Qué es el KYC en criptomonedas y para qué sirve

El sector de las criptomonedas ha experimentado un crecimiento exponencial en la última década, atrayendo tanto a inversores particulares como a instituciones financieras. En este contexto, el proceso de KYC en criptomonedas (Know Your Customer o Conoce a Tu Cliente en español) ha adquirido una relevancia fundamental a la hora de dar de alta a sus clientes, transformándose en un pilar para su regulación, seguridad y legitimación del sector.

Este requisito, que inicialmente parecía contradecir los principios descentralizadores y de privacidad de las criptomonedas, se ha convertido en un elemento indispensable para las plataformas de intercambio, carteras digitales y cualquier servicio que facilite transacciones con activos digitales.

Implementar un proceso sólido de KYC en criptomonedas no solo ayuda a cumplir con la ley y evitar cuantiosas multas, sino que también protege a sus usuarios, asegura la integridad de sus operaciones y fomenta una mayor confianza en el mercado cripto en general.

Cómo funcionan los procesos KYC en la industria de las criptomonedas

Los procesos KYC en criptomonedas, especialmente en los exchanges centralizados (CEX) y otras plataformas que facilitan la compra, venta o intercambio de activos digitales por moneda de curso legal, siguen una estructura similar a la de la banca tradicional, aunque adaptada al entorno digital. El objetivo es establecer con un grado razonable de certeza que un cliente es quien dice ser.

Generalmente, el proceso se inicia durante el registro o onboarding del usuario en una plataforma y suele constar de los siguientes pasos:

1. Recopilación de Información del Cliente (CIP - Customer Identification Program)

• Información Básica: Nombre completo, fecha de nacimiento, dirección de residencia, nacionalidad y, en algunos casos, número de identificación fiscal. Esto es lo que se conoce como Formulario KYC.
• Documentación de Identidad: Se solicita al usuario que cargue una copia escaneada o fotografía de alta calidad de un documento de identidad oficial emitido por el gobierno. Los documentos comúnmente aceptados incluyen el pasaporte, el DNI (Documento Nacional de Identidad) o el carné de conducir.
• Prueba de Dirección: Algunas plataformas, especialmente para niveles de verificación más altos o para usuarios de ciertas jurisdicciones, pueden requerir un documento reciente (generalmente de menos de 3 meses) que verifique la dirección de residencia del usuario. Esto puede ser una factura de servicios públicos (agua, luz, gas), un extracto bancario o una carta gubernamental.

2. Verificación de la Identidad

• Verificación Documental: La plataforma analiza la autenticidad de los documentos presentados, comprobando marcas de agua, hologramas (si es visible en la imagen), tipografía y consistencia de los datos. Se utilizan herramientas automatizadas y, en ocasiones, revisión manual.
• Verificación Biométrica (Prueba de Vida o Liveness Check): Para evitar la suplantación de identidad mediante el uso de fotos de documentos robados, algunas plataformas como Tecalis Identity implementan una prueba de vida. Esto a menudo implica que el usuario se tome una selfie en tiempo real, a veces realizando acciones específicas como parpadear, sonreír o girar la cabeza, para demostrar que es una persona real y presente. Algunas tecnologías comparan esta selfie con la foto del documento de identidad.
• Video Verificación: En casos de mayor riesgo o para ciertos servicios, se puede requerir una videollamada corta con un agente de la plataforma para confirmar la identidad del usuario en tiempo real.

2. Customer Due Diligence

• Evaluación de Riesgo: Las plataformas asignan un nivel de riesgo a cada cliente basado en la información proporcionada, su ubicación geográfica, el tipo de transacciones que pretende realizar y su volumen.
• Cruce con Listas de Sanciones y PEPs: Los datos del cliente se cruzan con bases de datos globales que incluyen listas de sanciones internacionales (como las de la ONU, OFAC, UE), personas políticamente expuestas (PEPs) y listas de vigilancia relacionadas con actividades delictivas. Esto ayuda a identificar si el cliente está involucrado en actividades ilícitas o representa un riesgo elevado.

4. EDD - Enhanced Due Diligence

Para clientes identificados como de alto riesgo (por ejemplo, PEPs, individuos de jurisdicciones de alto riesgo o aquellos que realizan transacciones de gran volumen), se aplican medidas de verificación más exhaustivas. Esto puede incluir la solicitud de información sobre el origen de los fondos (SoF - Source of Funds) o el origen de la riqueza (SoW - Source of Wealth), así como un escrutinio más detallado de sus actividades transaccionales.

5. Monitoreo Continuo

El KYC no es un proceso único. Las plataformas deben realizar un monitoreo continuo de las transacciones de sus clientes para detectar patrones sospechosos o inusuales que puedan indicar blanqueo de capitales u otras actividades ilícitas. Esto puede llevar a solicitudes adicionales de información o incluso al bloqueo de cuentas si se confirman actividades fraudulentas.

La implementación de procesos KYC en la industria de las criptomonedas tiene varios objetivos clave:

• Prevención del lavado de dinero (AML): Al verificar la identidad de los usuarios, se dificulta el uso de las plataformas para actividades ilícitas, como el blanqueo de capitales.
• Cumplimiento normativo: Las regulaciones financieras en muchas jurisdicciones exigen que las plataformas de criptomonedas implementen medidas de KYC para operar legalmente.
• Seguridad del usuario: Al confirmar la identidad de los usuarios, se reduce el riesgo de fraudes y suplantaciones de identidad.

Estos procesos, aunque pueden variar ligeramente entre plataformas, constituyen el núcleo de los procesos KYC en criptomonedas. Su implementación busca equilibrar la necesidad de seguridad y cumplimiento normativo con la experiencia del usuario, un desafío constante en la industria.

¿Por qué es importante el KYC al trabajar con criptomonedas?

Los procesos KYC en criptomonedas benefician a todos los players del sector, desde los usuarios individuales hasta la industria en su conjunto ,siendo cruciales para la protección del usuario y la seguridad de sus fondos en plataformas de criptoactivos. Al verificar la identidad, se previene el robo de identidad y el acceso no autorizado, permitiendo a los titulares legítimos recuperar sus cuentas.

Además, dificulta el fraude al impedir que los estafadores operen con identidades falsas. Las plataformas con procesos KYC sólidos están comprometidas con la seguridad general bajo un marco regulatorio y la identificación de las partes es vital en caso de disputas o actividades sospechosas.

Junto a los controles antifraude y el cumplimiento AML/CFT, se combate el blanqueo de capitales y la financiación del terrorismo al vincular transacciones a identidades reales. Esto dificulta el anonimato y permite rastrear fondos ilícitos, además de ser crucial para que plataformas y autoridades detecten actividades y patrones transaccionales sospechosos que indiquen delitos financieros.

Los procesos de KYC en la industria criptomonedas, aunque añaden pasos al onboarding digital, son fundamentales para garantizar que este sea seguro. Permiten establecer una relación de confianza con el usuario, quien se siente más seguro al saber que la plataforma verifica seriamente las identidades, y asegura el cumplimiento normativo desde el inicio.

Estos procesos son indispensables para fomentar la legitimidad y la adopción masiva de las criptomonedas. Generando mayor confianza en inversores institucionales y grandes corporaciones al señalar madurez y seriedad regulatoria en el sector. Además, adoptar procesos KYC sólidos facilita un diálogo constructivo con los reguladores, lo que puede llevar a marcos normativos más claros y favorables, y es crucial para la integración fluida con el sistema financiero tradicional al cumplir con sus estándares regulatorios.

En resumen, aunque los procesos KYC en criptomonedas pueden introducir pasos adicionales en el onboarding, su papel es vital para proteger a los usuarios, combatir el crimen financiero y construir un ecosistema de criptoactivos más seguro y legítimo a largo plazo. Soluciones como Tecalis Identity son fundamentales para que las empresas cumplan con estos imperativos de la regulación, fortaleciendo la confianza y la seguridad del ecosistema.

El KYC en criptomonedas y cripto exchanges

Si bien la necesidad de procesos KYC en la adquisición de criptomonedas y registros en cripto exchanges es cada vez más aceptada para combatir actividades ilícitas, prevenir el fraude y cumplir con las regulaciones, su implementación no está exenta de desafíos significativos y controversias. Estos problemas abarcan desde dificultades técnicas y operativas hasta choques filosóficos con los principios fundacionales de las criptomonedas.

La implementación de procesos KYC en criptomonedas contradice los principios fundacionales de descentralización y privacidad, siendo visto por muchos como una traición ideológica que reintroduce vigilancia y control centralizado, erosionando el anonimato. Este conflicto filosófico persiste en la comunidad cripto.

Las identificaciones falsas y los deepfakes son amenazas crecientes para los controles KYC en criptomonedas. Estos deepfakes, generados con inteligencia artificial, a veces son capaces de eludir la verificación biométrica y las pruebas de vida, facilitando la creación de cuentas fraudulentas. 

Incumplir los procedimientos KYC/AML en el mercado de las criptomonedas conlleva riesgos regulatorios, incluyendo multas elevadas, revocación de licencias y acciones penales contra los directivos.

Las criptomonedas centradas en la privacidad como Monero, Zcash y Dash ofrecen anonimato, atrayendo a usuarios que buscan privacidad pero preocupando a los reguladores por su potencial uso ilícito y la ausencia de controles KYC. Muchos exchanges han dejado de ofrecer estas monedas para evitar problemas regulatorios.

Marco regulatorio del KYC para criptomonedas: Normativas clave (eIDAS, MiCA, FATF...)

El entorno regulatorio que rige los procesos KYC en la industria de las criptomonedas ha experimentado una evolución acelerada en los últimos años, pasando de un vacío legal casi absoluto a un marco cada vez más definido y exigente. Este desarrollo normativo refleja la creciente importancia de los activos digitales en el sistema financiero global y la preocupación de los reguladores por garantizar su uso legítimo. Algunas de las normativas y estándares más influyentes incluyen eIDAS, MiCA y las recomendaciones del FATF y el GAFI.

eIDAS (electronic IDentification, Authentication and trust Services)

El reglamento eIDAS de la Unión Europea, aunque no está diseñado específicamente para criptomonedas, es crucial en la verificación de identidad digital, estableciendo un marco para la identificación electrónica y servicios de confianza en la UE. Proporciona estándares para la identificación digital en los procesos de onboarding de clientes de criptomonedas y busca aumentar la seguridad y la capacidad de las identidades digitales para funcionar de manera efectiva entre diferentes países. La futura revisión, eIDAS 2.0, introducirá la Cartera de Identidad Digital Europea (EUDI Wallet), que podría transformar la forma en que se realizan los procesos KYC en criptomonedas.

MiCA (Markets in Crypto-Assets)

El Reglamento de Mercados de Criptoactivos (MiCA) está diseñado para crear un marco regulatorio conjunto para los criptoactivos y los proveedores de servicios relacionados (CASP, por sus siglas en inglés) dentro de la UE. La regulación MiCA, que entrará en pleno vigor progresivamente, impone requisitos estrictos a los CASP, incluyendo la obligación de obtener licencias, mantener capital suficiente, proteger los fondos de los clientes y, crucialmente e implementar procedimientos AML y KYC en la industria de las criptomonedas. Bajo esta regulación, los proveedores de servicio deberán:

• Identificar y verificar la identidad de sus clientes.
• Aplicar medidas de debida diligencia del cliente.
• Monitorear las transacciones para detectar actividades sospechosas.
• Cumplir con la "Travel Rule" del GAFI para las transferencias de criptoactivos.

Esta regulación busca aumentar la transparencia, reducir el fraude, la protección del inversor y la integridad del mercado, y se espera que tenga un impacto significativo en cómo operan las plataformas de criptomonedas en Europa y aquellas que sirven a clientes europeos.

Recomendaciones y estándares del FATF/GAFI

El Financial Action Task Force (FATF o GAFI en español) ha asumido un papel central en el establecimiento de estándares globales para procesos KYC en criptomonedas:

1. Actualización de recomendaciones GAFI: En 2018, el FATF actualizó sus 40 Recomendaciones para incluir explícitamente a los proveedores de servicios de activos virtuales (VASPs por sus siglas en inglés), estableciendo que deben estar sujetos a las mismas obligaciones AML/CFT que las instituciones financieras tradicionales.
   
   
2. Definición de estándares KYC: La Recomendación 10 del FATF establece los requisitos mínimos de due diligence para clientes que deben aplicar los VASPs, incluyendo:
    

   1. Identificación y verificación de la identidad del cliente
   2. Identificación del beneficiario final
   3. Comprensión de la naturaleza de la relación comercial
   4. Monitorización continua de la relación y las transacciones
      

1. Travel Rule: La Recomendación 16 del FATF, conocida como "Travel Rule", requiere que los VASPs recopilen y transmitan información sobre el originador y el beneficiario en las transferencias de criptoactivos, estableciendo un estándar que ha sido adoptado por jurisdicciones clave como Estados Unidos, la Unión Europea y Singapur.
   
   
2. Evaluaciones mutuas: El FATF evalúa periódicamente el cumplimiento de sus recomendaciones por parte de los países miembros, lo que ha llevado a muchas jurisdicciones a reforzar sus requisitos KYC para criptomonedas ante el temor de recibir evaluaciones negativas que podrían afectar sus relaciones financieras internacionales.
   
   
3. Orientación actualizada para activos virtuales: La guía del FATF sobre activos virtuales de 2021 proporciona aclaraciones detalladas sobre cómo deben aplicarse los estándares AML/CFT, incluidos los requisitos KYC, al ecosistema de criptomonedas.

Directivas AML de la UE (AMLDs)

La 5ª Directiva contra el Blanqueo de Capitales (AMLD5) ya incluyó a los proveedores de servicios de cambio de moneda virtual por moneda fiduciaria y a los proveedores de servicios de custodia de monederos electrónicos bajo el ámbito de las regulaciones AML/CFT de la UE, obligándolos a aplicar KYC. La AMLD6 reforzó ciertas disposiciones, y se está trabajando en un nuevo paquete AML de la UE que incluirá una Autoridad AML (AMLA) y regulaciones más detalladas.

Leyes Nacionales

Cada país también está desarrollando o adaptando sus propias leyes. Por ejemplo, en España, la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo, y sus desarrollos reglamentarios, establecen las obligaciones KYC/AML para los sujetos obligados, incluyendo a los proveedores de servicios de criptomonedas.

Bank Secrecy Act (BSA) y FinCEN (EE. UU.)

En Estados Unidos, la Ley de Secreto Bancario (BSA) obliga a las instituciones financieras a prevenir el blanqueo de capitales. La Red de Control de Delitos Financieros (FinCEN) ha emitido directrices que clasifican a ciertos negocios de criptomonedas como transmisores de dinero, sujetos a requisitos de registro, KYC y AML.

Niveles de verificación KYC en criptomonedas: ¿Qué información se pide en cada nivel?

Los exchanges y plataformas suelen establecer varios niveles de verificación KYC para registrarse u operar con criptomonedas, cada uno con requisitos y límites específicos:

• Nivel 1 (Básico): Solicita información mínima como nombre, correo electrónico y país de residencia. Permite operar con límites bajos y, en algunos casos, sin necesidad de documentación adicional.
• Nivel 2 (Intermedio): Requiere la presentación de documentos oficiales (DNI, pasaporte, licencia de conducir) y, en ocasiones, un comprobante de domicilio. Los límites de depósito y retiro aumentan considerablemente.
• Nivel 3 (Avanzado): Incluye verificación biométrica (selfie, reconocimiento facial), declaración de fuente de fondos y, para usuarios institucionales, documentación empresarial. Permite operar con volúmenes altos y acceder a servicios avanzados.

El proceso de KYC puede incluir formularios digitales, carga de documentos, validación en tiempo real y, en casos de riesgo elevado, entrevistas o revisiones manuales por parte del personal del exchange.

Otro método de verificación son los formularios KYC, que recopilan datos personales, financieros y de actividad económica de clientes para cumplir con las regulaciones. Son esenciales en el sector BFSI (Banca, Servicios Financieros y Seguros), se usan en el onboarding y para actualizaciones periódicas, pudiendo resultar en bloqueo de cuentas si no se proporciona la información requerida.

Protección de datos personales en los procesos KYC de criptomonedas

La recopilación de grandes cantidades de información personal identificable (PII) durante los procesos KYC en criptomonedas plantea importantes cuestiones sobre la protección de datos. Las plataformas de criptomonedas que implementan KYC se convierten en custodios de datos extremadamente sensibles, lo que las obliga a adoptar medidas robustas para garantizar su seguridad y cumplir con las normativas de privacidad, siendo el Reglamento General de Protección de Datos (RGPD o GDPR en inglés) de la Unión Europea uno de los marcos más influyentes a nivel global.

El GDPR establece principios clave para el tratamiento de datos personales que las plataformas de criptomonedas deben observar:

• Licitud, lealtad y transparencia: Las plataformas deben informar claramente a los usuarios qué datos se recopilan, con qué fines (KYC/AML), durante cuánto tiempo se conservarán y cuáles son sus derechos. El consentimiento debe ser explícito para usos que vayan más allá del cumplimiento legal estricto.

• Limitación de la finalidad: Los datos recopilados para KYC solo deben usarse para ese propósito específico (verificación de identidad, prevención de fraude, cumplimiento AML) y no para otros fines (como marketing no consentido) sin permiso adicional.

• Minimización de datos: Solo se deben recopilar los datos estrictamente necesarios para cumplir con los requisitos de KYC. Por ejemplo, si un nivel básico de verificación sólo requiere nombre e ID, no se debe solicitar prueba de dirección a menos que el usuario opte por un nivel superior o la regulación lo exija para ese nivel.

• Exactitud: Las plataformas deben tomar medidas razonables para asegurar que los datos personales sean precisos y se mantengan actualizados. Deben ofrecer a los usuarios mecanismos para corregir su información.

• Limitación del plazo de conservación: Los datos personales no deben conservarse más tiempo del necesario para los fines para los que fueron recopilados. Las regulaciones AML a menudo exigen la conservación de datos KYC durante un período específico (por ejemplo, 5 años) después de la finalización de la relación con el cliente. Transcurrido este tiempo, los datos deben eliminarse o anonimizarse de forma segura.

• Integridad, confidencialidad y seguridad: Este es un aspecto crítico. Las plataformas deben implementar medidas técnicas y organizativas robustas para proteger los datos de los procesos KYC contra el acceso no autorizado, la pérdida, la destrucción o el daño. Esto incluye: 

• 1. Cifrado: Tanto en tránsito (cuando los datos se envían a través de internet) como en reposo (cuando se almacenan en servidores). 
  2. Controles de acceso estrictos: Limitar quién dentro de la organización puede acceder a los datos de los procesos KYC, basándose en el principio de necesidad de conocimiento. 
  3. Auditorías de seguridad y pruebas de penetración: Para identificar y corregir vulnerabilidades. 
  4. Planes de respuesta a incidentes: Para gestionar eficazmente cualquier brecha de seguridad de datos.
     
     
• Responsabilidad proactiva (Accountability): Las plataformas deben ser capaces de demostrar su cumplimiento con el GDPR. Esto implica mantener registros de las actividades de procesamiento de datos, realizar evaluaciones de impacto sobre la protección de datos (DPIA) para procesos de alto riesgo, y, en algunos casos, designar un Delegado de Protección de Datos (DPD o DPO).

La protección de los datos personales recopilados durante el KYC en criptomonedas no es solo una obligación legal, sino también un factor crucial para mantener la confianza de los usuarios. Una brecha de seguridad que exponga datos sobre el KYC de sus clientes puede tener consecuencias económicas, en la reputación de una plataforma y para los individuos afectados. 

Reduce la fricción de los procesos KYC en criptomonedas

Uno de los mayores desafíos para la adopción y retención de usuarios en las plataformas de criptomonedas es la fricción inherente a los procesos de KYC. Procedimientos largos, confusos, que requieren múltiples intentos o que son percibidos como invasivos pueden frustrar a los usuarios hasta el punto de que abandonen el proceso de onboarding por completo. Reducir esta fricción, sin comprometer la seguridad ni el cumplimiento regulatorio, es crucial para mejorar la experiencia del usuario y las tasas de conversión.

Herramientas como Tecalis Identity y Tecalis Sign reducen la fricción en el onboarding ya que integran todo el flujo de verificación en una única plataforma, cumpliendo con las normativas más exigentes y reduciendo al mínimo el tiempo y esfuerzo requerido por el usuario. La combinación de estas soluciones ofrece:

• Onboarding digital rápido: Permiten completar el proceso KYC en minutos, con validación automática de documentos y biometría.
• Cumplimiento normativo garantizado: Se adaptan a las regulaciones locales e internacionales, actualizándose ante cualquier cambio legislativo.
• Experiencia de usuario optimizada: Interfaces intuitivas, soporte multilingüe y asistencia en tiempo real para resolver incidencias.
• Prevención de fraudes: Incorporan sistemas de detección de deepfakes, análisis de comportamiento y validación cruzada para evitar suplantaciones y accesos no autorizados.
• Firma electrónica y gestión documental: Facilitan la firma de contratos y la gestión segura de documentos en el mismo flujo de onboarding.

La adopción de soluciones como las de Tecalis no solo reduce la fricción y el abandono, sino que también mejora la seguridad, la escalabilidad y la reputación de las plataformas relativas a las criptomonedas.

Etiquetas