos con tarjeta, algo que para muchos negocios sería catastrófico.

Relevancia para los pagos telefónicos

KYC y los pagos telefónicos se cruzan en un par de puntos importantes. Primero, si tu negocio da de alta clientes por teléfono —contratándoles un servicio, abriéndoles una cuenta o creándoles un mandato de pago— tienes que poder realizar los controles KYC de forma remota. Eso puede implicar recoger la información de identidad durante la llamada y verificarla electrónicamente, o dirigir al cliente a completar la verificación por un canal seguro aparte.

Segundo, la naturaleza de los pagos telefónicos (donde el cliente no está físicamente presente) implica un reto de identificación inherente. El negocio no puede revisar un documento físico en el momento del pago. Por eso los pagos telefónicos se clasifican como transacciones «sin presencia del cliente» y conllevan un perfil de riesgo más alto desde la perspectiva del fraude.

La tecnología de pago telefónico seguro puede apoyar los objetivos de KYC creando un rastro de auditoría claro para cada transacción. Cuando un cliente introduce los datos de su tarjeta por el teclado en lugar de leerlos en voz alta, la transacción queda registrada de forma limpia, sin que los datos sensibles entren en el canal de voz. Eso facilita vincular las transacciones a identidades de cliente verificadas y mantener el tipo de registros que la normativa KYC exige.

Para los negocios que cobran pagos telefónicos recurrentes a clientes ya establecidos, el KYC suele realizarse una vez al inicio de la relación, con revisiones periódicas posteriores. La clave es asegurarse de que la verificación inicial fue lo bastante exhaustiva y de que la monitorización continua detecta cualquier cambio que pueda afectar al perfil de riesgo del cliente.

Consideraciones prácticas

• Establece procedimientos KYC claros, documentados, aplicados de forma consistente y proporcionales al nivel de riesgo de tu base de clientes
• Usa herramientas fiables de verificación de identidad: los servicios de verificación electrónica pueden acelerar el proceso manteniendo la precisión
• Comprueba a todos los clientes contra listas de sanciones y bases de datos de PEP antes del alta, y vuelve a hacerlo periódicamente
• Forma al personal que interactúa con clientes (incluidos los agentes de centro de contacto) para que entienda los requisitos KYC y sepa reconocer las señales de alerta
• Mantén registros detallados de todos los controles KYC durante al menos cinco años después del fin de la relación
• Revisa y actualiza tus políticas KYC con regularidad para reflejar los cambios normativos y las guías de la FCA
• Recuerda que KYC aplica a la relación, no solo a la primera transacción: la monitorización continua es un requisito regulatorio, no algo opcional

KYC puede sentirse pesado, sobre todo para negocios que solo quieren atender a sus clientes. Pero es una parte fundamental de operar en el sector de pagos. Bien hecho, protege a tu negocio, a tus clientes y al sistema financiero en su conjunto. Mal hecho —o sin hacerlo— lo pone todo en riesgo.