Volver al blog
AML & Cumplimiento

KYC: qué es, etapas y mejores prácticas para Colombia y LATAM

KYC (Conoce a Tu Cliente) es la columna del AML. Aprende qué información debes recolectar, las 4 etapas del proceso, herramientas y errores costosos en LATAM.

Publicado 22 de abril de 20269 min de lecturaActualizado 27 de jun de 2026

KYC ("Know Your Customer" o "Conoce a Tu Cliente") es el proceso por el cual una empresa identifica y verifica a sus clientes para prevenir lavado de activos, financiación del terrorismo y fraude. Es el pilar de cualquier programa AML. Aquí te explicamos qué exige, cómo implementarlo bien y por qué un mal KYC le sale carísimo a las empresas.

KYC en una frase

El KYC es el conjunto de procedimientos para identificar al cliente, conocer su actividad, verificar su perfil de riesgo y monitorearlo en el tiempo. En Colombia es exigido por SARLAFT (sector financiero) y SAGRILAFT (sector real). A nivel global por GAFI, FATF y reguladores nacionales equivalentes.

Las 4 etapas del KYC

  1. Identificación (CIP — Customer Identification Program) — Recolectar documento (cédula, NIT, pasaporte), nombre completo, fecha de nacimiento, dirección, nacionalidad. Verificar autenticidad del documento.
  2. Verificación (CDD — Customer Due Diligence) — Confirmar que la persona es quien dice ser (validación biométrica, OTP, video, base de datos registraduría). Validar consistencia de información declarada.
  3. Evaluación de riesgo (Risk Profiling) — Segmentar al cliente según riesgo LA/FT: actividad económica, jurisdicción, tipo de producto, condición de PEP, presencia en listas restrictivas.
  4. Monitoreo continuo (Ongoing Monitoring) — Revisar transacciones vs perfil, actualizar datos periódicamente, re-evaluar riesgo cuando cambian las circunstancias del cliente.

KYC simplificado vs EDD (Enhanced Due Diligence)

El nivel de profundidad depende del riesgo:

  • KYC simplificado — Cliente persona natural con bajo monto, actividad conocida, jurisdicción de bajo riesgo. Documento + verificación biométrica básica.
  • KYC estándar — Mayoría de clientes. Documento, verificación, declaración de actividad económica, consulta de listas restrictivas, autorización Habeas Data.
  • Debida Diligencia Ampliada (EDD) — Cliente PEP, contrapartes con estructura corporativa compleja, jurisdicciones de alto riesgo, montos grandes. Requiere declaración patrimonial, origen de fondos, beneficiario final (UBO), aprobación de alta dirección.

KYC vs KYB: empresas tienen reglas distintas

El KYB (Know Your Business) aplica a personas jurídicas. Además del KYC del representante legal, exige:

  • Certificado de existencia y representación legal vigente (máx. 30 días).
  • Identificación del beneficiario final (UBO) — la persona natural que controla la sociedad (≥5% según norma colombiana).
  • Composición accionaria.
  • Estados financieros para sustento patrimonial.
  • Política AML/anti-soborno de la contraparte.

Listas restrictivas: ¿cuáles consultar?

Como mínimo:

  • OFAC SDN (EE.UU.)
  • ONU 1267/1373 (terrorismo)
  • Unión Europea 2580/2001
  • PEPs Colombia (Decreto 1674 de 2022)
  • PEPs internacionales (jefes de Estado, ministros, ejecutivos de empresas estatales)
  • Listas internas (cliente clausulado, fraude conocido)
  • Noticias adversas (adverse media — análisis de noticias sobre el cliente)

Onboarding digital: el futuro del KYC

Las regulaciones modernas (Decreto 222 de 2020 en Colombia) permiten KYC 100% digital con:

  • Validación biométrica (huella, rostro, voz)
  • Reconocimiento facial vs documento
  • Liveness detection (que no sea foto)
  • Validación contra registraduría
  • Firma electrónica con timestamp y hash

Esto reduce el costo de onboarding por cliente de USD 30-80 (presencial) a USD 1-3 (digital) sin perder rigor regulatorio.

Errores costosos en KYC

  • KYC formal pero no efectivo — recolectar datos sin verificar.
  • No documentar el "por qué" al rechazar o aprobar contrapartes marginales — sin trazabilidad, la SFC sanciona.
  • Listas consultadas una sola vez — OFAC cambia diariamente.
  • UBO no identificado en estructuras complejas (shell companies, trusts) — fuente principal de multas.
  • Reusar perfiles de clientes antiguos sin actualizar — la re-evaluación periódica es obligatoria.

Multas globales por KYC deficiente

En la última década, los bancos globales han pagado USD 350 mil millones en multas AML/KYC. Algunos ejemplos:

  • HSBC — USD 1.9B (2012)
  • BNP Paribas — USD 8.9B (2014)
  • Danske Bank — USD 2B (2018, cliente PEP no detectado)
  • Standard Chartered — USD 1.1B (2019)

En LATAM las multas son menores en valor absoluto pero crecientes: SFC sancionó varios bancos colombianos por USD 2-5M en los últimos 3 años por KYC deficiente.

¿Cómo te ayuda GRC Software con KYC?

  • Formulario público KYC con Habeas Data integrado.
  • Consulta automática a OFAC, ONU, UE, PEPs Colombia y noticias adversas (via integración con Compliance.com.co, LexisNexis y DataRiesgos).
  • Detección automática de UBO con grafo de relaciones visual.
  • Risk scoring por IA basado en sector, jurisdicción y operaciones.
  • Audit trail completo con evidencia descargable para SFC/SuperSoc.
  • Re-evaluación periódica automática con alertas.

Próximos pasos

Si tu proceso KYC está en Excel o si quieres modernizarlo:

  1. Lee también ¿Qué es SARLAFT? y Cómo screenar contra OFAC.
  2. Hacé el diagnóstico KYC gratuito.
  3. Agendá demo: cal.com/grcsoftware.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.