Compliance para criptomonedas

Diseñamos e implantamos tu programa de compliance para criptoactivos: AML/CFT, KYC/KYB, monitoreo on-chain, Travel Rule, screening de sanciones y reporting (SARs), para exchanges, custodios, VASPs y proyectos blockchain. Un programa operable y defendible, alineado con MiCA, la Ley 10/2010 y el nuevo paquete AML de la UE (AMLR/AMLA).

Consulta gratuita

Te respondemos en menos de 24 h

¿Qué es un programa de compliance para criptomonedas?

Un programa de compliance para criptoactivos es un conjunto integrado de políticas, controles, procedimientos y responsabilidades que asegura que una entidad que opera con activos digitales cumple la normativa aplicable: AML/CFT (prevención de blanqueo), sanciones, protección de datos y requisitos sectoriales. No es "un documento": es un sistema operativo con evidencias.

Bien diseñado, minimiza el riesgo regulatorio, facilita la relación con bancos y proveedores, reduce el riesgo de sanciones y protege la reputación. Y llega en el momento clave: el nuevo paquete AML de la UE convierte a los proveedores de servicios de criptoactivos (CASP) en sujetos obligados directos desde 2027, con supervisión reforzada.

El ciclo de cumplimiento en una entidad cripto El ciclo operativo del compliance cripto: onboarding con KYC y KYB, scoring de riesgo según el enfoque basado en riesgo, monitoreo on-chain de transacciones, investigación de alertas y, cuando procede, comunicación de operaciones sospechosas y reporting. EL CICLO DE CUMPLIMIENTO 01 Onboarding KYC / KYB 02 Scoring de riesgo (RBA) 03 Monitoreo on-chain (KYT) 04 Alertas investigación 05 SAR y reporting
El ciclo operativo que sostiene el programa. Cada fase combina controles técnicos y procedimientos jurídicos, con trazabilidad y evidencias para demostrar diligencia ante supervisores y entidades financieras.

Los cuatro pilares del programa

Un programa completo se apoya en cuatro capas que trabajan juntas. Cuando falta una, el cumplimiento se vuelve "informal" y se rompe al subir el volumen.

Los cuatro pilares de un programa de compliance cripto Políticas y manuales (AML, KYC, reporte, Travel Rule); controles operativos (onboarding, scoring de riesgo, monitoreo transaccional, alertas); controles técnicos (analítica on-chain, trazabilidad, cifrado, acceso seguro); y gobernanza (Compliance Officer, comités, procesos de escalado). LOS CUATRO PILARES 1 Políticas y manuales Manual AML/KYC, procedimientos de reporte, protocolos de Travel Rule y guías operativas. La prueba documental de diligencia. 2 Controles operativos Onboarding, scoring de riesgo, reglas de monitoreo transaccional y alertas automáticas. El día a día del cumplimiento. 3 Controles técnicos Analítica on-chain, trazabilidad, y mecanismos de cifrado y acceso seguro. La eficacia operativa y las evidencias. 4 Gobernanza Compliance Officer, comités internos y procesos de escalado. Quién decide y responde.
Los cuatro pilares de un programa de compliance cripto. La gobernanza (quién decide y responde) es lo que convierte las políticas en decisiones reales y trazables.

Del riesgo a la medida proporcional

El enfoque basado en riesgo (RBA) combina señales on-chain, off-chain y de producto para clasificar clientes, contrapartes y transacciones, y aplicar la medida proporcional a cada nivel de riesgo.

El enfoque basado en riesgo aplicado al compliance cripto Los factores de riesgo (tipo de activo, jurisdicción, patrón transaccional y contraparte) alimentan un scoring que determina la medida: riesgo bajo con diligencia normal, riesgo medio con diligencia reforzada y riesgo alto con bloqueo o escalado. EL ENFOQUE BASADO EN RIESGO (RBA) FACTORES Tipo de activo Jurisdicción Patrón transaccional Contraparte SCORING de riesgo Bajo→ diligencia normalseguimiento estándar Medio→ diligencia reforzada (EDD)más documentación y seguimiento Alto→ bloqueo o escaladoinvestigación y, si procede, SAR
Esquema orientativo del enfoque basado en riesgo. Documentar el scoring y las decisiones es lo que permite justificar las medidas ante supervisores y auditorías.

Para quién es

Si prestas servicios sobre criptoactivos por cuenta de clientes, eres (o serás) sujeto obligado. Un programa de compliance no es opcional: es lo que te permite operar, bancarizarte y crecer.

exchange

Exchange y plataforma de intercambio

"Un CEX gestiona onboarding masivo, monitoreo transaccional y reporting. Necesita políticas AML/KYC, reglas de alerta y evidencias para supervisores y para la banca con la que opera."

custodia

Custodio institucional

"La custodia de activos por cuenta de terceros exige controles técnicos robustos, segregación, gestión de accesos y coherencia entre registros on-chain, sistemas internos y contabilidad."

DeFi

VASP y proveedor DeFi

"Operativa multichain, swaps, bridges y protocolos. La clave es un enfoque basado en riesgo con monitoreo on-chain y un marco claro de gestión de proveedores (oráculos, bridges, analytics)."

fiat-crypto

Pasarela fiat-crypto y desk OTC

"Las pasarelas fiat-crypto y los desks OTC concentran riesgo de origen de fondos y de sanciones. Requieren diligencia reforzada, screening y trazabilidad de cada operación de gran importe."

El coste de un compliance "informal"

Un programa débil no solo expone a sanciones: cierra puertas con bancos y contrapartes y se rompe al escalar. Estos son los riesgos que más exponen a una entidad cripto.

AMLR · UE 2027

El paquete AML de la UE convierte a los CASP en sujetos obligados directos desde el 10 de julio de 2027, con supervisión reforzada de AMLA. Anticiparse es la única estrategia razonable.

Evasión de sanciones: un screening deficiente frente a listas OFAC, UE u ONU expone a responsabilidad legal grave y a bloqueos con la banca corresponsal.

Mixers y privacy coins: la exposición a mezcladores y a monedas de anonimato reforzado (que el AMLR restringe desde 2027) dispara el riesgo si no hay controles.

Errores en la Travel Rule: datos incompletos o mal transmitidos entre proveedores generan rechazos, fricción y hallazgos en inspección.

Fallos con proveedores: custodios, oráculos, bridges o integradores sin due diligence ni cláusulas de cumplimiento trasladan su riesgo a tu entidad.

Sin RBA ni evidencias: sin un enfoque basado en riesgo documentado, no puedes justificar tus decisiones ante un supervisor ni ante una auditoría.

¿Tu programa está listo para 2027?

Entre MiCA, la Travel Rule y el nuevo paquete AML de la UE, el listón sube. Hacemos el diagnóstico, diseñamos el programa y dejamos las evidencias listas para supervisor y banca.

¿Compliance Officer interno o externalizado?

Toda entidad cripto necesita una función de cumplimiento con autoridad e independencia. La pregunta es cómo dotarla: con un equipo propio o con un Compliance Officer externo especializado.

Qué define un buen programa

Frente a un "cumplimiento en papel", lo que marca la diferencia es que el programa sea operable, defendible y proporcional al riesgo, con evidencias por decisión.

Gobernanza
Roles claros, comités y procesos de escalado.
RBA
Riesgo evaluado y documentado, no intuitivo.
Operativa
KYC, monitoreo y alertas que funcionan al escalar.
Evidencias
Trazabilidad para supervisor, banca y auditoría.

Cómo trabajamos el proyecto

Un programa completo y audit-ready, con foco en operativa real y en tu modelo de negocio, y con acompañamiento continuo si lo necesitas.

  1. Diagnóstico, evaluación de riesgos (RBA) y manual AML/CFT específico.
  2. Flujos de KYC/KYB, monitoreo on-chain, Travel Rule y sanciones.
  3. Gobernanza, formación, auditorías y respuesta a SARs.

Plantéanos tu operativa →

Comparativa entre una función de compliance interna y externalizada para entidades cripto
Característica Interno (equipo propio) Externalizado (Compliance Officer externo)
Coste Estructura fija; sube con el tamaño del equipo Variable y ajustable a la fase del negocio
Independencia Riesgo de presión interna sin buena gobernanza Externa por diseño, sin conflictos operativos
Especialización cripto Depende del perfil que puedas contratar Experiencia específica en activos virtuales
Escalabilidad Escala contratando y formando Escala con el proveedor y sus herramientas
Tiempo de puesta en marcha Selección, formación y curva de aprendizaje Arranque rápido con metodología probada

La opción óptima depende del tamaño, la fase y el modelo de negocio: muchas entidades combinan un responsable interno con apoyo externo especializado. Cuadro orientativo; esta página es informativa y no constituye asesoramiento.

Compliance para criptomonedas: preguntas frecuentes

¿Qué es un programa de compliance para criptomonedas?

Es un conjunto integrado de políticas, controles, procedimientos y responsabilidades que asegura que una entidad que opera con criptoactivos cumple la normativa aplicable (AML/CFT, sanciones, protección de datos y requisitos sectoriales). No es un documento aislado, sino un sistema operativo con evidencias que se pueden demostrar.

¿Quién está obligado a tener compliance en cripto?

Los VASPs (exchanges, custodios, brokers, proveedores de transferencias) y, en general, quien preste servicios sobre criptoactivos por cuenta de clientes. Ya son sujetos obligados de prevención de blanqueo, y el nuevo paquete AML de la UE lo refuerza para los CASP desde 2027.

¿Qué normativa aplica al compliance cripto?

En España, la Ley 10/2010 (prevención de blanqueo), bajo la supervisión del SEPBLAC. En la UE, MiCA (Reglamento 2023/1114) y la Travel Rule (Reglamento 2023/1113). Y el nuevo paquete AML: el AMLR (Reglamento 2024/1624), la sexta directiva y la autoridad AMLA. El estándar internacional es el GAFI (FATF).

¿Qué es el enfoque basado en riesgo (RBA)?

Es la metodología que combina indicadores on-chain, off-chain y de producto para clasificar clientes, contrapartes y transacciones y aplicar medidas proporcionales: diligencia normal, diligencia reforzada (EDD) o bloqueo y escalado. Documentar el RBA permite justificar cada decisión ante supervisores y auditorías.

¿Qué incluye el KYC/KYB en cripto?

Verificación de identidad del cliente (KYC) o de la empresa y sus titulares reales (KYB), segmentada por tipo (retail, institucional, OTC, market-maker). Combina verificación documental, biometría y correlación on-chain, con evaluación jurisdiccional, screening de PEP e identificación de beneficiarios finales, y procedimientos de diligencia reforzada para casos de mayor riesgo.

¿Qué es una SAR y cuándo se comunica?

Una SAR es una comunicación de operación sospechosa a la autoridad competente (en España, el SEPBLAC). Se eleva cuando concurren señales de blanqueo o financiación del terrorismo (interacción con direcciones sancionadas, movimientos cross-chain para ocultar trazabilidad, importes elevados sin justificar). El Compliance Officer evalúa la evidencia técnica y jurídica antes de comunicarla, preservando la confidencialidad.

¿Necesito un Compliance Officer?

Sí. Conviene designar un Compliance Officer con autoridad e independencia y experiencia en activos virtuales, que coordine el enfoque basado en riesgo, las SARs, la relación con supervisores y la formación del equipo. Puede ser interno o externalizarse en un tercero especializado para reforzar la independencia y acelerar la puesta en marcha.

¿Qué es el AMLR y cómo me afecta?

El AMLR (Reglamento (UE) 2024/1624) es el "código único" antiblanqueo de la UE, de aplicación directa desde el 10 de julio de 2027. Convierte a los CASP en sujetos obligados directos, refuerza el KYC y la titularidad real, restringe las cuentas anónimas y las privacy coins, y fija un límite de efectivo de 10.000 €. Anticipar el programa es la única estrategia razonable.

¿Cuánto cuesta implantar un programa de compliance?

Depende del modelo de negocio (exchange, custodio, DeFi), del volumen, del número de jurisdicciones y del nivel de automatización. Trabajamos con un alcance definido tras un diagnóstico inicial; escríbenos para un presupuesto ajustado.

¿Cuánto se tarda en implantarlo?

Depende del alcance, pero un programa base (diagnóstico, manual, políticas y flujos) suele estar operativo en pocas semanas. Lo que más se prolonga es la integración técnica del monitoreo, las pruebas end-to-end y la formación de los equipos.

VASP, sanciones, privacy coins y AMLA

¿Qué diferencia hay entre VASP y CASP?

VASP (Virtual Asset Service Provider) es el término del GAFI para los proveedores de servicios de activos virtuales. CASP (Crypto-Asset Service Provider) es el término equivalente en la UE bajo MiCA. En la práctica se refieren a los mismos actores: exchanges, custodios, brokers y proveedores de transferencias.

¿Qué es el screening de sanciones (OFAC/UE/ONU)?

Es el cotejo de clientes, contrapartes y direcciones frente a las listas de sanciones (OFAC de EE. UU., de la UE y de la ONU) para detectar y bloquear operaciones con riesgo sancionador. Es una obligación crítica: su incumplimiento genera responsabilidad legal grave y bloqueos con la banca corresponsal.

¿Se prohíben las privacy coins y las cuentas anónimas?

Sí, en las plataformas reguladas. El AMLR prohíbe, desde 2027, las cuentas de criptoactivos anónimas y las monedas de anonimato reforzado (como Monero o Zcash) en los proveedores autorizados de la UE, que deberán identificar plenamente a sus clientes.

¿Qué relación tiene con MiCA y la Travel Rule?

Se complementan: MiCA regula los servicios y emisores; la Travel Rule regula la información que acompaña a cada transferencia; y el paquete AML fija las obligaciones de prevención de blanqueo. Un buen programa de compliance las integra en un único sistema.

¿Qué es el monitoreo on-chain (KYT)?

El KYT (Know Your Transaction) es el análisis de riesgo de las transacciones y direcciones: clustering, exposición a fondos ilícitos (hacks, ransomware, sanciones), detección de mixers y scoring. Es la capa técnica que alimenta las alertas y las evidencias del programa.

¿Qué es AMLA y dónde está?

AMLA es la nueva Autoridad Europea de Lucha contra el Blanqueo, con sede en Frankfurt, creada por el Reglamento (UE) 2024/1620. Coordinará a los supervisores nacionales y supervisará directamente a un grupo de entidades de alto riesgo (incluidos grandes CASP) a partir de 2027-2028.

¿El SEPBLAC desaparece con AMLA?

No. El SEPBLAC sigue siendo la Unidad de Inteligencia Financiera de España y el interlocutor principal para los sujetos obligados, ahora bajo la coordinación técnica de AMLA. Es un modelo de doble nivel: supervisión europea y supervisión nacional con el mismo listón regulatorio.

Cómo montar un programa de compliance cripto

Montarlo no es redactar un manual: es evaluar el riesgo, diseñar controles, dotar la gobernanza y dejar evidencias. El orden importa y cada capa se apoya en la anterior.

Principio

Es un sistema, no un papel

Un manual sin controles operativos ni técnicos no protege. Lo que sostiene el cumplimiento es la operativa real: onboarding, monitoreo, alertas y evidencias.

Método

El riesgo se documenta

El enfoque basado en riesgo no es intuición: es un scoring con factores definidos y decisiones registradas, que permite justificar cada medida ante un supervisor.

Clave

La gobernanza decide

Sin Compliance Officer con autoridad ni procesos de escalado, las políticas no se convierten en decisiones. La gobernanza es lo que hace que el sistema funcione.

Checklist: el programa en 10 pasos

  1. Hacer el diagnóstico y la evaluación de riesgos (RBA) del modelo de negocio.
  2. Redactar el manual AML/CFT y las políticas específicas para cripto.
  3. Designar al Compliance Officer y al órgano de control interno.
  4. Diseñar los flujos de KYC/KYB y el onboarding escalado por riesgo.
  5. Definir las reglas de monitoreo on-chain y de alertas (KYT).
  6. Integrar la Travel Rule y el reporting técnico entre proveedores.
  7. Implantar el screening de sanciones (OFAC, UE, ONU) y los bloqueos.
  8. Establecer el procedimiento de detección y comunicación de SARs.
  9. Hacer due diligence de proveedores y cláusulas contractuales de cumplimiento.
  10. Formar al equipo, auditar y hacer pruebas de estrés, con revisión periódica.

¿Quieres situarlo en el marco completo? Mira el nuevo paquete AML (AMLR), la Travel Rule y la licencia CASP (MiCA).

Cómo lo construimos nosotros

Del diagnóstico al programa operativo

Construimos el programa como una secuencia ordenada (diagnóstico y RBA, políticas, KYC y monitoreo, Travel Rule y sanciones y gobernanza y formación) sin bloquear tu operativa.

diagnóstico y evaluación de riesgos (RBA)1) Diagnóstico + RBA

Diagnóstico y evaluación de riesgos

Analizamos tu modelo de negocio, tus flujos y tus contrapartes, y construimos la matriz de riesgos que guía todo el programa.

  • modelo
  • matriz
  • brechas
manual AML/CFT y políticas específicas para cripto2) Políticas

Manual AML y políticas

Redactamos el manual AML/CFT y los procedimientos operativos: datos, validaciones, escalados, bloqueos y conservación de evidencias.

  • manual
  • procedimientos
  • escalado
KYC, KYB y monitoreo on-chain con reglas de alerta3) KYC + monitoreo

KYC/KYB y monitoreo

Diseñamos el onboarding escalado por riesgo y las reglas de monitoreo on-chain (KYT), con triggers para diligencia reforzada o bloqueo.

  • onboarding
  • KYT
  • alertas
mapa de decisión: qué nivel de programa necesitoDecisión rápida

Mapa: ¿qué nivel necesito?

exchange retail

Onboarding masivo, monitoreo y reporting: programa completo con automatización.

custodio institucional

Foco en controles técnicos, segregación y coherencia contable.

VASP / DeFi

Enfoque basado en riesgo, monitoreo on-chain y gestión de proveedores.

Ver servicios PBC/FT El paquete AML (AMLR)
Playbook

Lo que tu programa debe poder demostrar

Elemento
Qué exige
Nota

Gobernanza

Compliance Officer con autoridad y comités de control.

Quién decide y responde.

Enfoque de riesgo

Riesgo evaluado y documentado (RBA), no intuitivo.

Justifica cada medida.

KYC / KYB

Identidad, titular real y diligencia según riesgo.

La puerta de entrada.

Monitoreo y SARs

Alertas, investigación y comunicación de sospechas.

Detección y reporte.

Conservación

Evidencias y logs conservados y accesibles.

La prueba ante inspección.

Errores frecuentes que restan valor al programa

Casi todos nacen de tener "el papel" sin la operativa y la gobernanza detrás.

  • Un manual sin controles operativos ni técnicos que lo sostengan.
  • Un enfoque basado en riesgo "de cabeza", sin documentar.
  • KYC sin diligencia reforzada para los casos de alto riesgo.
  • Monitoreo sin reglas claras ni evidencias de las alertas.
  • Proveedores (custodios, bridges) sin due diligence ni cláusulas.
Diccionario

Conceptos clave del compliance cripto

Los términos que aparecen una y otra vez al diseñar y auditar un programa de cumplimiento para criptoactivos.

AML/CFTmarco

AML/CFT (PBC/FT)

Prevención del blanqueo de capitales y de la financiación del terrorismo. El núcleo normativo del programa.

Ley 10/2010 en España.
KYCcliente

KYC

Know Your Customer: identificación y verificación del cliente en el onboarding, con evaluación de riesgo.

La puerta de entrada.
KYBempresa

KYB

Know Your Business: verificación de la empresa cliente, su estructura y sus titulares reales (UBO).

Clientes institucionales.
RBAmétodo

Enfoque basado en riesgo

Risk-Based Approach: clasificar clientes y transacciones por riesgo y aplicar medidas proporcionales.

Se documenta, no se intuye.
EDDrefuerzo

Diligencia reforzada

Enhanced Due Diligence: medidas adicionales para relaciones u operaciones de mayor riesgo.

Para alto riesgo.
SARreporte

Operación sospechosa

Comunicación a la autoridad (en España, el SEPBLAC) cuando concurren señales de blanqueo o financiación.

La evalúa el Compliance Officer.
VASPGAFI

VASP

Virtual Asset Service Provider: proveedor de servicios de activos virtuales, según el GAFI.

Exchanges, custodios, brokers.
CASPMiCA

CASP

Proveedor de servicios de criptoactivos según MiCA. El equivalente europeo del VASP.

Sujeto obligado desde 2027.
KYTon-chain

KYT

Know Your Transaction: análisis de riesgo de transacciones y direcciones (clustering, exposición ilícita).

Alimenta las alertas.
sancionesscreening

Screening de sanciones

Cotejo de clientes y direcciones frente a listas OFAC, UE y ONU, con bloqueo de operaciones de riesgo.

Obligación crítica.
COgobernanza

Compliance Officer

Responsable de cumplimiento con autoridad e independencia, que coordina el RBA, las SARs y la relación con supervisores.

Interno o externalizado.
AMLR2027

AMLR

Reglamento (UE) 2024/1624: el "código único" antiblanqueo, aplicable desde el 10 de julio de 2027, que convierte a los CASP en sujetos obligados.

Y la autoridad AMLA.

Autor

Diego Molina

Director de Molina Law Boutique · Regulación financiera, prevención de blanqueo y criptoactivos

Diseño e implantación de programas de compliance para criptoactivos: políticas y manual AML/CFT, enfoque basado en riesgo, KYC/KYB y onboarding, monitoreo on-chain (KYT), Travel Rule, screening de sanciones y SARs, gobernanza y formación, para exchanges, custodios, VASPs y proyectos blockchain, con la vista puesta en MiCA y el nuevo paquete AML de la UE (AMLR/AMLA).

Cuéntanos tu operativa

Dinos qué tipo de entidad eres (exchange, custodio, VASP, DeFi, pasarela fiat-crypto), en qué jurisdicciones operas y qué tienes ya montado. Te decimos por dónde empezar y qué priorizar de cara a 2027.

Compliance para criptomonedas: el marco AML y el paquete de la UE

Un programa de compliance para criptoactivos integra políticas, controles operativos, controles técnicos y gobernanza para cumplir las obligaciones de prevención de blanqueo (AML/CFT), sanciones y protección de datos. En España, la referencia es la Ley 10/2010, bajo la supervisión del SEPBLAC; en la UE, MiCA y la Travel Rule (Reglamento (UE) 2023/1113, aplicable desde diciembre de 2024); y el estándar internacional lo fija el GAFI (FATF).

El nuevo paquete AML de la UE (2027)

El paquete AML europeo tiene tres piezas: el AMLR (Reglamento (UE) 2024/1624), el "código único" de obligaciones, de aplicación directa desde el 10 de julio de 2027, que amplía los sujetos obligados a los proveedores de servicios de criptoactivos (CASP); la sexta directiva (Directiva (UE) 2024/1640), sobre registros, supervisión y sanciones; y el reglamento que crea AMLA (Reglamento (UE) 2024/1620), la nueva autoridad europea con sede en Frankfurt. El SEPBLAC seguirá siendo el interlocutor nacional, bajo la coordinación de AMLA.

Fuentes oficiales

Textos de referencia: AMLR (Reglamento (UE) 2024/1624), Reglamento (UE) 2023/1113 (Travel Rule) y el supervisor nacional, el SEPBLAC. Esta página es informativa y no constituye asesoramiento jurídico; cada entidad debe analizar su caso de forma individual.

AML/CFT Ley 10/2010 MiCA Travel Rule AMLR (UE) 2024/1624 AMLA KYC / KYB SEPBLAC