Know Your Supplier (KYS): verificación de proveedores y cumplimiento
Guía completa sobre KYS en España: obligaciones legales, Ley 10/2010, SEPBLAC, Ley de Cadenas de Suministro y pasos prácticos para verificar proveedores en 2026.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokEl Know Your Supplier (KYS) agrupa los procedimientos de diligencia debida que una empresa aplica a sus proveedores antes y durante una relación comercial. Al igual que el KYC (Know Your Customer) en el sector financiero, el KYS tiene como objetivo identificar los riesgos jurídicos, financieros y reputacionales asociados a cada tercero. En España, la Ley 10/2010 de prevención del blanqueo de capitales y la Ley 11/2021 de medidas de prevención y lucha contra el fraude fiscal crean obligaciones específicas de verificación de terceros que afectan a entidades obligadas y, progresivamente, al conjunto del tejido empresarial.
Según datos de SIS-ID y INCIBE, el 47% de los intentos de fraude empresarial en España corresponden al fraude del falso proveedor, con un daño promedio superior a 10.000 € por empresa afectada. Implementar un proceso KYS estructurado es hoy una de las medidas más efectivas para prevenir estos desvíos.
Qué cubre el KYS y por qué es necesario en España
Un programa KYS robusto aborda tres dimensiones de riesgo: la identidad legal del proveedor (NIF/CIF, extracto del Registro Mercantil, beneficiarios efectivos), la solvencia financiera (cuentas depositadas, rating crediticio, ausencia de procedimientos concursales) y la reputación regulatoria (listas de sanciones, medios negativos, conexiones con personas políticamente expuestas).
La Ley 10/2010 de PBC/FT obliga a las entidades financieras, aseguradoras, notarios, abogados y otros sujetos obligados a identificar y verificar la identidad de sus clientes y, en determinados supuestos, de los terceros con quienes operan. El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales) supervisa el cumplimiento y puede imponer sanciones que oscilan entre 60.000 € y el 10% del volumen de negocios anual para las infracciones muy graves.
La Ley 11/2021 introduce el concepto de responsabilidad fiscal solidaria cuando una empresa trabaja con proveedores que incumplen sus obligaciones tributarias. Adicionalmente, la Directiva de Diligencia Debida Empresarial en materia de Sostenibilidad (CSDDD), aprobada por el Parlamento Europeo en 2024, obliga a las grandes empresas europeas a realizar due diligence sobre sus cadenas de suministro en materia de derechos humanos y medioambiente. España transpone gradualmente esta directiva durante 2025-2026.
| Normativa | Aplicación | Obligación KYS principal |
|---|---|---|
| Ley 10/2010 (PBC/FT) | Sujetos obligados (financieras, notarios, abogados) | Identificación y verificación de clientes y terceros |
| Ley 11/2021 (antifraude) | Empresas con proveedores en España | Responsabilidad tributaria solidaria con proveedores incumplidores |
| Ley 29/2021 (contratos públicos) | Empresas licitadoras | Acreditación de cumplimiento de proveedores en licitaciones |
| CSDDD (transposición 2025-2026) | Empresas >500 empleados y >150M€ facturación | Due diligence de sostenibilidad en cadena de suministro |
Las 5 etapas de un proceso KYS eficaz
Etapa 1 — Recopilación documental inicial. Antes de cualquier pedido o compromiso contractual, solicite sistemáticamente: escritura de constitución y estatutos vigentes, NIF/CIF activo, extracto actualizado del Registro Mercantil Central, lista de titulares reales según el Registro de Titularidades Reales del Notariado, y IBAN acompañado de carta de confirmación bancaria.
Etapa 2 — Verificación de datos legales. Compruebe el NIF/CIF en la Agencia Tributaria, verifique la situación registral en el Registro Mercantil correspondiente y consulte el BORME (boe.es) para detectar actos de inscripción recientes. Para proveedores del sector público, compruebe que no figuran en el Registro Oficial de Licitadores y Empresas Clasificadas del Sector Público (ROLECE).
Etapa 3 — Cribado de sanciones y PEPs. El screening debe cubrir las listas de la Unión Europea (sanctionsmap.eu), la lista SDN de OFAC para transacciones en dólares, las listas de la ONU y el Registro de Altos Cargos para la detección de Personas Políticamente Expuestas. Las entidades financieras tienen obligación legal de este control bajo la Ley 10/2010, artículo 14 y siguientes.
Etapa 4 — Análisis de riesgos ESG y reputacionales. Incluya búsquedas de medios negativos (adverse media screening) y, en función del riesgo, un cuestionario de autoevaluación de sostenibilidad. Las empresas que licitan con la Administración Pública deben acreditar el cumplimiento de la normativa laboral, tributaria y de igualdad conforme a la Ley 9/2017 de Contratos del Sector Público.
Etapa 5 — Monitorización continua. Configure alertas automáticas sobre publicaciones en el BORME, variaciones en el Registro Mercantil (cambios de administradores, ampliaciones de capital) y actualizaciones de listas de sanciones. Cualquier solicitud de modificación de datos bancarios debe activar un protocolo de verificación independiente.
El fraude del falso proveedor: el riesgo más frecuente
En los foros especializados de compliance y tesorería, la pregunta más repetida es: «¿Cómo validamos un cambio de IBAN sin riesgo de transferir a un defraudador?»
Los casos documentados por el INCIBE muestran un patrón constante: el defraudador investiga durante semanas la estructura de la empresa objetivo, identifica proveedores habituales, estudia los patrones de comunicación y finalmente envía un email que imita con precisión la dirección del proveedor legítimo, solicitando un cambio de cuenta bancaria antes de una transferencia importante.
Tres controles operativos previenen la mayoría de estos fraudes:
- Devolución de llamada obligatoria. Ante cualquier solicitud de cambio bancario por email, llame al número registrado en su ERP, nunca al número proporcionado en el email.
- Doble autorización. Cualquier modificación bancaria debe contar con la aprobación de dos personas distintas, incluyendo un responsable financiero.
- Verificación automatizada de IBAN. Utilice un servicio de verificación documental automatizada que cruce la titularidad de la cuenta con los datos legales del proveedor. CheckFile soporta más de 3.200 tipos de documentos en 32 jurisdicciones, incluyendo los documentos empresariales españoles.
La Directiva AMLD6 (Directiva (UE) 2024/1640), con entrada en vigor gradual desde 2027, refuerza las obligaciones de due diligence para las entidades financieras respecto a sus proveedores de servicios y contrapartes de alto riesgo.
Para más información sobre la detección de documentos falsificados, consulte nuestro artículo sobre técnicas de detección de fraude documental con IA.
¿Listo para automatizar sus verificaciones?
Piloto gratuito con sus propios documentos. Resultados en 48h.
Solicitar un piloto gratuitoKYS, KYC y KYB: diferencias clave
Los tres acrónimos cubren ámbitos distintos pero complementarios:
- KYC (Know Your Customer): Verificación de identidad de clientes, obligatoria para entidades financieras bajo la Ley 10/2010. Cubre identificación, titularidad real y monitoreo transaccional.
- KYB (Know Your Business): Aplicado en el onboarding de clientes empresariales, verifica la existencia legal, estructura de propiedad y cumplimiento regulatorio de la empresa cliente. Véase nuestra guía de verificación KYB.
- KYS (Know Your Supplier): Aplicado a proveedores y subcontratistas, cubre riesgo de cadena de suministro, anticorrupción y obligaciones de sostenibilidad. No se limita a sectores regulados.
Un programa de gestión de riesgos de terceros (TPRM) maduro integra los tres enfoques bajo un marco único, habitualmente gestionado conjuntamente por las funciones de Compliance, Legal y Compras.
Construir y conservar el expediente KYS
La Ley 10/2010 establece para las entidades obligadas una conservación de documentos de diez años desde la terminación de la relación de negocio (artículo 25). Para empresas no sujetas a la Ley 10/2010, la recomendación práctica es conservar la documentación KYS durante la vigencia del contrato más cinco años adicionales.
El expediente KYS debe incluir:
- Documentos recopilados y fecha de verificación
- Resultados de los cribados de sanciones y medios negativos
- Identidad de quienes realizaron y validaron cada verificación
- Histórico de cambios bancarios con evidencia de verificación asociada
CheckFile almacena todos los registros de verificación en una pista de auditoría con integridad garantizada, conforme a ISO 27001, para cumplir con los requisitos de trazabilidad de su expediente KYS. Consulte los planes de precios para flujos de verificación de proveedores.
Preguntas frecuentes
¿El KYS es obligatorio para todas las empresas españolas?
La Ley 10/2010 establece obligaciones directas para las entidades financieras y demás sujetos obligados. Para el resto de empresas, las obligaciones surgen indirectamente: la Ley 11/2021 crea responsabilidad tributaria solidaria con proveedores incumplidores y la CSDDD impondrá due diligence de sostenibilidad a grandes empresas. Las pymes que trabajan con grandes cuentas reciben crecientemente cuestionarios KYS como requisito de homologación.
¿Cómo verifico los titulares reales de un proveedor en España?
En España, el Registro de Titularidades Reales del Notariado recoge la información de beneficiarios efectivos de personas jurídicas. Desde la Directiva (UE) 2018/843 (5AMLD), esta información debe actualizarse ante cualquier cambio en la estructura de propiedad. Los notarios y registradores tienen acceso directo; otras empresas pueden acceder a través de consulta notarial o mediante proveedores de datos especializados.
¿Qué diferencia hay entre la homologación de proveedores y el KYS?
La homologación de proveedores evalúa capacidad técnica, calidad y condiciones comerciales. El KYS se centra específicamente en la identidad legal, solvencia, titularidad real y riesgo regulatorio (sanciones, anticorrupción, PBCyFT). Ambos pueden integrarse en un proceso unificado de gestión de proveedores, pero abordan dimensiones de riesgo diferentes.
¿Con qué frecuencia renovar la verificación KYS?
Al menos una vez al año para todos los proveedores activos, y de forma inmediata ante cualquier evento desencadenante: cambio de administradores, modificación de datos bancarios, renovación contractual o alertas en medios negativos. Los proveedores de mayor riesgo (sectores sensibles, países de alto riesgo según el GAFI) requieren monitorización continua con alertas automáticas.
¿Qué hacer si un proveedor no supera el proceso KYS?
Documente los hallazgos, escale a dirección y asesoría jurídica, y aplique una decisión basada en el riesgo: diligencia reforzada para casos límite, suspensión de pagos pendientes de aclaración ante anomalías bancarias, y rescisión de la relación ante incumplimientos graves de sanciones. En este último caso, las entidades obligadas deben comunicar la operación sospechosa al SEPBLAC conforme al artículo 18 de la Ley 10/2010.
Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Las obligaciones legales varían según el tamaño de la empresa, el sector y la naturaleza de las relaciones comerciales. Consulte a un asesor jurídico especializado para un análisis adaptado a su situación.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.