Explora por temática
Firma electrónicaVerificación de identidadRPA - AutomatizaciónTransformación DigitalOnboarding DigitalGestión del RiesgoMarco RegulatorioX-TechExperiencia de UsuarioEconomíaPrevención del FraudeFactura ElectrónicaCustomer Hub para ventas

Cumplimiento KYC/PLD en Brasil: Marco regulatorio y cómo cumplir

Resumen de las leyes KYC de Brasil en la regulación y PLD
04 agosto 2025·Tiempo de lectura: 5 min.
esen
Compartir

Índice

    icon newsletter
    El mejor contenido en tu bandeja de entrada

    El panorama regulatorio brasileño ha experimentado una transformación significativa en los últimos años, especialmente en lo que respecta a los procesos de KYC (Know Your Customer - Conheça seu Cliente) y AML (Anti-Money Laundering - Prevenção à Lavagem de Dinheiro - PLD) que se han convertido en una prioridad estratégica y obligación legal ineludible para las instituciones en Brasil

    Ante este panorama, la aplicación rigurosa de las políticas de, o  como se le conoce en Brasil "Conheça seu Cliente", se ha convertido en una pieza fundamental para la integridad y seguridad del sistema financiero brasileño.

    Brasil, como una de las economías emergentes más importantes de Latinoamérica, ha implementado un marco normativo robusto que busca combatir el lavado de dinero, la financiación del terrorismo y otros delitos financieros. Este contexto regulatorio exige que las instituciones financieras y empresas supervisadas adopten medidas exhaustivas de identificación, verificación y monitoreo continuo de sus clientes.

    La diversidad del sistema financiero brasileño, que incluye bancos, fintechs y criptomonedas, requiere soluciones tecnológicas avanzadas para el cumplimiento normativo. Las plataformas RegTech y los proveedores de herramientas KYC (Know Your Customer) son fundamentales para automatizar procesos, reducir costos y mejorar la efectividad de los controles antilavado.

    Descubre cómo agilizar la verificación de tus clientes con Tecalis KYC

    Marco regulatorio del KYC en Brasil: La Ley nº 9.613/98 y las circulares del BACEN

    El KYC en Brasil está regulado por la Ley nº 9.613/98, que define no sólo estándares de identificación sino también de lavado de dinero (PLD en brasileño). Esta ley, modificada a lo largo del tiempo; criminaliza el lavado de dinero, el financiamiento del terrorismo y otros delitos financieros, y establece las obligaciones para una amplia gama de entidades, tanto financieras como no financieras

    La ley exige que estas entidades, conocidas como "entidades obligadas", implementen programas de PLD que incluyan la verificación de la identidad de sus clientes, la diligencia debida basada en el riesgo, el registro de transacciones y la comunicación de operaciones sospechosas a la autoridad competente.

    En el sector financiero, el principal organismo regulador es el Banco Central de Brasil (BACEN), que ha emitido una serie de circulares y resoluciones para detallar y complementar las disposiciones de la Ley nº 9.613/98. 

    • Circular nº 3.978 de 2020 del BACEN. Es un documento fundamental que operacionaliza la ley para las instituciones financieras. Establece, por ejemplo, que las instituciones deben adoptar un enfoque basado en el riesgo para la diligencia debida, lo que implica una mayor o menor exigencia de información dependiendo del perfil del cliente. 
    • Resolución BCB nº 119 de 2021, que actualiza la circular,  exige a las instituciones financieras recopilar la dirección residencial de los clientes.

    El otro actor clave en este ecosistema es el Consejo de Control de Actividades Financieras (COAF), que actúa como la unidad de inteligencia financiera (UIF) de Brasil. El COAF recibe, analiza y disemina los informes de operaciones sospechosas que las entidades obligadas le envían. 

    A través de la Ley nº 13.974/2020, el COAF se ha consolidado como una autoridad independiente con un vínculo administrativo con el BACEN, lo que fortalece su autonomía y capacidad para combatir los delitos financieros. Las regulaciones del COAF, junto con las del BACEN, son el principal espejo que la mayoría de los reguladores sectoriales siguen para establecer sus propias normativas de KYC para operar en Brasil.

    Identificación de clientes y beneficiarios finales en sectores supervisados por el COAF

    La correcta verificación de identidad del cliente es el primer y más crítico paso en cualquier proceso de KYC que se realice en Brasil. La normativa brasileña, supervisada por el COAF, exige que las entidades obligadas recojan y verifiquen una serie de datos esenciales para establecer la identidad del cliente. Para personas físicas esto incluye :

    • Nombre completo
    • Fecha de nacimiento
    • Dirección
    • Correo electrónico
    • Número de teléfono

    Sin embargo, el pilar central de la verificación de identidad en Brasil es el Cadastro de Pessoas Físicas (CPF), un número de identificación fiscal único. La verificación del CPF contra las bases de datos de la Receita Federal (Hacienda) es un paso indispensable para confirmar la existencia del individuo y sus datos personales.

    La identificación no se detiene en el cliente directo. La normativa también pone un énfasis especial en la identificación de los beneficiarios finales. Un beneficiario final es la persona física que, en última instancia, posee o controla una empresa, o la persona en cuyo nombre se realiza una transacción. 

    Esto es crucial para evitar que estructuras corporativas complejas sean utilizadas para ocultar la verdadera propiedad y lavar dinero. Las entidades obligadas deben tomar medidas razonables para identificar a estos beneficiarios finales, incluso si no son los titulares directos de la cuenta. Esto implica una revisión de la estructura societaria y la propiedad de la empresa (KYB - Know Your Business), lo que a menudo requiere la recopilación de documentos adicionales.

    Chico brasileño realizando un KYC con su móvil conforme a la ley PLD de Brasil

    Requisitos de la LGPD (Ley General de Protección de Datos) para el tratamiento y conservación de datos en procesos KYC

    La aplicación de las políticas de KYC en Brasil no puede entenderse sin la Ley General de Protección de Datos (LGPD), que entró en vigor en 2020. Esta ley, similar al GDPR/RGPD de la Unión Europea, regula el tratamiento de datos personales y garantiza los derechos de los titulares. Para las empresas que implementan KYC, la LGPD introduce una capa adicional de complejidad y responsabilidad, ya que deben equilibrar la necesidad de recopilar datos para la prevención de delitos con la obligación de proteger la privacidad de sus clientes.

    Los puntos clave de la LGPD que impactan los procesos de KYC son:

    • Finalidad y Transparencia: La recolección de datos debe tener un propósito específico y legítimo, y las empresas deben informar a los clientes de forma clara y transparente sobre qué datos se recopilan, por qué se hace y cómo se utilizarán. En el caso del KYC, la finalidad es la prevención de lavado de dinero y el financiamiento del terrorismo.
    • Minimización de datos: Las empresas solo deben recopilar los datos que son estrictamente necesarios para el propósito declarado. Esto implica un análisis cuidadoso de qué información es indispensable para cumplir con las regulaciones de PLD, evitando la recopilación excesiva de datos sensibles.
    • Consentimiento y Base Legal: El tratamiento de datos debe basarse en una de las bases legales establecidas por la LGPD. En el contexto de los procesos de KYC, la base legal más común es el "cumplimiento de una obligación legal o regulatoria" o el "interés legítimo" de la empresa para prevenir el fraude. Sin embargo, en algunos casos, el consentimiento del cliente también puede ser un factor importante.
    • Conservación de datos: La LGPD establece que los datos personales deben ser eliminados una vez que la finalidad de su tratamiento haya terminado. Sin embargo, la Ley nº 9.613/98 exige que las entidades obligadas conserven los registros de clientes y transacciones durante un período mínimo de cinco años después de la finalización de la relación comercial o de la transacción. Las empresas deben asegurarse de tener políticas de retención de datos que cumplan con ambas normativas, eliminando la información cuando ya no sea legalmente requerida.

    La intersección de las normativas de PLD y la LGPD crea un escenario en el que la tecnología y los procesos bien definidos son cruciales. Las empresas deben diseñar sus sistemas de KYC para que sean eficientes en la recolección de datos, pero también robustos en su protección, con medidas de seguridad que eviten el acceso no autorizado y las filtraciones.

    test

    Diferencias entre la Debida Diligencia Simplificada, Estándar y Reforzada (EDD) para Personas Políticamente Expuestas (PEP)

    El enfoque basado en el riesgo, promovido por las regulaciones brasileñas, implica la aplicación de diferentes niveles de diligencia debida a los clientes para los procesos KYC en territorio de Brasil, según el nivel de riesgo que representen. Esto se divide en tres categorías principales: Debida Diligencia Simplificada, Estándar y Reforzada.

    • Debida Diligencia Simplificada (DDS): Se aplica a clientes de bajo riesgo. En estos casos, se puede reducir la cantidad de información recopilada o la frecuencia de las verificaciones. Por ejemplo, en operaciones de bajo valor o con clientes que ya tienen un historial de transacciones transparentes. La DDS permite una experiencia de usuario más fluida y una reducción de costos para la empresa, sin comprometer la seguridad.
    • Debida Diligencia Estándar (DDE): Es el nivel de diligencia más común y se aplica a la mayoría de los clientes. Implica la recopilación y verificación de la información básica de identidad, la comprensión de la naturaleza de la relación comercial y, si es necesario, la identificación del beneficiario final. Este nivel de diligencia es el punto de partida para la mayoría de las relaciones comerciales y sienta las bases para el monitoreo continuo de transacciones.
    • Debida Diligencia Reforzada (EDD - Enhanced Due Diligence): Este es el nivel más riguroso de diligencia debida y se aplica a clientes de alto riesgo. El EDD implica la recopilación de información adicional y una verificación más profunda, lo que puede incluir la búsqueda de fuentes públicas, la revisión de medios de comunicación para identificar noticias negativas, la verificación del origen de los fondos y la aprobación por parte de la alta dirección. La EDD es obligatoria, por ejemplo, para las Personas Políticamente Expuestas (PEP).

    Una Persona Políticamente Expuesta (PEP) es un individuo que ocupa o ha ocupado, en los últimos cinco años, un cargo público relevante en cualquiera de las tres esferas de gobierno (federal, estatal o municipal). Esto incluye a jefes de estado o de gobierno, ministros, senadores, diputados, miembros de la corte suprema, embajadores, oficiales de las fuerzas armadas de alto rango, directores de empresas estatales y sus familiares y colaboradores cercanos. Esto aplica tanto a procesos KYC de Brasil como en cualquier estado. 

    Debido a su posición y potencial para influir en las decisiones gubernamentales, los PEPs son considerados de alto riesgo para la corrupción, el soborno y el lavado de dinero. Por lo tanto, cualquier relación comercial con un PEP debe ser sometida a un proceso de Debida Diligencia Reforzada.

    El proceso de EDD para PEPs implica:

    • Identificar al cliente como PEP a través de bases de datos especializadas y la información recopilada.
    • Obtener la aprobación de la alta gerencia para establecer o continuar la relación comercial.
    • Tomar medidas razonables para establecer el origen de los fondos.
    • Realizar un monitoreo continuo y más estricto de la relación comercial.

    La detección de PEPs es un desafío complejo que a menudo requiere el uso de bases de datos globales y el escaneo de medios para asegurar una identificación precisa.

    El papel de las Regtechs y los proveedores de tecnología en la automatización del KYC

    La cantidad y complejidad de las regulaciones de KYC/PLD en Brasil han hecho que los procesos manuales sean insostenibles. Las empresas se enfrentan a la presión de la velocidad de la digitalización y la necesidad de cumplir con normativas cada vez más exigentes. Aquí es donde entran en juego las Regtechs (Regulatory Technology), empresas que utilizan la tecnología para optimizar y automatizar el cumplimiento normativo.

    Las Regtechs y los proveedores de tecnología ofrecen soluciones de KYC que permiten a las empresas:

    • Acelerar el Onboarding: Reducir el tiempo y esfuerzo necesarios para la incorporación de nuevos clientes, mejorando la experiencia del usuario y reduciendo la tasa de abandono.
    • Reducir los Costos de Cumplimiento: Minimizar los costos operativos asociados con la revisión manual de documentos y verificación de datos.
    • Mejorar la Precisión: Reducir errores humanos e inconsistencias en la recolección y verificación de datos.
    • Fortalecer la Seguridad: Implementar medidas de seguridad avanzadas, como la biometría y la criptografía, para proteger los datos de clientes.
    • Facilitar el Monitoreo Continuo: Automatizar el proceso de revisión de clientes existentes y la detección de actividades sospechosas, requisito clave de la normativa.

    Las Regtechs en Brasil ofrecen un conjunto de herramientas tecnológicas que abordan los desafíos específicos del mercado local, desde la validación del CPF hasta la biometría facial.

    Persona sujetando su identificación ID Brasileño conforme a las normas KYC

    Verificación de identidad digital mediante la consulta del CPF en la Receita Federal y la biometría facial

    La tecnología de verificación de identidad digital ha revolucionado la forma en que las empresas cumplen con el KYC en Brasil. Dos de los pilares de este proceso son la consulta del CPF y la biometría facial.

    • Consulta del CPF: La validación del CPF es el primer paso y el más importante en el proceso de KYC digital en Brasil. Los proveedores de tecnología pueden conectar sus sistemas directamente con la base de datos de la Receita Federal para verificar la validez del número de CPF, el nombre del titular y su fecha de nacimiento. Esta verificación instantánea confirma la existencia del individuo y asegura que la información proporcionada es precisa. Además de la Receita Federal, también es posible consultar otras bases de datos oficiales para obtener información adicional, como la de Justicia Electoral, lo que en conjunto permite construir un perfil de cliente más robusto.
    • Reconocimiento Facial (Biometría): Se ha convertido en una herramienta indispensable para combatir el fraude de identidad. Esta tecnología permite a las empresas comparar un selfie del cliente con la foto almacenada en las bases de datos biométricas del gobierno, como las del Tribunal Superior Eleitoral (TSE) o el Departamento Nacional de Trânsito (Denatran). El proceso suele funcionar de la siguiente manera: el cliente toma un selfie a través de la aplicación de la empresa, y la tecnología de biometría facial verifica si la persona que se está registrando es la misma que aparece en la foto del documento de identidad. Además, muchas soluciones incluyen "prueba de vida" para asegurarse de que la foto no es una imagen estática o un video pregrabado.

    La combinación de la consulta del CPF y la biometría facial ofrece un nivel de seguridad y precisión sin precedentes en la verificación de identidad.

    Consideraciones adicionales y futuro del KYC en Brasil

    El panorama del KYC en Brasil está en constante evolución. La digitalización acelerada, la entrada de nuevos actores y la sofisticación de las amenazas de fraude impulsan a los reguladores a actualizar continuamente las normativas. El futuro del KYC en Brasil probablemente se caracterice por:

    • Mayor integración tecnológica: La interoperabilidad entre bases de datos públicas y privadas será clave para una verificación de identidad más eficiente y precisa.
    • Inteligencia Artificial y Machine Learning: El uso de estas tecnologías se expandirá para el monitoreo de transacciones en tiempo real y la detección de patrones de comportamiento anómalos que puedan indicar actividades de lavado de dinero.
    • Identidad Digital Soberana: La tendencia hacia la identidad digital, donde los ciudadanos controlan sus propios datos de identidad, podría influir en la forma en que se realiza la verificación de identidad en el futuro.
    • Enfoque Global: La armonización de las regulaciones de KYC en Brasil con los estándares internacionales, como los del Grupo de Acción Financiera Internacional (GAFI), continuará siendo una prioridad para fortalecer la posición de Brasil en la lucha global contra los delitos financieros.

    En conclusión, el cumplimiento de las normativas de KYC/PLD en Brasil es un desafío complejo, pero crucial para cualquier empresa que aspire a operar de manera segura y legal en el mercado. La combinación de un marco regulatorio sólido, la Ley nº 9.613/98, el BACEN y el COAF, junto con la innovación tecnológica de las Regtechs, está allanando el camino para un sistema financiero más transparente y resiliente.

    La correcta implementación del KYC, no es solo un acto de cumplimiento, sino una inversión estratégica en la confianza del cliente, la protección de la reputación y la sostenibilidad del negocio a largo plazo.

    Ayudamos a cumplir con las normas KYC/AML en Brasil y en todo el mundo

    Etiquetas
    Marco RegulatorioPrevención del FraudeVerificación de identidad
    Newsletter icon

    El mejor contenido en tu bandeja de entrada

    Ft
    aifintech
    regtech
    etica
    techbehemoths
    finnovating
    ecija

    Servicios de confianza, identidad y automatización

    Tecalis crea producto digital disruptivo para hacer crecer y evolucionar a las empresas más innovadoras. Impulsamos procesos de crecimiento y transformación digital para llevar el futuro a las empresas hoy.
    Identidad

    Las soluciones y servicios KYC (Know Your Customer) de Verificación de Identidad por Vídeo, Onboarding Digital y Autenticación (MFA/2FA) permiten a nuestros clientes proporcionar a sus usuarios una experiencia ágil y segura.

    Nuestro software de automatización RPA (Robot Process Automation) permite crear modelos de negocio sostenibles, escalables, productivos y eficientes a través del BPM (Gestión por Procesos de Negocio) para crecer sin límites.

    Digitalización

    La Firma Electrónica Avanzada y Cualificada y los servicios de Comunicación Certificada (Burofax Electrónico) permiten que los procesos de adquisición de clientes, contratación y aceptación que antes tomaban días o semanas sean finalizados y aprobados en minutos o segundos.

    El Customer Onboarding (eKYC), los servicios de Firma Digital (eSignature) y la Prevención del Fraude Automatizada están haciendo posible a las compañías operar online y sin fronteras.

    Confianza

    Como Tercero de Confianza (Trust Services Provider) certificado por la UE y partner RegTech consolidado, ayudamos a las organizaciones a cumplir con los estándares normativos más exigentes de su sector y región, incluyendo las regulaciones AML (Anti-Money Laundering), eIDAS (Electronic IDentification, Authentication and etrust Services), GDPR (Reglamento General de Protección de Datos), SCA (Strong Customer Authentication) o PSD2 (Payment Services Directive) gracias a Controles Anti-Fraude y Verificación de Documentos Tecalis.

    Union europea
    Union europea