KYC Remediation: guía completa para actualizar expedientes de clientes
KYC remediation: definición, proceso en 6 pasos, documentos requeridos y automatización para re-verificar clientes existentes según SEPBLAC y Ley 10/2010.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokLa KYC remediation es el proceso sistemático de revisión, actualización y re-verificación de los expedientes de clientes ya incorporados, para garantizar su conformidad con los requisitos regulatorios vigentes. En España, esta obligación deriva del artículo 7 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, que impone a los sujetos obligados el deber de mantener actualizada la información sobre sus clientes durante toda la relación de negocio.
El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) ha incrementado el número de inspecciones de supervisión presencial un 40% entre 2022 y 2024, con especial atención a la actualización de expedientes de diligencia debida en carteras históricas. Las deficiencias en la KYC remediation son uno de los fundamentos más habituales de expediente sancionador.
Este artículo es únicamente informativo y no constituye asesoramiento jurídico, financiero ni regulatorio.
Para una visión general del marco KYC, consulte nuestra guía completa de KYC para empresas.
¿Qué es la KYC remediation?
La KYC remediation —también denominada «KYC refresh» o «actualización de expedientes»— consiste en revisar de forma retroactiva los expedientes de clientes ya dados de alta para corregir las deficiencias documentales o de perfilado de riesgo que no cumplen con la normativa actual.
Se distingue del KYC inicial —la diligencia debida aplicada al incorporar a un nuevo cliente— en que actúa sobre relaciones de negocio preexistentes, a menudo construidas bajo estándares regulatorios anteriores que han quedado desfasados tras sucesivas reformas normativas.
La Directiva (UE) 2024/1640 (AMLD6), cuya transposición debe completarse antes de julio de 2027, refuerza las obligaciones de seguimiento continuo e introduce ciclos de revisión documentados basados en el riesgo individual de cada cliente. Las entidades que no hayan iniciado procesos sistemáticos de remediation antes de esa fecha se expondrán a brechas de cumplimiento en las próximas inspecciones del SEPBLAC.
En los foros profesionales de cumplimiento normativo se plantea frecuentemente la duda: ¿la KYC remediation es una obligación legal o simplemente una buena práctica? La respuesta es clara: es una obligación legal. El artículo 26 de la Ley 10/2010 establece que los sujetos obligados deberán aplicar medidas de diligencia debida continua a lo largo de toda la relación de negocio, incluyendo el examen periódico de las operaciones y la actualización de los documentos, datos e información recabados.
¿Por qué es obligatoria la KYC remediation?
El fundamento legal de la KYC remediation en España descansa en tres normas principales:
- Ley 10/2010, artículo 7 — diligencia debida continua sobre la relación de negocio
- Real Decreto 304/2014, artículos 15-17 — desarrollo reglamentario de las obligaciones de seguimiento y actualización de expedientes
- Directiva (UE) 2015/849 (4AMLD) y sus modificaciones — marco europeo de prevención de blanqueo que obliga a la revisión periódica según el nivel de riesgo
Según el Informe de Supervisión del SEPBLAC 2023, las deficiencias en la actualización de expedientes de diligencia debida representaron el 34% de los incumplimientos detectados en las inspecciones de ese año, lo que convierte la KYC remediation en el ámbito de mayor riesgo sancionador para las entidades supervisadas.
Los principales desencadenantes de una campaña de KYC remediation son:
- Cambio normativo: transposición de una nueva directiva AML, actualización de las Resoluciones del SEPBLAC o de las guías de la CNMV
- Revisión periódica del riesgo: expiración del ciclo de revisión (1 año para clientes de riesgo alto, 3 años para riesgo medio, 5 años para riesgo bajo)
- Coincidencia en listas de sanciones o PEPs: detección de un cliente en las listas de la UE, ONU u OFAC
- Operación atípica: transacción inconsistente con el perfil económico declarado
- Fusión o adquisición: incorporación de una cartera de clientes con estándares de diligencia debida heredados de otra entidad
- Caducidad documental: DNI, pasaporte o documentación de domicilio vencidos
El análisis interno de CheckFile sobre más de 840.000 expedientes KYC bancarios procesados en la plataforma indica que el 23% de los expedientes con más de tres años de antigüedad contienen al menos un documento caducado, y el 10% presentan discrepancias entre la dirección declarada y el justificante de domicilio más reciente.
El proceso de KYC remediation en 6 pasos
Un proceso de remediation estructurado sigue seis pasos secuenciales. En los foros de compliance, la omisión del análisis de brechas inicial —la primera etapa— es la causa más frecuente de priorizaciones inconsistentes y lagunas en la pista de auditoría.
Paso 1: Análisis de brechas (gap analysis)
Revisión exhaustiva de la cartera de clientes para identificar expedientes con documentación incompleta, caducada o no conforme con los estándares actuales. El resultado es una lista priorizada de expedientes a remediar.
Paso 2: Estratificación por nivel de riesgo
Reclasificación de cada cliente según la metodología de evaluación de riesgo actualizada: riesgo bajo, medio o alto. Los clientes de mayor riesgo —incluyendo PEPs, residentes en jurisdicciones de alto riesgo según la lista del GAFI y clientes con actividad inusual— son atendidos primero.
Paso 3: Priorización y planificación
Conversión de la lista estratificada en un plan de remediación con plazos definidos por segmento de clientela. Se asignan los recursos internos (analistas KYC, gestores de relaciones) o externos (proveedores de verificación documental) en función del volumen y complejidad.
Paso 4: Contacto con el cliente y recogida de documentación
Se contacta con los clientes afectados para solicitarles la documentación actualizada. Una comunicación clara sobre la base legal de la solicitud y las consecuencias de la no respuesta mejora significativamente la tasa de colaboración. Las plataformas de recogida digital reducen el tiempo de proceso en más del 80% respecto a los métodos manuales, según datos internos de CheckFile.
Paso 5: Re-verificación y validación
Verificación de autenticidad, coherencia y vigencia de los documentos recibidos. Cotejo de los datos de identidad con fuentes oficiales (Registro Mercantil Central, Base de Datos de Señas de la AEAT, Oficina Virtual del Registro de PEPs). Las anomalías se escalan al Responsable de Cumplimiento Normativo (RCN).
Paso 6: Actualización del expediente y pista de auditoría
El expediente del cliente se actualiza en el sistema de gestión. Cada acción queda registrada con fecha, operador y resultado de la verificación. Esta pista de auditoría es el elemento probatorio fundamental durante una inspección del SEPBLAC.
Profundizar en el tema
Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.
Explorar las guíasDocumentación requerida por tipo de cliente
| Tipo de cliente | Identidad | Domicilio | Origen de fondos | Titularidad real / UBO |
|---|---|---|---|---|
| Particular – riesgo bajo | DNI o pasaporte vigente | Factura < 3 meses | No requerido | N/A |
| Particular – riesgo alto / PEP | DNI + 2.ª documento | Factura < 1 mes | Declaración + extractos bancarios | N/A |
| Empresa – riesgo bajo | Certificación registral < 3 meses | — | Declaración responsable | Formulario UBO + DNI de titulares reales |
| Empresa – riesgo alto | Certificación + estatutos + actas recientes | — | Extractos bancarios + cuentas 3 años | Documentación notarial de titularidad real |
| Entidad financiera tercera | Autorización CNMV / Banco de España | — | — | Programa AML + política KYC |
Para las personas jurídicas, la identificación de los titulares reales se apoya en la información depositada en el Registro Mercantil, así como en la declaración del propio cliente. Cualquier divergencia entre ambas fuentes debe ser documentada y tratada por el equipo de cumplimiento.
Consulte nuestra checklist de debida diligencia del cliente por sector para una lista documental detallada adaptada a su sector de actividad.
Desafíos operativos y automatización
Las áreas de cumplimiento identifican cuatro desafíos principales en las campañas de KYC remediation:
Falta de respuesta del cliente — los clientes existentes no comprenden por qué deben volver a aportar documentación. Un aviso explicativo con referencia expresa a la Ley 10/2010, seguido de recordatorios automáticos a los 7 y 14 días, mejora notablemente la tasa de respuesta.
Calidad de los datos heredados — los expedientes constituidos bajo normativas anteriores contienen frecuentemente campos incompletos, duplicidades o formatos no estandarizados. Una fase de saneamiento de datos previa a la remediation reduce las excepciones en el procesamiento.
Volumen y recursos — una entidad de tamaño medio puede tener decenas de miles de clientes a remediar simultáneamente. Sin automatización, el coste unitario por expediente resulta inviable.
Protocolo para clientes no respondentes — la entidad debe establecer un procedimiento claro: ¿cuántas comunicaciones se realizan antes de proceder a la restricción o extinción de la relación de negocio? Esta decisión debe estar documentada y aprobada por el Responsable de Cumplimiento.
La plataforma CheckFile automatiza la verificación de documentos de identidad, la consulta al Registro Mercantil, la validación de justificantes de domicilio y el análisis de extractos bancarios, reduciendo el coste por expediente en un 67% y el tiempo de procesamiento en un 83%, según los datos internos de la plataforma. Cada verificación genera una traza de auditoría compatible con los requisitos de supervisión del SEPBLAC.
Consulte nuestra política de seguridad y nuestros precios para calcular el ROI de la automatización de su campaña de remediation.
Para profundizar en su estrategia de cumplimiento documental, consulte nuestra guía de conformidad documental.
Preguntas frecuentes
¿Cuál es la diferencia entre KYC y KYC remediation?
El KYC inicial se aplica al incorporar a un nuevo cliente y consiste en verificar su identidad y evaluar su perfil de riesgo. La KYC remediation es el proceso retroactivo aplicado a clientes ya incorporados cuyos expedientes han quedado desactualizados, incompletos o no conformes con la normativa vigente. La obligación de mantener el KYC actualizado durante toda la relación de negocio se establece en el artículo 7 de la Ley 10/2010.
¿Con qué frecuencia deben actualizarse los expedientes KYC?
Como mínimo, con carácter anual para clientes de riesgo alto (incluyendo PEPs y clientes de jurisdicciones de riesgo elevado), trienal para clientes de riesgo medio y quinquenal para clientes de riesgo bajo. Estos ciclos deben estar formalizados en la política de PBC/FT de la entidad. Cualquier evento desencadenante (operación atípica, coincidencia en listas de sanciones) obliga a una revisión inmediata, al margen del ciclo regular.
¿Qué ocurre si un cliente no responde a la solicitud de actualización documental?
Tras un número documentado de intentos de contacto sin respuesta, la entidad debe considerar la restricción de operaciones o la resolución de la relación de negocio, en aplicación del artículo 9 de la Ley 10/2010. Esta decisión debe quedar documentada y registrada en el expediente. Además, si la falta de respuesta genera sospechas razonables de blanqueo, podría ser necesaria la comunicación de una operación sospechosa al SEPBLAC.
¿La KYC remediation es obligatoria para todos los sujetos obligados?
Sí, para todos los sujetos mencionados en el artículo 2 de la Ley 10/2010: entidades de crédito, aseguradoras, empresas de servicios de inversión, notarios, abogados (en determinadas operaciones), auditores, asesores fiscales, agentes inmobiliarios, operadores de juego y plataformas de criptoactivos.
¿Cuáles son las sanciones por incumplimiento de la KYC remediation?
Las infracciones graves en materia de diligencia debida pueden sancionarse con multas de hasta 1 millón de euros para personas físicas y de hasta el 10% del volumen de negocios anual total para personas jurídicas, con arreglo al artículo 57 de la Ley 10/2010. Las infracciones muy graves pueden conllevar la revocación de la autorización o habilitación para ejercer la actividad.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.