KYC vendedores marketplace DAC7: obligaciones 2026
KYC vendedores marketplace DAC7: qué documentos exigen DSA y DAC7, umbrales AEAT, Modelo 238 y cómo cumplir en España en 2026. Guía práctica para operadores.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokLos operadores de plataformas digitales en España tienen desde enero de 2024 una obligación activa: identificar a sus vendedores, verificar su información fiscal y declarar los datos recaudados a la AEAT mediante el Modelo 238. Esta obligación no es nueva, pero su alcance práctico —quién queda fuera, qué documentos son suficientes, cuándo se declara y qué sanciones se arriesgan— sigue generando dudas entre los equipos de cumplimiento y los responsables técnicos de marketplaces. El Reglamento DSA añade una segunda capa: la verificación de la identidad de los vendedores profesionales, independientemente de si alcanzan los umbrales fiscales de DAC7. Esta guía responde a ambas obligaciones con referencias normativas exactas.
Este artículo es solo informativo y no constituye asesoramiento jurídico. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para orientación adaptada a su situación específica.
Qué es DAC7 y por qué los marketplaces deben verificar a sus vendedores
DAC7 es la Directiva (UE) 2021/514 del Consejo, de 22 de marzo de 2021, que obliga a los operadores de plataformas digitales a recopilar, verificar y declarar automáticamente a las autoridades fiscales la información sobre los ingresos de sus vendedores. Se enmarca dentro de la serie de directivas de cooperación administrativa (DAC) de la Unión Europea y responde a la brecha de información que existía entre los ingresos declarados por los contribuyentes y los generados a través de economía de plataforma.
El texto completo de la directiva está disponible en EUR-Lex: Directiva (UE) 2021/514.
España transpuso la directiva mediante el Real Decreto-ley 13/2022, de 26 de julio, publicado en el BOE, y la desarrolló reglamentariamente a través de la Orden HAC/1108/2023, que regula las obligaciones de información de los operadores de plataformas y establece el Modelo 238 como formulario oficial de declaración. Las referencias al texto del Real Decreto-ley están disponibles en el Boletín Oficial del Estado.
La lógica de DAC7 parte de un diagnóstico sencillo: los marketplaces son el único actor que conoce cuánto cobra cada vendedor. Hacienda no tiene acceso directo a esa información, pero sí puede exigírsela al operador. A partir de ahí, el intercambio automático entre administraciones tributarias europeas hace posible que, si un vendedor residente en Francia vende en un marketplace español, la AEAT informe a la administración francesa de sus ingresos.
¿Quién está obligado? Umbrales y definiciones
Los operadores de plataformas digitales que facilitan la venta de bienes o servicios a través de sus plataformas, incluyendo marketplaces de comercio electrónico, plataformas de alquiler de inmuebles, prestación de servicios personales y venta de medios de transporte, quedan sujetos a la obligación de declaración DAC7 en España.
La normativa distingue dos categorías relevantes:
- Operador de plataforma declarante: cualquier entidad que pone a disposición de vendedores una plataforma para realizar operaciones pertinentes y tiene un nexo con un Estado miembro de la UE (sede, constitución o establecimiento permanente).
- Vendedor declarable: cualquier vendedor registrado en la plataforma que no quede expresamente excluido por la norma.
Quedan excluidos de la obligación de declaración los vendedores que sean entidades cotizadas en bolsas reguladas, las Administraciones Públicas y los vendedores que realicen menos de 30 operaciones anuales y obtengan menos de 2.000 euros en contraprestaciones durante el año natural. Esta exclusión es acumulativa: solo quedan fuera quienes cumplen ambos criterios simultáneamente.
| Criterio | Umbral | Efecto |
|---|---|---|
| Número de operaciones | Menos de 30 transacciones/año | Solo excluye si también se cumple el umbral económico |
| Contraprestación anual | Menos de 2.000 € en el año natural | Solo excluye si también se cumple el umbral de operaciones |
| Vendedor entidad cotizada | Sin límite | Excluido directamente |
| Vendedor Administración Pública | Sin límite | Excluido directamente |
Un vendedor que realice 25 operaciones pero ingrese 2.500 euros sigue siendo declarable: la exclusión requiere que ambos umbrales queden por debajo del límite.
Documentación requerida para el KYC de vendedores
La Orden HAC/1108/2023 y las directrices de la AEAT establecen qué información debe recabar el operador de plataforma para cada tipo de vendedor antes de que pueda operar y, en todo caso, antes del cierre del año natural a efectos de declaración.
La documentación varía según si el vendedor es una persona física o una entidad jurídica:
| Documento | Vendedor particular (persona física) | Vendedor empresa (persona jurídica) |
|---|---|---|
| Identificación | DNI, NIE o pasaporte en vigor | CIF (Número de Identificación Fiscal) |
| Constitución / registro | No aplica | Escritura de constitución o NIF, certificado del Registro Mercantil |
| Actividad económica | No aplica | Modelo de alta en el IAE (Impuesto sobre Actividades Económicas) |
| Cuenta bancaria | IBAN de cuenta a nombre del vendedor | IBAN de cuenta a nombre de la sociedad |
| Domicilio | Justificante de domicilio (empadronamiento o equivalente) | Domicilio social acreditado |
| Residencia fiscal | Declaración de residencia fiscal / NIF del país de residencia | País de constitución e identificación fiscal en ese país |
El operador debe verificar estos datos, no limitarse a recogerlos. La verificación incluye comprobar que el documento de identidad es auténtico, que el NIF o CIF corresponde a la entidad declarada y que los datos de IBAN son consistentes con el nombre del titular. La AEAT puede requerir al operador que acredite los procedimientos de verificación utilizados.
Desde la perspectiva de la protección de datos, la Agencia Española de Protección de Datos (AEPD) aplica la Ley Orgánica 3/2018 (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD). El principio de minimización exige que el operador solo recabe los datos estrictamente necesarios para cumplir la obligación de declaración: no puede utilizar los documentos KYC del vendedor para finalidades distintas sin una base jurídica diferenciada y sin informar al vendedor en el momento de la recogida.
¿Listo para automatizar sus verificaciones?
Piloto gratuito con sus propios documentos. Resultados en 48h.
Solicitar un piloto gratuitoModelo 238: calendario y obligaciones de declaración
El Modelo 238 es la declaración informativa que los operadores de plataformas digitales deben presentar electrónicamente ante la Sede electrónica de la AEAT para informar sobre los vendedores declarables y sus ingresos del año natural anterior.
El primer Modelo 238 correspondió a los datos del ejercicio 2023 y debía presentarse en enero de 2024. A partir de ahí, el calendario es anual y permanente:
| Ejercicio declarado | Plazo de presentación | Formato | Canal |
|---|---|---|---|
| 2023 | Enero 2024 | XML estructurado | Sede electrónica AEAT |
| 2024 | Enero 2025 | XML estructurado | Sede electrónica AEAT |
| 2025 | Enero 2026 | XML estructurado | Sede electrónica AEAT |
| 2026 | Enero 2027 | XML estructurado | Sede electrónica AEAT |
La presentación es exclusivamente electrónica a través de la Sede electrónica de la Agencia Tributaria. No existe presentación en papel. El operador debe usar certificado electrónico reconocido o DNIe para la firma de la declaración.
El Modelo 238 no es equivalente a la declaración que el vendedor presenta sobre sus propios ingresos: es una declaración del operador sobre terceros. La información declarada se cruza automáticamente con las declaraciones del IRPF, IS e IVA de los vendedores para detectar discrepancias.
Los datos que el operador debe incluir para cada vendedor declarable son: nombre completo o denominación social, dirección, NIF/CIF, IBAN, fecha de nacimiento (para personas físicas), número de operaciones realizadas en la plataforma y contraprestaciones totales recibidas en el año.
DSA artículo 30: verificación de vendedores profesionales
El artículo 30 del Reglamento (UE) 2022/2065, conocido como Reglamento de Servicios Digitales o DSA, obliga a los operadores de mercados en línea a verificar la información facilitada por los vendedores profesionales antes de permitirles usar la plataforma, con independencia de si alcanzan los umbrales de declaración DAC7.
El texto íntegro del DSA está disponible en EUR-Lex: Reglamento (UE) 2022/2065.
La distinción entre DAC7 y DSA es fundamental:
- DAC7 es una obligación fiscal: afecta al flujo de información entre el operador y la AEAT.
- DSA artículo 30 es una obligación de transparencia del mercado interior: afecta a la relación entre el operador y sus usuarios, y tiene como objetivo garantizar que los consumidores puedan identificar a quién compran.
El artículo 30 del DSA exige que el operador de mercados en línea, antes de permitir que un vendedor profesional ofrezca productos o servicios, recabe y verifique:
- El nombre, domicilio, número de teléfono y dirección de correo electrónico del vendedor
- El número de registro mercantil o equivalente
- La identificación fiscal (NIF/CIF para entidades españolas)
- Una autocertificación del vendedor de que no ofrece productos prohibidos o que incumplen la legislación aplicable
Si la verificación revela que los datos son incorrectos o incompletos, el operador debe suspender la cuenta del vendedor hasta que la situación se regularice. El DSA establece que el operador debe "hacer sus mejores esfuerzos" para verificar mediante bases de datos oficiales cuando sea posible.
La Comisión Nacional de Mercados y la Competencia (CNMC) es en España la autoridad de aplicación del DSA para los servicios digitales de ámbito no financiero, con la colaboración de la Secretaría de Estado de Digitalización e Inteligencia Artificial. En el ámbito financiero, la CNMV y el Banco de España mantienen sus competencias sectoriales.
Sanciones por incumplimiento
El incumplimiento de las obligaciones de declaración establecidas en el Modelo 238 puede dar lugar a sanciones tipificadas en la Ley 58/2003, General Tributaria (LGT), con multas que oscilan entre 150 y 50.000 euros según la gravedad y el número de registros afectados.
El régimen sancionador aplicable es el del artículo 198 LGT, que regula las infracciones por incumplimiento de obligaciones de información:
| Tipo de infracción | Sanción aplicable |
|---|---|
| No presentar la declaración en plazo | Multa fija de 200 € por declaración omitida o incorrecta, con un mínimo de 150 € |
| Datos incompletos, inexactos o falsos | 200 € por dato erróneo, con mínimo de 150 € y máximo de 50.000 € por declaración |
| Presentación fuera de plazo sin requerimiento previo | Reducción del 50 % sobre la sanción base si se presenta espontáneamente |
| Reincidencia | Incremento de hasta el 100 % sobre la sanción aplicable |
Las sanciones del DSA son más severas para las plataformas de gran tamaño: el artículo 52 del Reglamento (UE) 2022/2065 permite imponer multas de hasta el 6 % del volumen de negocios mundial anual del ejercicio anterior en caso de infracción grave o reiterada de las obligaciones del DSA.
Adicionalmente, los operadores que gestionen pagos entre vendedores y compradores pueden tener obligaciones adicionales bajo la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, supervisada por SEPBLAC. Si la plataforma actúa como intermediario de pagos o custodia fondos de vendedores, puede quedar sujeta a las obligaciones de diligencia debida de la Ley 10/2010, que van más allá de lo que exige DAC7.
Cómo automatizar el KYC de vendedores en marketplace
Automatizar el KYC de vendedores permite al operador cumplir simultáneamente con DAC7, el artículo 30 del DSA y los controles de prevención del blanqueo, sin que el proceso de alta del vendedor se convierta en un cuello de botella operativo.
Un flujo de verificación automatizado para marketplaces debe cubrir al menos cuatro pasos:
1. Recogida digital de documentos en el alta del vendedor. El vendedor carga su DNI/NIE o CIF, escritura y IBAN desde la interfaz de la plataforma. La recogida debe incluir confirmación de que el documento es el original o una copia auténtica, con fecha de expedición válida.
2. Verificación documental multicapa. La verificación no se limita a leer el número de identificación: incluye el análisis de la integridad estructural del documento (tipografías, marcas de seguridad, MRZ si aplica), la coherencia entre los metadatos del archivo y el contenido visible, y la validación cruzada entre el documento de identidad y el IBAN declarado. CheckFile aplica este análisis multicapa sobre más de 3.200 tipos de documentos en 32 jurisdicciones, lo que permite verificar documentos de vendedores internacionales con el mismo nivel de control que los nacionales.
3. Consulta de bases de datos externas. Para vendedores empresa, la verificación del CIF contra el registro de la AEAT y la consulta de la nota simple en el Registro Mercantil permiten confirmar que la entidad está activa y que los datos de los administradores son consistentes con los declarados. Para vendedores personas físicas, la verificación del IBAN contra el nombre del titular cierra el riesgo de cuentas interpuestas.
4. Monitorización continua y actualización. Los documentos de identidad caducan. Los datos del Registro Mercantil cambian cuando hay modificaciones societarias. Un sistema de cumplimiento robusto debe alertar al equipo cuando los documentos de un vendedor activo están próximos a expirar o cuando hay discrepancias en actualizaciones posteriores.
Para los equipos de desarrollo que integren verificación documental mediante API, la guía de integración de la API de verificación de documentos ofrece un recorrido técnico completo sobre endpoints, esquemas de respuesta y gestión de errores en flujos de onboarding de vendedores.
La verificación automatizada también facilita la generación del fichero XML del Modelo 238: si los datos del vendedor han sido verificados y almacenados de forma estructurada desde el alta, la exportación al formato requerido por la AEAT puede hacerse de forma programática, reduciendo el riesgo de errores manuales antes del plazo de enero.
Para operadores que necesiten orientación sobre los niveles de diligencia debida aplicables a vendedores de alto riesgo, la checklist de due diligence para empresas ofrece un marco de referencia por categoría de riesgo, aplicable también al contexto de vendedores en plataformas. Asimismo, la guía sobre requisitos KYC 2026 en Europa contextualiza las obligaciones de DAC7 dentro del panorama regulatorio europeo más amplio.
Preguntas frecuentes
¿Tengo que pedir el DNI a todos mis vendedores o solo a los que superan el umbral?
La obligación de recabar documentación de identidad recae sobre todos los vendedores registrados en la plataforma, no solo sobre los que superan los umbrales de declaración DAC7. El umbral de 30 transacciones y 2.000 euros solo determina si el vendedor debe incluirse en el Modelo 238, pero el artículo 30 del DSA exige verificar la identidad de todos los vendedores profesionales desde el momento del alta. La práctica habitual entre los operadores es aplicar el KYC completo a todos los vendedores en el momento del registro y almacenar esa información para poder incluirlos en la declaración si alcanzan los umbrales durante el año.
¿Qué pasa si un vendedor se niega a dar su número de identificación fiscal?
Si un vendedor declarable no facilita su NIF o CIF, el operador de plataforma está obligado a retener el 24 % de las contraprestaciones que le abone, conforme a lo previsto en la normativa de retenciones a no residentes, o a suspender la cuenta del vendedor hasta que aporte la documentación requerida. La negativa del vendedor no exime al operador de su obligación de declaración: si no puede obtener el NIF, debe indicar en el Modelo 238 que el dato no ha podido ser verificado y documentar los intentos realizados para obtenerlo. Mantener un registro de esas gestiones es esencial para demostrar diligencia ante una eventual inspección de la AEAT.
¿Es diferente el Modelo 238 de las obligaciones DAC7 europeas?
El Modelo 238 es el instrumento nacional mediante el cual España cumple con la obligación de declaración que DAC7 impone a los operadores de plataformas. La directiva europea establece el estándar de información, los plazos y el mecanismo de intercambio automático entre Estados miembros. El Modelo 238 materializa esa obligación en el ordenamiento español con un formato específico —XML estructurado— que la AEAT intercambia automáticamente con las autoridades tributarias de los otros países de la UE. Desde el punto de vista del operador, cumplir con el Modelo 238 equivale a cumplir con DAC7 en España. Sin embargo, si el operador está establecido en varios países europeos, debe cumplir con la declaración equivalente en cada jurisdicción, aunque puede acogerse al mecanismo de ventanilla única si cumple los requisitos para ello.
¿Las plataformas de segunda mano entre particulares también están obligadas?
Depende del modelo de negocio. Si la plataforma facilita operaciones entre particulares (C2C puro) y ninguno de los vendedores tiene actividad con carácter profesional, la obligación del artículo 30 del DSA —que se refiere específicamente a vendedores profesionales— no se aplica a esos vendedores. No obstante, la obligación de declaración DAC7 sí puede aplicarse si la plataforma actúa como intermediaria: lo relevante no es si el vendedor se considera a sí mismo profesional, sino si supera los umbrales de operaciones e ingresos establecidos. Un particular que venda 35 artículos en un año y obtenga 2.500 euros puede ser un vendedor declarable bajo DAC7 aunque no esté dado de alta como autónomo.
¿Qué obligaciones tiene el operador bajo RGPD cuando recoge documentos KYC de vendedores?
El operador actúa como responsable del tratamiento de los datos personales incluidos en los documentos KYC. Debe informar a los vendedores en el momento de la recogida sobre las finalidades del tratamiento, el plazo de conservación y sus derechos. La base jurídica del tratamiento es el cumplimiento de una obligación legal (artículo 6.1.c del RGPD), lo que simplifica el régimen de consentimiento. El plazo de conservación debe alinearse con el plazo de prescripción fiscal: cuatro años desde la presentación del Modelo 238 correspondiente, aunque algunos documentos societarios pueden requerir plazos más largos por otras normativas. La AEPD puede sancionar con multas de hasta 20 millones de euros o el 4 % del volumen de negocios mundial en caso de infracciones graves del RGPD en el contexto del tratamiento de datos KYC.
Este artículo es solo informativo y no constituye asesoramiento jurídico.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.