Los 5 desafíos de AML que toda fintech de LatAm va a enfrentar

Toda fintech que escala más allá de un país en América Latina choca con las mismas cinco paredes. Lo vimos pasar con decenas de clientes nuestros en Gu1 — equipos que levantaron su Serie A en San Pablo o en Ciudad de México, se expandieron a un segundo mercado, y de repente descubrieron que la postura de compliance que les funcionaba en casa ya no les servía afuera.

No es una historia de equipos malos. Los equipos con los que trabajamos son buenos. El producto funciona. El uso crece. Y después tropiezan con algo estructural — un regulador, un formato de reporte, un vector de amenaza, un problema de capacidad — que nadie les había avisado porque nadie lo había escrito en un solo lugar.

Acá va. Los cinco desafíos que aparecen siempre, y lo que vimos funcionar en la cancha con 54 clientes activos operando en Brasil, México, Argentina y Colombia.

1. Fragmentación regulatoria#

La primera pared te choca en el momento en que cruzás una frontera. América Latina no es un régimen único de compliance. Es un mosaico de UIFs nacionales (Unidades de Información Financiera o su equivalente local), cada una con su propio mandato, sus propias plantillas de reporte y su propia definición de qué es una operación sospechosa.

Operar en tres países no es un régimen de compliance escalado por tres. Son tres regímenes de compliance completos corriendo en paralelo.

Los organismos clave:

• COAF en Brasil
• UIF en Argentina y en México (son dos UIF distintas, no las confundas)
• UIAF en Colombia
• UAF en Chile

Reportes distintos. Plazos distintos. Formatos distintos — algunas aceptan XML, otras exigen PDF cargado en un portal propietario, otras todavía quieren un papel firmado además del envío electrónico. Las ventanas de reporte también varían: 24 horas para casos urgentes en la mayoría de las jurisdicciones, 60 días para un SAR (Reporte de Operación Sospechosa) estándar, pero el reloj arranca en eventos diferentes según el país.

El costo para una fintech en crecimiento es real. Tenés dos caminos: contratás personal de compliance en cada mercado (caro, lento, difícil de estandarizar) o armás una capa de abstracción — un modelo interno único de qué es un caso sospechoso, y debajo una capa de traducción que escupe el formato correcto, al regulador correcto, dentro de la ventana correcta. El modelo de abstracción es el único que vimos escalar. Gu1 está construido exactamente sobre ese supuesto.

Lo que vimos funcionar#

Las fintechs que mejor manejan esto separan con claridad dos cosas: la decisión de riesgo (¿este cliente, esta transacción, este patrón son preocupantes?) de la obligación de reporte (¿qué necesita COAF mañana a las 9 de la mañana?). Cuando esas dos viven juntas en la misma línea de código, cada país nuevo duplica tu complejidad. Cuando están separadas, un país nuevo es un adaptador de salida nuevo, no un equipo de compliance nuevo.

2. La economía informal, y el efectivo#

La segunda pared es la que la mayoría de los playbooks importados interpretan mal. Europa y Estados Unidos escribieron el manual global de AML alrededor de una economía mayormente formal. El sueldo llega por depósito directo. El ingreso es verificable. El origen de los fondos es una consulta de base de datos.

América Latina no se parece a eso.

Cerca del 55% de la fuerza laboral de América Latina está en el sector informal, según la OIT. La mayoría de la actividad económica ocurre afuera de los registros de empleo formal.

El ingreso informal es difícil de rastrear. No es fraudulento — es ingreso legal en efectivo, de trabajo legítimo — pero no produce el rastro documental que un modelo AML al estilo europeo espera ver. Cuando una fintech pasa un cliente por un motor de riesgo copiado y pegado de un proveedor europeo, el ingreso informal aparece como bandera roja por default. El cliente queda marcado como sospechoso. La fintech lo aprueba igual (y viola su propia política) o lo rechaza (y deja un mercado enorme sin atender).

El modo de falla es el modelo, no el cliente. El origen de fondos en América Latina tiene que estar calibrado sobre señales locales:

• Ingresos en efectivo informales que se agrupan alrededor de ciclos de pago de sectores específicos
• Patrones de dinero móvil y transferencias billetera a billetera que acá son normales y en Europa son raros
• Corredores regionales de remesas — México hacia Estados Unidos, Venezuela hacia toda la región, Argentina hacia España
• Patrones de grupos rotativos de ahorro y crédito (tandas, juntas, chitas, cundinas)

Lo que funciona es modelado de riesgo construido sobre datos de campo latinoamericanos. El mismo cliente que le parece sospechoso a un motor europeo le parece perfectamente normal a un modelo entrenado sobre 50 millones de transacciones locales. Esa es una de las razones centrales por las que construimos Gu1 en la región, sobre datos regionales, en vez de licenciar un motor extranjero y traducir la interfaz.

3. El fraude con IA está creciendo más rápido que la defensa con IA#

La tercera pared llegó más rápido de lo que nadie hubiera querido. Las mismas herramientas generativas que están adoptando los equipos de compliance y producto, las están adoptando los criminales más rápido — y en algunos casos mejor.

Los números son feos.

En Brasil el fraude con deepfake creció 700% en 2024–2025, con intentos de identidad sintética subiendo 140% en el mismo período (Sumsub). A nivel global, la identidad sintética se multiplicó por 8 en 2025, y América Latina aportó aproximadamente la mitad de ese volumen (LexisNexis). Más del 50% de los intentos de fraude ya involucran IA de alguna forma (Feedzai).

El panorama más amplio es consistente. El fraude en LatAm creció 32% en el primer semestre de 2024 (Veriff). Los intentos de estafa en 36 instituciones y 300 millones de clientes crecieron 155% en 2025 (BioCatch). El account takeover en México subió 324% en 15 meses (BioCatch). No son proyecciones. Ya están en los logs.

El problema estructural: los sistemas de fraude legacy se diseñaron para detectar humanos tratando de engañar humanos. No se diseñaron para detectar un modelo que genera una cara que pasa liveness, un documento que pasa OCR y una voz que pasa una verificación telefónica — todo en la misma sesión. Una identidad sintética está, por diseño, construida para pasar el control. El control es la función objetivo del modelo que te está atacando.

Lo que tiene que cambiar#

La respuesta es IA contra IA. Concretamente:

• Liveness 3D con desafíos activos, no comparación pasiva de foto
• Biometría de comportamiento — cómo tipea el usuario, cómo hace scroll, cómo sostiene el dispositivo, no solamente qué tipea
• Detección de anomalías combinando señales de dispositivo, red y sesión, no cada una por separado
• Análisis de grafos de red para sacar a la luz anillos que comparten dispositivos, IPs o números de teléfono entre decenas de cuentas aparentemente no relacionadas

Los equipos que están aguantando la línea son los que tratan al fraude como un problema de ML adversarial y no como un problema de reglas. Las reglas van atrás. Los modelos aprenden.

4. Velocidad contra profundidad#

La cuarta pared es cultural antes que técnica. Nubank fijó el piso. Todo usuario latinoamericano que abrió una cuenta en los últimos cinco años espera que el onboarding sea de minutos, no de días. Mercado Pago, Nequi, Uala, Albo — los que ya están instalados convergieron todos a la misma expectativa. Si tu onboarding tarda una semana, no tenés un problema de compliance, tenés un problema de crecimiento.

Y sin embargo. La debida diligencia reforzada real — la que limpia un PEP (Persona Expuesta Políticamente), verifica el origen de fondos de una acreditación grande, o revisa una estructura de propiedad con varias capas — lleva tiempo. La versión honesta de esta conversación es que la debida diligencia profunda se mide en días, no en minutos.

La tensión entre las dos es real y no se va a ir. El equipo de UX tiene razón en empujar por velocidad. El equipo de riesgo tiene razón en empujar por profundidad. La mala respuesta es elegir una e ignorar la otra. La buena respuesta, y la que vemos repetirse en nuestros mejores clientes, es el KYC por niveles (tiered KYC).

Cómo se ve el KYC por niveles en la práctica#

• Un nivel básico para cuentas de bajo riesgo y bajo límite que se resuelve en segundos — documento, liveness, screening de sanciones, listo
• Un nivel medio que se activa automáticamente cuando un cliente cruza un umbral de transacción o cuando se dispara una señal de comportamiento específica — documento adicional, pregunta de origen de fondos, debida diligencia reforzada liviana
• Un nivel profundo para PEPs, cuentas corporativas grandes y cuentas donde se dispararon múltiples señales de riesgo — revisión manual, debida diligencia reforzada, monitoreo continuo

El cliente no ve una experiencia pareja. Ve la fricción que realmente amerita su perfil de riesgo. El 95% de los usuarios que son de bajo riesgo tiene la experiencia Nubank. El 5% que necesita una conversación real tiene una conversación real. Esa distinción vale mucho en conversión y mucho en calidad de auditoría al mismo tiempo.

5. El techo de capacidad en las fintechs de etapa temprana#

La quinta pared es sobre personas, y es la que los fundadores subestiman más seguido. Compliance no es solo tecnología. Es una función con opiniones, con criterio y con una firma sobre un reporte. Y esa función, hoy, es difícil de cubrir en América Latina.

Los buenos oficiales de compliance son caros. También son lentos de contratar — los mejores tienen lista de espera, los están reclutando bancos con diez veces el presupuesto de compensación de una fintech Serie A, y son el cuello de botella más común que vemos cuando un cliente nos dice que quiere expandirse a un país nuevo el trimestre que viene.

Compliance ya representa entre 15% y 20% del presupuesto operativo de una fintech típica en 2026. Es un número grande cuando headcount es el rubro dominante dentro de eso.

El enfoque in-house — construílo vos, contratá a diez personas de compliance, diseñá tus propios workflows — funciona, eventualmente. También es el camino más lento y más caro para llegar al mismo lugar, y vuelve a construir desde cero lo que el resto de la industria ya construyó.

La alternativa en la que creemos#

Compliance como infraestructura. Una fintech tiene que consumir AML, KYC y monitoreo transaccional de la misma forma que consume pagos a través de Stripe o emisión de tarjetas a través de Pomelo — como una API que se encarga de la capa aburrida, regulada y no diferenciadora, para que el equipo pueda enfocarse en el producto.

Eso es lo que estamos haciendo en Gu1. Un stack de KYC, AML y KYT (Know Your Transaction) en una sola API, pre-cableado para COAF, UIF, UIAF y UAF, calibrado sobre datos latinoamericanos. Nuestros clientes no contratan a diez ingenieros de compliance. Contratan a un oficial de compliance que es dueño de la política y usa nuestra plataforma como capa de ejecución. La economía de eso es muy distinta a la del camino in-house.

Para más detalle sobre cómo encaja el stack, mirá nuestro post sobre el stack de compliance AI-native y la guía completa de KYC para LatAm.

Lo que esto no es#

Nada de lo anterior es una queja contra los reguladores. Lo digo con claridad porque la línea entre "acá hay un problema difícil" y "los reguladores son el villano" es una que muchos comentarios de la industria fintech cruzan con demasiada liviandad.

COAF, UIF, UIAF y UAF están tratando de resolver problemas genuinamente difíciles con presupuestos limitados, headcount limitado, y un panorama de amenazas que cambia debajo de sus pies en tiempo real. México, Brasil y Argentina son miembros plenos del GAFI (FATF) y están cumpliendo con obligaciones que fueron escritas para economías mucho más grandes. La fricción que siente una fintech cross-border no es que algún regulador en particular esté fallando. Es el costo estructural de operar sobre cinco regímenes nacionales a la vez.

Ese costo es un problema de diseño para los proveedores de infraestructura. Es nuestro trabajo, y el del resto de la capa RegTech, absorber ese costo para que los operadores no lo tengan que resolver desde cero en cada mercado nuevo. El modo de falla es una brecha de infraestructura, no una falla regulatoria.

Cierre#

Si hoy estás corriendo una fintech en un país y estás pensando en el segundo, arrancá el trabajo regulatorio doce meses antes de cuando pensás que lo necesitás. Mapeá la UIF del mercado objetivo. Leé las últimas dos guías de los últimos dos años. Hablá con un operador que ya esté ahí. Metele el gasto de compliance dentro del modelo de expansión — no como una línea de overhead, sino como un costo de producto, porque en esta región lo es.

Vamos a seguir escribiendo análisis profundos por país en las próximas semanas — los específicos de COAF en Brasil, las expectativas de UIF en México, el framework en movimiento de Argentina, el stack de reportes de UIAF en Colombia. Si los querés en tu inbox, suscribíte al blog en el link de abajo. Y si estás construyendo y ya chocaste contra una de estas paredes, sacá un rato para leer nuestro artículo sobre prevención de fraude en mercados emergentes o vení a hablar con nosotros directamente.

Para el contexto completo de qué es Gu1 y por qué lo estamos construyendo, empezá por bienvenida al blog de Gu1.