La paradoja descentralizada del AML, Parte 1: fragmentación

La paradoja descentralizada del AML, Parte 1: fragmentación, sobrecumplimiento y subjetividad del riesgo

Introducción: cumplimiento financiero descentralizado

El sector europeo de pagos está sometido a una presión doble. Los reguladores exigen controles más sólidos contra el blanqueo de capitales y la financiación del terrorismo, mientras el volumen de pagos digitales crece más rápido que la capacidad de muchos sistemas heredados de cumplimiento. En 2023, se estima que circularon 3,1 billones de dólares de fondos ilícitos por el sistema financiero mundial; Europa concentró aproximadamente 750.200 millones de dólares en flujos ilícitos transfronterizos y más de 103.600 millones de dólares en pérdidas por fraude.

$3.1T

Fondos ilícitos globales

Estimación de fondos ilícitos movidos por el sistema financiero mundial en 2023.

$750.2B

Exposición transfronteriza europea

Estimación de la cuota europea en flujos ilícitos transfronterizos.

$103.6B

Pérdidas por fraude

Pérdidas por fraude asociadas al entorno europeo de delitos financieros.

Desglose de datos

Componentes seleccionados de la exposición europea a delitos financieros en 2023

Importes reportados por Nasdaq Verafin para Europa en 2023. Fuente: Financial Crime Insights: Europe.

Tráfico de drogas178

$178.0B de actividad estimada

Fraude103.6

$103.6B de exposición estimada a fraude

Trata de personas82.2

$82.2B de actividad estimada

Financiación del terrorismo2.7

$2.7B de actividad estimada

La respuesta regulatoria ha sido una red densa de obligaciones AML/CFT. Esos controles son necesarios, pero generan fricción cuando se aplican de forma desigual. Pagos legítimos se retrasan, clientes de bajo riesgo quedan sometidos a controles excesivos y muchas empresas de pagos descubren que su crecimiento depende del apetito de riesgo de bancos, supervisores y equipos internos de cumplimiento.

El origen del problema está en el modelo regulatorio descentralizado que la Unión Europea utilizó durante años. Directivas como AMLD4, AMLD5 y AMLD6 fijaban objetivos comunes, pero obligaban a los Estados miembros a transponerlos a su derecho nacional. Ese enfoque produjo un mosaico de normas, prácticas supervisoras y expectativas de control que no siempre encajan entre sí dentro del Mercado Único.

El resultado fue arbitraje regulatorio, tratamiento desigual de riesgos similares y una carga operativa muy pesada para los compliance officers. El enfoque basado en riesgo debía hacer el AML más eficiente. En la práctica, muchas veces traslada decisiones ambiguas a personas que soportan consecuencias institucionales y personales si se equivocan.

Esta primera parte analiza los mecanismos que explican esa tensión: aplicación nacional fragmentada, gestión desigual de países de alto riesgo, costes crecientes, falsos positivos, escasez de talento, apetito de riesgo subjetivo, de-risking y casos de enforcement en los que el crecimiento superó la capacidad de control.

Los controles AML no son opcionales. La escala de los fondos ilícitos, la evasión de sanciones, el fraude, la financiación del terrorismo y el uso de sistemas de pago por redes criminales hacen indispensable el cumplimiento financiero. El problema es que el sector europeo de pagos ha intentado proteger un mercado rápido, transfronterizo y casi en tiempo real con una arquitectura de cumplimiento fragmentada, lenta, nacionalmente desigual y muy dependiente de interpretación individual.

Esa arquitectura produce incoherencias de mercado fáciles de malinterpretar. No siempre aparecen como incumplimiento claro. A menudo aparecen como cumplimiento contradictorio: una entidad rechaza a un cliente que otra acepta; un regulador tolera un diseño de producto que otro cuestiona; un banco patrocinador acepta un proceso KYB que otro considera insuficiente; un compliance officer ve un corredor de pagos como gestionable y otro lo trata como inadmisible.

El problema AML del sector europeo de pagos es legal, tecnológico y organizativo al mismo tiempo. El mismo enfoque basado en riesgo que da flexibilidad a las entidades también concede mucha discreción a los equipos de cumplimiento. Cuando esa discreción se ejerce bajo amenaza de multas, restricciones de licencia, responsabilidad personal y daño reputacional, la decisión interna más segura suele ser el sobrecumplimiento defensivo.

La paradoja central: los controles AML son esenciales, pero una aplicación fragmentada puede convertir controles de riesgo necesarios en fricción de pagos, exclusión de clientes y poder de veto subjetivo.

Origen de la fragmentación regulatoria

El sector europeo de pagos vive una transformación profunda porque el régimen descentralizado anterior no produjo resultados consistentes. La transposición nacional generó diferencias en due diligence de clientes, monitorización transaccional, reporting de operaciones sospechosas y enforcement supervisor.

En un mercado de pagos interconectado, esa estructura está tensionada por diseño. Los rails de pago cruzan fronteras de forma instantánea, mientras las obligaciones de cumplimiento siguen vinculadas a licencias nacionales, interpretaciones locales y políticas internas de riesgo.

Enforcement nacional divergente

Las revisiones de la Autoridad Bancaria Europea han señalado de forma recurrente la desigualdad de la supervisión AML/CFT en jurisdicciones de la UE y del EEE. Aunque muchas autoridades nacionales han mejorado sus estrategias y planes supervisores, la variación de fondo sigue siendo relevante.

El tratamiento de los IBAN virtuales es un buen ejemplo. Distintas autoridades competentes han interpretado de forma diferente sus características, el Reglamento SEPA y los estándares ISO aplicables. Esa inconsistencia crea puntos ciegos que los actores ilícitos pueden utilizar para estratificar y ocultar fondos mediante arbitraje jurisdiccional.

Algo parecido ocurre con los criptoactivos. Los reguladores pueden compartir preocupaciones generales, pero las obligaciones legales, la intensidad supervisora y la implementación institucional divergen. Para un proveedor de pagos que opera en varios países, el resultado práctico es incertidumbre: el mismo producto o flujo de cliente puede ser aceptable en una jurisdicción y estar muy restringido en otra.

Esto importa porque las empresas de pagos no operan en silos nacionales limpios. Una entidad licenciada en un Estado miembro puede servir a comercios, plataformas, consumidores, contrapartes y bancos de muchos otros. Su modelo puede incluir cuentas de salvaguarda, acuerdos corresponsales, proveedores externalizados, esquemas de tarjetas, rails SEPA, estructuras de IBAN virtual, embedded finance y exposición cripto. Cada capa añade otro supervisor, otro apetito de riesgo contractual u otro estándar interpretativo.

El marco basado en directivas creó dos niveles de fragmentación. El primero fue formal: leyes nacionales distintas, canales de reporting, registros, prácticas supervisoras y tradiciones de enforcement diferentes. El segundo fue informal: estándares privados impuestos por bancos socios, redes de pago, auditores, inversores y consejos de administración. Una fintech podía cumplir la ley y aun así no poder operar porque su banco patrocinador aplicaba un estándar interno más estricto.

Por eso el arbitraje regulatorio no fue solo una estrategia de malos actores buscando jurisdicciones débiles. También se convirtió en una realidad comercial para firmas legítimas que necesitaban una licencia, un banco socio y una postura supervisora compatibles con su modelo. El Mercado Único prometía servicios financieros pasaportables. En la práctica, la implementación AML hizo que ese pasaporte dependiera de interpretaciones locales.

Países de alto riesgo y ejecución local

Los pagos transfronterizos vinculados a países terceros de alto riesgo muestran la misma debilidad. La normativa europea exige diligencia reforzada cuando una relación de negocio o transacción involucra jurisdicciones con deficiencias estratégicas AML/CFT. La base está muy influida por la lista gris del FATF, mientras la Comisión Europea actualiza la lista de alto riesgo de la UE mediante reglamentos delegados.

Por ejemplo, los reglamentos delegados que entran en vigor el 29 de enero de 2026 añadieron Bolivia, las Islas Vírgenes Británicas y la Federación Rusa a la lista europea de alto riesgo. Burkina Faso, Mali, Mozambique, Nigeria, Sudáfrica y Tanzania fueron retirados tras avanzar en sus planes de acción.

Estado de jurisdicción	Países relevantes	Fecha efectiva en la UE	Consecuencia operativa
Añadidos a la lista de alto riesgo	Bolivia, Islas Vírgenes Británicas, Federación Rusa	29 de enero de 2026	Diligencia reforzada obligatoria y monitorización intensificada
Retirados de la lista	Burkina Faso, Mali, Mozambique, Nigeria, Sudáfrica, Tanzania	29 de enero de 2026	Posible desescalada, aunque el apetito de riesgo institucional puede seguir siendo conservador
Mantenidos en la lista	Afganistán, Irán, Siria, DPRK, Vanuatu, Yemen y otros	Continuo	Escrutinio máximo y posible de-risking

Jurisdicciones añadidas

Bolivia, las Islas Vírgenes Británicas y la Federación Rusa fueron añadidas a la lista europea de alto riesgo con efecto el 29 de enero de 2026.

Jurisdicciones retiradas

Burkina Faso, Mali, Mozambique, Nigeria, Sudáfrica y Tanzania fueron retiradas tras avances en sus planes de acción.

Jurisdicciones listadas

La lista europea modificada alcanzó 26 jurisdicciones tras la actualización de enero de 2026.

La lista es centralizada, pero su ejecución no lo es. "Vigilancia reforzada" puede significar una cosa para un procesador licenciado en Alemania y otra para una entidad similar en Malta o Chipre. Una firma puede exigir varias capas de prueba de origen de fondos; otra puede apoyarse en controles automatizados. Ambas pueden afirmar que cumplen el mismo requisito.

Ese es el efecto práctico del AML descentralizado: escenarios de riesgo similares producen resultados distintos según la geografía de licencia, las expectativas del banco socio y la cultura de riesgo del área de cumplimiento.

El problema se agudiza cuando las listas cambian. Una jurisdicción recién añadida no exige solo actualizar una política. Puede obligar a modificar cuestionarios de onboarding, lógica de scoring, reglas de screening, plantillas de comunicación, flujos de diligencia reforzada, colas de case management y reporting al consejo. Si la empresa opera en varios mercados, cada equipo local puede interpretar el cambio de forma diferente.

La retirada de una lista tampoco funciona de forma simétrica. Una jurisdicción puede quedar formalmente desescalada, pero muchas entidades no reducirán controles de inmediato. Seguirán tratándola como alto riesgo por inercia de política interna, expectativas del banco patrocinador, experiencia histórica o miedo a que un supervisor cuestione después la decisión. En teoría, salir de la lista debería reducir fricción. En la práctica, la memoria institucional del riesgo puede persistir mucho más que el detonante legal.

Esa asimetría alimenta el sobrecumplimiento. Las escaladas son rápidas porque son defensivas. Las desescaladas son lentas porque requieren que alguien acepte riesgo. En un entorno fragmentado, pocos compliance officers reciben reconocimiento por hacer el comercio más fluido. Muchos son juzgados con dureza si un incidente posterior hace que su decisión parezca permisiva.

El coste del cumplimiento

El cumplimiento AML ya no es un coste de fondo. Afecta a la rentabilidad, al diseño de producto y al acceso al mercado de las empresas de pagos.

Los estudios del sector sitúan el coste anual del cumplimiento de delitos financieros en Europa, Oriente Medio y África en 85.000 millones de dólares. Casi todas las entidades encuestadas reportaron incrementos de costes, y una amplia mayoría afirmó que reducirlos se había convertido en una prioridad estratégica.

Los motores son claros. La regulación se expande, los sistemas heredados de monitorización encajan mal con los pagos digitales en tiempo real y el volumen de alertas crece junto con el volumen de transacciones. Alrededor del 78% de las firmas de EMEA afirma que las cargas de screening y alertas aumentan en paralelo al volumen de pagos.

Carga regulatoria vs fricción de onboarding

Volumen seleccionado de texto legal AML/cripto de la UE y benchmarks de KYC

El recuento acumulado de páginas de actos legales seleccionados se muestra junto a benchmarks de KYC/onboarding. Los puntos son referencias de encuestas o industria, no una media anual europea.

Cumulative selected EU legal text, OJ pagesKYC/onboarding friction benchmark, days

300225150750

705335180

2015

AMLD4

2016

Base AMLD4

2017

Base AMLD4

2018

AMLD5 + directiva penal AML

2022

Base previa a MiCA

2023

TFR + MiCA

Fuentes: rangos de páginas del Diario Oficial en EUR-Lex para los actos seleccionados; encuesta KYC 2016 de Thomson Reuters; cobertura de The Global Treasurer sobre KYC en 2017; datos de tendencias KYC de Fenergo.

Para los proveedores de servicios de pago, el problema de coste es especialmente agudo porque los márgenes suelen ser estrechos y dependen del volumen. Un banco tradicional puede absorber costes de cumplimiento entre crédito, depósitos, wealth management, tesorería y banca corporativa. Una empresa de pagos puede depender de comisiones por transacción, interchange, suscripciones o spreads de embedded finance. Si las alertas crecen con los pagos pero los costes de personal crecen más rápido que los ingresos, el modelo se vuelve frágil.

Esto crea una trampa. Las firmas necesitan escala para sobrevivir, pero la escala genera más alertas, revisiones de onboarding, controles de sanciones, refresh de clientes, excepciones de política y evidencia para auditoría. Si la arquitectura de control no escala, crecer se convierte en un riesgo regulatorio. Una empresa puede captar clientes más rápido de lo que puede entenderlos.

Los sistemas heredados intensifican la trampa. Muchos motores de monitorización fueron diseñados para entornos bancarios más lentos, donde el procesamiento por lotes y la revisión retrospectiva eran aceptables. Los pagos modernos requieren decisiones en tiempo real o casi real sobre tarjetas, pagos instantáneos, wallets, transferencias transfronterizas, payouts de marketplaces, acquiring, flujos cripto y embedded finance. Un motor estático basado en umbrales rígidos no encaja bien en ese entorno.

Escasez de talento en cumplimiento

El lado humano también está tensionado. El sector sufre una falta de profesionales de AML, KYC, sanciones y delitos financieros. Algunas encuestas indican que el 43% de los bancos globales tiene trabajo regulatorio crítico sin hacer por falta de personal, mientras que las vacantes senior de cumplimiento pueden permanecer abiertas alrededor de 18 meses.

Reto de recursos	Impacto cuantificable	Consecuencia operativa
Gasto macroeconómico	85.000 millones de dólares de coste total de cumplimiento en EMEA	Capital desviado de innovación hacia defensa regulatoria
Aumento de alertas	78% de firmas EMEA reporta cargas crecientes con el volumen de pagos	Fatiga de alertas, retrasos de onboarding y cuellos de botella
Déficit de talento	Vacantes senior pueden durar unos 18 meses	Marcos de control insuficientemente gestionados
Trabajo regulatorio pendiente	43% de bancos globales reporta tareas regulatorias sin completar	Mayor riesgo de auditorías, multas y remediación
Relación con enforcement	Muchos responsables de cumplimiento vinculan hallazgos a falta de personal	La escasez de talento se convierte en riesgo regulatorio directo

En centros como Luxemburgo, Ámsterdam y Fráncfort, la competencia por talento de cumplimiento ha impulsado salarios y poaching. Cuando los equipos no pueden cubrirse, crecen los atrasos, se incumplen plazos de onboarding y cae la calidad de las investigaciones.

La escasez de talento también cambia el equilibrio interno de poder. Un compliance officer senior sólido es caro y difícil de reemplazar. Algunas firmas toleran decisiones muy conservadoras porque perder a esa persona sería peor que aceptar fricción comercial. Otras dejan a perfiles poco experimentados interpretar reglas complejas porque no consiguen contratar. Ambos resultados son arriesgados.

El problema no es solo de headcount. El trabajo AML exige criterio: entender estructuras de propiedad, patrones de evasión de sanciones, tipologías, rails de pago, evidencia de origen de fondos, comportamiento de cliente y expectativas supervisoras. Ese conocimiento tarda en construirse. Cuando los analistas expertos se van, la entidad pierde memoria institucional sobre escalados, ajustes de modelos, feedback regulatorio y patrones de riesgo.

Por eso la falta de personal afecta directamente al riesgo de enforcement. Los atrasos no solo ralentizan el negocio. Pueden retrasar reportes de actividad sospechosa, debilitar la diligencia reforzada, reducir la calidad de los refresh de clientes y crear pistas de auditoría que muestran que la firma sabía que había trabajo vencido. En AML, el retraso operativo puede convertirse en evidencia legal.

La escasez de talento no es solo un problema de recursos humanos. En AML, la falta de personal puede convertirse en evidencia de fallo de control cuando alertas, revisiones y reportes superan los plazos de política.

Falsos positivos y cuellos de botella de pagos

La consecuencia operativa más visible es el cuello de botella de pagos: liquidez legítima queda retenida porque una transacción pasa a revisión de cumplimiento. Esto puede crear problemas de caja para negocios que dependen de liquidaciones previsibles.

Los falsos positivos son el mecanismo principal. En screening de sanciones y monitorización transaccional, un falso positivo ocurre cuando un cliente o transacción legítima se marca incorrectamente como sospechosa. Los sistemas heredados basados en reglas usan umbrales estáticos, coincidencias rígidas de palabras clave y similitud simple de nombres. A menudo no entienden el contexto.

Las tasas de falsos positivos en entornos tradicionales superan con frecuencia el 90%. Eso significa que la mayor parte de las alertas consume tiempo de analistas sin identificar riesgo real. Cada alerta innecesaria aparta capacidad escasa de tipologías genuinas de delito financiero y aumenta la probabilidad de que casos importantes se gestionen tarde o mal.

Los falsos positivos no son inocuos. Congelan dinero, frustran clientes, ralentizan onboarding, aumentan abandono y generan conflicto interno entre producto, operaciones y cumplimiento. Un comercio que espera liquidación puede vivir un bloqueo de cumplimiento como un shock de liquidez. Un autónomo o una pyme puede no tener forma práctica de aportar la documentación solicitada en plazo. Un retraso en payouts de una plataforma puede derivar en daño reputacional para la propia plataforma.

Las consecuencias institucionales son igual de serias. Tasas elevadas de falsos positivos normalizan el cierre de alertas. Los analistas se acostumbran a alertas de baja calidad, lo que aumenta el riesgo de tratar una tipología real como ruido rutinario. Los managers responden con objetivos de productividad, que pueden incentivar cierres rápidos en vez de análisis profundo. Los reguladores revisan después si las alertas se investigaron con suficiente cuidado, si los umbrales eran adecuados y si la firma reportó a tiempo.

Esta es la lógica circular de la tecnología de cumplimiento débil: malas reglas generan demasiadas alertas; demasiadas alertas crean backlog; el backlog presiona para cerrar rápido; los cierres apresurados reducen calidad; la mala calidad atrae crítica supervisora; la crítica supervisora lleva a añadir más reglas; más reglas generan más alertas.

Los cuellos de botella de pagos son la expresión económica de ese ciclo. No son solo problemas internos de workflow. Son puntos en los que la incertidumbre de cumplimiento se convierte en liquidez retrasada.

El papel del compliance officer

El marco legal exige que las firmas apliquen un enfoque basado en riesgo. En teoría, esto permite asignar recursos de forma eficiente: diligencia reforzada para vectores de alto riesgo y tratamiento más ligero para actividad de bajo riesgo.

En la práctica, el riesgo de delito financiero es difícil de cuantificar. La guía regulatoria suele ser de principios, y el tratamiento específico de un cliente, corredor, producto o patrón transaccional depende del apetito de riesgo interno. Ese apetito lo interpretan personas que trabajan bajo presión.

La teoría de elección racional ayuda a explicar por qué los compliance officers tienden a posiciones defensivas. El coste de ser demasiado permisivo puede incluir multas, restricciones de licencia, daño reputacional y responsabilidad personal. El coste de ser demasiado conservador suele recaer en clientes, equipos de producto o líneas de ingresos. Con esos incentivos, el sobrecumplimiento puede ser racional incluso cuando daña el negocio.

Por eso dos empresas de pagos pueden enfrentarse al mismo caso y tomar decisiones opuestas. Un líder de cumplimiento cómodo con analítica de comportamiento y monitorización dinámica puede aprobar un producto transfronterizo con controles específicos. Otro más conservador puede bloquearlo por completo. Ambos pueden creer que aplican el enfoque basado en riesgo.

El riesgo existe en ambas direcciones. El sobrecumplimiento puede bloquear actividad legítima, pero la presión comercial arbitraria sobre cumplimiento puede ser igual de dañina. Casos de enforcement han demostrado que limitar alertas o suprimir indicadores de riesgo de forma mecánica para limpiar backlogs puede tener consecuencias regulatorias. Cumplimiento no puede tratarse como una cuota a minimizar; necesita autoridad y recursos para operar con honestidad.

La posición del compliance officer es difícil. Los equipos de negocio suelen verlo como un freno. Los reguladores lo ven como primera línea de defensa de la institución. Los consejos esperan que proteja la licencia sin destruir el crecimiento. Los bancos patrocinadores esperan que las fintechs absorban controles estrictos. Los clientes esperan acceso instantáneo y poca fricción.

Ninguna persona puede satisfacer todas esas expectativas solo con juicio individual. Sin embargo, en muchas firmas, el enfoque basado en riesgo acaba convertido en discreción personal porque la institución no ha invertido en declaraciones claras de apetito de riesgo, datos fiables, analítica defendible, rutas de escalado documentadas y ownership a nivel de consejo. En ese vacío, la personalidad ocupa el espacio.

Un líder pragmático puede aceptar riesgo gestionado si los controles son medibles y están respaldados por evidencia. Uno más defensivo puede preferir prohibiciones categóricas, documentación extensa y firma manual. Uno menos experimentado puede copiar lo que exige el banco patrocinador. Uno presionado puede estrechar silenciosamente el embudo de alertas para que la operación siga funcionando. Cada enfoque produce un resultado empresarial distinto bajo el mismo marco legal.

La subjetividad importa porque los incentivos apuntan en direcciones distintas. La ley pide proporcionalidad. La institución pide crecimiento. El regulador pide defensibilidad. El compliance officer, ante un downside asimétrico, suele elegir la opción que mejor se defiende a posteriori, no necesariamente la que mejor equilibra riesgo y acceso en tiempo real.

En un sistema AML fragmentado, el compliance officer se convierte en el intérprete práctico del Mercado Único. La misma transacción puede tratarse como riesgo gestionable, riesgo excesivo o riesgo inaceptable según la psicología institucional.

De-risking: cuando la seguridad se convierte en exclusión

La manifestación más clara de un apetito de riesgo conservador es el de-risking. En vez de gestionar riesgos concretos de clientes, las entidades terminan o restringen categorías enteras de clientes, geografías o modelos de negocio porque resultan demasiado costosos o complejos de monitorizar.

La Autoridad Bancaria Europea ha identificado el de-risking como un problema relevante para consumidores, junto con el fraude en pagos y el endeudamiento. Personas y negocios legítimos encuentran cada vez más dificultades para abrir o mantener cuentas de pago, aunque esas cuentas sean esenciales para participar en la economía.

La carga cae con fuerza sobre poblaciones vulnerables, organizaciones sin ánimo de lucro que operan en zonas de mayor riesgo, pymes con cadenas de suministro transfronterizas, freelancers, nómadas digitales y entidades de pago no bancarias que dependen de bancos patrocinadores.

También existe una brecha entre percepción regulatoria y realidad de mercado. Algunos informes supervisores sugieren que el de-risking injustificado disminuye. Los participantes del mercado describen otra realidad: las redes de banca corresponsal siguen reduciéndose, los PSP no bancarios tienen dificultades para mantener relaciones bancarias y los bancos patrocinadores imponen requisitos que van mucho más allá del mínimo legal.

Esto es gold-plating: implementar controles que superan los requisitos legales porque la institución quiere evitar cualquier exposición plausible a enforcement. Para fintechs, puede ser existencial. Una firma puede diseñar un onboarding digital y proporcional, solo para descubrir que su banco socio exige controles más estrictos que la propia ley.

El de-risking es especialmente dañino porque desplaza el riesgo fuera de canales visibles y regulados. Cuando clientes legítimos pierden acceso a servicios de pago principales, pueden recurrir a redes informales, intermediarios poco supervisados, estructuras intensivas en efectivo o proveedores offshore. El riesgo original no desaparece. Se vuelve más difícil de observar.

Las organizaciones sin ánimo de lucro ilustran bien el problema. Una ONG que opera en o cerca de una zona de conflicto puede tener un propósito humanitario claro, pero su geografía, contrapartes y patrones de flujo de fondos activan escrutinio reforzado. Un banco puede decidir que los ingresos de la relación no justifican la carga de monitorización. La organización queda excluida no porque sea criminal, sino porque resulta operativamente incómoda.

Las pymes afrontan un problema parecido en comercio transfronterizo. Un pequeño importador que trata con proveedores de una región de mayor riesgo puede recibir solicitudes de documentación que no puede obtener de forma realista, especialmente cuando la propiedad del proveedor, los registros locales o los datos bancarios son incompletos. El enfoque basado en riesgo permite matices en teoría. En la práctica, la institución puede rechazar la relación.

Para PSP no bancarios, el problema se amplifica por la dependencia de bancos patrocinadores y cuentas de salvaguarda. El área de cumplimiento del banco puede imponer reglas que la fintech debe trasladar a sus propios clientes. La fintech se convierte entonces en la cara operativa de un apetito de riesgo que no controla del todo. Esto vuelve inestable el diseño de producto: un flujo de onboarding que funciona hoy puede fallar mañana si el banco cambia su interpretación.

El de-risking puede empujar actividad legítima fuera de canales visibles y regulados. El riesgo no se elimina; se desplaza hacia rutas de pago menos transparentes.

Casos de enforcement

Los casos recientes muestran que ni la innovación ni la escala protegen a una firma cuyos controles de delitos financieros no crecen al ritmo del negocio.

Los bancos digitales han recibido multas cuando la adquisición de clientes superó la capacidad de screening de sanciones y monitorización. Starling Bank recibió una sanción de la FCA después de que su screening automatizado no escalara con el rápido crecimiento de usuarios. Revolut recibió una multa en Lituania por protocolos AML insuficientes. Estos casos muestran que una capa superficial de cumplimiento añadida después del crecimiento no basta.

Patrón de fallo de crecimiento a toda costa: las entidades financieras digitales pueden adquirir clientes más rápido de lo que sus sistemas AML pueden clasificar, monitorizar y documentar el riesgo. Los reguladores tratan cada vez más ese desajuste como un fallo de gobernanza, no como una excusa de escala.

Sector	Patrón principal de fallo
Exchanges de criptoactivos	Transmisión sin licencia, exposición a jurisdicciones sancionadas, reporting débil
Banca tradicional	Sistemas que no escalan, señales ignoradas, escenarios de monitorización obsoletos
Pagos y fintech	Fallos de screening de sanciones, advertencias internas ignoradas, CDD insuficiente

El escándalo de la EMI lituana ilustra el peligro del arbitraje regulatorio. Lituania construyó un entorno favorable a fintechs, pero el crecimiento no estuvo acompañado por una profundidad supervisora equivalente. Una EMI licenciada habría facilitado alrededor de 2.000 millones de euros en blanqueo mediante sociedades pantalla y redes criminales. El caso muestra cómo una brecha supervisora local puede convertirse en vulnerabilidad europea cuando una licencia da acceso a los rails SEPA.

La acción contra TD Bank en Estados Unidos añadió otra lección para las instituciones europeas. La sanción económica fue grande, pero el asset cap fue más dañino estratégicamente. Al limitar el crecimiento, los reguladores mostraron que los fallos AML pueden desencadenar restricciones operativas, no solo multas. Los supervisores europeos lo han observado, y las entidades de pago se enfrentan cada vez más a restricciones de onboarding, presión sobre licencias y límites de modelo de negocio cuando sus controles no son creíbles.

Para las firmas europeas de pagos, la lección es clara. Los reguladores ya no se conforman con políticas correctas sobre el papel. Esperan controles que escalen con el negocio, escenarios de monitorización mantenidos, alertas investigadas, actividad sospechosa reportada y gobernanza capaz de identificar brechas de recursos antes de que se vuelvan sistémicas.

El modelo de "crecimiento a toda costa" es incompatible con pagos regulados. Una empresa no puede tratar AML como una capa operativa tardía añadida tras encontrar product-market fit. En pagos, el cumplimiento forma parte de la estructura portante del producto. Determina qué clientes pueden servirse, qué corredores pueden abrirse, qué bancos socios participarán, qué licencias se mantendrán y qué riesgo aceptarán los inversores.

El escándalo lituano también muestra que tener licencia formal no basta. Los actores criminales explotan la diferencia entre permiso legal y capacidad supervisora. Una licencia puede abrir acceso a infraestructura de pagos, pero si los controles son performativos, esa licencia se convierte en herramienta de blanqueo. Este es el tipo de vulnerabilidad que la supervisión centralizada europea pretende corregir.

Escándalo de la EMI lituana: un entorno de licencias favorable a fintech puede convertirse en vulnerabilidad sistémica si la capacidad supervisora no acompaña al crecimiento. Una licencia de pagos puede abrir acceso SEPA, pero controles internos débiles pueden convertir ese acceso en canal de blanqueo.

Conclusión

El modelo AML descentralizado creó un entorno operativo inestable para los pagos europeos. La implementación nacional fragmentada favoreció el arbitraje, la supervisión divergente produjo resultados inconsistentes y el enfoque basado en riesgo dejó una enorme discreción en manos de compliance officers individuales.

El resultado no es solo mayor coste. Es fricción de pagos, exclusión financiera, retrasos de onboarding, sobrecarga de falsos positivos, conservadurismo de bancos patrocinadores y riesgo de enforcement. El modelo anterior obligó a las empresas de pagos a operar en un mercado donde la misma transacción podía tratarse de forma distinta según jurisdicción, institución y cultura de riesgo.

La Parte 2 analiza la solución que intenta la UE: AMLA, el Single Rulebook y el giro hacia supervisión centralizada. También pregunta si la centralización resolverá el problema o simplemente sustituirá la ambigüedad fragmentada por presión operativa rígida a escala continental.

La fragmentación no solo incomodó a los equipos de cumplimiento. Moldeó la estructura del mercado. Premió la selección jurisdiccional, aumentó la dependencia del apetito de riesgo privado, hizo decisivas las relaciones con bancos patrocinadores y convirtió a los compliance officers en gatekeepers de facto de la estrategia de producto.

Por eso importa tanto la transición a AMLA. No es una reforma institucional menor. Es un intento de cambiar la lógica operativa del AML europeo: de interpretación nacional a estandarización supranacional. Si ese cambio reducirá la fricción o simplemente la centralizará es el tema de la Parte 2.

Resumen de referencia

Ideas clave: Parte 1

Tesis central: La fragmentación AML europea no es solo un problema legal. Es un problema de estructura de mercado que conecta divergencia nacional, conservadurismo de bancos patrocinadores, discreción de cumplimiento, falsos positivos y de-risking.
Causa estructural: La transposición nacional basada en directivas produjo reglas divergentes, supervisión desigual y arbitraje jurisdiccional antes de AMLA y el Single Rulebook.
Síntoma operativo: El screening heredado basado en reglas genera falsos positivos excesivos, backlogs de alertas, retrasos de onboarding y cuellos de botella de pagos.
Consecuencia de mercado: Clientes legítimos, pymes, ONG, fintechs y PSP no bancarios pueden quedar excluidos porque monitorizarlos se considera demasiado costoso o ambiguo.

Fuentes citadas

Nasdaq Verafin, "Financial Crime Insights: Europe."
EUR-Lex, "Directive (EU) 2015/849."
EUR-Lex, "Directive (EU) 2018/843."
EUR-Lex, "Directive (EU) 2018/1673."
EUR-Lex, "Regulation (EU) 2023/1113."
EUR-Lex, "Regulation (EU) 2023/1114."
Thomson Reuters, "Thomson Reuters 2016 Know Your Customer Surveys."
The Global Treasurer, "KYC Pain: Financial institutions and their clients still struggling with ongoing challenges."
Fenergo, "Know Your Customer: 2022 trends."
European Central Bank, "AMLA and ECB Banking Supervision: strengthening cooperation."
Institute of International Finance, "The Evolution of the AML/CFT Landscape Under the New European Anti-Money Laundering Authority."
FIAU, "AMLA: A New Chapter for Europe's AML/CFT Framework."
Taylor & Francis, "The New EU Authority for Anti-Money Laundering and Countering the Financing of Terrorism."
KPMG, "Regulatory insights."
European Banking Authority, "Opinion of the European Banking Authority on money laundering and terrorist financing risks affecting the EU's financial sector."
Bird & Bird, "EU List of high-risk countries and jurisdictions for money laundering and terrorism financing amended."
European Commission, "Anti-money laundering and countering the financing of terrorism at international level."
Garrett & Fields, "The 2025 Compliance Talent Crisis."
Harmoney, "Facing compliance challenges: talent shortages, alert overload and regulatory change."
Selby Jennings, "The Compliance Market in Europe."
SGH Warsaw School of Economics, "Payment bottlenecks in Poland and in the European Union."
Napier AI, "How to reduce false positives in client and transaction screening."
Silent Eight, "2025 Trends in AML and Financial Crime Compliance."
Fenergo, "4 Anti Money Laundering (AML) Requirements for Payment Processors."
Horizon Research Publishing, "Determinant of Compliance Perceptions among Bank Officers towards Anti-Money Laundering."
Compliance Week, "Survey: Firms Still Struggle Greatly with AML 'Culture of Compliance'."
FCA, "Drivers & Impacts of Derisking."
European Banking Authority, "EBA identifies payment fraud, indebtedness and de-risking as key issues affecting consumers in the EU."
Swift, "Addressing the unintended consequences of de-risking."
ResearchGate, "'De-Risking', De-Banking and Denials of Bank Services: An Over-Compliance Dilemma?"
U.S. Department of the Treasury, "The Department of the Treasury's De-Risking Strategy."
International Finance Magazine, "Europe's compliance crackdown."
EIMF, "Lessons from Financial Crime and Regulatory Compliance Enforcement Cases."
Fenergo, "Scandal-as-a-Service: AML Lessons from Lithuania's EUR2 Billion Case."
FATF, "Anti-money laundering and counter-terrorist financing measures Lithuania."

La paradoja descentralizada del AML, Parte 1: fragmentación, sobrecumplimiento y riesgo