Por que LATAM compliance es el mercado mas dificil y mas defendible para la vertical AI

El articulo reciente de a16z sobre vertical AI senalo algo que la industria de compliance conoce desde hace anos pero rara vez dice en voz alta: las mejores oportunidades de vertical AI no estan en mercados limpios, bien documentados y estables. Estan en los fragmentados. Los workflows que nadie quiere estandarizar. Los mercados donde el conocimiento operacional necesario para funcionar es en si mismo la barrera de entrada.

LATAM compliance es ese mercado.

Que significa "desordenado" en compliance#

Un mercado desordenado no es simplemente uno con documentacion deficiente o sistemas legacy. En el contexto de compliance, desordenado significa:

• Regulaciones que cambian mas rapido que cualquier roadmap de producto
• Infraestructura de identidad no estandarizada entre paises
• Tipologias de fraude locales, no globales
• Organismos reguladores que interpretan los estandares FATF de manera diferente
• Workflows de onboarding que deben cumplir cinco regimenes legales distintos de forma simultanea

LATAM tiene los cinco. Y a diferencia de Europa, que avanza hacia la armonizacion bajo AMLA, o de Estados Unidos, que tiene un framework federal unico de AML con variacion estatal, America Latina no tiene un roadmap de convergencia. Cada pais construye su propia infraestructura de compliance, en su propio calendario, en respuesta a su propio entorno de fraude.

Esa fragmentacion no va a desaparecer. Se esta profundizando.

El patchwork regulatorio: pais por pais#

Para entender por que las herramientas horizontales de compliance fallan en este mercado, hay que partir de lo que implica operar en cumplimiento a traves de los cinco principales mercados de LATAM.

Brasil#

El Banco Central do Brasil (BCB) regula las licencias fintech y el AML. La red de pagos en tiempo real Pix, lanzada en 2020, creo una superficie de fraude que no existia antes, y el BCB no deja de adaptarse a ella. Desde noviembre de 2024, el BCB impuso limites a las transacciones Pix realizadas desde dispositivos no reconocidos: R$200 por transaccion, R$1.000 por dia. La Federacion Brasilena de Bancos (Febraban) reporto que el fraude vinculado a Pix salto un 43%, llegando a R$2.700 millones. La respuesta regulatoria esta viva y en curso.

Despues esta la LGPD, la ley brasilena de proteccion de datos, que agrega otra capa de compliance a cada workflow de identidad. Y Open Finance BR, uno de los despliegues de open banking mas ambiciosos del mundo, que cambia la manera en que los datos financieros pueden compartirse y verificarse. La validacion de CPF y CNPJ, la verificacion biometrica para onboarding de alto riesgo y el framework de licencias SCD/SEP para fintechs completan el cuadro.

Cada uno de estos es un requisito operacional separado. Ninguno mapea de forma limpia a su equivalente en cualquier otra jurisdiccion.

Mexico#

La CNBV emitio nuevas regulaciones de prevencion de fraude con vigencia a partir del 15 de junio de 2024, que exigen a las instituciones implementar planes de gestion de fraude, establecer limites transaccionales por cliente y fortalecer los controles internos. Segun la Alianza Global Anti-Estafa (GASA), el 59% de los mexicanos ha sufrido al menos un intento de estafa por mes, y el fraude le costo a los consumidores mexicanos 293 mil millones de MXN en el ultimo ano reportado.

El framework mexicano de AML bajo LFPIORPI y circulares de la CNBV exige presentacion de ROS con esquemas XML especificos, reglas de identificacion de beneficiarios y monitoreo de transacciones continuo que no se replica en ninguna otra jurisdiccion. La verificacion de identidad basada en CURP e INE tiene su propia logica de validacion. El sistema de pagos SPEI tiene sus propias tipologias de fraude, distintas de las de Pix.

Argentina#

La Unidad de Informacion Financiera (UIF) tiene su propio formato de reporte de operaciones sospechosas, sus propias definiciones de beneficiario final y sus propias listas de personas expuestas politicamente. Las regulaciones argentinas se actualizaron varias veces en los ultimos tres anos. Los controles cambiarios del pais y el peso estructural de la economia informal crean escenarios de compliance sin precedentes a nivel global. Una institucion que opera en Argentina no puede simplemente reutilizar su logica de compliance de Brasil o Mexico, ni siquiera dentro del mismo modelo de scoring de riesgo.

Colombia#

La Superintendencia Financiera de Colombia (SFC) supervisa un mercado donde, segun el informe de inversion fintech LATAM 2025 de Phoenix Strategy Group, el 90% de las fintechs cita el exceso de burocracia como un obstaculo operacional importante al trabajar con bancos tradicionales. El sistema SARLAFT, el framework de gestion de riesgos AML/CFT de Colombia, tiene su propia estructura, su propia logica de segmentacion de clientes y su propio ciclo de reporte. Lo que la SFC realmente busca en una auditoria SARLAFT no es informacion que este disponible en el texto regulatorio.

Chile#

La Comision para el Mercado Financiero (CMF) introdujo requisitos estrictos de autenticacion de clientes para transacciones. En 2024 se aprobo legislacion que penaliza el uso fraudulento de medios de pago. La Ley Fintech de Chile, promulgada en 2023, sigue generando regulacion secundaria. Los requisitos de compliance para proveedores de open finance, iniciadores de pagos e intermediarios de credito bajo el nuevo framework tienen diferentes cronogramas de implementacion y especificaciones tecnicas.

Peru avanza en la misma direccion, con la regulacion SBS n.o 2286-2024 que exige autenticacion de dos factores para todas las transacciones con tarjeta.

Por que fallan las herramientas horizontales#

Una herramienta horizontal de compliance, del tipo que promete AML global en una API, resuelve las partes simples: verificacion de documentos contra una biblioteca de plantillas, screening contra listas globales de sanciones, umbrales estandar de monitoreo de transacciones segun FATF. El problema es que los casos borde son donde vive el riesgo operacional, y en LATAM los casos borde estan en todas partes.

La empresa brasilena que verifica clientes via CPF y CNH necesita una logica de validacion de documentos diferente a la de la empresa mexicana que usa CURP e INE. La fintech colombiana que ejecuta segmentacion SARLAFT no puede usar el mismo modelo de scoring de riesgo que la institucion chilena que reporta bajo las directrices de la CMF. La institucion argentina que gestiona alertas por controles cambiarios opera en una categoria que no tiene equivalente en Europa o en Estados Unidos.

Las herramientas horizontales resuelven esto haciendo que el problema sea del cliente. Proveen la API. El equipo de compliance descifra el resto. Eso funciona cuando el equipo de compliance tiene cincuenta personas. No funciona cuando tres analistas intentan escalar a cuatro mercados en dieciocho meses.

El resultado: tasas altas de falsos positivos, cuellos de botella en revision manual, ROS inconsistentes y workflows de onboarding que funcionan para el 70% de los usuarios y fallan para el 30% cuyos documentos no encajan en la plantilla global.

Profundidad operacional como moat#

La tesis de a16z sobre mercados desordenados apunta a algo real: el moat no es el modelo. Cualquier equipo bien financiado puede hacer fine-tuning de un modelo sobre datos de KYC. El moat es el conocimiento operacional embebido en el producto.

En LATAM compliance, eso significa:

• Saber que la validacion de CPF en Brasil requiere una verificacion de digito especifica que difiere de lo que devuelve la API publica del organismo emisor en ciertos casos borde
• Entender que el reporte UIF en Argentina cambio su esquema XML de ROS en 2022 y nuevamente en 2023
• Haber visto suficientes auditorias SARLAFT para saber que prioriza realmente la SFC versus lo que establece la regulacion en papel
• Construir modelos de riesgo calibrados para las tipologias de fraude de LATAM: ingenieria social en Pix, vectores de fraude en SPEI en Mexico, patrones de robo de identidad en Argentina, no tipologias globales adaptadas despues de los hechos

Este conocimiento no se puede scrapear. No se puede sintetizar a partir de PDFs regulatorios. Se acumula operando en el mercado, cometiendo errores, corrigiendolos y embebiendo las correcciones en el producto.

Esa es la barrera. No la IA. No la API. La profundidad.

El efecto acumulativo#

Lo que tambien hacen los mercados desordenados es acelerar la brecha entre incumbentes y especialistas. Cada cambio regulatorio al que una herramienta horizontal tiene que adaptarse es algo que un stack nativo de LATAM ya anticipo o puede absorber en dias. Cada nueva tipologia de fraude que requiere una actualizacion del modelo es algo que un especialista viene trackeando en produccion durante meses antes de que el roadmap del proveedor global lo alcance.

Esto se acumula. Despues de un ano operando en Brasil, se saben cosas sobre fraude en Pix que un proveedor global no va a saber en otro ano. A los dos anos, existen datos de entrenamiento etiquetados a partir de ROS reales en multiples instituciones que nadie mas tiene. A los tres anos, la brecha entre lo que se puede hacer operacionalmente y lo que puede hacer una herramienta horizontal no es una brecha de features. Es una brecha de conocimiento. Esas son mucho mas dificiles de cerrar.

Segun Phoenix Strategy Group, las empresas que usan IA en tareas operacionales de compliance en LATAM reportan un 44% de ahorro en costos y un 56% de mayor velocidad de procesamiento en comparacion con enfoques tradicionales. El caso de eficiencia ya esta establecido. La pregunta es si la herramienta que impulsa esa eficiencia fue construida para el mercado o adaptada a el.

A lo que se enfrentan las empresas que expanden a LATAM#

Una fintech de Estados Unidos, un neobancode escala global o un procesador de pagos europeo que expande a LATAM enfrenta tres opciones cuando choca con compliance:

Construir internamente. Doce a dieciocho meses para alcanzar madurez operacional por mercado, mas la contratacion, las relaciones regulatorias y el conocimiento institucional que lleva anos desarrollar. Para la mayoria de las empresas que expanden a LATAM, este no es el camino.

Usar una herramienta global horizontal y contratar consultores locales. Funciona en el corto plazo y crea un problema estructural: la herramienta y el consultor nunca estan sincronizados. Las actualizaciones regulatorias las absorbe el consultor y luego se traducen manualmente a configuraciones de la herramienta. El riesgo operacional vive en ese gap.

Desplegar un stack construido especificamente para LATAM. Uno que no adapta un framework global a un contexto local, sino que fue construido en ese contexto local desde el inicio.

La tercera opcion ha sido la opcion faltante durante la mayor parte de la ultima decada. El mercado era demasiado pequeno para que los grandes proveedores globales de compliance construyeran cobertura real de LATAM, y los proveedores locales que existian tenian un alcance demasiado estrecho para cubrir el stack completo de KYC-AML-KYT en multiples mercados.

El patron de vertical AI aplicado#

En vertical AI, los ganadores suelen ser los equipos que pasaron tiempo en el desorden antes de construir el producto. No los que construyeron el producto y luego intentaron aprender el desorden.

LATAM compliance recompensa el mismo patron. Los frameworks regulatorios son documentos vivos, no APIs estables. Las tipologias de fraude evolucionan con la infraestructura de pagos. Los reguladores son accesibles y las relaciones con ellos importan de maneras que no ocurren en mercados maduros.

El moat se construye operando aqui, no desplegando aqui. Cada ano de profundidad operacional en Brasil, Mexico, Argentina, Colombia y Chile es un ano de conocimiento que no puede replicarse iniciando una nueva instancia de una plataforma de compliance de proposito general.

Por eso la tesis de vertical AI mapea directamente a este mercado. La tecnologia es la commodity. La profundidad operacional es el producto. Y la posicion mas defendible en LATAM compliance no es la que tiene el mejor modelo. Es la que lleva suficientes anos corriendo operaciones de compliance en produccion a lo largo de la region como para saber que quieren realmente los reguladores.

---

Gu1 opera KYC, AML y monitoreo de transacciones en Brasil, Mexico, Argentina, Colombia y Chile. Si estas expandiendo a LATAM y el compliance es el cuello de botella, gu1.ai fue construido para esto.