Normas CDD de AMLA: Lo Que Deben Cumplir los Sistemas KYC
La consulta de AMLA sobre normas técnicas CDD cerró el 8 de mayo. Las reglas definitivas llegan el 10 de julio de 2026. Qué deben entregar los sistemas KYC.
El 8 de mayo de 2026 se cerró un período de consulta en Bruselas que la mayoría de los equipos de cumplimiento no habían marcado en sus calendarios. La Autoridad de Lucha contra el Blanqueo de Capitales había estado aceptando comentarios públicos sobre su borrador de Normas Técnicas de Regulación (RTS) en materia de Diligencia Debida con el Cliente, un documento que definirá con precisión legal cómo debe funcionar la verificación de identidad en toda la UE.
Las normas definitivas deben presentarse a la Comisión Europea antes del 10 de julio de 2026. A partir de ese momento, las entidades obligadas tendrán hasta el 10 de julio de 2027 para adaptar sus políticas, sistemas y controles.
Son 14 meses. Puede parecer tiempo suficiente. No lo es.
Qué Cubren Realmente las Normas Técnicas CDD de AMLA
El borrador de RTS sobre Diligencia Debida con el Cliente de AMLA (bajo el Artículo 28(1) del Reglamento ALD) no describe principios generales. Especifica requisitos operativos: qué documentos pueden aceptarse, qué medios de identificación electrónica son válidos, qué factores de riesgo deben activar la escalada desde la diligencia estándar a la reforzada, y en qué condiciones se permite la diligencia simplificada.
Este es el manual técnico que gobernará cómo se verifica la identidad en todo el sistema financiero de la UE, el sector cripto, el sector inmobiliario, el mercado de bienes de lujo y todas las demás categorías de entidades obligadas bajo el AMLR.
La consulta abarcó tres áreas distintas:
| Área | Base Legal | Qué Regula |
|---|---|---|
| Requisitos CDD | Art. 28(1) AMLR | Documentos, medios electrónicos, métodos de verificación |
| Supervisión de relaciones comerciales | Art. 19(9) AMLR | Activadores para revisión y reverificación continuas |
| Supervisión armonizada | Art. 53(10) AMLD6 | Metodología supervisora para evaluar el cumplimiento CDD |
Entender estos tres pilares es la base para comprender qué deberán hacer los sistemas de identidad a partir de julio de 2027.
El Marco de Diligencia Debida de Tres Niveles
El AMLR formaliza un enfoque de tres niveles para la diligencia debida con el cliente: estándar, simplificada y reforzada. El RTS define las condiciones técnicas de cada una.
Diligencia Debida Estándar
La diligencia estándar se aplica a la relación predeterminada con el cliente. El RTS especifica qué documentos de identidad pueden recopilar y en los que pueden basarse las entidades obligadas para verificar la identidad del cliente y la titularidad real.
De forma relevante, el RTS establece formalmente qué medios de identificación electrónica satisfacen los requisitos CDD. En el marco del reglamento, la identificación electrónica conforme a eIDAS — incluyendo las credenciales emitidas a través de la Cartera de Identidad Digital de la UE — califica para la diligencia estándar y se considera explícitamente equivalente a la verificación presencial.
Esto tiene implicaciones estructurales: si su sistema de incorporación acepta credenciales eIDAS gubernamentales al mismo nivel de garantía que aplica a los documentos físicos, la obligación CDD queda satisfecha sin revisión manual adicional. Si no lo hace, está acumulando deuda técnica que se convierte en un pasivo de cumplimiento en 2027.
Diligencia Debida Simplificada
El borrador de RTS aborda las condiciones en las que las entidades obligadas pueden aplicar medidas CDD reducidas. Esto incluye disposiciones específicas para instrumentos de dinero electrónico — tarjetas prepago y productos similares — donde AMLA especifica los umbrales de riesgo por debajo de los cuales no se requiere la diligencia completa.
La diligencia simplificada no es una exención del KYC. Es una reducción calibrada en la profundidad de las medidas de verificación, permitida únicamente cuando los factores de riesgo documentados caen por debajo de umbrales definidos. El RTS define esos umbrales explícitamente, eliminando la zona gris interpretativa en la que han operado los equipos de cumplimiento bajo las transposiciones nacionales anteriores de AMLD4 y AMLD5.
Diligencia Debida Reforzada
La diligencia reforzada se activa cuando están presentes factores de riesgo específicos. El RTS no deja "alto riesgo" sin definir: enumera las condiciones que obligan a escalar:
- Clientes de jurisdicciones en las listas grises o negras del GAFI
- Personas políticamente expuestas (PEP) y sus allegados
- Transacciones que implican estructuras corporativas complejas o acuerdos de nominatario
- Patrones de transacciones inusuales en relación con el propósito comercial declarado
- Incorporación no presencial en contextos donde se justifica verificación adicional
Para los sistemas de identidad, la diligencia reforzada tiene una implicación técnica específica: las medidas de verificación deben ser documentalmente más rigurosas. Eso implica tipos de documentos adicionales, comprobaciones de liveness adicionales, verificación del origen de los fondos y, en algunos casos, aprobación de la alta dirección.
La Intersección con eIDAS 2.0
Uno de los aspectos operativamente más significativos del RTS CDD es su tratamiento de los medios de identificación electrónica. Aquí es donde las normas de AMLA se conectan directamente con el marco eIDAS 2.0 y el calendario de implantación de la Cartera EUDI.
Bajo el borrador de RTS, los medios de identificación electrónica que cumplan ciertos atributos se consideran válidos para la diligencia debida. Específicamente, el RTS define los requisitos técnicos que los medios de identificación electrónica deben cumplir — niveles de garantía, propiedades criptográficas, confianza del emisor — para ser aceptados en la diligencia estándar y reforzada.
Esto crea una dependencia de implementación directa: las empresas que retrasen su registro como parte dependiente en eIDAS 2.0 se encontrarán construyendo una capacidad de cumplimiento que ya será técnicamente obsoleta cuando entre en vigor el RTS del AMLR. Los dos plazos regulatorios — implantación de la Cartera EUDI en diciembre de 2026 y aplicación del RTS del AMLR desde julio de 2027 — convergen en un intervalo de siete meses.
La consecuencia práctica es que los sistemas de identidad diseñados únicamente en torno a la captura de documentos necesitarán una rearquitectura fundamental para satisfacer simultáneamente eIDAS 2.0 y las normas CDD del AMLR.
A Quién Afecta Más Allá de las Instituciones Financieras
El AMLR amplía significativamente la categoría de entidades obligadas en comparación con las directivas AML anteriores. El RTS CDD se aplica no solo a bancos e instituciones de pago, sino a toda la lista de sectores regulados:
- Proveedores de servicios de criptoactivos (CASP) bajo MiCA
- Agentes inmobiliarios y administradores de propiedades
- Comerciantes de bienes de lujo por encima de los umbrales de transacción
- Contables, auditores y asesores fiscales
- Proveedores de servicios fiduciarios y empresariales
- Comerciantes de artículos de alto valor y casas de subastas
Para los CASP que ya navegan el plazo de licencia MiCA del 1 de julio de 2026, el RTS CDD añade una segunda capa de obligación técnica que llega doce meses después. Las empresas que han construido flujos KYC conformes con MiCA necesitarán auditar esos flujos frente a las normas CDD del AMLR antes de julio de 2027, y muchas encontrarán carencias.
Para los profesionales inmobiliarios, las normas CDD del AMLR representan un dominio de cumplimiento completamente nuevo. El sector ha operado históricamente bajo requisitos AML más ligeros. El AMLR cambia eso categóricamente. El RTS especifica qué debe incluir la verificación de identidad en las transacciones inmobiliarias, qué tipos de documentos son aceptables y qué seguimiento continuo se requiere para las relaciones comerciales.
Qué Deben Construir las Empresas Antes de Julio de 2027
Los 14 meses entre la publicación del RTS (julio de 2026) y su fecha de aplicación (julio de 2027) no son tiempo suficiente, por dos razones.
Primero, el RTS no es el único entregable. AMLA está publicando aproximadamente 26 normas técnicas, normas técnicas de ejecución y directrices solo en 2026. Cada una requiere interpretación, análisis de brechas, adaptación del sistema y documentación.
Segundo, los cambios técnicos requeridos no son actualizaciones de configuración. Implican:
- Revisar la lógica de aceptación de documentos para alinearla con los tipos de documentos aceptables definidos en el RTS
- Construir o integrar la verificación de identificación electrónica conforme a eIDAS
- Implementar la detección de factores de riesgo para la determinación automatizada del nivel CDD
- Añadir flujos de trabajo documentados de diligencia reforzada con cadenas de aprobación
- Actualizar los activadores de seguimiento continuo según las condiciones de revisión de relaciones comerciales definidas en el RTS
| Acción | Cuándo |
|---|---|
| Análisis de brechas: sistema KYC actual vs. RTS CDD del AMLR | Ahora — Q2 2026 |
| Comenzar el registro como parte dependiente en eIDAS 2.0 | Q2–Q3 2026 |
| Implementar lógica de determinación del nivel CDD por factores de riesgo | Q3 2026 |
| Completar la arquitectura de flujo de trabajo de diligencia reforzada | Q4 2026 |
| Pruebas completas y revisión de documentación | Q1 2027 |
| Fecha de aplicación del RTS CDD del AMLR | 10 de julio de 2027 |
Donde los Agentes de IA Cambian la Ecuación
El enfoque manual de cumplimiento no puede escalar ante el volumen y la complejidad que exige el RTS CDD del AMLR. Las normas requieren decisiones dinámicas, documentadas y proporcionadas al riesgo en el momento de la incorporación y a lo largo de toda la relación comercial.
Aquí es precisamente donde los sistemas de KYC agéntico ofrecen una ventaja estructural. Un agente de IA que evalúa continuamente los factores de riesgo del cliente frente a los activadores definidos en el RTS puede determinar el nivel CDD apropiado en tiempo real, aplicar las medidas de verificación correctas, documentar la decisión con una pista de auditoría y reevaluar cuando el perfil de riesgo cambia.
El RTS CDD del AMLR, leído detenidamente, describe un problema de inteligencia continua, no un ejercicio puntual de recopilación de documentos. La verificación debe ser continua, la evaluación del riesgo debe actualizarse y la documentación debe ser contemporánea.
Los sistemas KYC 3.0 — construidos en torno a la verificación continua, contextual e impulsada por inteligencia — ya están alineados con el diseño del RTS CDD del AMLR. Los construidos en torno a la captura estática de documentos en el momento de la incorporación requerirán una reorientación fundamental antes de julio de 2027.
Los Agentes de IA de Joinble están diseñados para gestionar exactamente este tipo de flujo de trabajo de cumplimiento dinámico y calibrado al riesgo.
FAQ
¿Qué es el RTS CDD de AMLA y por qué importa?
El RTS de AMLA sobre Diligencia Debida con el Cliente especifica exactamente cómo deben verificar las entidades obligadas la identidad del cliente en toda la UE. Define los documentos aceptables, los medios de identificación electrónica válidos y las condiciones para la diligencia estándar, simplificada y reforzada. No es orientación: es ley técnica vinculante, aplicable desde el 10 de julio de 2027.
¿Cuándo se publican las normas técnicas CDD definitivas?
AMLA debe presentar su borrador de RTS definitivo a la Comisión Europea antes del 10 de julio de 2026. Tras la adopción por la Comisión, las normas se aplicarán desde el 10 de julio de 2027. Las empresas tienen 12 meses para implementar los cambios necesarios desde la publicación definitiva.
¿A quién se aplica el RTS CDD del AMLR?
A todas las entidades obligadas bajo el AMLR: bancos, instituciones de pago, entidades de dinero electrónico, proveedores de servicios de criptoactivos, agentes inmobiliarios, comerciantes de bienes de lujo, contables, auditores, proveedores de servicios fiduciarios y empresariales, y otros. Esto es significativamente más amplio que las directivas AML anteriores.
¿Cómo se relaciona eIDAS 2.0 con las normas técnicas CDD?
El RTS CDD de AMLA reconoce formalmente los medios de identificación electrónica conformes a eIDAS como válidos para la diligencia debida con el cliente. Las credenciales emitidas a través de la Cartera de Identidad Digital de la UE calificarán tanto para la diligencia estándar como para la reforzada donde cumplan los atributos técnicos definidos en el RTS. Las empresas que no integren verificación conforme a eIDAS antes de julio de 2027 tendrán una brecha de cumplimiento.
¿Cómo pueden los agentes de IA ayudar a cumplir los requisitos CDD del AMLR?
Los agentes de IA pueden evaluar los factores de riesgo del cliente frente a los activadores definidos por el AMLR en tiempo real, determinar el nivel CDD apropiado, aplicar las medidas de verificación correspondientes, documentar la decisión con una pista de auditoría completa y actualizar la evaluación cuando cambien los indicadores de riesgo. Este es el tipo de flujo de trabajo de cumplimiento continuo, documentado y proporcionado que exige el RTS CDD del AMLR.
Mantente al día en IA y KYC
Recibe los mejores artículos sobre inteligencia artificial, verificación de identidad y cumplimiento normativo directamente en tu bandeja.
Artículos relacionados
Crisis de Fraude IA de $40B: El Plan de 20 Puntos
Deloitte proyecta que el fraude habilitado por IA alcanzará los 40.000 millones de dólares en 2027. Así responde la industria financiera con un plan de 20 medidas.
AMLA Vigila: La Nueva Autoridad ALD de la UE
La nueva Autoridad ALD de la UE supervisa activamente a los CASPs. Lo que las empresas de criptomonedas deben implementar antes del plazo de julio de 2026.
Cartera EUDI: qué significa el plazo de dic. 2026 para el KYC
La Cartera EUDI será obligatoria en todos los países UE antes del 31 dic. 2026. Te explicamos qué cambia en KYC, MiCA y compliance financiero.
