Empieza ahora  Contacta con ventas 

Pagos

Ingresos

Gestión del dinero

Plataformas y marketplaces

Por etapa
Por caso de uso
Por sector
Documentación
Guías
Recursos
Aprende
Soporte
Empresa
Empieza ahora  Contacta con ventas 

¿Qué es el KYC (Know Your Customer) y para qué sirve?

Identity
Identity

Stripe Identity te permite confirmar la identidad de tus usuarios de forma automática y a escala internacional: un proceso muy sencillo para los usuarios legítimos que te ayudará a interrumpir intentos de fraude.

Más información 
  1. Introducción
  2. ¿Qué significa KYC?
  3. ¿Cuáles son los beneficios del KYC?
  4. Entidades obligadas a aplicar procesos de KYC en España
    1. Entidades financieras
    2. Entidades no financieras
  5. Requisitos legales del proceso de KYC en España
    1. Diligencia debida
    2. Acciones de control e información
  6. Ejemplo de un proceso de KYC en España
  7. Cómo Stripe Identity facilita los procesos de KYC
  8. Preguntas frecuentes sobre el KYC en España
    1. ¿Es obligatorio realizar procesos de KYC en todas las operaciones?
    2. ¿Qué ocurre si no se aplica el proceso de KYC pese a ser obligatorio?
    3. ¿Es recomendable aplicar procedimientos de KYC en un e-commerce?
  9. Empieza a usar Stripe 

Según los datos del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), en 2024 se analizaron más de 24.000 avisos de operaciones sospechosas detectadas a raíz de las verificaciones obligatorias de conocimiento del cliente (KYC). Las entidades financieras concentraron la mayoría de los avisos (86 %), seguidas a gran distancia por las no financieras (11,6 %) y de otros tipos (2,6 %).

En España, ciertas entidades tienen la obligación legal de implementar controles de KYC, pero también pueden hacerlo de forma voluntaria aquellas empresas que quieran mejorar sus controles de detección y prevención del fraude. Tengas o no la obligación de aplicar estos controles en tu negocio, conviene saber cómo se llevan a cabo. En esta guía, te explicamos en qué consisten los procesos de KYC, su finalidad y cómo se lleva a cabo la verificación.

Esto es lo que encontrarás en este artículo

  • ¿Qué significa KYC?
  • ¿Cuáles son los beneficios del KYC?
  • Entidades obligadas a aplicar procesos de KYC en España
  • Requisitos legales del proceso de KYC en España
  • Ejemplo de un proceso de KYC en España
  • Cómo Stripe Identity facilita los procesos de KYC
  • Preguntas frecuentes sobre el KYC en España

¿Qué significa KYC?

Un proceso de KYC (por las siglas en inglés de know your customer), al que a menudo se hace referencia como «conocimiento del cliente» o «conoce a tu cliente», es un conjunto de procedimientos destinados a verificar la identidad de los clientes antes de contratar servicios o hacer compras online. Su objetivo es disminuir el riesgo de fraude y otros delitos financieros, como el blanqueo de capitales.

Para verificar la identidad del cliente y mitigar amenazas de seguridad, entre las que se incluyen la suplantación de identidad o el robo de datos personales, se emplean mecanismos como la autenticación de dos factores y las firmas digitales.

¿Cuáles son los beneficios del KYC?

Más allá de ser un requisito obligatorio en algunos sectores, la implementación de sistemas de KYC ofrece ventajas tanto a nivel operativo como estratégico para las empresas que trabajan en entornos digitales. Estos son los principales beneficios de integrar procesos de conocimiento del cliente:

  • Protección ante el fraude
    Verificar la identidad real de los usuarios dificulta el acceso a actores malintencionados. El KYC actúa como la primera línea de defensa para verificar que cada usuario es realmente quien dice ser; algo especialmente importante en un entorno digital donde los casos de suplantación de identidad representan el 14 % de las consultas al Instituto Nacional de Ciberseguridad (INCIBE).
  • Estabilidad en las operaciones
    Cumplir rigurosamente con la Ley de prevención del blanqueo de capitales es imprescindible para garantizar la continuidad del negocio. Además de las sanciones económicas que acarrean las infracciones, un sistema de KYC deficiente puede suponer la suspensión de la actividad de la empresa o la inhabilitación de sus directivos.
  • Automatización y precisión en el tratamiento de datos
    Las soluciones de KYC más modernas aprovechan funcionalidades de reconocimiento óptico de caracteres (OCR) y de inteligencia artificial para extraer información de los documentos con gran precisión. Al no tener que introducir los datos de forma manual, se minimizan los errores humanos y se consiguen unos registros de clientes fiables y estandarizados.
  • Agilidad en el onboarding
    Un onboarding lento o complejo es uno de los principales motivos de abandono durante el proceso de alta de un nuevo usuario. Integrar un sistema de KYC escalable transforma esta experiencia: lo que antes requería el envío de documentación física y días de espera, ahora puede completarse en cuestión de segundos. Además, algunas soluciones de KYC son compatibles con los documentos de identidad de decenas de países, lo que facilita lanzamiento en nuevos mercados.

Entidades obligadas a aplicar procesos de KYC en España

El Reglamento (UE) 2024/1624 establece el marco normativo que rige la aplicación de las políticas y los procedimientos de KYC en la Unión Europea; no obstante, cada Estado miembro tiene competencia para introducir sus propios matices legales.

En España, la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo es el principal instrumento que regula el sistema de KYC. A continuación, puedes encontrar un listado con las entidades que, al operar en España, tienen la obligación legal de recopilar y comprobar información identificativa sobre las personas o empresas con las que establecen o mantienen una relación comercial:

Entidades financieras

Las entidades financieras están expuestas a un mayor riesgo de operaciones ilícitas debido a su naturaleza, enfocada en la gestión de los recursos económicos de los clientes. Este hecho queda reflejado en los datos del SEPBLAC, que indican que los bancos y cajas de ahorro, las entidades de pago y otras entidades de crédito concentraron la mayor cantidad de comunicaciones por indicio en 2024. Veamos la lista completa de entidades financieras que tienen la obligación de aplicar procesos de KYC:

  • Empresas crediticias
  • Aseguradoras de vida o de inversiones
  • Empresas de servicios de inversión
  • Gestoras y sociedades de inversión colectiva
  • Gestoras de fondos de pensiones
  • Gestoras y sociedades de capital-riesgo
  • Sociedades de garantía recíproca (es decir, entidades sin ánimo de lucro que financian a pequeñas y medianas empresas [SMEs] españolas y que se rigen por la Ley 1/1994)
  • Entidades de dinero electrónico y entidades de pago
  • Profesionales del cambio de divisas
  • Proveedores de servicios de criptomonedas

Entidades no financieras

Ciertas entidades ajenas al ámbito financiero intervienen en operaciones con un alto riesgo de fraude. Entre ellas, tal como señala el SEPBLAC, las administraciones de lotería, los registradores y los notarios acumularon la mayor cantidad de comunicaciones por indicio en 2024. Estas son las entidades no financieras sujetas a la obligación de aplicar procesos de KYC:

  • Proveedores de servicios de giros postales, siempre que su actividad principal sea la logística y no la de entidad de pago
  • Intermediarios y prestamistas de créditos que operan sin licencia bancaria y que, legalmente, no se consideran entidades de crédito ni establecimientos financieros de crédito
  • Promotores e intermediarios inmobiliarios (en las transacciones de renta igual o superior a 10.000 € mensuales o 120.000 € anuales)
  • Auditores de cuentas, contables externos y asesores fiscales
  • Notarios y registradores de la propiedad, de bienes muebles o mercantiles
  • Abogados y procuradores (en determinadas operaciones por cuenta de clientes, como las financieras o inmobiliarias)
  • Prestadores profesionales de servicios a sociedades y fideicomisos
  • Casinos
  • Comerciantes de joyas, piedras o metales preciosos
  • Comerciantes o intermediarios de obras artísticas o antigüedades
  • Comerciantes de bienes con oferta de recompra
  • Responsables de loterías y juegos de azar (al pagar premios)
  • Comerciantes de bienes (en las compras por valor de más de 10.000 € realizadas por personas no residentes en España, siempre que se abonen con métodos de pago de riesgo, como el efectivo)
  • Fundaciones y asociaciones (al aportar o recibir fondos)
  • Gestores de sistemas de pago y liquidación de valores

Aunque tu negocio no tenga la obligación legal de adoptar un sistema de KYC, su implementación es recomendable para mejorar la gestión del riesgo de fraude. Puesto que implica comprobar la identidad y la actividad financiera de tus clientes, este proceso contribuye a mitigar amenazas como la suplantación de identidad.

Requisitos legales del proceso de KYC en España

La Ley 10/2010 también establece los requisitos que deben cumplir todas las entidades obligadas a aplicar procesos de KYC, que se clasifican en debida diligencia y acciones de control. Estos son los más importantes:

Diligencia debida

La debida diligencia consiste en recopilar información sobre la identidad del cliente y su actividad económica. Las medidas de debida diligencia se aplican de forma proporcional al nivel de riesgo del cliente, el tipo de producto o la naturaleza de la operación. Dicho análisis de riesgo debe formalizarse por escrito y con antelación para determinar el perfil de riesgo y, en última instancia, los requisitos aplicables.

Requisitos de debida diligencia para un perfil de riesgo bajo

En aquellos casos donde el análisis determine que el perfil de riesgo es bajo, la normativa permite aplicar medidas de debida diligencia simplificada, que agilizan los procesos sin comprometer el cumplimiento normativo. Estas son las más importantes:

  • Identificar al cliente
    El primer paso para las empresas o profesionales que aplican procesos de KYC es identificar formalmente al cliente. Si se trata de una persona jurídica (por ejemplo, una sociedad mercantil que quiere comprar una oficina), se debe identificar al titular real, es decir, a la persona física que posee más del 25 % o que controla la sociedad.
  • *Comprobar la actividad profesional o empresarial *
    La entidad responsable del proceso de KYC debe comprobar que la actividad profesional o empresarial declarada por el cliente es veraz, por ejemplo, mediante la nómina o los beneficios de la empresa. Esta comprobación debe ser razonable, es decir, proporcional al nivel de riesgo de la operación.
  • Averiguar el propósito de la operación
    A continuación, es preciso averiguar el propósito que persigue el cliente con la operación financiera, que debe ser coherente con la actividad profesional o empresarial previamente comprobada. Por ejemplo, si la finalidad de la transacción es destinar parte de los ahorros a invertir en criptomonedas, una compra de 500.000 € en bitcoin puede ser razonable en el caso de una empresa con ingresos anuales de varios millones, pero no en el de un particular con un sueldo mensual de 1500 €.
  • Hacer un seguimiento continuo
    El sistema de KYC no se limita al comienzo de la relación comercial, sino que implica un seguimiento continuo. Por ejemplo, si un cliente cobraba un sueldo de 2900 € cuando decidió contratar un fondo de inversión, pero ahora está en situación de desempleo y no tiene ingresos, la entidad financiera debe conocer esa información. Para ello, es fundamental actualizar los datos de los clientes cuando se produzcan cambios significativos en su perfil.

Requisitos de debida diligencia para un perfil de riesgo alto

Si, por el contrario, el análisis determina que el perfil del cliente, la operación o el bien adquirido es de alto riesgo, se aplicarán (además de todos los requisitos para perfiles de riesgo bajo) las medidas de debida diligencia reforzada. Estas son algunas de las más habituales en España:

  • Averiguar el origen de los fondos
    Esta medida reforzada se aplica, por ejemplo, cuando el cliente ostenta un cargo de responsabilidad pública, como un ministro o un alto directivo de un partido político con representación parlamentaria.
  • Exigir una firma electrónica
    Si las operaciones tienen lugar de forma telemática, la identidad del cliente se debe acreditar con una firma electrónica que reúna los requisitos establecidos por el Reglamento (UE) 910/2014.
  • Obtener una autorización expresa
    En determinados pagos transfronterizos de una entidad bancaria española a otra extranjera, se requiere la autorización expresa de la alta dirección antes de proceder al traspaso de fondos.

Acciones de control e información

Si los resultados de la debida diligencia apuntan a una posible actividad ilícita, la empresa responsable del proceso de KYC tiene la obligación de adoptar las siguientes acciones de control e información:

  • Examen especial
    La entidad debe aplicar sus protocolos de control interno para investigar el caso específico y, posteriormente, elaborar un informe que detalle los motivos de la sospecha y las conclusiones alcanzadas.
  • Comunicación por indicio o sistemática
    Si la conclusión del examen especial confirma o refuerza la sospecha inicial, se debe enviar una comunicación por indicio al SEPBLAC que detalle la identidad del cliente, su actividad y la operación sospechosa. Asimismo, con independencia de la existencia de indicios de sospecha, es obligatorio enviar una comunicación sistemática de aquellas operaciones cuyo origen o destino sea una cuenta de un país con elevado riesgo de blanqueo de capitales.
  • No realizar la operación
    La empresa debe abstenerse de ejecutar la operación, salvo que resulte imposible o pudiera obstaculizar el curso de la investigación.
  • Prohibición de revelación
    La entidad tiene prohibido informar al cliente o a terceros sobre el envío de la comunicación al SEPBLAC, ya sea por indicio o sistemática.
  • Colaboración con las autoridades
    Si las autoridades competentes solicitan información adicional, la entidad deberá proporcionarla de forma rápida y precisa para facilitar las labores de investigación.
  • Conservación de documentos
    La empresa debe conservar durante diez años toda la documentación que acredite el cumplimiento de los requisitos legales del proceso de KYC en España.

Ejemplo de un proceso de KYC en España

Aunque las verificaciones de conocimiento del cliente presentan diferencias en función del perfil de riesgo y el tipo de empresa, los pasos fundamentales son similares en la mayoría de los casos. Veamos un ejemplo de proceso de KYC en España:

  • Acceder al formulario
    Debido a la posición de Booking como el sistema de reservas de alojamiento más utilizado en el entorno B2C de España (incluso por delante de las reservas directas con los hoteles), la directiva de un hotel tradicional decide iniciar una relación comercial con esta agencia de viajes online como parte de su estrategia de transformación digital. Para poder operar en la plataforma, primero debe cumplimentar el formulario de conocimiento del cliente de Booking.com.
  • Determinar el tipo de entidad
    Booking aplica distintos requisitos en función del tipo de entidad. Por ejemplo, los autónomos solo tienen que introducir sus datos personales y los de su cuenta bancaria, pero en este caso, el hotel está inscrito en el Registro Mercantil como sociedad limitada (SL), por lo que los responsables del alojamiento seleccionan la opción «Entidad empresarial».
  • Rellenar el formulario
    El representante cumplimenta el formulario en nombre de la SL. Para operar como establecimiento colaborador, Booking solicita datos como la denominación social, la fecha de constitución y el IBAN de la cuenta bancaria de empresa.
  • Verificar los datos y analizar el riesgo
    Tras recibir el formulario, Booking lleva a cabo el proceso de verificación, que comprende varios pasos, como identificar a los titulares de la SL y comprobar que los datos coinciden con los que figuran en el Registro Mercantil. A continuación, realizará el análisis de riesgo y, si el resultado es favorable, iniciará la relación comercial con el hotel.
  • Proceso de KYC en cada reserva
    Es habitual que, para reforzar sus protocolos de KYC, las plataformas como Booking extiendan este procedimiento a los usuarios que tramitan reservas hoteleras. En este vídeo, puedes ver cómo se implementa el proceso de verificación de identidad con Stripe Identity y qué pasos deben completar los clientes durante el proceso de reserva.

Cómo Stripe Identity facilita los procesos de KYC

Si tienes la obligación legal de implementar un sistema de KYC en España, debes asegurarte de que los procedimientos de recopilación de información cumplan con el Reglamento General de Protección de Datos (RGPD). Stripe Identity facilita esta tarea, ya que simplifica la verificación de la identidad durante el proceso de onboarding de los usuarios, además de cumplir con la normativa española de KYC.

Identity te permite comprobar que tus usuarios son quienes dicen ser, al tiempo que disminuye el riesgo de filtración de sus datos confidenciales. Además, agiliza el trabajo de los equipos antifraude al reducir las tareas manuales, mientras que los usuarios legítimos se benefician de un proceso de verificación más rápido y sencillo.

Por otra parte, al combinar Stripe Payments (la plataforma de pagos online de Stripe) con Stripe Radar (su herramienta antifraude), se logran prevenir en gran medida los ataques fraudulentos gracias a sus medidas de seguridad y, al mismo tiempo, se evitan falsos positivos que podrían afectar a la conversión.

Si tu negocio es una plataforma o un marketplace, Stripe Connect simplifica los procesos de KYC asociados a la gestión de pagos entre varias partes, ya que integra verificaciones de KYC no solo para los compradores, sino también para los comercios y profesionales que ofrecen sus productos y servicios desde tu sitio web.

Preguntas frecuentes sobre el KYC en España

¿Es obligatorio realizar procesos de KYC en todas las operaciones?

La obligatoriedad de los procesos de KYC depende del tipo de entidad. Las entidades financieras (como las empresas crediticias y los proveedores de servicios de criptomonedas) deben aplicar los procesos de KYC en todas las operaciones. Sin embargo, algunas entidades no financieras solo tienen la obligación de realizar estas verificaciones en casos específicos. Por ejemplo, las tiendas y los profesionales deben ejecutar el proceso de KYC en transacciones de venta a no residentes por importes superiores a 10.000 € abonados con métodos de pago de riesgo.

¿Qué ocurre si no se aplica el proceso de KYC pese a ser obligatorio?

Si una empresa no cumple las obligaciones de aplicar procesos de KYC, deberá asumir las sanciones correspondientes. Las infracciones leves, como no identificar a un cliente en una operación de forma aislada, acarrean amonestaciones privadas o multas de hasta 60.000 €. En caso de infracción grave, como omitir la identificación del cliente ante indicios o certeza de blanqueo de capitales o financiación del terrorismo, la multa mínima es de 60.000 €. Para las infracciones muy graves, entre las que se incluye la reincidencia, la sanción mínima se eleva a 150.000 €. Además de las multas, las infracciones graves o muy graves pueden acarrear otras consecuencias, como la suspensión temporal de la autorización administrativa para operar y la inhabilitación de los directivos.

¿Es recomendable aplicar procedimientos de KYC en un e-commerce?

Aunque los comercios electrónicos no tienen la obligación legal de implementar un sistema de KYC, es una medida recomendable, ya que es un buen método de detección y prevención del fraude en el e-commerce. Al recopilar información sobre los clientes y sus actividades económicas, podrás determinar el nivel de riesgo de las relaciones comerciales y, en caso necesario, extremar las precauciones para evitar amenazas como la suplantación de identidad. Implementar el proceso de KYC sin tener la obligación de hacerlo es especialmente recomendable para los negocios que aceptan métodos de pago más expuestos al fraude, como los comercios electrónicos que admiten pagos con criptomonedas o pagos a plazos.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.

Más artículos

  • Se ha producido un error. Vuelve a intentarlo o contacta con soporte.

¿A punto para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.
Identity

Identity

Stripe Identity te permite confirmar la identidad de los usuarios internacionales mediante programación, para que puedas prevenir los ataques de los estafadores al tiempo que reduces los inconvenientes para los clientes legítimos.

Documentación de Identity

Descubre cómo verificar identidades utilizando Stripe Identity.