Monitoreo Continuo AMLA: Lo Que Deben Hacer los Sistemas KYC

El 3 de junio de 2026, la Autoridad Europea de Lucha contra el Blanqueo de Capitales publicó una consulta sobre directrices provisionales para el monitoreo continuo de las relaciones de negocio. No se trata de una modificación a una norma existente. Es el primer intento detallado de la AMLA de definir, en términos operativos y para toda la UE, qué exige realmente el "monitoreo continuo" de cada entidad obligada.

El período de consulta se cierra el 3 de septiembre de 2026. Está prevista una audiencia pública para el 2 de julio de 2026. Las directrices definitivas se esperan para el cuarto trimestre de 2026 y determinarán cómo deben funcionar los sistemas de verificación de identidad mucho antes de la fecha de plena aplicación del AMLR, el 10 de julio de 2027.

Este documento es relevante porque es una de las aproximadamente 23 medidas de Nivel 2 y Nivel 3 que la AMLA debe publicar antes de que el AMLR sea completamente exigible. A diferencia de los principios generales que manejan los directores y asesores jurídicos, esta consulta es técnica y operativa. Les dice a los equipos de cumplimiento exactamente qué debe producir el monitoreo continuo.

Qué cubren las directrices

Las directrices provisionales se articulan en torno al artículo 26(5) del Reglamento contra el Blanqueo de Capitales. Se estructuran en tres partes interconectadas:

Parte	Contenido
Principios generales	Aplicables a ambas directrices; establece el marco basado en riesgos y la proporcionalidad
Directriz 1	Mantener actualizada la información del cliente
Directriz 2	Marco de monitoreo de transacciones y actividad

Principios generales: basado en riesgos y tecnológicamente neutral

Las directrices se abren con una postura que tiene un peso operativo inmediato: la neutralidad tecnológica. La AMLA no prescribe qué herramientas deben utilizar las entidades obligadas. Los sistemas pueden ser manuales, automatizados o semiautomatizados, siempre que garanticen "la identificación y escalada efectivas de los riesgos de BC/FT de conformidad con el artículo 26 del AMLR".

Esto parece flexibilidad. También es un estándar. Si tu sistema actual no puede demostrar una escalada efectiva, independientemente de lo sofisticado que parezca, no cumple el requisito. El foco está en los resultados, no en los insumos.

La proporcionalidad se aplica a todo el sector. Las entidades sujetas al AMLR van desde grandes bancos transfronterizos hasta plataformas de crowdfunding y clubes de fútbol. Las directrices lo contemplan vinculando las obligaciones al apetito de riesgo, la clasificación del cliente y la naturaleza de la relación de negocio.

Para una comprensión más amplia de la postura supervisora de la AMLA, consulta AMLA: la nueva autoridad antilavado de la UE y lo que exige a los CASPs.

Directriz 1: Mantener actualizada la información del cliente

La primera directriz aborda una de las obligaciones más subestimadas del cumplimiento KYC: qué ocurre después del alta del cliente.

La mayoría de los debates sobre verificación de identidad se centran en la comprobación inicial: verificación documental, detección de vivacidad, cribado de sanciones. La Directriz 1 de la AMLA trata sobre la obligación continua de mantener esa información precisa. Según el marco provisional, las entidades obligadas deben actualizar la información del cliente a intervalos vinculados al riesgo:

• Clientes de alto riesgo: período de revisión máximo de un año
• Clientes estándar: período de revisión máximo de cinco años
• Actualizaciones por desencadenante: necesarias cuando la entidad tenga conocimiento de un hecho nuevo relevante o cambio de circunstancias, independientemente del calendario programado

La expresión "hecho nuevo relevante" es deliberadamente amplia. Un cambio en la actividad empresarial del cliente, una nueva estructura de titularidad real, una alerta en medios adversos, un patrón de transacciones anómalo: cualquiera de estos puede constituir un desencadenante. La función de cumplimiento debe disponer de un proceso documentado para detectar y actuar ante dichos desencadenantes.

En la práctica, muchas entidades mantienen registros estáticos de clientes y realizan revisiones periódicas únicamente en función del calendario. Según el marco de la AMLA, ese modelo no satisface la Directriz 1.

La interacción entre la Directriz 1 y las normas técnicas de DDC de la AMLA es fundamental. Las RTS de DDC definen qué información de identidad debe recogerse en el alta. La Directriz 1 define con qué frecuencia y en qué circunstancias debe actualizarse. Juntas, forman la obligación completa del ciclo de vida de la identidad del cliente.

Directriz 2: Monitoreo de transacciones y actividad

La segunda directriz aborda cómo deben monitorearse las transacciones y la actividad del cliente a lo largo de toda la relación.

El marco provisional de la AMLA no especifica umbrales de velocidad de transacciones, límites de importe ni modelos de análisis conductual. Establece el requisito estructural: las entidades obligadas deben operar un marco de monitoreo capaz de identificar patrones inconsistentes con el perfil conocido del cliente y escalar esas inconsistencias para su revisión.

Elementos clave que el marco debe incluir:

• Establecimiento de la línea base: la entidad debe mantener una comprensión del comportamiento esperado del cliente (tipos de transacción, volúmenes, frecuencias, contrapartes)
• Detección de desviaciones: la actividad inusual respecto a esa línea base desencadena una revisión
• Vía de escalada: las anomalías deben llegar al nivel apropiado de la función de cumplimiento en un plazo definido
• Documentación: la lógica de monitoreo, los umbrales y los registros de escalada deben ser auditables

Este marco es intencionadamente neutral en cuanto al proceso. La AMLA no exige un sistema específico de monitoreo de transacciones, pero sí que cualquier sistema en uso pueda demostrar estos cuatro elementos de manera verificable por un supervisor.

Quién está recién incluido

Las directrices de monitoreo continuo se aplican a todas las entidades obligadas bajo el AMLR, incluidos sectores que anteriormente no estaban sujetos a requisitos de monitoreo AML de la UE a este nivel de formalidad.

La AMLA destacó específicamente los siguientes tipos de entidades recién incluidas:

• Proveedores de servicios de crowdfunding
• Operadores de migración por inversión
• Clubes y agentes de fútbol
• Intermediarios de crédito
• Sociedades holding de actividad mixta no financiera
• Determinados proveedores de servicios de criptoactivos
• Comerciantes de bienes de alto valor

Para las empresas de sectores recién obligados bajo el AMLR, esta consulta es especialmente urgente. La audiencia pública del 2 de julio es una oportunidad para influir en la interpretación de la AMLA antes de que se finalice.

Los proveedores de servicios de criptoactivos enfrentan una obligación compuesta. Los requisitos de la Regla de Viaje MiCA desde el 1 de julio de 2026 regulan la transmisión de datos de transacciones entre CASPs. Las directrices de monitoreo continuo de la AMLA regulan lo que debe ocurrir internamente después de recibir esos datos. Ambas se aplican simultáneamente.

La brecha arquitectónica que esto expone

Las directrices de la AMLA revelan un vacío estructural que muchos equipos de cumplimiento aún no han resuelto: la diferencia entre verificación y monitoreo.

La verificación es episódica. Un cliente presenta un documento, el sistema lo comprueba, se toma una decisión. El evento tiene inicio y fin.

El monitoreo es continuo. La relación con el cliente no concluye tras el alta. Las transacciones continúan. Las circunstancias cambian. Surgen nuevos riesgos. El artículo 26 del AMLR exige que las entidades obligadas rastreen la totalidad de esa relación a lo largo del tiempo, no solo el momento en que comenzó.

La mayoría de los sistemas KYC heredados fueron diseñados para la verificación. Recopilan documentos, realizan comprobaciones y producen un resultado de aprobación o rechazo. No fueron diseñados para mantener un perfil de riesgo vivo que se actualice ante eventos desencadenantes y escale hallazgos automáticamente.

Esta es la brecha arquitectónica que las directrices de la AMLA pondrán de manifiesto. Las entidades que superan la comprobación de DDC en el alta pero no pueden demostrar capacidad de monitoreo continuo no cumplen el artículo 26. Las directrices lo explicitan.

El paso de la verificación puntual al monitoreo continuo e inteligente es ya un requisito regulatorio. Los Agentes de IA de Joinble están diseñados sobre este modelo operativo: monitorizan las relaciones con los clientes de forma continua, detectan cambios en tiempo real y escalan anomalías sin necesidad de ciclos de revisión programados.

Qué deben hacer los equipos de cumplimiento ahora

La consulta se cierra el 3 de septiembre de 2026. Las directrices definitivas llegan en el cuarto trimestre de 2026. El AMLR se aplica plenamente desde el 10 de julio de 2027. Eso crea aproximadamente 13 meses desde las directrices definitivas hasta el cumplimiento total.

Audita tu proceso actual de mantenimiento de datos de clientes. Documenta con qué frecuencia se revisa la información, qué desencadena una revisión ad hoc y si esos desencadenantes se monitorean automáticamente o por revisión humana.

Mapea la cobertura de tu monitoreo de transacciones. Identifica qué tipos de cliente, canales de transacción y líneas de negocio están cubiertos por la lógica de monitoreo existente. Documenta las lagunas explícitamente.

Evalúa tu vía de escalada. ¿Quién recibe las alertas de anomalías? ¿En qué plazo? ¿Están documentadas esas vías de forma verificable por un supervisor?

Responde a la consulta. La AMLA busca activamente aportaciones de entidades recién obligadas. Participar es tanto una oportunidad de influir en el texto final como una señal a los supervisores de que tu organización está comprometida.

Inicia conversaciones sobre infraestructura ya. Si tu sistema actual no puede gestionar actualizaciones de datos de clientes basadas en desencadenantes y vías de escalada documentadas, las conversaciones con proveedores deben comenzar antes de que las directrices sean definitivas.

Preguntas frecuentes

¿Qué son las directrices de monitoreo continuo de la AMLA? Directrices provisionales publicadas el 3 de junio de 2026 bajo el artículo 26(5) del AMLR. Definen cómo las entidades obligadas deben mantener la información del cliente y monitorear las transacciones a lo largo de la relación de negocio. Las directrices definitivas se esperan para el cuarto trimestre de 2026.

¿Cuándo se aplican las directrices? El AMLR se aplica desde el 10 de julio de 2027. Las entidades obligadas deben comenzar la evaluación de brechas y la planificación de infraestructura de inmediato, dado el período de aproximadamente 13 meses entre las directrices definitivas y la plena aplicación.

¿Quién está cubierto? Todas las entidades obligadas bajo el AMLR: bancos, entidades de pago, proveedores de servicios de criptoactivos, plataformas de crowdfunding, operadores de migración por inversión, clubes de fútbol, intermediarios de crédito y comerciantes de bienes de alto valor.

¿Qué exige la Directriz 1? Las entidades obligadas deben mantener actualizada la información del cliente según un calendario basado en el riesgo: máximo un año para clientes de alto riesgo, cinco años para clientes estándar, más actualizaciones por desencadenante cuando se produzca un cambio relevante de circunstancias.

¿Qué exige la Directriz 2? Un marco de monitoreo de transacciones y actividad con una línea base documentada por cliente, detección de desviaciones, una vía de escalada definida y registros auditables.

¿Pueden las entidades usar procesos de monitoreo manuales? Sí. Las directrices de la AMLA son tecnológicamente neutras. Se permiten enfoques manuales, automatizados y semiautomatizados. Sin embargo, los procesos manuales solos difícilmente satisfarán la naturaleza continua y basada en desencadenantes del requisito a escala para la mayoría de las entidades obligadas.