GENIUS Act: Lo Que los Emisores de Stablecoin Deben Hacer

El 18 de junio de 2026, cinco agencias federales de Estados Unidos —FinCEN, la OCC, la Reserva Federal, la FDIC y la NCUA— publicaron conjuntamente un aviso de reglamentación propuesta que reescribe las reglas de cumplimiento para todos los emisores de stablecoins que operan en el país. La propuesta fue registrada en el Federal Register el 22 de junio bajo el número de expediente 2026-12460. El período de comentarios cierra el 21 de agosto de 2026.

La norma no es una aclaración técnica. Es un cambio estructural: por primera vez, los Emisores de Stablecoins de Pago Permitidos (PPSIs, por sus siglas en inglés) quedarían clasificados como instituciones financieras bajo la Ley de Secreto Bancario y obligados a operar Programas de Identificación de Clientes (CIP) equivalentes en sustancia a los que mantienen los bancos comerciales.

Si emite, canjea, convierte o custodia una stablecoin de pago en Estados Unidos, esta propuesta afecta directamente a su infraestructura de onboarding.

Qué Hizo Realmente el GENIUS Act

La Ley de Orientación y Establecimiento de la Innovación Nacional para las Stablecoins de EE. UU. (GENIUS Act), promulgada en 2026, estableció el primer marco federal de licencias para stablecoins de pago. Entre sus disposiciones, la ley instruyó a los reguladores bancarios federales y a FinCEN a tratar a los PPSIs como instituciones financieras bajo la Ley de Secreto Bancario.

Esa designación tiene consecuencias concretas: implica requisitos de programa AML, obligaciones de reporte de actividad sospechosa y —a través de la propuesta CIP NPR— identificación obligatoria del cliente antes de la apertura de cuenta. Una reglamentación paralela publicada en abril de 2026 abordó los requisitos de programa AML/CFT y cumplimiento de sanciones.

Juntas, ambas normas llevan a los emisores de stablecoins al mismo nivel de cumplimiento base que los bancos con los que coexisten.

Los Cuatro Pilares de la Norma CIP Propuesta

Los requisitos del Programa de Identificación de Clientes propuesto para PPSIs se articulan en cuatro obligaciones operativas que todo equipo de cumplimiento en un emisor de stablecoins debe mapear frente a su flujo de onboarding actual.

1. Política CIP Escrita y Basada en Riesgo

Los emisores deben mantener un CIP escrito integrado en su programa AML/CFT más amplio. La política debe ser basada en riesgo: los clientes de mayor riesgo requieren procedimientos de verificación más intensivos; los de riesgo estándar pueden procesarse con verificación más ligera, pero dentro de límites definidos. La política escrita debe revisarse y actualizarse conforme evolucionen los perfiles de riesgo.

Este es un requisito operativo significativo para emisores que actualmente dependen de procesos de onboarding informales o flujos gestionados por terceros sin documentación de política interna.

2. Recopilación de Datos Obligatoria Antes de Apertura de Cuenta

Antes de abrir una cuenta, los emisores deben recopilar:

Elemento de datos	Obligatorio
Nombre legal completo	Sí
Fecha de nacimiento	Sí
Dirección (residencial o empresarial)	Sí
Número de identificación emitido por el gobierno	Sí

Para personas estadounidenses, el número de identificación gubernamental es el número de identificación fiscal (SSN, ITIN o EIN). Para personas no estadounidenses, las agencias proponen aceptar número de pasaporte u otro documento oficial extranjero equivalente, junto con el país emisor.

Este requisito de recopilación aplica en el momento de apertura de cuenta. La norma propuesta no permite diferir la recopilación hasta después de que el cliente haya iniciado transacciones.

3. Verificación de Identidad en Plazo Razonable

Recopilar datos no es suficiente. Los emisores deben verificar que el cliente es quien dice ser. La norma propuesta adopta el estándar de "plazo razonable" utilizado en las normas CIP bancarias: la verificación debe ocurrir antes o poco después de la apertura de cuenta.

Los métodos de verificación aceptables incluyen la verificación documental (revisión de documentos de identidad), la verificación no documental (consultas a bases de datos, oficinas de crédito, registros públicos) o una combinación de ambas. Para emisores digitales que operan sin sucursales físicas, la verificación no documental —consulta a fuentes gubernamentales autorizadas, verificación biométrica o detección de presencia real— es el estándar práctico.

Las agencias reconocieron explícitamente que los emisores de stablecoins operan de forma diferente a los bancos minoristas y que los métodos de verificación remota y automatizada serán la norma esperada.

4. Conservación de Registros, Verificación en Listas Gubernamentales y Aviso al Cliente

Más allá de la recopilación y verificación, la norma propuesta exige:

• Conservación de registros: Los registros CIP deben conservarse durante cinco años tras el cierre de cuenta.
• Verificación en listas gubernamentales: Los clientes deben verificarse contra las listas designadas para fines CIP, lo que en la práctica incluye como mínimo las listas de sanciones de la OFAC.
• Aviso al cliente: Los emisores deben informar a los clientes de que su información de identidad será recopilada y verificada con fines CIP.
• Dependencia: Los emisores pueden apoyarse en otras instituciones financieras reguladas a nivel federal para realizar funciones CIP, siempre que exista un acuerdo formal de dependencia.

La disposición de dependencia es operativamente importante para emisores que distribuyen a través de intermediarios regulados o proveedores de custodia. Cuando el intermediario realiza el CIP, el emisor puede apoyarse en ese trabajo —pero el acuerdo debe estar documentado y el emisor mantiene la responsabilidad última si el intermediario falla.

La Exclusión del Mercado Secundario

Una de las decisiones de alcance más significativas de la norma propuesta es lo que no cubre: la actividad de mercado secundario.

La propuesta limita explícitamente las obligaciones CIP a las relaciones de mercado primario —casos en los que el PPSI tiene una relación directa con el cliente mediante la emisión, canje, conversión, recompra, quema, reemisión o prestación de servicios de custodia. La mera posesión o control de una stablecoin en una transacción de mercado secundario no crea, por sí sola, una relación de cuenta que active los requisitos CIP.

De manera crucial, las agencias también propusieron que las interacciones con contratos inteligentes en mercados secundarios —incluso cuando la stablecoin del emisor es el activo subyacente— no activan obligaciones CIP.

Esto supone un alivio significativo para la actividad en exchanges descentralizados. Un emisor no necesita aplicar KYC a cada cartera que tenga o negocie su stablecoin en una plataforma secundaria. La obligación se aplica únicamente donde existe una relación directa e intencional con el cliente.

Sin embargo, los equipos de cumplimiento deben leer esto con atención. Donde un emisor opera servicios de custodia, portales de mint/redeem o distribución directa al consumidor —incluso a través de un tercero— esas relaciones son actividad de mercado primario y están dentro del alcance.

Por Qué el Momento Importa

La propuesta se publicó el 22 de junio de 2026. Los comentarios cierran el 21 de agosto de 2026. Las agencias han propuesto que la norma definitiva entre en vigor doce meses después de su publicación, lo que sitúa el plazo de cumplimiento realista en principios o mediados de 2027.

Ese margen de doce meses es menos generoso de lo que parece. Construir un CIP conforme desde cero —política documentada, sistemas de verificación integrados, verificación OFAC, infraestructura de conservación de registros— requiere entre seis y nueve meses como mínimo para un emisor de tamaño medio. Las organizaciones que comiencen solo después de que se publique la norma definitiva tendrán que trabajar contra el reloj.

El período de comentarios tampoco es un retraso. La norma propuesta refleja meses de coordinación interinstitucional tras la aprobación del GENIUS Act. El período de comentarios existe para refinar parámetros técnicos, no para reconsiderar el requisito fundamental. Los emisores que traten la fase NPR como "solo una propuesta" y esperen a que se formalice están asumiendo un riesgo de cumplimiento material.

Qué Significa Esto para el Panorama KYC Cripto

La norma CIP del GENIUS Act llega en un momento en que el panorama de cumplimiento cripto en general ya se ha endurecido significativamente. La Travel Rule de MiCA entró en plena vigencia para los CASPs registrados en la UE a principios de este año, exigiendo datos de identidad verificados en cada transferencia cripto sin umbral mínimo. Las enmiendas al MLR del Reino Unido extendieron las reglas de relaciones corresponsales para empresas cripto con efectividad al 30 de junio. Para una visión más amplia de cómo se articulan estas obligaciones, nuestro informe Estado del KYC en Cripto 2026 cubre el panorama completo.

La norma estadounidense añade una nueva dimensión: por primera vez, el mercado de stablecoins más grande del mundo tiene un mandato KYC doméstico a nivel de emisor. Anteriormente, los emisores de stablecoins en EE. UU. operaban bajo un mosaico de licencias estatales de transmisión de dinero con requisitos de verificación de identidad inconsistentes. El GENIUS Act y la norma CIP propuesta crean un suelo federal que reemplaza ese mosaico con un estándar uniforme.

Los emisores que construyeron onboardings ligeros en años anteriores —recopilación mínima de datos, sin política de verificación formal— ahora cargan con una brecha de cumplimiento retroactiva. Un requisito CIP generalmente exige la re-verificación de los titulares de cuentas existentes que no cumplan el nuevo estándar. El coste operativo de remediar una base de clientes que nunca fue sometida a KYC adecuado es mucho mayor que construirlo correctamente desde el principio.

El Riesgo de Fraude que Impulsa la Regulación

La lógica regulatoria detrás de la norma CIP no es puramente burocrática. El Centro de Servicios Financieros de Deloitte proyecta que las pérdidas por fraude impulsado por IA en Estados Unidos alcanzarán los 40.000 millones de dólares anuales en 2027, frente a los 12.300 millones de 2023. Los bancos actualmente señalan aproximadamente 1 de cada 20 intentos de verificación como potencialmente fraudulentos. La proporción de intentos de fraude que implican identidades sintéticas generadas por IA —documentos generados por IA, clones de voz y vídeos deepfake— ha superado el 50%.

Los emisores de stablecoins, que históricamente han operado con controles de identidad más débiles que los bancos, han sido un objetivo predecible. Sin un CIP obligatorio, un defraudador puede adquirir stablecoins de un emisor primario usando una identidad sintética, convertirlas en otros activos y abandonar el perímetro regulado antes de ser detectado. La norma propuesta cierra esa brecha.

El entorno de fraude también significa que el cumplimiento del CIP no es solo una cuestión de forma regulatoria: es una cuestión de eficacia en la detección. Un proceso formalmente conforme que recopila un nombre e identificación gubernamental pero no verifica la autenticidad del documento, no comprueba la vivacidad biométrica ni filtra por medios adversos proporciona cobertura legal pero una protección mínima frente al fraude. Para un análisis detallado de lo que ocurre cuando los sistemas de verificación fallan, nuestro artículo sobre fraude de identidad sintética y la respuesta KYC cubre los mecanismos en profundidad.

Los Requisitos Técnicos para el Cumplimiento

Cumplir con la norma CIP propuesta requiere una infraestructura de identidad con capacidades específicas que muchos emisores de stablecoins actualmente carecen.

Verificación de documentos: El emisor debe poder autenticar documentos de identidad emitidos por el gobierno. Esto requiere acceso a bases de datos de documentos, análisis forense de imágenes y la capacidad de detectar documentos generados o manipulados por IA —un problema creciente dado que los documentos falsos generados por IA ya están disponibles comercialmente.

Detección de vivacidad biométrica: Para la verificación remota, la coincidencia biométrica contra una selfie o vídeo, combinada con detección de vivacidad que descarte ataques de replay o deepfake, es el método práctico para vincular un documento con el cliente que lo presenta.

Verificación OFAC: La verificación en tiempo real o casi real contra la lista de Nacionales Especialmente Designados de la OFAC, más otras listas gubernamentales designadas, se requiere en el onboarding y de forma continua.

Gestión automatizada de casos: El volumen de onboarding para un emisor de stablecoins con adopción masiva hace que la revisión humana de cada caso no sea operativamente viable. El KYC agéntico —sistemas de IA que automatizan la verificación, la puntuación de riesgo y el enrutamiento de casos— es cada vez más cómo los emisores conformes gestionan la escala sin aumentar proporcionalmente la plantilla.

El Período de Comentarios y Qué Observar

El período de comentarios cierra el 21 de agosto de 2026. Varias preguntas abiertas en la norma propuesta probablemente atraerán comentarios significativos:

• Plazo de verificación: El estándar de "plazo razonable" para la verificación post-apertura ha sido fuente de ambigüedad en las normas CIP bancarias durante décadas.
• Personas no estadounidenses: La norma propuesta requiere un número de pasaporte o equivalente para personas físicas no estadounidenses. Para clientes institucionales de jurisdicciones con normas de documentación diferentes, la aplicación práctica no está clara.
• Beneficiarios reales: La norma propuesta no impone requisitos de titularidad real para clientes personas jurídicas más allá de lo que exigen las regulaciones existentes.
• Interoperabilidad con regímenes estatales: Los emisores ya sujetos a requisitos CIP de transmisión de dinero estatales han solicitado claridad sobre cuándo el cumplimiento CIP federal satisface los requisitos estatales.

Preguntas Frecuentes

¿La norma CIP del GENIUS Act aplica a todos los emisores de stablecoins?

No. Se aplica a los Emisores de Stablecoins de Pago Permitidos —entidades que tienen una licencia o aprobación federal bajo el marco del GENIUS Act para emitir stablecoins de pago. Los emisores que operan bajo regímenes estatales no están directamente cubiertos por esta norma específica.

¿Cuándo entrará en vigor la norma definitiva?

Los comentarios cierran el 21 de agosto de 2026. La propuesta establece un período de implementación de doce meses después de la publicación de la norma definitiva, por lo que la fecha de vigencia probable se sitúa a mediados o finales de 2027.

¿La norma cubre los protocolos de stablecoins descentralizados?

La norma tiene alcance sobre entidades que actúan como PPSIs bajo el GENIUS Act. Los protocolos puramente descentralizados sin entidad emisora identificable no están claramente cubiertos. Sin embargo, cualquier entidad que realice funciones de emisión, canje o custodia puede ser tratada por los reguladores como PPSI funcional.

¿Qué ocurre con la actividad de mercado secundario?

El comercio en mercado secundario está explícitamente excluido del alcance CIP propuesto. La norma se aplica donde el emisor tiene una relación directa con el titular de cuenta, no donde el token del emisor cambia de manos en una transacción secundaria.

¿Puede un emisor apoyarse en un proveedor KYC externo para el cumplimiento CIP?

Sí. La norma propuesta incluye una disposición de dependencia: los emisores pueden apoyarse en otras instituciones financieras reguladas federalmente para realizar funciones CIP, siempre que exista un acuerdo escrito. El emisor mantiene la responsabilidad última del cumplimiento CIP, incluso cuando se apoya en un tercero.

¿Qué datos exige recopilar la norma?

Para clientes personas físicas: nombre legal completo, fecha de nacimiento, dirección residencial y número de identificación emitido por el gobierno. Para clientes personas jurídicas: nombre de la entidad, dirección del domicilio social principal y número de identificación fiscal o equivalente.