Las empresas crypto y fintech rara vez se complican porque olvidaron la expresión “enfoque basado en riesgo”. Se complican porque nadie fijó quién es dueño del archivo AML, qué línea de producto cae dentro del perímetro regulatorio y qué debe cambiar cuando el producto entra en un nuevo flujo de pagos o de criptoactivos.
Esa es la pregunta real en 2026. No si AML importa. Claro que importa. La pregunta es si un banco, un partner de pagos o un regulador podría leer tu archivo una vez y entender cómo funciona el negocio y cómo se controlan los riesgos. Ahí se conectan el equipo de compliance de Corpenza, la guía general de AML, la guía para elegir contador y el artículo sobre errores de compliance que disparan sanciones.
¿Cuál es la primera pregunta AML para una empresa crypto o fintech en 2026?
La primera pregunta es de perímetro, no de papeles. Hay que saber qué actividad está regulada, quién supervisa y si el modelo cambió después del lanzamiento. La FCA dice en su guía que debe registrarse quien quiera prestar servicios crypto que entren dentro del alcance de las Money Laundering Regulations, y que quien actúe en el Reino Unido debe registrarse antes de empezar. En Estados Unidos, la guía 2019 de FinCEN recuerda que el marco de Bank Secrecy Act para money services businesses puede aplicarse a determinados modelos que usan convertible virtual currency y valor que sustituye a la moneda.
Esto importa porque muchos fundadores fintech creen que el partner licenciado resolverá todo el frente AML. A veces un sponsor bank o una EMI lleva el perímetro principal. Correcto. Eso no elimina tu archivo operativo. La lógica de onboarding, las alertas de fraude, las preguntas de source of funds y la propiedad de las escalaciones siguen necesitando un dueño dentro de la empresa. Si cambia el producto, cambia el archivo.
En crypto el problema es más agudo. Una wallet pasa a ser flujo de exchange. Una herramienta de tesorería empieza a tocar valor de clientes. Entra un nuevo on-ramp fiat. En producto parece un ajuste. En AML no lo es.
¿Qué controles AML básicos esperan ver los reguladores?
Esperan un stack vivo, no una carpeta bonita para data room. La página AML de la FCA dice que las firmas supervisadas bajo las MLRs deben hacer una evaluación de riesgo, tener sistemas y controles adecuados, realizar due diligence, nombrar un MLRO y asignar la responsabilidad general a un director o senior manager. Esa es la base en 2026.
En la práctica, un buen pack AML es aburrido. Mapa de riesgo de producto y cliente. Matriz de jurisdicciones. Reglas de KYC. Triggers de EDD. Dueño del screening de sanciones. Escenarios de monitoreo. Flujo de suspicious activity. Retención documental. Reporte al board. Supervisión de vendors. Si uno de esos puntos vive solo en la cabeza de una persona, no es control. Es dependencia.
Los equipos fintech suelen fallar en el traspaso entre producto y compliance. Cambia el journey de onboarding. Se acepta un nuevo tipo de documento. Se suma un nuevo segmento merchant. El archivo de política no se mueve. Luego una revisión externa encuentra el hueco. Los equipos crypto suelen fallar en otro sitio. El monitoreo fue diseñado para un volumen pequeño y nunca se rehizo cuando cambió la velocidad transaccional.
¿Cómo cambia el archivo la travel rule en negocios crypto?
Convierte la metadata de transferencias en requisito operativo. La FCA dice que desde el 1 de septiembre de 2023 las empresas crypto del Reino Unido deben recopilar, verificar y compartir información sobre transferencias de criptoactivos, la llamada Travel Rule. En la UE, el Reglamento (UE) 2023/1113 sobre información que acompaña a transferencias de fondos y ciertos criptoactivos está en vigor y aplica desde el 30 de diciembre de 2024.
Eso significa que el archivo AML ya no termina en el onboarding. Tiene que entrar en el flujo de la transferencia. Qué datos se capturan. Qué transferencias se paran para review. Cómo se identifica a la contraparte. Qué pasa si otra jurisdicción aplica el mismo estándar con otro calendario. Cómo se registran excepciones. Quién libera un pago cuando falta información. Todo eso debe estar operativo.
Las firmas crypto pequeñas notan la fricción justo aquí. Compran una herramienta, asumen que el vendor resolvió el proceso y no escriben la propiedad interna. El regulador no lo ve como salida limpia. La propia FCA dice que la firma sigue siendo responsable del cumplimiento incluso cuando usa terceros. Esa frase debería vivir en todo plan de implementación.
¿Dónde suelen fallar las fintech incluso sin exposición directa a crypto?
Fallan cuando el crecimiento operativo corre más rápido que la disciplina documental. La app entra en un nuevo país. Se suma un grupo de clientes con más riesgo. Crecen las colas de revisión manual. Las respuestas para partner due diligence salen de carpetas dispersas. La empresa todavía tiene una policy AML, así que todos creen que la base está cubierta. Muchas veces no lo está.
Los huecos son bastante repetidos. El ownership beneficial se queda viejo. Las notas de source of funds no coinciden entre canales. Los thresholds de monitoreo siguen pensados para el volumen del año pasado. Un solo analista hace el trabajo de toda una función de escalation. Y la persona senior que figura en la policy no está operando el programa de verdad. Por eso importa el artículo sobre errores de compliance que disparan sanciones. Las sanciones suelen llegar después de mucha deriva ordinaria.
También hay ángulo financiero. Una fintech que escala puede optimizar holding, estructura fiscal y secuencia comercial. Bien. Aun así, la arquitectura del negocio tiene que seguir siendo legible. La guía de optimización fiscal internacional solo ayuda si el archivo de compliance cuenta la historia de ownership con suficiente claridad para que una contraparte la siga.
¿Qué debe contener un pack AML listo para auditoría en 2026?
Debe contener sustancia suficiente para que un tercero vea cómo funcionan los controles de verdad. No solo lo que dice la policy. Normalmente eso incluye evaluación de riesgo vigente, ownership de roles, procedimientos KYC y EDD, lógica de screening, reglas de transaction monitoring, tratamiento de travel rule cuando aplica, flujo de incident escalation, evidencia de governance y prueba de que el programa cambia cuando cambia el negocio.
| Área | Qué debería existir | Fallo común |
|---|---|---|
| Perímetro | Servicios, países y lógica de supervisión mapeados | Seguir usando un memo de lanzamiento viejo |
| CDD | Reglas documentales, triggers EDD y controles de ownership | Cada canal pide pruebas distintas |
| Monitoreo | Escenarios, pasos de escalation y evidencia de review | Thresholds congelados mientras el volumen se multiplica |
| Gobernanza | Línea MLRO, ownership senior y reporting al board | Nombres formales que no operan el archivo |
Ese es también el punto donde el apoyo externo empieza a ser eficiente. Corpenza puede alinear el archivo societario, la capa de compliance y la línea de asesoría en un solo proceso. El objetivo no es tener una policy más gruesa. El objetivo es que el archivo aguante una revisión seria.
¿Cuándo conviene reconstruir el programa AML en lugar de parchearlo?
Cuando producto, geografía, mix de clientes o patrón transaccional cambiaron más rápido que la documentación. Un nuevo rail fiat. Un nuevo flujo de tokens. Onboarding merchant transfronterizo. Embedded finance. Jurisdicciones más riesgosas. Paso de B2B a B2C. Eso no es un ajuste menor. Cambia la forma de la evaluación de riesgo y del monitoreo.
No esperes a que un cuestionario duro del banco te diga que el archivo quedó viejo. Ahí ya vas tarde. Reconstruye antes del próximo lanzamiento, antes de la siguiente ronda y antes de la gran revisión de un partner. Frase corta. Importa mucho.
Los mejores programas AML de 2026 todavía se ven simples desde fuera. Perímetro claro. Ownership claro. Evidencia clara. El trabajo interno es detallado, pero el archivo se lee limpio. Esa suele ser la diferencia entre onboarding fluido y semanas de follow-up defensivo.
Preguntas frecuentes
¿Toda fintech necesita el mismo stack AML que un exchange crypto?
No. El archivo debe seguir el modelo real de negocio y el perímetro regulatorio. Aun así, cualquier empresa con onboarding más riesgoso, flujos de pago o revisiones intensas de partners necesita un pack defendible.
¿Un vendor puede asumir por completo la travel rule?
No. El vendor puede soportar el proceso. La firma sigue siendo dueña del resultado, de las excepciones y del rastro probatorio.
¿Qué se rompe primero en un programa AML crypto que escala?
La lógica de monitoreo y la propiedad de la escalación. La velocidad de transacción crece antes que el modelo de review.
¿Cuándo hay que refrescar datos de beneficial ownership?
Cuando cambian ownership, control o riesgo del cliente, y antes de revisiones importantes de bancos o partners.
¿Esto es asesoría legal?
No. Es información general. Las obligaciones AML dependen de jurisdicciones, productos, contrapartes y del modelo operativo real.
Este contenido es información general, no asesoría legal ni fiscal. Las reglas AML, crypto y de pagos cambian, y el marco correcto depende de sus productos, jurisdicciones y contrapartes.
