Las empresas nuevas suelen pensar que AML y KYC empiezan cuando llega la facturación. En realidad, el proceso aparece antes: en la constitución, en la primera cuenta bancaria, en la revisión del primer proveedor de pagos o cuando un inversor pregunta quién controla de verdad la sociedad. Si el archivo de titularidad es débil, el problema aparece rápido.
La lógica regulatoria es bastante directa. El artículo 13 de la Directiva (UE) 2015/849 exige identificación del cliente, identificación del titular real, comprensión del propósito de la relación y seguimiento continuo. En el Reino Unido, la guía oficial de PSC exige identificar a las personas con control significativo, informar esos datos al constituir la sociedad y mantenerlos actualizados. Y para las entidades reguladas, la página oficial de la FCA sobre blanqueo y financiación del terrorismo insiste en diligencia debida basada en riesgo, controles reforzados en casos de mayor riesgo y monitoreo continuo. Si quieres coordinar el archivo legal, la lógica societaria y la secuencia de onboarding en una sola línea, Corpenza puede unir cumplimiento y auditoría, constitución societaria y estructura fiscal.
¿Qué es en realidad el archivo AML y KYC de una empresa nueva?
Es el conjunto de documentos que permite a una contraparte regulada entender quién es el dueño real, quién manda, qué hará la empresa, de dónde saldrá el dinero y por qué la estructura tiene sentido. Un certificado de constitución por sí solo no resuelve eso.
Muchos fundadores separan KYC y AML como si fueran mundos distintos. En la práctica, el mercado los lee juntos. Banco, EMI, despacho contable, inversor o comprador quieren la misma historia bien atada: entidad jurídica, actividad, titulares reales, derechos de control, patrón esperado de pagos y origen de fondos.
Por eso una sociedad joven puede atascarse incluso sin historial comercial. El revisor no solo mira volumen. Mira si la empresa se entiende. Si la estructura es limpia y el archivo es coherente, la falta de trayectoria no pesa tanto. Si la cadena de propiedad es confusa, una sociedad sencilla se vuelve sospechosamente compleja.
¿Qué datos de titularidad real deben estar listos desde el primer día?
Como mínimo, conviene tener cerrados el cap table, los derechos de control, la lista de administradores y las personas físicas que poseen o controlan la empresa en última instancia. Ese bloque está en el centro de la diligencia AML y de la transparencia corporativa.
La norma europea lo dice sin rodeos. El artículo 13 obliga a identificar al titular real y a tomar medidas razonables para verificar su identidad y entender la estructura de control. En el Reino Unido, la cuestión baja al nivel registral. La guía PSC exige comunicar quiénes son los PSC al constituir la sociedad, mantener la información al día y avisar a Companies House si no es posible identificar a uno.
| Punto | Qué importa | Fuente oficial |
|---|---|---|
| Diligencia debida en la UE | Identidad del cliente, titular real, propósito y monitoreo continuo | Directiva (UE) 2015/849, artículo 13 |
| Transparencia societaria en Reino Unido | Identificación PSC, registro, cambios y verificación de identidad | Guía PSC de GOV.UK |
| Matiz BOI en EE. UU. | La regla BOI cambió, pero el KYC bancario sigue aparte | Página BOI de FinCEN |
El ángulo estadounidense cambió y conviene no mezclarlo. La página oficial de BOI de FinCEN indica que, tras la actualización del 26 de marzo de 2025, las entidades creadas en Estados Unidos y sus beneficiarios quedan exentas de BOI, mientras que ciertas sociedades extranjeras siguen con obligaciones de reporte. Eso no elimina el KYC bancario. Solo modifica un régimen de reporte público.
¿Qué documentos suelen pedir bancos y proveedores regulados?
La mayoría de las empresas nuevas debería preparar un paquete base: constitución, estatutos o equivalente, registros de administradores y socios, identificaciones de beneficiarios reales, prueba de domicilio y una explicación breve de la actividad. Si ya existe tracción comercial, contratos, facturas y web también entran rápido.
La lista cambia según la entidad, pero la lógica se repite. El revisor quiere hacer coincidir el archivo legal con la historia comercial. Si la empresa dice que venderá servicios SaaS en Europa, el archivo no debería apuntar a una operación opaca en otro continente. Si el accionista es otra sociedad, el análisis suele subir hasta llegar a personas físicas identificables.
Un pack útil para empezar suele incluir certificado de constitución, estatutos, cap table, registro de administradores, resumen PSC o UBO, copia de pasaporte de cada controlador, prueba de domicilio, nota de una página sobre el modelo de negocio, flujo esperado de cobros y pagos y una explicación de por qué se eligió esa jurisdicción. Si todavía no hay ingresos, también conviene preparar una nota simple sobre el origen de fondos.
¿Cuándo se vuelven más profundas las preguntas sobre origen de fondos y modelo de negocio?
Se vuelven más profundas cuando la estructura es compleja, la geografía es sensible, el sector tiene más riesgo o la actividad declarada no encaja con los documentos. En ese punto se sale del onboarding estándar y se entra en explicación de riesgo.
Aquí una descripción vaga hace daño. Decir “consultoría” o “comercio” parece flexible, pero no ayuda. Lo útil es explicar qué vende la empresa, quién paga, en qué países operará, cuál será el ticket medio y por qué carriles bancarios o de pago moverá el dinero. La especificidad limpia suele generar menos correos de seguimiento.
El análisis sobre origen de fondos también se intensifica cuando la capitalización inicial viene de varias personas, de una holding previa, de un préstamo relacionado, de conversión de criptoactivos o de una venta reciente de activos. Nada de eso implica rechazo automático. Sí implica un camino documental. Si el dinero tiene trazabilidad real, conviene mostrarla desde el principio.
¿Cuándo empieza la enhanced due diligence?
La enhanced due diligence empieza cuando el perfil de riesgo supera la línea normal de alta. En la práctica suele significar países de mayor riesgo, personas políticamente expuestas, exposición a sanciones, capas societarias poco habituales o una actividad que obliga a un monitoreo más sensible.
Las fuentes oficiales coinciden. La FCA exige diligencia basada en riesgo y dice que, cuando el cliente presenta mayor riesgo, debe aplicarse una revisión más intrusiva, es decir, enhanced due diligence. El artículo 18 de la Directiva (UE) 2015/849 también obliga a medidas reforzadas en situaciones de mayor riesgo, incluidas conexiones con terceros países de alto riesgo. EDD no es una acusación. Es una categoría de riesgo y de trabajo.
Lo que cambia bajo EDD suele ser la profundidad de la evidencia. Más prueba de titularidad. Más contexto sobre contrapartes. Más detalle sobre el origen del dinero. Más claridad sobre las rutas de pago esperadas. A veces también una aprobación interna de mayor nivel. La empresa que entrega una historia coherente en un solo archivo suele avanzar. La que responde por piezas sueltas suele demorarse.
¿Cómo acelerar la revisión sin recortar esquinas?
La velocidad suele venir de la coherencia, no de mandar más archivos. Un paquete corto y bien ordenado resuelve mejor que una carpeta grande con documentos que se contradicen. El objetivo es que el revisor llegue a una conclusión limpia con el menor número posible de dudas.
Empieza con una nota única de propiedad y control. Debe mostrar la entidad, administradores, accionistas, beneficiarios reales, derechos de control y propósito operativo en lenguaje llano. Después coloca detrás los documentos de soporte en el mismo orden. Si el cap table dice una cosa y los estatutos otra, la revisión se frena ahí mismo.
También ayuda contestar antes las preguntas obvias. Por qué esta jurisdicción. Por qué este banco o EMI. Por qué estas contrapartes. Por qué estos países. Por qué estos fundadores. Una empresa joven que responde eso desde el inicio suele causar mejor impresión que una empresa vieja que solo envía papeles corporativos sin contexto. Si quieres preparar ese paquete con disciplina operativa, Corpenza puede ayudar desde compliance y desde su mesa de asesoría.
Preguntas frecuentes
¿Basta el certificado de constitución para KYC?
No. Prueba que la sociedad existe, pero no explica quién la controla, qué hará, cómo se financiará ni si el patrón de operaciones tiene sentido.
¿Una startup sin ingresos también necesita archivo AML?
Sí. Puede ser un archivo más corto, pero igual necesita cadena de propiedad clara, explicación del negocio, identificación de fundadores y lógica de origen de fondos.
¿El cambio BOI de FinCEN elimina el KYC para fundadores en EE. UU.?
No. El cambio de 2025 modificó un régimen de reporte. Bancos, proveedores de pago e inversores siguen haciendo sus propias verificaciones.
¿Qué retrasa más el onboarding?
Datos de titularidad incoherentes, descripción vaga del negocio, financiación relacionada sin explicar y documentos que apuntan a países o actividades distintas.
¿Cuándo conviene pedir apoyo externo de compliance?
Normalmente antes de la primera revisión bancaria o de un EMI si la estructura es internacional, tiene varias capas o el origen de fondos necesita una presentación cuidada.
Este contenido es información general, no asesoría legal ni fiscal. Las reglas AML, las obligaciones registrales y los estándares de onboarding cambian, y el paquete correcto depende de la estructura y de la jurisdicción.
