Skip to content
Detección IA & DeepfakeNuevo

Señales IA, sintéticos, deepfakes

Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Cumplimiento14 min de lectura

Cumplimiento KYC/AML para neobancos y bancos digitales: guía completa 2026

Guía completa de obligaciones KYC/AML para neobancos y bancos digitales en España y la UE en 2026: AMLD6, AMLR, SEPBLAC, onboarding digital, detección de vida y sanciones regulatorias.

El equipo CheckFile
El equipo CheckFile·
Illustration for Cumplimiento KYC/AML para neobancos y bancos digitales: guía completa 2026 — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Los neobancos y bancos digitales están sujetos a las mismas obligaciones de prevención del blanqueo de capitales y financiación del terrorismo (PBC/FT) que la banca tradicional, con la particularidad de que su modelo de onboarding enteramente digital les expone a riesgos específicos que los reguladores han comenzado a sancionar de forma explícita. La transposición de la Directiva (UE) 2024/1640 (AMLD6) antes del 10 de julio de 2027 y la aplicación directa del Reglamento (UE) 2024/1624 (AMLR) desde la misma fecha establecen un marco armonizado que exige revisar todos los procedimientos vigentes. Esta guía detalla los requisitos aplicables en España, las principales causas de sanción y cómo construir un programa de cumplimiento robusto.

Marco regulatorio aplicable a neobancos en España y la UE

El marco regulatorio aplicable a los neobancos en España y la UE se articula en tres niveles: normativa europea de aplicación directa, directivas de trasposición nacional y legislación española específica.

El Reglamento (UE) 2024/1624 (AMLR) será de aplicación directa en todos los Estados miembros a partir del 10 de julio de 2027, eliminando las divergencias de transposición que han permitido a algunos neobancos aprovechar marcos nacionales más laxos para operar en mercados donde las exigencias eran más estrictas. (EUR-Lex, AMLR)

A nivel europeo, los instrumentos clave son:

  • AMLD6 — Directiva (UE) 2024/1640: transposición obligatoria antes del 10 de julio de 2027. Amplía el catálogo de delitos subyacentes al blanqueo, endurece las sanciones máximas para personas jurídicas (hasta el 10% del volumen de negocios anual) y refuerza la cooperación entre unidades de inteligencia financiera.
  • AMLR — Reglamento (UE) 2024/1624: aplicación directa desde el 10 de julio de 2027. Armoniza los procedimientos de diligencia debida, fija los umbrales de operaciones en efectivo en 10.000 euros en toda la UE y establece las condiciones del onboarding digital sin presencia física.
  • AMLA — Reglamento (UE) 2024/1620: crea la Autoridad Europea de Lucha contra el Blanqueo de Capitales, que asumirá la supervisión directa de hasta 40 entidades transfronterizas de mayor riesgo a partir del 1 de enero de 2028. Los neobancos con operaciones en varios Estados miembros deben anticipar esta supervisión centralizada.

A nivel español, el marco lo constituyen:

  • Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y su reglamento de desarrollo, el Real Decreto 304/2014.
  • SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias): supervisor especializado en materia PBC/FT.
  • Banco de España y CNMV: supervisores prudenciales que coordinan con SEPBLAC en la vigilancia de entidades financieras autorizadas.

Las directrices de la EBA EBA/GL/2021/21 (actualizadas en octubre de 2023) establecen que los procesos de onboarding digital sin agente humano deben incorporar detección de vida ("liveness detection") para mitigar el riesgo de suplantación mediante imágenes estáticas o vídeos pregrabados. (EBA, EBA/GL/2021/21)

Requisitos KYC para el onboarding digital

Los requisitos KYC para el onboarding digital de neobancos siguen el esquema de diligencia debida ordinaria (CDD) o reforzada (EDD) en función del perfil de riesgo del cliente, con particularidades específicas derivadas de la ausencia de contacto presencial.

Identificación y verificación de identidad en remoto

El artículo 3 de la Ley 10/2010, desarrollado por el artículo 21 del Real Decreto 304/2014, permite la identificación no presencial siempre que el proceso garantice un nivel de seguridad equivalente a la verificación presencial. Los documentos aceptados para personas físicas son el DNI, pasaporte o tarjeta de residencia en vigor. Para personas jurídicas: escritura de constitución, CIF y acreditación de representantes y beneficiarios efectivos con participación superior al 25%.

Las directrices EBA/GL/2021/21 exigen que cualquier proceso de onboarding digital sin intervención humana en tiempo real incorpore detección de vida certificada, como medida indispensable para mitigar el fraude de identidad sintética y los ataques de presentación.

La detección de vida activa (liveness detection activa) exige que el cliente realice acciones aleatorias durante la captura (parpadear, girar la cabeza, leer una frase), lo que dificulta el uso de fotografías estáticas o deepfakes de baja calidad. La verificación pasiva, aunque más cómoda para el usuario, solo cumple los requisitos EBA cuando va acompañada de análisis de metadatos del dispositivo y verificación cruzada de documentos.

La plataforma CheckFile admite más de 3.200 tipos de documentos en 32 jurisdicciones, lo que permite verificar documentos de identidad de clientes internacionales con el mismo rigor analítico que los DNI o NIE españoles, incluyendo análisis multicapa (estructural, metadatos, coherencia entre documentos).

Diligencia debida simplificada y reforzada

Los neobancos pueden aplicar diligencia simplificada (SDD) únicamente cuando el perfil de riesgo del cliente, el producto y la geografía lo justifican de forma documentada. La AMLD6 restringe el alcance de la SDD: quedan excluidos de ella todos los clientes con conexión a jurisdicciones de alto riesgo GAFI, personas con responsabilidad pública (PRP) y sus allegados, y estructuras de propiedad opaca.

La diligencia reforzada (EDD) es obligatoria para:

  • Clientes originarios de países incluidos en las listas de alto riesgo de la Comisión Europea o el GAFI.
  • Personas con responsabilidad pública (PEP) y sus familiares de primer grado y colaboradores reconocidos.
  • Operaciones sin justificación económica aparente que superen 15.000 euros.
  • Estructuras de propiedad que dificulten la identificación del beneficiario efectivo real.
Tipo de cliente Nivel de diligencia Revisión periódica Aprobación dirección
Bajo riesgo (residente ES, producto estándar) Simplificada (SDD) Cada 5 años No requerida
Riesgo estándar Ordinaria (CDD) Cada 3 años No requerida
Alto riesgo (PEP, jurisdicción de riesgo) Reforzada (EDD) Anual Sí, alta dirección
Estructura opaca o propiedad no identificable Reforzada (EDD) Semestral Sí, comité de compliance

Para profundizar en los procedimientos de diligencia debida, consulte nuestra guía sobre debida diligencia reforzada para clientes de alto riesgo.

Obligaciones AML: monitoreo y declaraciones de sospecha

Las obligaciones AML de los neobancos en materia de monitoreo de transacciones y declaración de operaciones sospechosas se rigen por los artículos 6, 17 y 18 de la Ley 10/2010.

Monitoreo continuo de transacciones

El artículo 6 de la Ley 10/2010 exige el seguimiento continuo de la relación de negocio, incluyendo el examen de las transacciones para asegurarse de que son coherentes con el conocimiento que el sujeto obligado tiene del cliente, su actividad económica y su perfil de riesgo.

Los sistemas de monitoreo de transacciones de los neobancos deben ser capaces de detectar, como mínimo:

  • Operaciones atípicas en comparación con el comportamiento histórico del cliente (anomalías estadísticas).
  • Transferencias fraccionadas que podrían constituir estructuración (smurfing), especialmente series de operaciones por debajo de 1.000 euros en plazos de 24 a 72 horas.
  • Envíos internacionales frecuentes a jurisdicciones de alto riesgo GAFI.
  • Ingresos de efectivo recurrentes seguidos de transferencias inmediatas.
  • Uso de la cuenta como mero intermediario de tránsito sin actividad económica justificada.

SEPBLAC publicó en diciembre de 2025 sus Tipologías de Blanqueo para Plataformas Digitales, señalando el uso de múltiples tarjetas virtuales asociadas a una sola identidad como una de las señales de alerta de mayor prevalencia en neobancos. (SEPBLAC)

Declaración de operaciones sospechosas al SEPBLAC

Los neobancos deben comunicar a SEPBLAC, a través del Sistema de Comunicación Electrónica, cualquier operación sobre la que existan indicios o certeza de relación con el blanqueo de capitales o la financiación del terrorismo (artículo 18 de la Ley 10/2010). La comunicación previa a la ejecución es obligatoria cuando sea posible sin alertar al cliente.

El régimen de comunicación sistemática (RODOS) obliga también a declarar todas las operaciones en efectivo superiores a 10.000 euros y las transferencias al exterior superiores a 6.010 euros, independientemente de la existencia de sospechas.

Para una guía detallada sobre la gestión de declaraciones de sospecha, consulte nuestro artículo sobre cumplimiento AML y declaraciones al SEPBLAC.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

Fallos comunes y sanciones regulatorias

Los fallos más frecuentes en neobancos que han derivado en sanciones regulatorias se concentran en tres áreas: onboarding insuficiente, monitoreo deficiente y comunicaciones tardías o incompletas al supervisor.

Casos de referencia en la industria

N26 fue multada con 4,25 millones de euros por BaFin en 2021 por fallos sistemáticos en la notificación de operaciones sospechosas de blanqueo de capitales. La autoridad alemana constató que el volumen de operaciones sospechosas reportadas era sustancialmente inferior al esperado para una entidad del tamaño y perfil de riesgo de N26, lo que apuntaba a deficiencias en los sistemas de detección más que a la ausencia de actividad sospechosa. (BaFin)

Starling Bank (Reino Unido) fue sancionada con 29 millones de libras por la FCA en octubre de 2024 por haber activado cuentas de clientes de alto riesgo sin completar los procedimientos de diligencia debida requeridos, y por mantener controles de sanciones financieras con deficiencias estructurales. El caso puso de manifiesto que la velocidad de crecimiento de los neobancos puede crear brechas de cumplimiento cuando los procesos no escalan al mismo ritmo que la base de clientes.

Causas frecuentes de incumplimiento

Los auditores de cumplimiento identifican de forma recurrente las siguientes debilidades en neobancos:

  • Onboarding excesivamente automatizado: los umbrales de rechazo automático son demasiado bajos o demasiado altos, lo que genera o bien fricción innecesaria para clientes legítimos o bien aceptación de perfiles que deberían pasar por revisión manual.
  • Actualización deficiente de expedientes: los clientes onboarding antes de 2020 frecuentemente tienen documentación de identidad caducada o perfiles de riesgo que no han sido revisados tras cambios en la situación personal o profesional.
  • Ausencia de controles sobre beneficiarios efectivos en cuentas de empresa: muchos neobancos ofrecen cuentas de negocio pero aplican solo CDD individual al representante, sin verificar la estructura de propiedad completa.
  • Alertas de monitoreo no gestionadas: los sistemas generan alertas pero la ratio de alertas revisadas/cerradas con documentación adecuada es baja, lo que en una inspección de SEPBLAC se interpreta como ausencia de control efectivo.

Cómo construir un programa de cumplimiento sólido

Un programa de cumplimiento KYC/AML robusto para un neobanco debe articularse en torno a cinco componentes interdependientes.

1. Política de aceptación de clientes (PAC) documentada

La PAC debe definir los criterios de admisión y rechazo por categoría de cliente, producto y geografía. Debe ser aprobada por el órgano de administración y revisada al menos anualmente. La ausencia de una PAC formal es uno de los primeros elementos que revisa SEPBLAC en una inspección.

2. Evaluación continua del riesgo con modelos dinámicos

El modelo de riesgo de clientes no puede ser estático. Debe actualizarse en función de los cambios en la actividad transaccional, los eventos de alerta del sistema de monitoreo y los cambios en las circunstancias del cliente. Los modelos estáticos que asignan una puntuación de riesgo en el momento del onboarding y no la revisan son insuficientes conforme al artículo 7 de la Ley 10/2010.

3. Verificación documental con análisis multicapa

La verificación de documentos de identidad debe ir más allá de la lectura OCR del DNI o pasaporte. El análisis multicapa incluye la verificación de la integridad estructural del documento (tipografía, zonas de seguridad, MRZ), el análisis de metadatos digitales (para documentos cargados como imagen), y la coherencia entre los datos del documento y otras fuentes (bases de datos de identidad, historial de direcciones).

La plataforma CheckFile para soluciones bancarias KYC combina estos tres niveles de análisis en un flujo automatizado que reduce los falsos positivos sin sacrificar la tasa de detección de documentos fraudulentos.

4. Formación continua del equipo de compliance

El artículo 29 de la Ley 10/2010 exige que todos los empleados que interactúen con clientes o con el sistema de alertas reciban formación específica en PBC/FT al menos una vez al año. La formación debe incluir escenarios actualizados con las tipologías de blanqueo más recientes y las obligaciones derivadas de la AMLD6.

5. Infraestructura de datos y auditoría

La AMLD6 (Directiva (UE) 2024/1640) exige que los sujetos obligados puedan responder a requerimientos de información de SEPBLAC o de la AMLA en plazos muy cortos (en algunos casos, 24 horas), lo que impone contar con sistemas de gestión documental que permitan recuperar cualquier expediente de cliente con toda su historia de cambios de forma inmediata.

Toda la documentación de clientes, alertas generadas y resoluciones adoptadas debe conservarse durante un mínimo de cinco años a partir del final de la relación de negocio (artículo 25 de la Ley 10/2010), plazo que la AMLD6 mantiene pero que España puede ampliar hasta diez años para casos de especial complejidad.

Para una visión integral de la construcción de programas de cumplimiento documental, consulte la guía de pilares conformidad documental para entidades financieras.

Conozca también el caso práctico de onboarding KYC para fintech con CheckFile, donde se detallan los resultados obtenidos en reducción de tiempos y mejora en tasas de detección.

Consulte nuestra página de seguridad y certificaciones para conocer los estándares técnicos que respaldan la infraestructura de verificación documental de CheckFile.

Preguntas frecuentes

¿Están los neobancos sujetos a las mismas obligaciones PBC/FT que la banca tradicional?

Sí. Los neobancos y bancos digitales que operan con licencia bancaria o de entidad de dinero electrónico (EDE) o entidad de pago (EP) en España están sujetos íntegramente a la Ley 10/2010 y al Real Decreto 304/2014, con independencia de que su modelo de negocio sea exclusivamente digital. La forma de distribución del servicio (app móvil, web) no modifica las obligaciones de fondo, aunque sí determina los mecanismos admisibles de verificación de identidad en remoto.

¿Qué exigen las directrices EBA para el onboarding digital sin presencia física?

Las directrices EBA/GL/2021/21, en su actualización de octubre de 2023, exigen que los procesos de onboarding digital sin intervención humana en tiempo real incorporen detección de vida certificada (liveness detection), verificación de la autenticidad del documento de identidad mediante técnicas forenses automatizadas, y una evaluación del riesgo de fraude basada en señales del dispositivo (dirección IP, geolocalización, huella del dispositivo). La ausencia de detección de vida en procesos de onboarding no supervisados constituye un incumplimiento directo de estas directrices.

¿Cuándo empezará a supervisar la AMLA directamente a los neobancos?

La Autoridad Europea de Lucha contra el Blanqueo de Capitales (AMLA), creada por el Reglamento (UE) 2024/1620, asumirá la supervisión directa de hasta 40 entidades transfronterizas de mayor riesgo a partir del 1 de enero de 2028. Los criterios de selección priorizan entidades que operan en seis o más Estados miembros y con volúmenes de transacciones internacionales significativos. Los neobancos con operaciones paneuropeas deben anticipar esta supervisión adaptando ya sus estructuras de gobernanza de compliance.

¿Cuál es la sanción máxima por incumplimiento PBC/FT en España?

La Ley 10/2010, en su artículo 53, clasifica las infracciones en leves, graves y muy graves. Las infracciones muy graves pueden dar lugar a multas de hasta 10 millones de euros o el 10% del volumen de negocios anual (el importe que sea mayor), publicación de la sanción con identificación de la entidad, revocación de la autorización y separación de los administradores responsables. La AMLD6 eleva el umbral máximo para personas jurídicas en determinados supuestos, lo que exigirá adaptar el régimen sancionador español antes de julio de 2027.

¿Cómo puede automatizarse la verificación documental en el onboarding sin perder tasa de detección?

La automatización eficiente del onboarding KYC combina verificación documental con análisis multicapa (estructural, metadatos, coherencia entre documentos), detección de vida activa, y una capa de revisión manual para los casos que superen un umbral de riesgo predefinido. La plataforma CheckFile integra estos tres componentes en un flujo unificado, con soporte para más de 3.200 tipos de documentos en 32 jurisdicciones. Consulte los planes y tarifas para conocer las opciones disponibles para neobancos y entidades fintech.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Las entidades obligadas deben consultar con asesores especializados en PBC/FT para adaptar los procedimientos a su situación específica.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Cumplimiento8 min

Know Your Supplier (KYS): verificación de proveedores y cumplimiento

Guía completa sobre KYS en España: obligaciones legales, Ley 10/2010, SEPBLAC, Ley de Cadenas de Suministro y pasos prácticos para verificar proveedores en 2026.

Leer
Cumplimiento9 min

Cumplimiento AML para gestores de patrimonio y asesores 2026

Guía completa de obligaciones PBC/FT para gestores de patrimonio, EAF y SGIIC en España 2026: KYC, diligencia reforzada, declaraciones SEPBLAC y automatización documental.

Leer
Cumplimiento10 min

Directiva 2019/1937 sobre denunciantes: guía de cumplimiento y documentación 2026

Obligaciones documentales completas para cumplir la Directiva UE 2019/1937 y la Ley 2/2023: canales de denuncia, plazos, registros y sanciones en España.

Leer