Saltar al contenido
Volver a Insights
Compliance11 min de lectura

KYC Perpetuo: Por Qué el Reglamento Antiblanqueo de la UE de 2027 Convierte la Revisión Periódica en un Riesgo Arquitectónico

Un cliente incorporado como bajo riesgo en enero puede convertirse en alto riesgo en marzo y permanecer marcado como bajo riesgo hasta la siguiente revisión programada, en ocasiones años después. Esto no es un fallo de detección. Es el comportamiento previsto de un ciclo de revisión que verifica el riesgo del cliente según el calendario, no según el evento.

El Reglamento (UE) 2024/1624, el Reglamento Antiblanqueo (AMLR), se aplica directamente en todos los Estados miembros de la UE desde el 10 de julio de 2027. A diferencia de las directivas que sustituye, no requiere transposición nacional; el texto es ley en cada jurisdicción de manera simultánea. El AMLR convive con la nueva Autoridad contra el Blanqueo de Capitales (AMLA, Reglamento (UE) 2024/1620), operativa desde el 1 de julio de 2025 y que supervisa directamente a las entidades obligadas de alto riesgo. Ambos instrumentos comparten una premisa que las arquitecturas de revisión periódica no satisfacen: el riesgo del cliente es continuo, y el marco de control debe observarlo de forma continua.

Lo Que Realmente Hace el Modelo Basado en Calendario

Un modelo de revisión periódica de KYC asigna a cada cliente un intervalo de revisión, típicamente de uno a cinco años según el nivel de riesgo, y reverifica el perfil del cliente cuando ese intervalo vence. Entre revisiones, el sistema no observa. No es que el sistema no logre detectar una nueva exposición a sanciones, un cambio de propiedad o cobertura mediática adversa; sencillamente no está diseñado para buscarlos antes de que llegue la fecha programada.

Esto produce un fallo concreto: una entidad sancionada, una persona políticamente expuesta ascendida a un cargo, o un cambio de beneficiario final puede permanecer dentro de la base de clientes de una entidad financiera, sin ser detectada por los propios controles de la entidad, durante toda la duración restante del intervalo de revisión. Una franja de revisión de cinco años en un cliente que se volvió material seis meses después de la incorporación deja cuatro años y medio de exposición sin supervisar. La investigación de Capgemini sobre cumplimiento de delitos financieros de 2026 lo plantea directamente: los adoptantes tempranos del monitoreo basado en eventos reportan la eliminación del 70 al 90 por ciento de la carga de trabajo manual de revisión periódica que antes exigía esa brecha, precisamente porque la mayor parte de esa carga consistía en revisar clientes cuyo riesgo no había cambiado en absoluto.

La ineficiencia opera en ambas direcciones. Un modelo basado en calendario dedica esfuerzo de investigación a clientes cuyo perfil de riesgo es estable y no ha cambiado, porque la fecha de revisión llegó independientemente de si ocurrió algo. No dedica ningún esfuerzo a clientes cuyo riesgo cambió al día siguiente de su última revisión, porque nada activa una verificación hasta que llega la siguiente fecha. El costo es alto y la cobertura está mal distribuida al mismo tiempo.

La Base Global: FATF, Wolfsberg y la Práctica de Supervisión

La expectativa de que el monitoreo del riesgo del cliente sea continuo no es nueva con el AMLR. La Recomendación 10 del GAFI exige desde mucho antes del AMLR «la debida diligencia continua respecto de la relación comercial y el escrutinio de las transacciones». La recomendación no especifica un intervalo de revisión. Especifica un estándar: la actividad transaccional debe mantenerse consistente con lo que la entidad conoce del cliente, de manera continua, no en el siguiente punto de control programado.

El Grupo Wolfsberg, cuyas pautas de debida diligencia para la banca corresponsal moldean la práctica de los mayores bancos del mundo, trata la revisión basada en eventos como la expectativa mínima para relaciones de mayor riesgo, no como una mejora superpuesta a la revisión periódica. Un repunte transaccional, un acierto de sanciones, una nueva divulgación de beneficiario final o una alerta de medios adversos es el disparador; el calendario no lo es. Bajo ese marco, un modelo basado únicamente en calendario no cumple el mínimo exigido para segmentos complejos o de riesgo elevado, sin importar cuán corto se fije el intervalo.

La práctica de supervisión del Reino Unido muestra cómo se ve esta brecha bajo examen regulatorio. La Revisión Temática de Delitos Financieros de 2022 de la FCA sobre bancos minoristas encontró que un número de entidades no había actualizado los perfiles de riesgo de sus clientes en años, a pesar de operar calendarios de revisión periódica formalmente conformes. La brecha de control no fue una revisión omitida. Fue el propio calendario de revisión: un perfil de riesgo puede estar técnicamente vigente bajo un ciclo de cinco años y, al mismo tiempo, llevar años desactualizado respecto a la actividad real del cliente.

El Mecanismo: Reevaluación de Riesgo Basada en Eventos

Una arquitectura de cumplimiento basada en eventos sustituye el disparador de calendario por un conjunto de eventos externos e internos que reevalúan el riesgo del cliente en el momento en que ocurren, en lugar de esperar una fecha programada.

Revisión Basada en Calendario

Reverifica el perfil del cliente solo cuando vence un intervalo fijo, normalmente de uno a cinco años.

Revisa clientes cuyo riesgo nunca cambió

Sin Conciencia de Eventos

Aciertos de sanciones, cambios de propiedad y medios adversos permanecen sin detectar hasta que llega la siguiente fecha programada.

Hasta 4,5 años de exposición sin supervisar

Monitoreo Basado en Eventos

Reevalúa la dimensión de riesgo específica en el momento en que ocurre un evento relevante.

Revisa exactamente lo que cambió, en el momento en que cambió

Registro de Auditoría Continuo

Cada evento, versión de política y resultado queda registrado con marca temporal e identificador de evento.

Tiempo de reacción demostrable, no solo una revisión eventual

Ingesta de eventos. El sistema se suscribe a flujos de eventos relevantes para el riesgo: publicaciones de listas de sanciones (OFAC, UE, ONU, listas consolidadas del Reino Unido), actualizaciones de bases de datos de PEP, fuentes de medios adversos, cambios en registros corporativos que afectan al beneficiario final, y señales de comportamiento internas provenientes del monitoreo de transacciones. Cada evento llega como un registro normalizado: identificador de entidad, tipo de evento, fuente, marca temporal y una carga útil que describe qué cambió.

Reevaluación de política, no reincorporación. Un nuevo acierto de sanciones sobre un cliente no requiere volver a ejecutar el flujo completo de incorporación. Requiere reevaluar las dimensiones específicas de la política de CDD afectadas por ese tipo de evento contra el perfil de riesgo actual del cliente. Si el modelo de política de CDD está versionado según jurisdicción, nivel de riesgo y tipo de verificación, un evento de sanciones activa únicamente la dimensión de cribado de sanciones de la política, no la reverificación de documentos ni la reconfirmación de dirección. Esta es la diferencia estructural entre el KYC perpetuo y las «revisiones periódicas más rápidas»: el primero reverifica lo que cambió, el segundo reverifica todo, solo con un ciclo más corto.

Enrutamiento por materialidad. No todo evento requiere una decisión humana. Una coincidencia de nombre contra una lista de vigilancia que se resuelve como una persona distinta mediante descuento automatizado puede cerrarse sin escalamiento. Un acierto de sanciones confirmado, un cambio material de propiedad o un movimiento de puntaje de riesgo que supere un umbral definido se enruta a un revisor humano junto con el evento desencadenante, la evaluación de riesgo previa y la diferencia entre ambas ya ensamblada. La función del sistema es reducir la tarea del analista de «investigar a este cliente desde cero» a «confirmar o anular esta diferencia de riesgo específica».

Registro de auditoría continuo. Cada evento, cada evaluación de política y cada decisión de enrutamiento queda registrada con el identificador del evento desencadenante, la versión de política aplicada y el resultado. Bajo el AMLR, la entidad debe poder demostrar no solo que un cliente fue revisado eventualmente, sino que el marco de control reaccionó a eventos específicos relevantes para el riesgo dentro de una ventana de tiempo defendible. Un registro que dice «revisado en enero de 2027, próxima revisión en enero de 2030» no responde esa pregunta. Un registro que dice «actualización de sanciones recibida a las 14:32:07, política v.12 aplicada, sin cambio material, cerrado automáticamente» sí lo hace.

Por Qué las «Revisiones Periódicas Más Rápidas» No Son lo Mismo

Un atajo habitual consiste en acortar el intervalo de revisión (anual en lugar de trienal, trimestral en lugar de anual) y llamarlo modernización. Esto no cambia la arquitectura subyacente; solo aumenta su costo operativo. El sistema sigue verificando según un reloj, sigue reinvestigando clientes cuyo riesgo no se ha movido y sigue perdiendo la brecha entre el evento y la siguiente fecha programada, solo una brecha menor. El planteamiento de Moody's sobre el pKYC describe la misma distinción: el cambio va de una evaluación periódica actualizada con más frecuencia a un modelo permanentemente activo donde el disparador es el propio evento, no el calendario.

Los supervisores regulatorios prueban esta distinción cada vez con mayor frecuencia. El mandato de supervisión directa de AMLA sobre entidades de alto riesgo implica que el examen verificará si un evento marcado (una designación de sanciones, un informe de medios adversos) produjo una respuesta institucional documentada y con marca temporal, no si el cliente coincidió por casualidad con una revisión programada en el mismo periodo. Un intervalo acortado que, por coincidencia, captura un evento dentro de su ventana no es evidencia de un control en funcionamiento. Es evidencia de suerte.

Una Clasificación Errónea Frecuente: el Monitoreo AML No Es Automáticamente «IA de Alto Riesgo»

El material de proveedores en este ámbito afirma con frecuencia que los sistemas de monitoreo AML y KYC se clasifican como IA de alto riesgo bajo el Artículo 6 y el Anexo III de la Ley de IA de la UE. Las directrices preliminares de la Comisión Europea sobre la clasificación del Anexo III, publicadas el 19 de mayo de 2026 y abiertas a consulta hasta el 23 de junio de 2026, leen el texto de forma distinta. El Anexo III, punto 5(b), cubre sistemas de IA que evalúan la solvencia o establecen una puntuación de crédito. El monitoreo AML/CFT está regulado por legislación antiblanqueo de la UE separada, y la lectura preliminar de la Comisión lo sitúa fuera del punto 5(b), salvo que el uso previsto del sistema también abarque una decisión de solvencia o puntuación de crédito.

La distinción tiene un peso arquitectónico, no solo una diferencia de etiquetado. Una entidad que comparte infraestructura de modelos entre el monitoreo AML y la decisión de crédito, en lugar de mantener ambas funciones estructuralmente separadas, puede llevar su capacidad AML al ámbito de alto riesgo de la Ley de IA únicamente por esa infraestructura compartida. La separación limpia entre la función de delitos financieros y la función de solvencia es la manera práctica de evitar una clasificación no deseada, no una nota al margen de cumplimiento.

Esto no relaja las obligaciones del AMLR, la Recomendación 10 del GAFI ni de Wolfsberg descritas anteriormente. El monitoreo AML basado en eventos sigue teniendo que funcionar, sigue teniendo que ser auditable y sigue teniendo que reaccionar a eventos en lugar de calendarios. Lo que cambia es el fundamento legal invocado: el AMLR, la AMLA y la Recomendación 10 del GAFI impulsan la exigencia. El régimen de alto riesgo de la Ley de IA, según su redacción actual, en general no lo hace.

Contrapartidas

El monitoreo basado en eventos no está libre de costo, y los costos son estructurales, no incidentales.

Volumen de alertas. Suscribirse a más fuentes de eventos aumenta la cantidad bruta de señales que el sistema debe triar. El monitoreo de transacciones basado en reglas ya opera en el límite superior de este problema: un análisis sectorial citado por PwC, referenciado de forma consistente desde 2018, sitúa las tasas de falsos positivos del cribado tradicional basado en reglas entre el 90 y el 95 por ciento de las alertas generadas. Un KYC basado en eventos que añade fuentes sin una capa de materialidad reproduce esa misma proporción en otro control. La capa de materialidad no es opcional; sin ella, el monitoreo basado en eventos cambia una forma de ineficiencia por otra.

Dependencia de fuentes de datos. La cobertura del sistema está acotada por las fuentes de eventos a las que está suscrito. Un proveedor de listas de sanciones con un retraso de publicación de cuatro horas, o una fuente de medios adversos que no cubre un idioma regional relevante, crea un punto ciego que desde dentro se ve idéntico a un control en funcionamiento. La arquitectura basada en eventos desplaza el riesgo de «no miramos» a «miramos, pero nuestra fuente no nos informó», lo cual es una conversación de auditoría distinta, aunque no necesariamente más pequeña.

Costo de migración desde un modelo de datos solo-fiat. Las entidades cuyos registros de CDD están estructurados alrededor de una única fecha de revisión por cliente, en lugar de un estado de riesgo actualizado continuamente con historial de eventos, no pueden añadir monitoreo basado en eventos sobre el esquema existente. El propio registro del cliente necesita convertirse en una entidad con una línea temporal de riesgo, no en una fila con una columna de próxima fecha de revisión. Esto es un cambio de modelo de datos, no una bandera de funcionalidad.

Contexto de Fernel

El motor de cumplimiento de Fernel trata el cribado AML como un proceso continuo en lugar de una verificación puntual: los resultados de cribado quedan sujetos a un nuevo cribado automático a medida que se actualizan las fuentes de sanciones, PEP y medios adversos, sin que una fecha de revisión programada determine el disparador. Las políticas de CDD son registros versionados a lo largo de jurisdicción, nivel de riesgo y tipo de verificación, de modo que un evento relevante para el riesgo se resuelve en la dimensión de política específica que afecta, en lugar de activar una reverificación completa. Los niveles de riesgo (bajo, medio, alto, prohibido) escalan automáticamente cuando un indicador supera un umbral definido, y cada resultado de cribado, cada evaluación de política y cada escalamiento se registra en el mismo registro de auditoría encadenado por hash que cubre el resto del flujo de cumplimiento. La arquitectura no elimina la necesidad de un revisor humano ante cambios materiales; elimina la brecha entre el momento en que ocurre un cambio y el momento en que el sistema lo detecta.


Leer más: Infraestructura de Cumplimiento | Automatización de la Debida Diligencia del Cliente | Fraude de Identidad Sintética y la Pila de Incorporación


Fuentes:

  • Reglamento (UE) 2024/1624 (AMLR), aplicable desde el 10 de julio de 2027 en todos los Estados miembros de la UE sin transposición nacional
  • Reglamento (UE) 2024/1620, por el que se establece la Autoridad contra el Blanqueo de Capitales y la Financiación del Terrorismo (AMLA), aplicable desde el 1 de julio de 2025
  • Capgemini, «Reimagining KYC: From legacy friction to the pKYC triad» (2026): reducción del 70 al 90% en la carga de revisión periódica entre adoptantes tempranos de pKYC, reducción de hasta el 40% en falsos positivos, incorporación entre 40 y 60% más rápida, backlogs de casos un 70% menores
  • Moody's, panorama del marco «Perpetual KYC»: distinción entre actualización basada en calendario y monitoreo de riesgo permanentemente activo basado en eventos
  • Recomendación 10 del GAFI (Debida Diligencia del Cliente), International Standards on Combating Money Laundering and the Financing of Terrorism and Proliferation, última actualización 2026
  • Grupo Wolfsberg, pautas de debida diligencia para banca corresponsal: revisión basada en eventos como expectativa mínima para relaciones de mayor riesgo
  • FCA, Revisión Temática de Delitos Financieros 2022 sobre bancos minoristas (Reino Unido)
  • Comisión Europea, directrices preliminares sobre la clasificación de sistemas de IA de alto riesgo bajo el Artículo 6 y el Anexo III de la Ley de IA de la UE, publicadas el 19 de mayo de 2026 (consulta abierta hasta el 23 de junio de 2026); alcance del punto 5(b) y la prueba de vinculación con solvencia/puntuación de crédito
  • Análisis citado por PwC sobre tasas de falsos positivos en el monitoreo de transacciones basado en reglas (rango 90-95%), referenciado de forma consistente en la investigación sectorial desde 2018