KYC en cripto: Lo que todo servicio cripto debe saber al respecto

KYC significa Know Your Customer (Conozca a su Cliente) y es un proceso que utilizan las instituciones financieras para verificar la identidad de sus clientes. El objetivo del KYC es prevenir el lavado de dinero, la financiación del terrorismo y otros delitos financieros, asegurando que los usuarios sean quienes dicen ser. El detonante para el desarrollo y adopción generalizada del KYC fueron los atentados del 11 de septiembre en Estados Unidos. 

Este procedimiento no es exclusivo del mundo cripto. Surgió como una regulación para entidades financieras tradicionales, como los bancos, y hoy representa una vía para sacar a las criptomonedas de la sombra y hacer que el ecosistema sea más transparente y seguro. 

El proceso de KYC suele requerir que los usuarios proporcionen datos personales como nombre, dirección, fecha de nacimiento y una identificación oficial.  Luego, esta información se verifica mediante distintos métodos: autenticación de documentos, validaciones biométricas y comparación con registros públicos. Una vez verificada la identidad del usuario, se le habilita el acceso a los servicios solicitados, como comprar, vender, retirar o prestar criptomonedas.

Es importante tener en cuenta que el KYC es un requisito legal en muchas jurisdicciones.  No cumplir con estas regulaciones puede conllevar sanciones, la prohibición total de operar e incluso consecuencias penales.

El abanico de servicios que pueden requerir procedimientos de KYC incluye intercambio, billeteras cripto con custodia y marketplaces de intercambio P2P (persona a persona). Sin embargo, también hay otros ejemplos de proveedores de servicios relacionados con criptomonedas que pueden estar sujetos a estas obligaciones:

• Servicios de trading OTC (over-the-counter).  Estas plataformas permiten ejecutar órdenes —normalmente de montos elevados— directamente con una contraparte a través de una mesa OTC, en lugar de hacerlo en un mercado abierto.

• Plataformas de préstamos cripto. Permiten a los usuarios acceder a créditos utilizando criptomonedas como garantía.

• Procesadores de pago. Ofrecen a los comercios la posibilidad de aceptar pagos con criptomonedas por sus productos o servicios.
• Plataformas de venta de tokens. Son espacios que permiten a empresas del sector cripto recaudar fondos ofreciendo sus tokens a inversores interesados en etapas tempranas. 

Sin embargo, no es el tipo específico de servicio lo que determina si una empresa debe cumplir con KYC.  Los dos factores clave son:

1. La jurisdicción en la que la empresa cripto desea operar

2. El volumen de fondos que gestiona

Veamos estos factores con más detalle.

En muchas jurisdicciones, no es legal que una empresa cripto opere sin implementar algún tipo de proceso de KYC. Por ejemplo, los países de la Unión Europea y Estados Unidos—mercados atractivos por su alto poder adquisitivo—también están entre los más regulados. 

En Estados Unidos, los criptoactivos están bajo el marco de la Bank Secrecy Act (BSA). Todas las plataformas de intercambio de criptomonedas deben registrarse en FinCEN y exigir la verificación de identidad a sus usuarios para cumplir con las regulaciones AML (contra el lavado de dinero) y CFT (contra la financiación del terrorismo).  Además, el IRS es uno de los principales organismos que promueve la verificación de identidad en el país: los proveedores de servicios cripto están obligados a reportar ganancias de los usuarios que superen los $600. Los usuarios deben pagar impuestos, sin importar el monto.

Un ejemplo claro de los desafíos en el mercado norteamericano es Binance US. En 2019, Binance tuvo que lanzar una plataforma independiente para poder cumplir con todos los requisitos regulatorios y así seguir operando en el mercado estadounidense.

La Unión Europea también es un mercado intensamente regulado, y las restricciones siguen aumentando. Ya se han implementado varias iniciativas clave que impactan el KYC.   La primera es la 5.ª Directiva contra el Lavado de Dinero (AMLD5), vigente desde principios de 2020, que declaró a todas las empresas cripto como “entidades obligadas”.  La segunda es la más reciente AMLD6, centrada en sanciones por incumplimiento. Además, en junio de 2022 se alcanzaron acuerdos provisionales sobre dos iniciativas regulatorias adicionales: 

• La llamada Travel Rule, que obliga a los proveedores de servicios de criptoactivos a recopilar y poner a disposición información sobre el remitente y el beneficiario de las transferencias, con el fin de garantizar la trazabilidad.

• MiCA, el reglamento sobre mercados de criptoactivos, que establece que los proveedores de servicios cripto deberán contar con autorización para operar dentro de la UE. 

Por otro lado, hay países que, aunque manejan un volumen de mercado menor, ofrecen un entorno más flexible para las empresas del sector. 

Un ejemplo destacado es Emiratos Árabes Unidos (EAU), el mercado de más rápido crecimiento en Oriente Medio, que ha adoptado un enfoque regulatorio favorable hacia las criptomonedas.  Su Securities and Commodities Authority está en la etapa final de aprobación de una legislación nacional sobre criptoactivos y se prepara para emitir licencias federales.  Algunas regiones ya han dado pasos concretos: Dubái, por ejemplo, creó la Virtual Assets Regulatory Authority (VARA), que ya emitió su reglamento de Activos Virtuales y Actividades Relacionadas 2023. 

Lamentablemente, no existe una lista universal de requisitos que aplique en todos los casos, por lo que siempre será necesario evaluar cada jurisdicción de manera individual al definir su mercado objetivo.

Cuanto más grande es una empresa, más atención atrae de los reguladores.  Binance, el gigante entre los intercambios, procura cumplir rigurosamente con las normativas y por eso solo permite que nuevos usuarios accedan a sus servicios mediante KYC 

Otras plataformas más pequeñas pueden darse el lujo de aplicar controles menos estrictos, por ejemplo, solo una vez que el usuario alcanza cierto umbral.  KuCoin, por ejemplo, permite a usuarios no verificados operar con solo una dirección de correo electrónico, aunque el retiro diario está limitado a 1 BTC. 

De hecho, los estándares de la industria para iniciar procesos de KYC aún están en evolución, por lo que, al igual que ocurre con las normativas según cada país, no existe una fórmula única que aplique para todos los casos.

La implementación generalizada del KYC por parte de los servicios cripto ha generado debate sobre su impacto en la industria.  Cuando Binance introdujo el KYC, más del 96 % de sus usuarios aceptaron el cambio. En el caso de ShapeShift, sin embargo, el KYC provocó la pérdida del 95 % de su base de usuarios, lo que obligó a la plataforma a cambiar por completo su modelo de negocio para poder mantenerse a flote.

Por un lado, los procedimientos de KYC aportan mayor seguridad al público en general.  Esto mejora la reputación de la industria y favorece una mayor adopción de las criptomonedas por parte de una comunidad más amplia.  Al verificar la identidad de los usuarios, los servicios cripto reducen el riesgo de fraude y suplantación de identidad, y garantizan que solo personas legítimas tengan acceso a la plataforma y a los fondos.

Por otro lado, el KYC puede alejar a quienes valoran la privacidad y el anonimato por encima de todo. La criptomoneda, por naturaleza, fue concebida para ofrecer un sistema descentralizado y anónimo de transacciones financieras, sin intervención de autoridades centralizadas. Para este tipo de usuario, el KYC se percibe como una medida invasiva que va en contra de los principios fundamentales del ecosistema cripto.

Este choque de filosofías ha generado tensión dentro de la industria entre quienes consideran que el KYC es esencial para la seguridad y quienes defienden la privacidad como un valor irrenunciable.  Afortunadamente, hoy en día existen opciones para ambos perfiles.

El principio sobre cómo se realizan las transacciones en un servicio cripto es un aspecto clave.  Existen intercambios centralizados y descentralizados.

Un intercambio centralizado (CEX) se asemeja en gran medida a una bolsa de valores tradicional, facilitando operaciones entre compradores y vendedores. Es la forma más rápida y sencilla de comenzar a comprar y vender criptomonedas.  Con una curva de aprendizaje mínima, cualquier usuario nuevo puede convertirse rápidamente en un operador cripto. Sin embargo, esa conveniencia, junto con una experiencia fluida y soporte ante cualquier inconveniente, tiene su precio.

Los activos cripto en un CEX se almacenan fuera de la cadena (off-chain), en servidores centralizados donde los fondos están vinculados a la identidad del usuario. El CEX actúa como custodio, asumiendo la responsabilidad de mantener esos fondos.  Esto conlleva dos consecuencias claras:

• Los CEX requieren que todos los usuarios se registren para asociar sus fondos con su identidad.

• Los usuarios no tienen acceso garantizado en tiempo real a sus fondos ni libertad total para retirarlos, como sí ocurre con el almacenamiento en la cadena.  El acceso puede congelarse de forma inmediata ante cualquier inconveniente relacionado con su identidad u otros factores.

El intercambio centralizado más popular es Binance, que ya hemos mencionado en este artículo.

Por el contrario, un intercambio descentralizado (DEX) se basa en un enfoque totalmente en la cadena (on-chain).  No requiere que los usuarios revelen su identidad, ya que las operaciones se realizan directamente entre pares, aprovechando la infraestructura de smart contracts que ofrece el DEX.  Al mantener los fondos en la blockchain, el usuario tiene el control absoluto y puede operar en cualquier momento.  No obstante, esta libertad también implica una gran responsabilidad: se requiere conocimiento técnico para evitar errores que pueden ser irreversibles. 

Esa curva de aprendizaje más pronunciada es el principal freno para que los DEX expandan su base de usuarios. Mientras los CEX apuntan a una comunidad más amplia que desea iniciarse en el mundo cripto, los DEX compiten por atraer a una audiencia más experimentada y familiarizada con el entorno. 

Algunos de los intercambios descentralizados más conocidos son Uniswap, PancakeSwap y dYdX.

Aunque el enfoque puede variar según el servicio, el proceso de KYC en cripto generalmente incluye tres etapas: recopilación de información personal del usuario, verificación de identidad y análisis de riesgo (due diligence).

El usuario crea una cuenta y proporciona datos personales como nombre, número de teléfono, dirección, fecha de nacimiento y una identificación oficial.   Algunos servicios permiten ingresar parte de esta información de forma manual, aunque lo más común es que el módulo sea semi o totalmente automatizado. Por ejemplo, los datos personales pueden extraerse directamente desde el documento de identidad. Es importante destacar que la solución de automatización de ingreso de datos debe estar especializada en el procesamiento de documentos de identidad, ya que los errores en esta etapa pueden tener consecuencias serias.

Herramientas utilizadas: Soluciones de automatización y extracción de datos, OCR, módulo de captura biométrica.

Una vez recopilada la información del usuario, debe verificarse. Esta verificación suele dividirse en dos partes: confirmar que el documento de identidad proporcionado sea auténtico y válido, y asegurarse de que la persona que lo presenta no sea un impostor.

Normalmente, es un procedimiento iterativo que se lleva a cabo mediante diferentes soluciones de software. Por ejemplo, el proceso de verificación documental basado en tecnologías de Regula incluye el reconocimiento automático del tipo de documento y del país de origen; la lectura y validación de todos los datos, incluyendo los codificados en zonas legibles por máquina (MRZ), códigos de barras y chips RFID; y la comparación cruzada de la información proveniente de todas las fuentes.  Cuando se incluye la verificación biométrica, también se realiza un reconocimiento facial y una prueba de vida.

Herramientas utilizadas: Software de verificación de documentos, software de reconocimiento facial, módulo de prueba de vida.

El proceso de due diligence se activa si se detecta alguna alerta en las etapas anteriores, por ejemplo, si el usuario ha estado vinculado a actividades fraudulentas conocidas. También puede aplicarse cuando el usuario supera ciertos montos de operación y comienza a mover sumas más significativas.   Esta fase implica verificaciones adicionales, conocidas comúnmente como KYC 2. 

El procedimiento puede incluir la comparación de la información con registros públicos, verificación de antecedentes, revisión del historial financiero y métodos de verificación manual como una llamada en vivo al cliente para confirmar su identidad. Una práctica común para vincular al usuario con su identidad es solicitar la confirmación de su dirección real o actual. Por regla general, esto se confirma mediante la carga de facturas de servicios como agua, luz o alquiler, etc.

Herramientas utilizadas: Algoritmos de aprendizaje automático, software de evaluación de riesgos.

Con base en la información recopilada y la evaluación de riesgos, el proveedor de servicios cripto tomará una decisión sobre si aceptar o no al cliente.   Si la decisión es positiva, el usuario podrá comprar, vender y operar con criptomonedas en la plataforma.  Si la decisión es negativa, se le denegará el acceso.

Una vez aceptado, el cliente estará sujeto a un monitoreo constante por parte del proveedor.  Esto puede incluir la supervisión de transacciones, el análisis del comportamiento del usuario y revisiones periódicas de la información registrada para asegurarse de que siga siendo precisa. Muchas plataformas también ofrecen herramientas de apoyo para sus usuarios, como paneles de control avanzados para gestionar portafolios cripto, con datos en tiempo real, análisis de rendimiento y visualizaciones interactivas.

Implementar un proceso de KYC en el entorno cripto es una tarea importante y estratégica, pero no es algo único ni aislado.  Actualmente, el mercado de proveedores de servicios KYC está bien desarrollado y es altamente competitivo, por lo que integrar un módulo de verificación puede ser, técnicamente, un proceso bastante accesible. 

La solución ideal dependerá en gran parte de la filosofía de desarrollo de su empresa.  Puede optar por asociarse con un proveedor de servicios KYC e integrar un módulo ya desarrollado, o bien construirlo internamente, adquiriendo las distintas tecnologías necesarias como bloques para armar su propio flujo de verificación.

Si opta por la segunda opción, Regula está aquí para acompañarle como aliado tecnológico confiable.  Con más de 30 años de experiencia en verificación de documentos e identidad, Regula ofrece tecnologías de vanguardia que le permiten crear flujos de verificación personalizados, garantizar la seguridad y autenticar usuarios al instante sin generar fricción en la experiencia del usuario. 

Nuestras soluciones ya han sido validadas por autoridades de control fronterizo y empresas líderes, incluidas organizaciones del sector fintech y cripto. Uno de los casos más recientes es el de LCX (Liechtenstein Cryptoassets Exchange), que utiliza tecnologías de Regula para integrar la verificación documental dentro de su proceso de autenticación biométrica. No dude en contactarnos si tiene preguntas o desea explorar cómo podemos apoyar sus objetivos.