LegalTalent.ai CMS

Category: Regulación

  • SARLAFT 4.0 para Fintechs en Colombia: Guía Práctica de Implementación

    H1: SARLAFT 4.0 para Fintechs en Colombia: Guía Práctica de Implementación

    H2: Qué es el SARLAFT y qué cambió en la versión 4.0

    El SARLAFT — Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo — es el marco regulatorio que la Superintendencia Financiera de Colombia (SFC) impone a las entidades que supervisa para prevenir el lavado de activos y el financiamiento del terrorismo.

    La versión 4.0, formalizada mediante la Circular Externa 027 de 2020, fue la actualización más significativa del sistema en una década. Sus cambios principales:

    • Ampliación del universo de sujetos obligados: incluye explícitamente a las Sociedades Especializadas en Depósitos y Pagos Electrónicos (SEDPE) y otras fintech con autorización SFC
    • Mayor énfasis en monitoreo transaccional: no alcanza con verificar al cliente en el onboarding — el SARLAFT 4.0 exige monitoreo continuo de las transacciones
    • Segmentación de riesgo obligatoria: las entidades deben clasificar a sus clientes por nivel de riesgo (Bajo, Medio, Alto) y aplicar diligencia diferenciada
    • Refuerzo del debida diligencia para PEPs: personas expuestas políticamente y sus familiares directos requieren diligencia ampliada

    H2: A quiénes aplica el SARLAFT 4.0

    Todas las entidades vigiladas por la SFC. Para el ecosistema fintech colombiano, eso incluye principalmente:

    • SEDPE (Sociedades Especializadas en Depósitos y Pagos Electrónicos): billeteras digitales como Nequi, Daviplata, y sus competidores
    • Sociedades de Financiamiento Comercial con oferta fintech
    • Cooperativas financieras con operaciones digitales significativas
    • Entidades en proceso de autorización SFC que necesitan demostrar controles KYC/AML antes de obtener licencia

    ¿Tu fintech opera bajo licencia SFC o está en proceso de obtenerla? El SARLAFT 4.0 aplica.

    H2: Los cinco elementos del SARLAFT 4.0 que toda fintech debe implementar

    1. Identificación y conocimiento del cliente (KYC)

    Antes de activar cualquier producto, tenés que verificar la identidad del cliente, obtener documentación de soporte, y evaluar el propósito de la relación comercial. Para clientes digitales, esto implica verificación de cédula contra la Registraduría + biometría para onboarding sin presencia física.

    2. Cruce de listas de riesgo

    Cada cliente debe cruzarse contra:

    • Listas de la UIAF (Unidad de Información y Análisis Financiero)
    • Listas de la Fiscalía General
    • OFAC (SDN list y otras)
    • Listas ONU y FATF
    • Bases de PEPs colombianos y extranjeros

    El cruce inicial se hace al onboarding, pero el SARLAFT exige cruce periódico y cruce ante cambios en las listas.

    3. Segmentación del riesgo

    Cada cliente recibe un nivel de riesgo: Bajo, Medio o Alto. La clasificación debe basarse en factores objetivos: tipo de cliente, sector económico, geografía, volumen de operaciones esperado, y PEP status.

    El nivel de riesgo determina la diligencia aplicable:

    • Riesgo Bajo: verificación estándar, monitoreo regular
    • Riesgo Medio: verificación estándar + información adicional del propósito de la relación
    • Riesgo Alto / PEP: diligencia ampliada, verificación de fuente de fondos, aprobación manual

    4. Monitoreo transaccional continuo

    El SARLAFT 4.0 exige monitorear las transacciones de los clientes activos para detectar patrones inusuales. Esto incluye alertas automáticas ante:

    • Transacciones que superan umbrales definidos por la entidad
    • Patrones inconsistentes con el perfil de riesgo del cliente
    • Transacciones con contrapartes en países de alto riesgo FATF

    5. Reporte de Operaciones Sospechosas (ROS)

    Cuando se detecta una operación que no tiene justificación económica aparente o es inconsistente con el perfil del cliente, la entidad debe reportarla a la UIAF dentro de las 24 horas de la detección.

    H2: Sanciones por incumplimiento del SARLAFT 4.0

    Las multas por incumplimiento del SARLAFT pueden alcanzar hasta 200,000 SMMLV (Salarios Mínimos Mensuales Legales Vigentes), lo que en 2024 equivale a varios miles de millones de pesos colombianos. Pero las consecuencias van más allá de las multas:

    • Suspensión de la autorización de operación
    • Inhabilidad para los directivos responsables
    • En casos graves con complicidad activa: responsabilidad penal
    • Daño reputacional que afecta las relaciones con corresponsales y proveedores internacionales

    La SFC no solo multa: también publica los casos de sanción en su sitio web, lo que tiene impacto directo en la confianza de los usuarios.

    H2: Cómo implementar el SARLAFT 4.0 sin paralizarte

    El error más común que vemos en fintechs colombianas: intentar implementar el SARLAFT con un equipo legal interno y procesos manuales. No es escalable y deja huecos.

    La alternativa que funciona a escala:

    Paso 1 — Mapeá tus obligaciones específicas

    Las obligaciones varían según tu tipo de licencia y producto. Una SEDPE no tiene exactamente los mismos requerimientos que una sociedad de financiamiento comercial. Consultá con un abogado regulatorio colombiano para definir tu alcance exacto.

    Paso 2 — Automatizá el KYC del onboarding

    Verificación de cédula contra la Registraduría + cruce de listas UIAF + biometría. Esto elimina el trabajo manual del equipo de compliance en el 85% de los casos (los que pasan sin incidencias).

    Paso 3 — Configurá la segmentación de riesgo automática

    Definí las variables que determinan el nivel de riesgo en tu contexto y configurá reglas automáticas. El 80% de tus clientes probablemente caiga en riesgo bajo, lo que libera al equipo para enfocarse en los casos complejos.

    Paso 4 — Implementá el monitoreo transaccional

    Para una SEDPE en crecimiento, el monitoreo transaccional es donde la mayoría falla. Las alertas necesitan ser configurables, basadas en el perfil del cliente, y con flujos de investigación definidos.

    Paso 5 — Establecé el proceso de ROS

    Cada alerta que no se puede justificar internamente debe tener un camino claro hacia la UIAF. El proceso tiene que ser rápido (24 horas) y dejar registro de cada decisión.

    H2: SARLAFT 4.0 con LegalTalent.ai

    LegalTalent.ai automatiza los pasos 2 y 3 del flujo anterior: KYC del onboarding con verificación contra Registraduría, cruce de listas UIAF/OFAC, segmentación de riesgo automática, y expediente de auditoría exportable para inspecciones SFC.

    El monitoreo continuo (pasos 4 y 5) se puede integrar a través de webhooks de alerta hacia tu sistema de gestión de compliance.

    👉 Ver cómo funciona el KYC para Colombia →

    H2: Preguntas Frecuentes — SARLAFT 4.0 para Fintechs

    ¿Cuándo entró en vigencia el SARLAFT 4.0?

    La Circular Externa 027 de 2020 de la SFC fue la base normativa del SARLAFT 4.0. La implementación progresiva se completó durante 2021-2022 dependiendo del tipo de entidad.

    ¿Las fintech que no están supervisadas por la SFC necesitan implementar SARLAFT?

    Las entidades no supervisadas por la SFC no están obligadas al SARLAFT específicamente, pero pueden tener obligaciones similares bajo la Unidad de Información y Análisis Financiero (UIAF) si son consideradas sujetos obligados por la Ley 526/1999 y sus modificaciones.

    ¿Qué documentación pide la SFC en una inspección de SARLAFT?

    Expedientes de cada cliente con: identificación verificada, resultado del cruce de listas, nivel de riesgo asignado y justificación, y registro de operaciones monitoreadas. Todo con timestamps y trazabilidad del proceso.

    ¿Puedo externalizar el SARLAFT a un proveedor externo?

    Podés automatizar partes del proceso (verificación, cruce de listas) con un proveedor tecnológico. Pero la responsabilidad regulatoria no es transferible — la entidad supervisada sigue siendo responsable ante la SFC.

    ¿Cuánto personal de compliance necesita una fintech para el SARLAFT?

    Depende del volumen y complejidad del negocio. Con automatización correcta, una fintech de 50,000 clientes activos puede operar con 1-2 personas dedicadas a compliance enfocadas en casos de riesgo alto y reportes a la UIAF.

    Notas para el editor humano:

    • Verificar que la cifra de multas (200,000 SMMLV) es la correcta para el tipo de infracción más grave — puede variar según la categoría de la entidad
    • Actualizar el año de referencias regulatorias si hay novedades de la SFC posteriores a 2024
    • Considerar agregar un ejemplo concreto de caso de sanción pública de la SFC para mayor credibilidad

  • KYC en México bajo la Ley Fintech: Guía Práctica para Equipos de Compliance

    H1: KYC en México bajo la Ley Fintech: Guía Práctica para Equipos de Compliance

    H2: El marco regulatorio que toda fintech mexicana necesita entender

    La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech) fue publicada en el Diario Oficial de la Federación el 9 de marzo de 2018 y se complementa con las Disposiciones de carácter general emitidas por la CNBV, el Banxico y la SHCP. Para el área de compliance, hay tres documentos fundamentales:

    1. Las Disposiciones de PLD/FT de la CNBV: el reglamento específico que define las obligaciones de KYC, monitoreo y reporte para las ITF (Instituciones de Tecnología Financiera)
    2. Las Reglas de PLD del Banxico: aplican a las IFPE (Instituciones de Fondos de Pago Electrónico) que operan sistemas de pago
    3. La Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita: la ley marco antilavado que aplica a todas las actividades vulnerables

    El incumplimiento puede resultar en multas de hasta 150,000 UDIS, suspensión de operaciones y responsabilidad penal para los directivos responsables.

    H2: Qué tipos de fintech están obligadas al KYC bajo la Ley Fintech

    La Ley Fintech creó dos categorías nuevas de entidades reguladas:

    ITC — Instituciones de Tecnología Financiera de Financiamiento Colectivo

    Plataformas de crowdfunding (equity, deuda, copropiedad, regalías). Están obligadas a verificar la identidad de inversores y acreditados.

    IFPE — Instituciones de Fondos de Pago Electrónico

    Billeteras electrónicas, plataformas de pagos, emisores de tarjetas prepago. Deben verificar a todos sus usuarios antes de activar transacciones.

    Además, las SOFOM y SOFIPO (que no son ITF en sentido estricto pero están supervisadas por la CNBV) tienen sus propias disposiciones de PLD que exigen KYC.

    H2: Los niveles de cuenta y su impacto en el KYC

    Una particularidad del mercado mexicano: el esquema de “niveles de cuenta” permite a las IFPE ofrecer cuentas con límites de operación reducidos sin completar el KYC completo. Esto facilita la inclusión financiera pero implica una gestión cuidadosa:

    Nivel 1 (sin KYC completo):

    • Solo nombre y número de celular
    • Límite mensual: hasta 750 UDIS (~$1,700 pesos)
    • Para pagos básicos, recepción de remesas de bajo monto

    Nivel 2 (KYC básico):

    • Nombre, CURP, y validación por SMS o CURP contra RENAPO
    • Límite mensual: hasta 3,000 UDIS (~$6,800 pesos)

    Nivel 3 (KYC completo con identificación oficial):

    • INE/IFE validado contra base oficial + biometría
    • Límite mensual: hasta 10,000 UDIS (~$23,000 pesos)

    Nivel 4 (KYC reforzado con verificación presencial o equivalente digital):

    • INE + biometría + visita presencial o videoconferencia
    • Sin límite de operación

    El nivel 3 es el estándar para la mayoría de los productos fintech de uso cotidiano. El nivel 4 aplica para productos de mayor valor o riesgo.

    H2: Los 6 elementos del KYC que exigen las disposiciones CNBV

    1. Identificación del cliente

    El nombre completo tal como figura en el documento oficial, fecha de nacimiento, CURP, RFC (cuando aplica), domicilio y número de teléfono. Para personas morales: denominación, RFC, domicilio fiscal.

    2. Verificación de la identidad

    No basta con que el cliente declare su identidad — la CNBV exige verificarla contra fuentes confiables. Para personas físicas: validación del INE contra la base del INE o RENAPO, o verificación biométrica equivalente.

    3. Identificación del beneficiario controlador

    Para personas morales, se requiere identificar al beneficiario controlador — la persona física que finalmente controla o se beneficia de la entidad. Este es el componente KYB (Know Your Business).

    4. Evaluación del riesgo del cliente

    La institución debe clasificar a cada cliente en un nivel de riesgo (Bajo, Medio, Alto) basado en criterios objetivos documentados. El nivel de riesgo determina la frecuencia de la diligencia continua.

    5. Monitoreo continuo

    Las disposiciones exigen monitorear las operaciones de los clientes activos para detectar comportamientos inusuales y reportar operaciones sospechosas a la UIF dentro de los plazos establecidos.

    6. Conservación de registros

    Toda la documentación del KYC debe conservarse por un mínimo de 10 años, en formato que permita reproducirla y exportarla para inspecciones.

    H2: Los errores más comunes de KYC en fintechs mexicanas

    Después de trabajar con decenas de fintechs en México, estos son los errores que encontramos con más frecuencia:

    Error 1 — Solo verifican la CURP, no el INE

    Validar la CURP contra RENAPO es el nivel 2. Para el nivel 3 (el estándar para la mayoría de los productos), se requiere validar el INE contra la base del INE. Son dos verificaciones distintas.

    Error 2 — No cruzan listas locales mexicanas

    OFAC es conocido. Pero las listas de la UIF mexicana y las listas de personas bloqueadas del SAT son igualmente relevantes para el compliance local y a veces se ignoran.

    Error 3 — El expediente no es exportable

    En una inspección, el regulador pedirá exportar expedientes de clientes específicos. Si los datos están dispersos en múltiples sistemas sin una vista unificada exportable, el cumplimiento técnico no se puede demostrar.

    Error 4 — Sin proceso claro para Reportes de Operación Sospechosa (ROS)

    Detectar una operación inusual es solo la mitad del trabajo. La otra mitad es el proceso interno para investigarla y decidir si se eleva a ROS a la UIF dentro del plazo. Sin un proceso definido, los ROS se retrasan.

    Error 5 — No tienen beneficiario controlador para clientes corporativos

    Para fintechs B2B o que tienen personas morales como clientes, la identificación del beneficiario controlador (UBO) es obligatoria. Es una brecha frecuente.

    H2: Cómo automatizar el KYC mexicano sin perder usuarios

    La buena noticia: con la tecnología correcta, el KYC compliant en México puede hacerse en menos de 3 segundos para el 85% de los casos — sin revisión manual, sin esperas, sin abandono de funnel.

    El flujo óptimo para una IFPE nivel 3:

    1. Captura del INE con OCR (frontal + dorso)
    2. Validación del INE y CURP contra fuentes oficiales
    3. Selfie con prueba de vida activa + match facial
    4. Cruce automático contra UIF + OFAC + listas SAT
    5. Clasificación de riesgo automática
    6. Generación del expediente con todos los artefactos

    Si el resultado es Aprobado: activación inmediata de la cuenta.

    Si hay observaciones: el 10-15% de los casos va a revisión manual con el expediente completo disponible para el analista.

    👉 Ver cómo LegalTalent.ai implementa este flujo →

    👉 Ver la verificación de identidad México en detalle →

    H2: Preguntas Frecuentes — KYC en México bajo la Ley Fintech

    ¿Las SOFOM ENR también están obligadas al KYC bajo la Ley Fintech?

    Las SOFOM ENR (Entidades No Reguladas) no están directamente supervisadas por la CNBV bajo la Ley Fintech, pero están sujetas a la Ley de PLD/FT si realizan actividades consideradas vulnerables. En la práctica, las SOFOM ENR que otorgan crédito están obligadas a implementar KYC básico.

    ¿Cada cuánto tiempo hay que re-verificar a un cliente?

    Depende del nivel de riesgo. Clientes de riesgo bajo: revisión cada 24-36 meses o ante cambios en el comportamiento. Riesgo alto y PEPs: revisión anual. Ante eventos específicos (transacción inusual, cambio de perfil), se hace una revisión inmediata.

    ¿La biometría puede reemplazar la verificación presencial para el nivel 4?

    Las disposiciones CNBV admiten algunos equivalentes digitales a la verificación presencial, incluyendo videoconferencia supervisada. La biometría sola (sin supervisión humana) generalmente se considera nivel 3, no nivel 4.

    ¿Qué pasa si un cliente del nivel 2 quiere subir al nivel 3?

    El proceso se llama “upgrade de nivel” y requiere completar el KYC del nivel superior — en este caso, agregar la validación del INE y la biometría. Es un flujo que muchas fintechs implementan como un segundo paso cuando el usuario quiere aumentar su límite de operación.

    ¿Tengo que reportar todas las transacciones a la UIF?

    No. Reportás operaciones relevantes (que superen umbrales definidos por la norma), operaciones inusuales (que no tengan justificación económica), y operaciones relacionadas con actividades vulnerables. Los umbrales y criterios específicos están en las Disposiciones de PLD/FT de la CNBV.

    Notas para el editor humano:

    • Los valores en UDIS cambian mensualmente — verificar los equivalentes en pesos al momento de publicar
    • “Enero 2024” se usa como referencia en el título — actualizar si se publica después
    • Considerar agregar un cuadro resumen con los niveles de cuenta al inicio del artículo para lectores que escanean