Los 5 errores más comunes en el proceso KYC y cómo evitarlos

El 70% de las instituciones financieras han perdido clientes en el último año debido a un proceso de incorporación ineficaz.

Así se desprende del informe Tendencias del Sector de la Delincuencia Financiera 2025, elaborado por Fenergo a partir de una encuesta realizada a 600 responsables de la toma de decisiones de bancos, empresas de gestión de activos y administradoras de fondos.

Es más, el estudio de Fenergo muestra que la magnitud del problema va en aumento. En 2024, el porcentaje era del 67% y en 2023 del 48%.

Una de las principales razones de estas dificultades es la complejidad de los procesos KYC (Know Your Customer) y los errores que se cometen en ellos.

Principales conclusiones

• El 70% de las instituciones financieras están perdiendo clientes por una incorporación ineficaz, incluidos los relacionados con los procesos KYC.
• Los errores más comunes que observamos incluyen una evaluación de riesgos obsoleta o superficial, una verificación de identidad incorrecta, el incumplimiento de RODO, el tratamiento de KYC como un proceso puntual y la falta de una cultura de cumplimiento coherente.
• En más de la mitad de las entidades financieras, entre el 31% y el 60% de las tareas relacionadas con los procesos CSC siguen realizándose manualmente. Al mismo tiempo, las entidades reconocen cada vez más la necesidad de automatización, y el 62% de las organizaciones citan la inversión en tecnología como una de sus principales prioridades en el área de CSC y ALD.
• Los procesos CSC incorrectos, y a menudo relacionados con el cumplimiento simultáneo de la normativa RODO, pueden acarrear sanciones (incluso financieras). Como en el caso de ING Bank, donde la multa se fijó en más de 18 millones de zlotys.
  
• Automatización y herramientas digitales de verificación de la identidad (p. ej. Autenti) reducen estos riesgos y aumentan la eficiencia.

¿Qué es KYC y por qué es tan importante?

KYC implica verificar la identidad de un cliente y evaluar los riesgos asociados al establecimiento de una relación.

Es un elemento esencial de los sistemas de lucha contra el blanqueo de capitales y la financiación del terrorismo, ya que permite a las entidades saber con quién están trabajando y si las actividades del cliente se ajustan al perfil declarado.

Los errores en este ámbito pueden acarrear graves consecuencias, que van desde el riesgo normativo, el daño a la reputación, la pérdida de clientes (véase el informe Fenergo) y situaciones en las que una entidad se convierte involuntariamente en vehículo para el blanqueo de capitales u otros delitos.

Gran parte de estas consecuencias se deben a errores repetidos en el proceso de CSC.

En el resto de este artículo, analizamos los cinco errores más comunes que se producen en el proceso de CSC y cómo pueden evitarse eficazmente.

1. una evaluación del riesgo del cliente obsoleta o superficial

En qué consiste el error

Uno de los problemas más comunes en el proceso KYC es la falta de actualización de la evaluación del riesgo del cliente después de aplicar medidas de seguridad financiera.

Esto significa una situación en la que el perfil de riesgo sólo se crea en la fase de incorporación y luego permanece sin cambios durante mucho tiempo. Los cambios en el perfil del cliente, incluso algo tan simple como una dirección residencial, a menudo no se tienen en cuenta.

A veces, la evaluación del riesgo se trata como una formalidad puntual, en lugar de formar parte de un proceso continuo de gestión de la relación con el cliente.

A qué se debe esto

Una de las razones es, sin duda, el tiempo y los recursos limitados de los equipos de cumplimiento. Además, en muchas organizaciones los procesos de CSC siguen basándose en gran medida en el trabajo manual.

La investigación de Fenergo muestra que en más de la mitad de las instituciones financieras, entre el 31% y el 60% de las tareas relacionadas con los procesos KYC todavía se realizan manualmente. Al mismo tiempo, las instituciones reconocen cada vez más la necesidad de automatización, y el 62% de las organizaciones citan la inversión en tecnología como una de sus principales prioridades en el área de CSC y ALD. (fuente)

Por qué es un problema

El perfil de riesgo de un cliente no es inmutable.

Si una entidad no actualiza esta evaluación, existe el riesgo de clasificar erróneamente al cliente y, en consecuencia, aplicar medidas de seguridad inadecuadas.

Cómo evitarlo

Para mitigar este riesgo, las entidades deben

• actualizar periódicamente la evaluación del riesgo del cliente, por ejemplo trimestralmente,
• vincular la evaluación del riesgo a las revisiones cíclicas de la lucha contra el blanqueo de capitales y a la supervisión de las relaciones con los clientes,
• automatizar el proceso de actualización de datos en los sistemas de cumplimiento,
• utilizar soluciones que permitan la verificación digital y la confirmación de la identidad del cliente, por ejemplo, a través de plataformas de verificación electrónica como Autenti.

2 Verificación incorrecta de la identidad del cliente

Cuál es el error

Un segundo problema común en los procesos de CSC es la verificación incorrecta de la identidad del cliente o la elección equivocada del método de identificación.

Esto ocurre con diferentes métodos de verificación. Por ejemplo

• verificaciónpor vídeo: el error puede consistir en una falta de verificación de "liveness" (detección de liveness, es decir, evaluación de los movimientos de cabeza realizados), imágenes borrosas del documento o una falta de comparación de la imagen con el documento de identidad,
  
  
• verificación con una tarjeta electrónica u otro documento con capa electrónica: el problema puede ser un fallo en la lectura de los datos de la capa electrónica del documento o un fallo en la autenticación criptográfica del documento,
  
  
• verificación mediante banca electrónica: a veces no se cotejan los datos del titular de la cuenta con los del cliente o se permiten transferencias desde cuentas pertenecientes a otras personas,
  
  
• identificación mediante firma reconocida o perfil de confianza: un error puede ser que no se verifique la validez del certificado o que no se asocie la firma a una persona concreta cuyos datos estén en el sistema,
  
  
• verificación del documento de un cliente durante una visita personal a la sucursal de una organización: no realizar una verificación adecuada del documento de un cliente, por ejemplo, no prestar atención a la fecha de caducidad del documento.

También surgen problemas cuando el método de verificación no se ajusta al nivel de riesgo del cliente o cuando el proceso no está debidamente documentado y no deja una pista de auditoría clara.

Aquí puede leer más sobre los distintos métodos de verificación de la identidad de un cliente, cómo prepararse para ellos, cómo llevarlos a cabo correctamente y qué método elegir en una situación determinada.

Cuáles son las causas

La verificación incorrecta de la identidad puede deberse a muchas razones. A menudo, se trata de simples errores humanos, derivados de un gran número de procesos en curso o de la presión del tiempo.

También puede ser un problema un proceso de verificación vagamente descrito, en el que no disponemos de directrices claras sobre qué pasos seguir y cómo documentar cada paso de la verificación.

Un reto adicional pueden ser las herramientas utilizadas para la verificación a distancia que no son intuitivas o no se integran bien con los sistemas de la organización.

También es importante no pasar por alto las situaciones en las que el problema se debe a una acción deliberada del usuario. Los intentos de suplantar la identidad o utilizar los datos de otra persona son algunas de las formas más comunes de abuso en los servicios digitales hoy en día.

Según los datos de Sumsub de 2025 el número de intentos de fraude por verificación de identidad haaumentado un 48% en todo el mundo, aunque se ha producido un descenso en la región Asia-Pacífico, atribuido en parte a los avances normativos en materia de identificación digital (los datos se refieren al mercado de criptomonedas).

Por qué es un problema

No verificar adecuadamente al cliente socava uno de los principales objetivos del proceso CSC, a saber, garantizar que la entidad sabe con quién entabla una relación.

Las deficiencias en este ámbito aumentan el riesgo de incumplimiento de la normativa y dificultan las auditorías o inspecciones.

Cómo evitarlo

Para reducir el riesgo de errores en la verificación de la identidad del cliente, conviene cuidar varios elementos:

• definir con precisión los métodos de verificación permitidos en la organización y las situaciones en las que deben utilizarse,
• documentar cada etapa del proceso de verificación para que pueda reproducirse durante una auditoría,
• normalizar los procedimientos en toda la organización, especialmente si el proceso es gestionado por varios equipos o sistemas,
• utilización de herramientas de verificación de identidad a distancia que automatizan la verificación de los clientes, registran el proceso e integran el resultado de la verificación con los sistemas de conformidad.

3 Incumplimiento de RODO y mala gestión de los datos de los clientes

En qué consiste el error

El proceso CSC implica el tratamiento de una gran cantidad de datos personales, incluidos datos sensibles.

Los errores en este ámbito incluyen

• el almacenamiento de datos sin las salvaguardias adecuadas
• no controlar el acceso a los documentos de identidad
• tratamiento de datos sin una finalidad claramente definida,
• falta de una política adecuada de conservación de datos.

A qué se debe

La mayoría de las veces, se debe a que los sistemas no están alineados con los requisitos del RODO o a que la CSC se trata puramente como una obligación de lucha contra el blanqueo de capitales, sin tener en cuenta los aspectos de protección de datos.

Por qué es un problema

Las violaciones de la protección de datos pueden dar lugar a

• filtraciones de datos personales
• sanciones administrativas en virtud del RODO,
• pérdida de confianza de los clientes.

Las violaciones de la protección de datos pueden dar lugar a filtraciones de datos personales, sanciones administrativas en virtud de RODO y pérdida de confianza de los clientes.

Un ejemplo de la vida real es el caso del ING Bank Śląski que fue multado conmás de 18 millones de zlotys por el Presidente de la UODO (Oficina de Protección de Datos Personales ) por la recogida injustificada de copias de los documentos de identidad de los clientes.

La autoridad supervisora descubrió que el banco había puesto en marcha procedimientos que exigían la obtención masiva de documentos para muchas actividades, yendo más allá de la Ley de Lucha contra el Blanqueo de Capitales, sin una evaluación individual del riesgo y sin base legal.

Según la APD, escanear documentos "en masa" creaba un alto riesgo de vulnerar los derechos de los clientes, como la usurpación de identidad o la estafa en la concesión de préstamos.

Cómo evitarlo

• aplicar políticas de seguridad de datos y control de acceso,
• aplicar el principio de minimización de datos,
• definir claramente los periodos de conservación de los datos,
• utilizar soluciones certificadas que cumplan los requisitos del GDPR.

4 Tratar el CSC como un proceso puntual

Cuál es el error

En muchas organizaciones, KYC termina en la etapa de incorporación, sin ninguna actualización posterior de los datos del cliente.

Cambios como

• un cambio en el comportamiento del cliente
• un cambio en el nivel de riesgo,
• nueva información sobre el cliente.

A qué se debe esto

La razón suele ser la falta de automatización y los recursos limitados de los equipos de cumplimiento.

Por qué es un problema

El perfil del cliente cambia con el tiempo. La falta de actualizaciones puede dar lugar a

• una evaluación incorrecta de los riesgos,
• uso de medidas de seguridad inadecuadas,
• infracciones en materia de lucha contra el blanqueo de capitales.

Veamos un ejemplo en las instituciones financieras.

La falta de un seguimiento eficaz de las relaciones con los clientes significa que la entidad puede pasar por alto operaciones que se desvían del perfil comercial declarado por el cliente o que no tienen una justificación comercial clara.

Operaciones sospechosas como cambios repentinos en el volumen de transacciones, transferencias a nuevos países o fuentes de fondos inusuales pueden pasar desapercibidas.

Desde el punto de vista normativo, las consecuencias de estas negligencias pueden ser muy graves.

La presión de los reguladores, especialmente sobre las instituciones financieras, en el ámbito de la lucha contra el blanqueo de capitales no deja de aumentar. El análisis de Fenergo sobre las sanciones en materia de AML muestra que el valor global de las sanciones impuestas a las instituciones financieras fue de 4,6 mil millones de dólares en 2024 (después de un récord de 6,6 mil millones de dólares en 2023), con América del Norte representando el 94% de todas las sanciones en 2024. En el primer semestre de 2025, los reguladores ya han impuesto 1.230 millones de dólares en sanciones, lo que supone un aumento del 417% en comparación con el primer semestre de 2024. (fuente)

Cómo evitarlo

• implementar revisiones cíclicas de KYC, por ejemplo trimestrales,
• automatizar las actualizaciones de datos,
• vincular la supervisión de la actividad del cliente a la de CSC.

Falta de comunicación coherente y de cultura de cumplimiento en la organización

En qué consiste el error

Un último error, que a menudo se pasa por alto, en el proceso de CSC es la falta de comunicación interna coherente y la insuficiente comprensión de las obligaciones de cumplimiento por parte de los empleados.

En la práctica, esto significa que

• diferentes equipos (por ejemplo, operaciones, incorporación, cumplimiento) operan aislados unos de otros,
• los empleados no tienen claras sus responsabilidades en el proceso CSC,
• los procedimientos existen formalmente pero no se aplican realmente.

A qué se debe

En la mayoría de los casos, se debe a la falta de formación periódica y a un compromiso insuficiente de la organización para crear una cultura de cumplimiento.

A veces, también es un problema que los equipos estén desconectados entre sí y que la CSC se considere responsabilidad exclusiva del departamento de cumplimiento y no de toda la organización.

Por qué es un problema

Incluso los procedimientos CSC mejor diseñados no serán eficaces si los empleados no los comprenden y aplican correctamente.

La falta de coherencia en las operaciones puede dar lugar a:

• una verificación incoherente de los clientes,
• omisión de elementos importantes del proceso
• un mayor riesgo de errores e incumplimientos de la normativa.

Cómo evitarlo

Para mitigar estos riesgos, conviene

• impartir formación periódica sobre CSC y PBC,
• definir claramente las funciones y responsabilidades en el proceso
• fomentar la cooperación entre los equipos (cumplimiento, operaciones, TI)
• tratar el cumplimiento como parte de las operaciones cotidianas y no como una obligación puntual,
• utilizar herramientas de formación (por ejemplo, módulos en línea, talleres) que ayuden a mantener actualizados los conocimientos en la organización.

Resumen

En los mercados europeos, y especialmente en Polonia, la base legal para las actividades de AML es la Ley de 1 de marzo de 2018 sobre AML y financiación del terrorismo, que implementa las directivas de la UE y establece las obligaciones de las instituciones financieras.

La recopilación de datos y documentos aún no es KYC.

Los errores más comunes, como una evaluación de riesgos obsoleta, una verificación de identidad inadecuada, una mala gestión de los datos o tratar el proceso como algo puntual, pueden llevar a la pérdida de clientes e incluso a incumplimientos normativos.

Un proceso de CSC eficaz requiere una actualización continua de los datos, la automatización de los procesos, una verificación exhaustiva de los clientes y un seguimiento permanente de sus actividades. Sólo así puede una entidad minimizar realmente el riesgo y generar confianza en el cliente.

Sin embargo, crear un procedimiento de este tipo no es tarea fácil, como nos demuestra el ejemplo de ING.

Una de las soluciones a todos estos problemas es un apoyo experto adecuado y la elección de soluciones tecnológicas modernas y, sobre todo, soluciones tecnológicas seguras.

Si no está seguro de si sus procesos de identificación de clientes son adecuados, póngase en contacto con nuestros expertos y le ayudaremos a elegir los métodos de verificación de la identidad de los clientes que mejor se adapten a sus procedimientos de CSC.

PREGUNTAS FRECUENTES

¿Por qué se ha rechazado mi verificación KYC? ¿Y qué debo hacer tras un rechazo de KYC?

Su verificación KYC puede haber sido rechazada si los datos no estaban actualizados, los documentos eran incorrectos o la verificación de identidad no se llevó a cabo de acuerdo con el procedimiento. En tal situación, lo mejor es completar la información que falta y proporcionar los documentos correctos y, en caso de duda, ponerse en contacto con la entidad que gestiona el proceso.

¿Qué errores hay que evitar en el proceso KYC?

Los errores más comunes en los procesos de CSC incluyen una evaluación del riesgo del cliente obsoleta o superficial, una verificación incorrecta de la identidad, el incumplimiento de RODO y una gestión inadecuada de los datos, tratar el CSC como un proceso puntual, la falta de comunicación coherente y de cultura de cumplimiento dentro de la organización y una supervisión insuficiente de las transacciones. Cualquiera de estos problemas puede acarrear graves consecuencias, como la pérdida de clientes, la clasificación errónea de los riesgos y el incumplimiento de la normativa.

¿Cómo evitar eficazmente los errores en el proceso CSC?

Para minimizar el riesgo de errores, el proceso CSC debe ser continuo y sistemático. Es importante actualizar periódicamente los datos de los clientes y las evaluaciones de riesgos, automatizar los procesos de verificación de identidad mediante herramientas digitales, supervisar continuamente la actividad y las transacciones de los clientes y establecer una comunicación coherente y una cultura de cumplimiento en toda la organización. Al mismo tiempo, es importante garantizar la seguridad de los datos y el cumplimiento de la normativa, incluido RODO, para proteger tanto a la entidad como a los clientes.

¿Qué herramientas pueden apoyar el CSC?

Las plataformas de automatización y verificación de identidad digital, como Autenti, pueden reducir significativamente el riesgo de errores, acelerar el proceso de incorporación y proporcionar una pista de auditoría completa. Pueden permitir a una entidad gestionar eficazmente la actualización de datos, la verificación de documentos y el seguimiento de los clientes, manteniendo al mismo tiempo el cumplimiento de la normativa.