KYC en América Latina: guía país por país (2026)

Llevo años escribiendo pipelines de KYC para fintechs de LatAm, y si algo tengo claro es que la mayoría de los playbooks que circulan online fueron escritos para Europa, traducidos mal, y pegados tal cual. Acá no funcionan. No porque LatAm esté atrasada — en rieles de pagos, Brasil le lleva ventaja a Estados Unidos — sino porque el stack de identidad, regulatorio y económico es estructuralmente distinto. Si copiás un modelo alemán de KYC y lo pegás en San Pablo, lo que te llevás es una tasa de falsos positivos que te destruye el funnel y un equipo de compliance que renuncia al cuarto mes.

Esta es una guía KYC América Latina 2026, país por país, escrita como se la explicaría a un ingeniero nuevo que se suma al equipo de infraestructura de Gu1. Sin adornos, sin "líder de la industria" ni nada por el estilo. Lo que piden los reguladores, cómo son los sistemas de ID, y dónde se caen las arquitecturas habituales.

Por qué el KYC en LatAm es distinto#

Antes de meternos en cualquier país, hay cuatro diferencias estructurales que tenés que internalizar:

• IDs no estandarizados. Brasil usa CPF. México usa CURP más INE. Argentina usa DNI. Colombia usa Cédula. No hay registro transfronterizo, no hay capa de identidad federada, no existe un equivalente a eIDAS. Un usuario que se mueve de Bogotá a Buenos Aires arranca de cero. Cada stack de KYC que armes tiene que manejar al menos un esquema por país, y la lógica de validación no se parece en nada: el CPF tiene dígito verificador; el DNI no; el CURP codifica fecha de nacimiento y género en el mismo string.
• Economía informal. Alrededor del 55% de la fuerza laboral de LatAm opera en el sector informal (OIT). Eso significa que la fuente de fondos — la pregunta más difícil de cualquier flujo de KYC — muchas veces no tiene un papel limpio. Un usuario que gana plata honesta como vendedor ambulante en CDMX no tiene recibo de sueldo, no tiene declaración de impuestos, no tiene extracto bancario. Si tu modelo de riesgo trata "sin ingreso formal" como "sospechoso", estás dejando afuera a medio continente.
• Infraestructura digital despareja. Las zonas rurales de los cuatro países tienen acceso irregular a los registros online. Los sistemas de verificación documental que asumen conexión permanente a una API gubernamental se caen por timeout. Tu pipeline de OCR tiene que funcionar offline-first y reconciliar de forma asincrónica.
• Múltiples reguladores con mandatos superpuestos. BCB y COAF en Brasil. CNBV y UIF en México. UIF y CNV en Argentina. UIAF en Colombia. Cada uno con su propio formato de reporte, su propia cadencia, su propio circuito de escalación. Una fintech operando en tres países está mandando tres formatos de SAR distintos a tres UIFs distintas, en tres timelines distintos.

Esa es la base. Ahora, país por país.

País por país#

Brasil#

Reguladores: Banco Central do Brasil (BCB) para supervisión prudencial, COAF como Unidad de Inteligencia Financiera, Receita Federal para lo tributario.

El ID clave es el CPF: 11 dígitos con dígito verificador. Todo residente adulto tiene uno. Cualquier flujo de onboarding de fintech que no valide el checksum del CPF antes de pegarle al registro federal está quemando plata en llamadas a la API.

Controles requeridos bajo la Resolución BCB 519/2025:

• Verificación obligatoria de CPF contra Receita Federal
• Selfie de liveness obligatoria para cuentas tier-1 (cuentas que pueden mover plata arriba de un umbral mínimo)
• OCR de documento sobre RG o CNH
• Match biométrico entre la captura de liveness y la foto del documento

Obligaciones de reporte:

• Travel Rule en toda transferencia arriba de R$30.000, con datos de originante y beneficiario adjuntos
• Cap de R$200 por transacción en dispositivos no registrados (regla de endurecimiento de PIX, 2024)
• SAR a COAF dentro de 24 horas para casos urgentes, 60 días para reportes estándar

Contexto reciente:

El fraude vía PIX creció 43% interanual y llegó a R$2.700 millones en 2024 (Febraban).

Ese número es la razón por la que el BCB sigue apretando. El cap de R$200, el requisito de registro de dispositivo, el mandato de liveness — todo es respuesta regulatoria directa a la curva de fraude. Esperate más, no menos.

México#

Reguladores: CNBV (Comisión Nacional Bancaria y de Valores) y UIF (Unidad de Inteligencia Financiera). La Ley Fintech de 2018 está supervisada por los dos — CNBV maneja el lado prudencial, UIF el lado AML.

El stack de ID clave es CURP (identificador personal de 18 caracteres que codifica datos de nacimiento) más la credencial INE (la identificación de votante física, que funciona como ID nacional de facto). Los flujos mexicanos de KYC suelen verificar las dos.

Controles requeridos:

• Validación de CURP contra RENAPO
• Verificación de INE contra el registro del INE (con el QR del reverso desde la credencial 2021)
• Liveness más match biométrico
• Comprobante de domicilio — este es un dolor recurrente porque México no tiene un registro estandarizado de domicilios

Una regla de la CNBV que entró en vigor en junio de 2024 sumó un plan obligatorio de prevención de fraude para toda fintech regulada, con retención de log de auditoría por 10 años. Esa última parte es operativa: si tu stack de logging no puede retener eventos estructurados de auditoría por una década, tenés un problema de arquitectura, no de compliance.

El 59% de los mexicanos reportó al menos un intento de estafa por mes en 2024 (GASA), y el fraude de account takeover creció 324% en los 15 meses previos (BioCatch).

Ese es el threat model. La superficie de fraude en México está dominada por ingeniería social y ATO, lo que significa que el KYC al onboarding es necesario pero no suficiente — necesitás señal continua de KYT sobre anomalías de comportamiento. Escribimos más sobre esa mitad del problema en el lado de AML.

Argentina#

Reguladores: UIF para AML; CNV (Comisión Nacional de Valores) registra a los proveedores de servicios de activos virtuales bajo la Resolución 1058/2025.

El ID clave es el DNI: 8 dígitos, sin checksum, con un contador de ejemplar que cambia con cada reimpresión. Validar "versión actual de DNI" es su propia llamada a la API de RENAPER.

Controles requeridos:

• Validación de DNI contra RENAPER
• Liveness más OCR de documento
• Reporte mensual sobre remesas extranjeras — esta es una obligación específica de Argentina, empujada por el control de cambios
• Registro y reporte específico de VASPs bajo CNV 1058/2025

El entorno de fiscalización argentino se complica por la volatilidad macroeconómica. La inflación del peso hace que cada umbral de transacción en pesos sea un blanco móvil, y los operadores tienen que recalibrar sus motores de riesgo cada trimestre. Una config estática de umbrales en tu stack de KYC queda obsoleta en seis meses.

Colombia#

Regulador: UIAF (Unidad de Información y Análisis Financiero).

El ID clave es la Cédula de Ciudadanía: 8 a 10 dígitos, sin checksum. La Registraduría Nacional la emite y la valida.

Controles requeridos:

• Validación de cédula contra la Registraduría
• Liveness más OCR de documento (la nueva cédula digital tiene chip, lo que suma lectura NFC como control opcional)
• Screening de PEPs contra las listas de la UIAF
• Due diligence reforzada basada en risk score sobre umbrales definidos

Colombia tiene más de 560 fintechs activas, uno de los ecosistemas más densos per cápita de la región. La presión regulatoria acompaña.

El robo de identidad en Colombia creció 400% desde 2020, y la Ley 2502/2025 clasifica ahora al robo de identidad con asistencia de IA como agravante en las condenas penales.

Esa ley es la primera en LatAm que aborda explícitamente el fraude de identidad sintética como delito distinto. Si estás construyendo en Colombia, tus capas de trazabilidad de UBO y detección de deepfakes tienen que estar a nivel producción, no a nivel research.

Tiempos y trampas comunes#

Las ventanas de reporte en los cuatro países se agrupan alrededor de dos anclas:

• 24 horas para casos urgentes (fraude activo, hits de sanciones, financiamiento del terrorismo)
• 60 días para SAR estándar — el clásico "vimos algo, investigamos, acá va el paquete"

El edge case transfronterizo es donde la mayoría de los operadores se rompe. Si estás corriendo en Brasil, México y Colombia, una sola transacción sospechosa puede gatillar tres presentaciones a tres UIFs distintas, cada una en formato distinto y con cadencia distinta. O tu plataforma de compliance genera las tres programáticamente desde un solo evento, o tus analistas las arman a mano. Vimos equipos armar mesas de filing de 8 personas porque nadie automatizó esta capa. Pensalo antes de escalar.

La otra trampa habitual — esta es arquitectónica — es copiar y pegar modelos europeos de KYC. Si agarrás un stack calibrado para BaFin o la FCA y lo soltás sobre la base de identidad de LatAm, el primer día te dispara tasas de falsos positivos del 15 al 25%. Los modelos europeos asumen trazabilidad limpia de ingresos, un namespace unificado de ID y una base baja de economía informal. Nada de eso se cumple acá. Si arrancás desde una arquitectura de referencia europea, presupuestá una reescritura completa del modelo de riesgo, no un port.

El costo de compliance, en general, se ubica entre 15 y 20% del presupuesto operativo de una fintech en la región. Ese número es alto porque los problemas de arriba se componen.

Resolviéndolo a nivel infraestructura#

Cómo se ve el KYC moderno en LatAm, en 2026:

• Liveness 3D, no 2D. El liveness 2D (el flujo de "girá la cabeza") fue superado por ataques de foto impresa hace años y ahora por video generativo. Necesitás captura de profundidad, señal pasiva de liveness y un modelo entrenado sobre patrones regionales de spoofing. Los stacks 2D ya no pueden separar con confianza un deepfake de buena calidad de una sesión real.
• OCR documental calibrado para plantillas regionales. Entre los cuatro países que cubrimos hay muchos tipos de documentos distintos en circulación activa — varias versiones de CNH en Brasil, credenciales INE pre-2019 y post-2019 en México, varios formatos de DNI en Argentina, las cédulas vieja y nueva de Colombia. El OCR genérico se traba con la long tail de documentos de formato viejo que aparecen en tráfico de producción; los modelos calibrados los resuelven limpio.
• Búsqueda real de beneficiarios en bases. La trazabilidad de UBO (ultimate beneficial owner) queda subespecificada en el texto regulatorio pero se revisa con lupa en auditoría. Necesitás búsquedas automáticas contra registros societarios en los cuatro países, más escalación manual para cadenas de propiedad que cruzan fronteras. Hecho a mano — Junta Comercial en Brasil, RFC en México, Cámara de Comercio en Colombia, cada uno con su propio portal — cada onboarding corporativo se te vuelve un cuello de botella para el equipo de ops.
• Onboarding escalonado. Verificación básica de identidad en segundos para usuarios de bajo riesgo, due diligence reforzada disparada por risk score, no por regla. Si todos los usuarios pasan por el flujo de máxima fricción, la conversión se desploma. Si no pasa nadie, las presentaciones se apilan.
• Onboarding en segundos, no en 3 a 7 días. El modelo batch legacy — donde el KYC es una cola que se procesa de noche — no es sobrevivible contra pagos a velocidad PIX. El reloj regulatorio y el reloj del producto tienen que correr a la misma frecuencia.

Esta es la forma del stack que armamos en Gu1. AI-native no significa "le pusimos un modelo adelante al flujo" — significa que las capas de scoring de riesgo, clasificación documental y detección de anomalías se diseñaron alrededor de machine learning desde la primera línea de código, no pegadas después. Si querés la versión arquitectónica larga, el post sobre el stack de compliance AI-native la recorre.

Cierre#

El KYC en LatAm no es difícil porque las reglas sean ambiguas — son, en la práctica, más concretas de lo que la gente asume. Es difícil porque las reglas interactúan con una capa de identidad fragmentada, una economía informal grande y una superficie de fraude que evoluciona más rápido de lo que los modelos europeos de amenazas contemplan. Toda fintech que opera acá está resolviendo alguna versión de este problema; la pregunta es si lo armás in-house o comprás infraestructura diseñada para la región desde el principio.

Si querés el contexto más amplio de dónde encaja Gu1, arrancá por acá. El lado AML del mismo problema está cubierto en el post de desafíos AML, y los patrones de fraude específicos de mercados emergentes están en el post de prevención de fraude. Si estás construyendo en LatAm y lo de arriba te resuena, el stack de compliance está a una API de distancia.