En octubre de 2025 Sudáfrica salió de la “grey list” del Grupo de Acción Financiera Internacional (GAFI) tras demostrar avances significativos en su régimen de prevención de blanqueo de capitales y financiación del terrorismo. Este hito no solo restableció la confianza internacional en su sistema financiero, sino que también impuso a las instituciones bancarias la obligación de mantener estándares más estrictos: demostrar aumentos sostenidos en investigaciones y confiscaciones de activos ilícitos, fortalecer la supervisión basada en riesgos y asegurar que las autoridades competentes tengan acceso rápido y preciso a la información de beneficiarios reales. En 2026, la ciberseguridad y la integridad de la identidad digital se han convertido en ejes centrales para mantener ese estatus y garantizar la confianza de inversores, reguladores y ciudadanos.
Un ecosistema bancario digitalizado con crecientes riesgos
Sudáfrica cuenta con uno de los sistemas financieros más desarrollados de África: cuatro grandes bancos —Standard Bank, FirstRand/FNB, Absa y Nedbank— concentran el 85 % de la cuota de mercado, mientras que desafiantes digitales como TymeBank ya han captado a siete millones de clientes. La penetración bancaria supera el 80 % y se estima que 20 millones de personas utilizan la banca móvil. El Gobierno, a través del Departamento de Asuntos Internos (DHA), ha implantado un registro poblacional biométrico con una tasa de error inferior al 1 %, lo que demuestra su apuesta por la digitalización.
Sin embargo, este avance ha ido acompañado de un aumento notable del fraude digital. El fraude bancario por canales electrónicos representó el 65,3 % de todos los incidentes denunciados en 2024, casi el doble que el año anterior, y las pérdidas superaron los 1 400 millones de rands. La mayoría de estafas se basan en ingeniería social: los delincuentes envían enlaces falsos por SMS, WhatsApp o redes sociales, o usan deepfakes y anuncios fraudulentos para engañar a los clientes y obtener contraseñas u OTP. Estos datos confirman que la digitalización exige controles más robustos en cada punto de contacto.
Otro fenómeno alarmante es el fraude de SIM swap. Aunque las cifras pertenecen principalmente al sector telecomunicaciones, impactan directamente a la banca. Según el Centro de Información de Riesgos de Comunicación (COMRiC), el fraude en telecomunicaciones —incluyendo suplantación de identidad y SIM swap— costó a Sudáfrica más de 5 300 millones de rands en 2025. Este tipo de ataques permite a un estafador duplicar la tarjeta SIM de la víctima y, con ello, interceptar códigos OTP y acceder a sus cuentas. La naturaleza del cibercrimen evoluciona constantemente; como señala el CEO de COMRiC, las operadoras y sus socios “deben estar siempre alerta porque los criminales prueban algo nuevo cada día”. Para la banca, esto implica que la autenticación basada únicamente en teléfonos móviles ya no es suficiente.
Exigencias regulatorias: FICA, POPIA y Joint Standards
El marco regulatorio sudafricano se ha endurecido para responder a estos riesgos. La Ley de Inteligencia Financiera (FICA) exige que las instituciones designadas identifiquen y verifiquen la identidad de sus clientes, designen un oficial de cumplimiento y establezcan un programa de gestión de riesgos. Durante la incorporación, deben aplicar Diligencia Debida al Cliente (CDD) y controles continuos adaptados al nivel de riesgo. FICA permite la verificación remota: la identidad puede confirmarse digitalmente a través de reconocimiento biométrico con detección de vida o mediante verificación de documentos en línea. Además, las entidades deben registrar actividades sospechosas en un plazo de 15 días mediante Informes de Transacciones Sospechosas (STR) y reportar cualquier indicio de financiación del terrorismo en cinco días.
La Ley de Protección de Información Personal (POPIA) complementa esta normativa obligando a las empresas a procesar datos de clientes de forma segura, limitar su uso a fines específicos y garantizar la transparencia. El equilibrio entre privacidad y lucha contra el fraude es delicado: los bancos necesitan recopilar y analizar datos biométricos, de comportamiento y de transacciones para combatir la suplantación, pero deben hacerlo de acuerdo con los principios de minimización y consentimiento de POPIA.
En mayo de 2024, la Autoridad de Conducta del Sector Financiero (FSCA) y la Autoridad Prudencial (PA) publicaron el Joint Standard 2 sobre Ciberseguridad y Resiliencia, que entró en vigor el 1 de junio de 2025. Este estándar es pionero en Sudáfrica: obliga a bancos, aseguradoras, fondos de pensiones, agencias de calificación y otros a adoptar prácticas obligatorias de ciberseguridad y gestión de riesgos digitales. Su alcance es amplio: exige auditorías periódicas, gobierno de ciberseguridad, supervisión de terceros y planes de recuperación ante incidentes. Aunque para muchas entidades, especialmente las pymes, la implementación es costosa y compleja, el objetivo es reducir el riesgo sistémico y proteger a los consumidores y al ecosistema financiero. Precedido por el Joint Standard 1 de 2023 (gobernanza de TI), este marco refleja un giro regulatorio hacia la resiliencia digital.
Además, la normativa sectorial incluye estándares específicos, como el de la Asociación de Pagos de Sudáfrica (PASA). En 2016, PASA, en colaboración con Visa y Mastercard, lanzó un estándar interoperable para la autenticación biométrica en tarjetas de pago. El esquema permite verificar huellas, palma, voz, iris o rostro de forma segura y uniforme. Su propósito es disponer de una infraestructura común que facilite la adopción de pagos biométricos y reduzca el fraude en tarjetas. Para los bancos, esto marca un precedente al exigir que sus sistemas sean compatibles con múltiples formas de biometría.
Los requisitos de cumplimiento que la banca debe atender incluyen, además, la verificación de identidad con el Registro de Población Nacional (DHA), el control de Personas Políticamente Expuestas (PEPs) tanto nacionales como extranjeras, la comprobación de beneficiarios reales para participaciones del 25 % o superiores, el filtrado en tiempo real de listas de sanciones (UN y listas domésticas), y la presentación de informes de incidentes de ciberseguridad en un plazo de 24 horas. Estas exigencias elevan el listón de la supervisión y obligan a la banca a integrar fuentes de datos diversas de forma eficiente.
Cómo responde la banca: biometría, tokens y análisis avanzado
Ante este panorama regulatorio y delictivo, los bancos sudafricanos están fortaleciendo sus procesos de identificación y autenticación. La biometría se ha convertido en la piedra angular del onboarding digital y de las transacciones sensibles. Gracias a la compatibilidad normativa de FICA y PASA, las entidades pueden comparar una selfie o huella del cliente con los datos oficiales de la DHA y usar algoritmos de detección de vida para evitar deepfakes. La sustitución progresiva del OTP por SMS por notificaciones push, tokens hardware y autenticación biométrica reduce la dependencia de la tarjeta SIM, considerada ya un vector débil de ataque.
Los bancos también están recurriendo a sistemas de IA y analítica avanzada para monitorizar el comportamiento transaccional y detectar patrones anómalos que sugieran toma de control de cuentas o uso fraudulento de identidades. Un ejemplo es el análisis de contexto y biometría conductual (por ejemplo, velocidad de tecleo, geolocalización, dirección IP) que permite activar verificaciones adicionales cuando se detectan cambios significativos en el comportamiento del usuario. Este enfoque sigue la recomendación de adoptar controles basados en riesgos y escalados por eventos, en lugar de imponer verificaciones uniformes que generan fricción. Tal modelo se alinea con las lecciones de ecosistemas digitales maduros: la identidad ya no se verifica una sola vez; se defiende de forma continua.
El papel de Facephi en la banca sudafricana
En este contexto, Facephi ofrece una suite de soluciones que se adaptan específicamente a los requisitos de cumplimiento y ciberseguridad de Sudáfrica. Entre sus capacidades destacan:
- Onboarding digital con integración al DHA: la plataforma de Facephi se conecta con el Registro de Población Nacional para validar la identidad mediante biometría facial o dactilar, con tasas de error inferiores al 1 %. Además, incorpora detección de vida conforme a la norma ISO 29794-5 para evitar ataques de presentación.
- Autenticación biométrica multimodal: cumpliendo con el estándar PASA 2016, Facephi soporta la verificación facial, dactilar y por voz; puede combinar factores para que solo el titular autorice transacciones sensibles. Esto elimina la dependencia del OTP y protege a los clientes frente a SIM swaps y robo de credenciales.
- Cribado AML y monitoreo en tiempo real: la solución incluye la revisión de listas de sanciones de la ONU, listas domésticas de Medidas Restrictivas, y bases de datos de PEPs y medios adversos. Facephi automatiza la generación de informes de transacciones sospechosas (STR) en un plazo de 15 días y la detección de estructuras de transacciones (conocidas como smurfing), cumpliendo así con FICA.
- Biometría conductual y detección de mulas: mediante análisis de patrones y redes de transacciones, Facephi ayuda a identificar cuentas utilizadas para lavar dinero o canalizar fondos ilícitos. Este enfoque soporta la exigencia de “progresión sostenida” en las investigaciones y confiscaciones establecida por el GAFI y responde a la expansión de la suplantación digital.
- Monitoreo de transacciones: el módulo de Facephi es compatible con los umbrales de reporte establecidos en FICA (por ejemplo, reportar depósitos o retiros en efectivo a partir de ciertos límites) y automatiza los envíos a la FIC.
Estas capacidades permiten que los bancos reduzcan el fraude sin deteriorar la experiencia del cliente, cumplan con los requisitos de FICA y POPIA, y se preparen para las nuevas exigencias de ciberseguridad del Joint Standard 2. Al mismo tiempo, la plataforma modular facilita adaptar los controles al nivel de riesgo y al ciclo de vida del cliente, un enfoque recomendado por especialistas en identidad digital.
Innovación y retos hacia 2026
Aunque el sector bancario sudafricano ha avanzado notablemente, los desafíos continúan. La transición hacia un sistema de identidad digital nacional —impulsada por el DHA— promete eliminar documentos falsos y duplicados, pero también trasladará el fraude hacia vectores como la toma de control de cuentas, el SIM swap y el compromiso de dispositivos. Los bancos deben prepararse para un entorno donde la autenticación se base en múltiples factores y los controles se activen de manera dinámica según eventos y riesgos.
El Joint Standard 2 obliga a instituciones grandes y pequeñas a fortalecer sus defensas. Sin un centro nacional de ciberseguridad y con años de infrafinanciación en seguridad digital, el sector tiene que invertir en talento, auditorías, segregación de funciones y supervisión de proveedores. Para las pymes, la carga puede ser onerosa, pero la colaboración con proveedores especializados como Facephi permite acceder a tecnologías de vanguardia y cumplir con los estándares sin sacrificar la agilidad.
Finalmente, la educación del usuario sigue siendo crucial. El FSCA ha advertido de un aumento de estafas vía SMS, WhatsApp, Telegram y falsos asesores financieros. Los bancos deben combinar tecnología con programas de concienciación para que los clientes identifiquen phishing, deepfakes y promesas de “dinero fácil”, y sepan que nunca deben compartir su OTP ni sus datos biométricos.
Conclusión: Un futuro de confianza digital
La salida de Sudáfrica de la grey list del GAFI marca un punto de inflexión, pero mantener la confianza requiere un compromiso continuo con la ciberseguridad y la integridad de la identidad. Los ataques se están sofisticando, los fraudes migran hacia vectores como el SIM swap y la toma de control de cuentas, y los reguladores elevan las exigencias para evitar recaídas. La combinación de un marco normativo riguroso (FICA, POPIA, Joint Standards), tecnologías de verificación robustas (biometría multimodal, detección de vida, análisis de comportamiento) y un enfoque basado en riesgos y eventos permitirá a los bancos proteger tanto a sus clientes como a la estabilidad del sistema financiero.
Facephi se posiciona como un aliado estratégico en esta transición. Al ofrecer soluciones integradas de onboarding digital, autenticación biométrica y monitoreo de fraude compatibles con las normas sudafricanas y los estándares internacionales, ayuda a las entidades financieras a cumplir con la regulación, reducir el fraude y ofrecer una experiencia segura y fluida. De cara a 2026, la banca que adopte estas herramientas no solo reducirá pérdidas y sanciones, sino que también consolidará su reputación como garante de confianza en la economía digital.