Exchange y plataforma de intercambio
"Un CEX gestiona onboarding masivo, monitoreo transaccional y reporting. Necesita políticas AML/KYC, reglas de alerta y evidencias para supervisores y para la banca con la que opera."
Diseñamos e implantamos tu programa de compliance para criptoactivos: AML/CFT, KYC/KYB, monitoreo on-chain, Travel Rule, screening de sanciones y reporting (SARs), para exchanges, custodios, VASPs y proyectos blockchain. Un programa operable y defendible, alineado con MiCA, la Ley 10/2010 y el nuevo paquete AML de la UE (AMLR/AMLA).
Consulta gratuita
Te respondemos en menos de 24 h
Un programa de compliance para criptoactivos es un conjunto integrado de políticas, controles, procedimientos y responsabilidades que asegura que una entidad que opera con activos digitales cumple la normativa aplicable: AML/CFT (prevención de blanqueo), sanciones, protección de datos y requisitos sectoriales. No es "un documento": es un sistema operativo con evidencias.
Bien diseñado, minimiza el riesgo regulatorio, facilita la relación con bancos y proveedores, reduce el riesgo de sanciones y protege la reputación. Y llega en el momento clave: el nuevo paquete AML de la UE convierte a los proveedores de servicios de criptoactivos (CASP) en sujetos obligados directos desde 2027, con supervisión reforzada.
De la evaluación de riesgos al reporting: políticas, controles operativos, controles técnicos y gobernanza, adaptados a tu modelo de negocio cripto.
Creamos las políticas, la matriz de riesgos, los procedimientos de monitoreo y las reglas de escalado, adaptadas al modelo de negocio cripto. Es la base para demostrar diligencia ante supervisores.
Diseñamos flujos de verificación documental, biometría y correlación on-chain, con niveles de diligencia según riesgo (incluida la diligencia reforzada, EDD). Reduce fraude y facilita la integración bancaria.
Definimos patrones sospechosos, scoring de direcciones, detección de mixers y triggers para diligencia reforzada o bloqueo temporal, con evidencias para las comunicaciones de operaciones sospechosas.
Asesoramiento e integración técnica para cumplir la transferencia de datos entre proveedores (Reglamento (UE) 2023/1113), con foco en privacidad, seguridad e interoperabilidad transfronteriza.
Revisión de listas OFAC, UE y ONU, controles contractuales y procedimientos de bloqueo para transferencias con riesgo sancionador. Minimiza la exposición legal y reputacional.
Programas formativos para los equipos, auditorías de cumplimiento y ejercicios de simulación de incidentes y de respuesta a SARs. Fortalece la cultura de cumplimiento y la capacidad de respuesta.
Un programa completo se apoya en cuatro capas que trabajan juntas. Cuando falta una, el cumplimiento se vuelve "informal" y se rompe al subir el volumen.
El enfoque basado en riesgo (RBA) combina señales on-chain, off-chain y de producto para clasificar clientes, contrapartes y transacciones, y aplicar la medida proporcional a cada nivel de riesgo.
Si prestas servicios sobre criptoactivos por cuenta de clientes, eres (o serás) sujeto obligado. Un programa de compliance no es opcional: es lo que te permite operar, bancarizarte y crecer.
"Un CEX gestiona onboarding masivo, monitoreo transaccional y reporting. Necesita políticas AML/KYC, reglas de alerta y evidencias para supervisores y para la banca con la que opera."
"La custodia de activos por cuenta de terceros exige controles técnicos robustos, segregación, gestión de accesos y coherencia entre registros on-chain, sistemas internos y contabilidad."
"Operativa multichain, swaps, bridges y protocolos. La clave es un enfoque basado en riesgo con monitoreo on-chain y un marco claro de gestión de proveedores (oráculos, bridges, analytics)."
"Las pasarelas fiat-crypto y los desks OTC concentran riesgo de origen de fondos y de sanciones. Requieren diligencia reforzada, screening y trazabilidad de cada operación de gran importe."
Un programa débil no solo expone a sanciones: cierra puertas con bancos y contrapartes y se rompe al escalar. Estos son los riesgos que más exponen a una entidad cripto.
El paquete AML de la UE convierte a los CASP en sujetos obligados directos desde el 10 de julio de 2027, con supervisión reforzada de AMLA. Anticiparse es la única estrategia razonable.
Evasión de sanciones: un screening deficiente frente a listas OFAC, UE u ONU expone a responsabilidad legal grave y a bloqueos con la banca corresponsal.
Mixers y privacy coins: la exposición a mezcladores y a monedas de anonimato reforzado (que el AMLR restringe desde 2027) dispara el riesgo si no hay controles.
Errores en la Travel Rule: datos incompletos o mal transmitidos entre proveedores generan rechazos, fricción y hallazgos en inspección.
Fallos con proveedores: custodios, oráculos, bridges o integradores sin due diligence ni cláusulas de cumplimiento trasladan su riesgo a tu entidad.
Sin RBA ni evidencias: sin un enfoque basado en riesgo documentado, no puedes justificar tus decisiones ante un supervisor ni ante una auditoría.
Entre MiCA, la Travel Rule y el nuevo paquete AML de la UE, el listón sube. Hacemos el diagnóstico, diseñamos el programa y dejamos las evidencias listas para supervisor y banca.
Toda entidad cripto necesita una función de cumplimiento con autoridad e independencia. La pregunta es cómo dotarla: con un equipo propio o con un Compliance Officer externo especializado.
Frente a un "cumplimiento en papel", lo que marca la diferencia es que el programa sea operable, defendible y proporcional al riesgo, con evidencias por decisión.
Un programa completo y audit-ready, con foco en operativa real y en tu modelo de negocio, y con acompañamiento continuo si lo necesitas.
| Característica | Interno (equipo propio) | Externalizado (Compliance Officer externo) |
|---|---|---|
| Coste | Estructura fija; sube con el tamaño del equipo | Variable y ajustable a la fase del negocio |
| Independencia | Riesgo de presión interna sin buena gobernanza | Externa por diseño, sin conflictos operativos |
| Especialización cripto | Depende del perfil que puedas contratar | Experiencia específica en activos virtuales |
| Escalabilidad | Escala contratando y formando | Escala con el proveedor y sus herramientas |
| Tiempo de puesta en marcha | Selección, formación y curva de aprendizaje | Arranque rápido con metodología probada |
La opción óptima depende del tamaño, la fase y el modelo de negocio: muchas entidades combinan un responsable interno con apoyo externo especializado. Cuadro orientativo; esta página es informativa y no constituye asesoramiento.
Es un conjunto integrado de políticas, controles, procedimientos y responsabilidades que asegura que una entidad que opera con criptoactivos cumple la normativa aplicable (AML/CFT, sanciones, protección de datos y requisitos sectoriales). No es un documento aislado, sino un sistema operativo con evidencias que se pueden demostrar.
Los VASPs (exchanges, custodios, brokers, proveedores de transferencias) y, en general, quien preste servicios sobre criptoactivos por cuenta de clientes. Ya son sujetos obligados de prevención de blanqueo, y el nuevo paquete AML de la UE lo refuerza para los CASP desde 2027.
En España, la Ley 10/2010 (prevención de blanqueo), bajo la supervisión del SEPBLAC. En la UE, MiCA (Reglamento 2023/1114) y la Travel Rule (Reglamento 2023/1113). Y el nuevo paquete AML: el AMLR (Reglamento 2024/1624), la sexta directiva y la autoridad AMLA. El estándar internacional es el GAFI (FATF).
Es la metodología que combina indicadores on-chain, off-chain y de producto para clasificar clientes, contrapartes y transacciones y aplicar medidas proporcionales: diligencia normal, diligencia reforzada (EDD) o bloqueo y escalado. Documentar el RBA permite justificar cada decisión ante supervisores y auditorías.
Verificación de identidad del cliente (KYC) o de la empresa y sus titulares reales (KYB), segmentada por tipo (retail, institucional, OTC, market-maker). Combina verificación documental, biometría y correlación on-chain, con evaluación jurisdiccional, screening de PEP e identificación de beneficiarios finales, y procedimientos de diligencia reforzada para casos de mayor riesgo.
Una SAR es una comunicación de operación sospechosa a la autoridad competente (en España, el SEPBLAC). Se eleva cuando concurren señales de blanqueo o financiación del terrorismo (interacción con direcciones sancionadas, movimientos cross-chain para ocultar trazabilidad, importes elevados sin justificar). El Compliance Officer evalúa la evidencia técnica y jurídica antes de comunicarla, preservando la confidencialidad.
Sí. Conviene designar un Compliance Officer con autoridad e independencia y experiencia en activos virtuales, que coordine el enfoque basado en riesgo, las SARs, la relación con supervisores y la formación del equipo. Puede ser interno o externalizarse en un tercero especializado para reforzar la independencia y acelerar la puesta en marcha.
El AMLR (Reglamento (UE) 2024/1624) es el "código único" antiblanqueo de la UE, de aplicación directa desde el 10 de julio de 2027. Convierte a los CASP en sujetos obligados directos, refuerza el KYC y la titularidad real, restringe las cuentas anónimas y las privacy coins, y fija un límite de efectivo de 10.000 €. Anticipar el programa es la única estrategia razonable.
Depende del modelo de negocio (exchange, custodio, DeFi), del volumen, del número de jurisdicciones y del nivel de automatización. Trabajamos con un alcance definido tras un diagnóstico inicial; escríbenos para un presupuesto ajustado.
Depende del alcance, pero un programa base (diagnóstico, manual, políticas y flujos) suele estar operativo en pocas semanas. Lo que más se prolonga es la integración técnica del monitoreo, las pruebas end-to-end y la formación de los equipos.
VASP (Virtual Asset Service Provider) es el término del GAFI para los proveedores de servicios de activos virtuales. CASP (Crypto-Asset Service Provider) es el término equivalente en la UE bajo MiCA. En la práctica se refieren a los mismos actores: exchanges, custodios, brokers y proveedores de transferencias.
Es el cotejo de clientes, contrapartes y direcciones frente a las listas de sanciones (OFAC de EE. UU., de la UE y de la ONU) para detectar y bloquear operaciones con riesgo sancionador. Es una obligación crítica: su incumplimiento genera responsabilidad legal grave y bloqueos con la banca corresponsal.
Sí, en las plataformas reguladas. El AMLR prohíbe, desde 2027, las cuentas de criptoactivos anónimas y las monedas de anonimato reforzado (como Monero o Zcash) en los proveedores autorizados de la UE, que deberán identificar plenamente a sus clientes.
Se complementan: MiCA regula los servicios y emisores; la Travel Rule regula la información que acompaña a cada transferencia; y el paquete AML fija las obligaciones de prevención de blanqueo. Un buen programa de compliance las integra en un único sistema.
El KYT (Know Your Transaction) es el análisis de riesgo de las transacciones y direcciones: clustering, exposición a fondos ilícitos (hacks, ransomware, sanciones), detección de mixers y scoring. Es la capa técnica que alimenta las alertas y las evidencias del programa.
AMLA es la nueva Autoridad Europea de Lucha contra el Blanqueo, con sede en Frankfurt, creada por el Reglamento (UE) 2024/1620. Coordinará a los supervisores nacionales y supervisará directamente a un grupo de entidades de alto riesgo (incluidos grandes CASP) a partir de 2027-2028.
No. El SEPBLAC sigue siendo la Unidad de Inteligencia Financiera de España y el interlocutor principal para los sujetos obligados, ahora bajo la coordinación técnica de AMLA. Es un modelo de doble nivel: supervisión europea y supervisión nacional con el mismo listón regulatorio.
Montarlo no es redactar un manual: es evaluar el riesgo, diseñar controles, dotar la gobernanza y dejar evidencias. El orden importa y cada capa se apoya en la anterior.
Un manual sin controles operativos ni técnicos no protege. Lo que sostiene el cumplimiento es la operativa real: onboarding, monitoreo, alertas y evidencias.
El enfoque basado en riesgo no es intuición: es un scoring con factores definidos y decisiones registradas, que permite justificar cada medida ante un supervisor.
Sin Compliance Officer con autoridad ni procesos de escalado, las políticas no se convierten en decisiones. La gobernanza es lo que hace que el sistema funcione.
¿Quieres situarlo en el marco completo? Mira el nuevo paquete AML (AMLR), la Travel Rule y la licencia CASP (MiCA).
Construimos el programa como una secuencia ordenada (diagnóstico y RBA, políticas, KYC y monitoreo, Travel Rule y sanciones y gobernanza y formación) sin bloquear tu operativa.
1) Diagnóstico + RBAAnalizamos tu modelo de negocio, tus flujos y tus contrapartes, y construimos la matriz de riesgos que guía todo el programa.
2) PolíticasRedactamos el manual AML/CFT y los procedimientos operativos: datos, validaciones, escalados, bloqueos y conservación de evidencias.
3) KYC + monitoreoDiseñamos el onboarding escalado por riesgo y las reglas de monitoreo on-chain (KYT), con triggers para diligencia reforzada o bloqueo.
4) Travel Rule + sancionesIntegramos la transferencia de datos entre proveedores, el screening de sanciones (OFAC, UE, ONU) y el procedimiento de comunicación de operaciones sospechosas.
Decisión rápidaOnboarding masivo, monitoreo y reporting: programa completo con automatización.
Foco en controles técnicos, segregación y coherencia contable.
Enfoque basado en riesgo, monitoreo on-chain y gestión de proveedores.
Compliance Officer con autoridad y comités de control.
Quién decide y responde.
Riesgo evaluado y documentado (RBA), no intuitivo.
Justifica cada medida.
Identidad, titular real y diligencia según riesgo.
La puerta de entrada.
Alertas, investigación y comunicación de sospechas.
Detección y reporte.
Evidencias y logs conservados y accesibles.
La prueba ante inspección.
Casi todos nacen de tener "el papel" sin la operativa y la gobernanza detrás.
Los términos que aparecen una y otra vez al diseñar y auditar un programa de cumplimiento para criptoactivos.
Prevención del blanqueo de capitales y de la financiación del terrorismo. El núcleo normativo del programa.
Know Your Customer: identificación y verificación del cliente en el onboarding, con evaluación de riesgo.
Know Your Business: verificación de la empresa cliente, su estructura y sus titulares reales (UBO).
Risk-Based Approach: clasificar clientes y transacciones por riesgo y aplicar medidas proporcionales.
Enhanced Due Diligence: medidas adicionales para relaciones u operaciones de mayor riesgo.
Comunicación a la autoridad (en España, el SEPBLAC) cuando concurren señales de blanqueo o financiación.
Virtual Asset Service Provider: proveedor de servicios de activos virtuales, según el GAFI.
Proveedor de servicios de criptoactivos según MiCA. El equivalente europeo del VASP.
Know Your Transaction: análisis de riesgo de transacciones y direcciones (clustering, exposición ilícita).
Cotejo de clientes y direcciones frente a listas OFAC, UE y ONU, con bloqueo de operaciones de riesgo.
Responsable de cumplimiento con autoridad e independencia, que coordina el RBA, las SARs y la relación con supervisores.
Reglamento (UE) 2024/1624: el "código único" antiblanqueo, aplicable desde el 10 de julio de 2027, que convierte a los CASP en sujetos obligados.
Dinos qué tipo de entidad eres (exchange, custodio, VASP, DeFi, pasarela fiat-crypto), en qué jurisdicciones operas y qué tienes ya montado. Te decimos por dónde empezar y qué priorizar de cara a 2027.
Un programa de compliance para criptoactivos integra políticas, controles operativos, controles técnicos y gobernanza para cumplir las obligaciones de prevención de blanqueo (AML/CFT), sanciones y protección de datos. En España, la referencia es la Ley 10/2010, bajo la supervisión del SEPBLAC; en la UE, MiCA y la Travel Rule (Reglamento (UE) 2023/1113, aplicable desde diciembre de 2024); y el estándar internacional lo fija el GAFI (FATF).
El paquete AML europeo tiene tres piezas: el AMLR (Reglamento (UE) 2024/1624), el "código único" de obligaciones, de aplicación directa desde el 10 de julio de 2027, que amplía los sujetos obligados a los proveedores de servicios de criptoactivos (CASP); la sexta directiva (Directiva (UE) 2024/1640), sobre registros, supervisión y sanciones; y el reglamento que crea AMLA (Reglamento (UE) 2024/1620), la nueva autoridad europea con sede en Frankfurt. El SEPBLAC seguirá siendo el interlocutor nacional, bajo la coordinación de AMLA.
Textos de referencia: AMLR (Reglamento (UE) 2024/1624), Reglamento (UE) 2023/1113 (Travel Rule) y el supervisor nacional, el SEPBLAC. Esta página es informativa y no constituye asesoramiento jurídico; cada entidad debe analizar su caso de forma individual.