根据西班牙反洗钱与金融犯罪防范委员会执行局 (SEPBLAC) 2024 年数据，西班牙通过强制性客户身份验证 (KYC) 审查发现超过 2.4 万笔可疑交易预警。其中，金融机构占绝大多数 (86%)，非金融机构次之 (11.6%)，其他类型实体占比最低 (2.6%)。

在西班牙，特定商家实体有法律义务实施 KYC 控制措施。然而，任何想要改进欺诈检测与预防的公司，也可以自愿选择实施。无论是否强制您的企业实施 KYC，了解如何实施都非常重要。本文将解释 KYC，包括其目的和程序。

本文内容

• 客户身份验证 (KYC) 是什么意思？
  
• KYC 有哪些好处？
  
• 哪些实体需要在西班牙实施 KYC 程序？
  
• 西班牙 KYC 程序的法律要求
  
• 西班牙 KYC 程序的示例
  
• Stripe Identity 如何简化 KYC 程序
  
• 关于西班牙 KYC 的常见问题解答
  

客户身份验证 (KYC) 是什么意思？

KYC 程序旨在签约服务或完成在线购买前验证客户身份。其目标是降低欺诈和其他金融犯罪的风险，如洗钱。

要验证客户身份并缓解安全威胁（包括身份盗窃和个人数据盗窃），企业可以采用双重验证和数字签名等机制。

KYC 有哪些好处？

除了在某些行业是强制要求外，在数字环境中实施 KYC，还能为企业带来运营层面与战略层面的多重优势。集成 KYC 程序的主要好处如下：

• 欺诈保护
  验证客户身份，会使得欺诈分子更难获得访问权限。KYC 是验证每位客户的初始障碍。在数字环境中这一点尤为重要，据国家网络安全研究所 (INCIBE) 数据显示，身份盗窃相关咨询占比达 14%。
  
• 操作稳定性
  严格遵守反洗钱相关法律对于保证业务连续性非常重要。除了财务罚款外，KYC 系统不完善，还可能导致公司业务暂停，或董事资格被取消。
  
• 数据处理的自动化与准确性
  大多数现代 KYC 解决方案采用光学字符识别 (OCR) 和人工智能 (AI) 能力，从文档中高精度提取信息。通过消除手动录入数据的需求，这些 KYC 解决方案最大限度地减少了人为错误。这有助于建立可靠且标准化的客户记录。
  
• 快速入驻
  注册过程中放弃的主要原因之一是，入驻过程缓慢或复杂。集成灵活的 KYC 系统可以彻底改变这种体验。例如，过去的流程需要纸质文件和长时间等待，而现在可以在几秒钟内完成。此外，一些 KYC 解决方案可兼容来自数十个国家/地区的身份证件，使其更容易在新市场推广。
  

哪些实体需要在西班牙实施 KYC 程序？

欧盟第 2024/1624 号条例建立了规范欧盟 KYC 政策和程序应用的监管框架。然而，每个成员国都有权引入自己的法律细节。

在西班牙，第 10/2010 号法律（防止洗钱和恐怖融资）主要规范 KYC 系统。下文列出了在西班牙建立或维持商业关系时，有法律义务收集和核实身份信息的实体名单。

金融机构

金融机构因专注于客户财务资源管理，面临更高的欺诈交易风险。这一点在 SEPBLAC 的数据中有所体现：数据显示，2024 年，银行、储蓄银行、支付机构及其他信贷机构提交的可疑报告数量最多\。以下是必须实施 KYC 程序的完整金融机构名单：

• 信用机构
  
• 寿险或投资保险公司
  
• 投资服务公司
  
• 共同基金经理和公司
  
• 养老基金经理
  
• 风险资本经理和公司
  
• 互助担保社（即为西班牙中小企业 [SMEs] 提供资金并受第 1/1994 号法律管辖的非营利组织）
  
• 电子货币和支付机构
  
• 货币兑换专业人士
  
• 加密货币服务提供者
  

非金融机构

非金融行业的一些实体也参与高风险交易。根据 SEPBLAC 数据显示，彩票管理机构、登记员及公证人在 2024 年提交的可疑报告数量最多。以下是必须实施 KYC 程序的非金融机构：

• 汇票服务提供者，只要其主要业务涉及物流，而非支付机构的业务
  
• 未取得银行执照、且依法不被认定为信贷机构或金融信贷机构的信用经纪人与放贷机构
  
• 月度租赁交易额达到或超过 1 万欧元，或年度租赁交易额达到或超过 12 万欧元的房地产开发商与中介机构
  
• 审计师、外部会计师和税务顾问
  
• 公证人和土地登记员、动产登记员和公司登记员
  
• 在金融、不动产等特定交易中代表客户处理交易的律师与事务律师
  
• 为公司和信托提供服务的专业人士
  
• 赌场
  
• 珠宝、宝石或贵金属贸易商
  
• 艺术品或古董商或经纪人
  
• 提供回购服务的商品卖方
  
• 在支付奖金时的彩票及博彩运营机构
  
• 向西班牙非居民销售商品，且交易金额超过 1 万欧元，并以现金等高风险支付方式收款的商品卖方
  
• 进行资金捐赠或接受资金时的基金会与协会
  
• 证券结算与支付系统经理
  

即使企业在法律上没有强制要求采用 KYC 系统，也建议实施该系统，以提升欺诈风险管理水平。由于 KYC 涉及验证客户身份和金融活动，这一过程有助于减轻身份盗窃等威胁。

西班牙 KYC 程序的法律要求

第 10/2010 号法律还规定了所有实施 KYC 程序的实体必须满足的要求。这些要求分为尽职调查和控制措施。我们将在下面介绍这些要求中最重要的部分。

尽职调查

尽职调查涉及收集客户身份和经济活动的信息。尽职调查措施应与客户风险水平、产品类型或交易性质相匹配。该风险分析必须提前形成书面文件，以确定风险特征及最终适用要求。

低风险特征的尽职调查要求

在通过分析确定风险特征较低的情况下，法规允许应用简化的尽职调查措施。这简化了程序，同时不影响监管合规性。最重要的要求描述如下：

• 识别客户
  对于实施 KYC 程序的公司或专业人士来说，第一步是正式识别客户。如果是法人实体（例如，一家想购买办公室的公司），必须确定受益所有者（即持有公司超过 25% 股份或对公司拥有控制权的个人）。
  
• 验证专业或业务活动
  负责 KYC 程序的实体，必须验证客户的专业或业务活动是否真实（例如通过工资或公司利润进行验证）。此验证必须合理（即与交易风险水平相匹配）。
  
• 确定交易目的
  接下来，有必要了解客户进行金融交易的目的。这必须与之前验证的专业或业务活动一致。例如，如果交易目的是将实体部分储蓄用于投资加密货币，那么如果公司年收入达数百万欧元，购买 50 万欧元的比特币是合理的。然而，对于月薪 1500 欧元的个人来说，这并不合理。
  
• 实施持续监控
  KYC 系统并非仅适用于业务关系建立初期。相反，它需要持续监测。例如，如果客户在投资基金时薪资为 2900 欧元，但现在失业且无收入，金融机构了解这些信息非常重要。因此，当客户信息发生重大变化时，更新数据非常重要。
  

高风险等级的尽职调查要求

如果经分析认定客户风险等级、交易或所收购资产属于高风险类别，则应采取强化尽职调查措施。该等措施在低风险等级所需满足的要求基础上额外执行。下文将说明西班牙境内部分常见措施：

• 确定资金来源
  该强化措施同样适用，例如，当客户担任公共职务时，如部长或在议会拥有席位的政党高级领导人。
  
• 需要电子签名
  如果以电子方式进行交易，实体必须使用符合欧盟第 910/2014 号条例规定要求的电子签名对客户身份进行验证。
  
• 获取快速授权
  在某些西班牙银行向外国银行的跨境支付中，资金转移前需获得高级管理层的明确授权。
  

控制与信息措施

如果尽职调查结果显示可能存在非法活动，负责 KYC 程序的公司必须采取以下控制和信息措施：

• 特别审查
  该实体必须实施内部控制协议，调查具体案件，并准备一份详细说明怀疑原因及结论的报告。
  
• 可疑交易或系统性报告
  如果特别检查的结论确认或强化了最初的怀疑，公司必须向 SEPBLAC 提交一份报告，详细说明客户的身份、活动和可疑交易。即使没有可疑迹象，若交易的资金来源地或目的地为高洗钱风险国家/地区，也必须提交系统性报告。
  
• 交易取消
  企业不得开展该笔交易，除非确实无法中止或可能妨碍调查进程。
  
• 禁止披露
  无论是可疑交易报告还是系统性报告，实体均禁止向客户或第三方告知提交给 SEPBLAC 的报告。
  
• 与当局合作
  如果相关当局要求提供更多信息，实体必须迅速且准确地提供，以促进调查。
  
• 文件保存
  公司必须保存所有符合西班牙 KYC 程序法律要求的文件，期限为 10 年。
  

西班牙 KYC 程序的示例

尽管客户尽职调查的验证会根据风险特征和业务类型有所不同，但大多数情况下基本步骤是相似的。以下是西班牙 KYC 程序的一个示例：

• 访问表格
  Booking.com 是西班牙 B2C 环境中使用率最高的住宿预订系统，甚至领先于酒店直接预订。一家传统酒店管理层决定与这家在线旅行社建立商务合作关系，作为其数字化转型策略的一部分。要在平台上运营，必须先填写 Booking.com KYC 表格。
  
• 确定实体类型
  Booking.com 根据实体类型适用不同的要求。例如，个体经营者只需输入其个人信息和银行账户信息即可。然而，该酒店以有限责任公司 (SL) 形式在商业登记处注册，因此酒店管理人员选择了“企业实体”选项。
  
• 填写表格
  代表可代表 SL 填写表格。作为合作公司运营，Booking.com 要求提供信息，如公司名称、注册日期及公司银行账户的国际银行账号 (IBAN)。
  
• 核实信息并分析风险
  收到表格后，Booking.com 会开展核实流程，包括确认 SL 的所有者以及验证信息是否与商业登记处的记录相符。接下来，公司将进行风险分析，如果结果良好，将与酒店建立业务关系。
  
• 实施 KYC 程序以进行预订
  Booking.com 等平台通常会将这一程序扩展到预订酒店的客户，以加强其 KYC 协议。在本视频中，我们将通过 Stripe Identity 演示身份验证过程，以及客户在预订过程中需要完成的步骤。
  

Stripe Identity 如何简化 KYC 程序

如果您在西班牙必须依法实施 KYC 系统，您必须确保信息收集程序符合《欧盟通用数据保护条例》(GDPR)。Stripe Identity 可简化入驻流程中的身份验证，并符合西班牙 KYC 法规，从而促进了这一任务的完成。

Identity 可让您验证客户身份，并降低机密数据泄露的风险。此外，它通过减少人工任务，简化了风控团队的工作量，同时帮助合法客户享受更快捷、更简便的验证流程。

此外，将 Stripe Payments（Stripe 的在线支付平台）与 Stripe Radar（其欺诈工具）结合使用，有助于防止欺诈攻击。这是因为这些系统具备安全措施，可防止误报对转化率的影响。

对于平台和交易市场，Stripe Connect 可以简化多方支付管理中涉及的 KYC 程序。它集成了客户的 KYC 验证功能，同时也为在您网站上提供产品和服务的企业和专业人士进行验证。

关于西班牙 KYC 的常见问题解答

所有交易是否都必须执行 KYC 程序？

是否强制实施 KYC 程序取决于实体的类型。金融机构（如信用机构和加密货币服务提供者）必须对所有交易实施 KYC 程序。然而，有些非金融实体仅在特定情况下需要进行此类验证。例如，商店及专业人士在与非居民进行交易时，若交易金额超过 1 万欧元且使用高风险支付方式，则必须执行 KYC 程序。

对于依法必须执行 KYC 程序却未执行的情况，会产生何种后果？

如果公司未能履行实施 KYC 程序的义务，则必须接受相应的处罚。轻微违规（如在单笔交易中未验证客户身份），可处以内部警示或最高 6 万欧元的罚款。严重违规（如在有洗钱或恐怖融资迹象时未能验证客户身份），处以最低 6 万欧元的罚款。极其严重违规（包括累犯），处以最低 15 万欧元的罚款。除了罚款外，严重和极其严重的违规行为还可能引发其他后果，例如暂停经营行政许可以及管理者被取消资格。

在电商企业中实施 KYC 程序是否明智？

尽管法律未要求电商企业实施 KYC 系统，但为了检测和防止电商欺诈，仍建议实施。通过收集客户及其经济活动的信息，您可以判断业务关系的风险水平，并在必要时采取额外预防措施，避免身份盗窃等威胁。对于接受高风险支付方式的企业，例如接受加密货币支付或分期付款的电商企业，虽未强制要求但仍建议实施 KYC 程序。