Por Tatiana Rassokha, Compliance Officer, CAMS
La primera vez que analicé la regulación de un país que nunca había visitado, me di cuenta de algo: prepararse para el cumplimiento normativo es muy similar a prepararse para un viaje. Estudias el mapa, revisas los requisitos de entrada y aprendes cómo funcionan realmente las cosas sobre el terreno. El terreno es desconocido, las reglas son locales, y perderse… puede salir caro.
Comprender un entorno regulatorio no es algo puntual, es un proceso continuo. Como cualquier viaje que realmente vale la pena, necesita una ruta bien planificada.
Primeras impresiones: lo que dicen los locales
Lo primero que haces antes de cualquier viaje es preguntar a personas que ya han estado allí por recomendaciones, consejos y examinar el destino en el mapa. En AML, eso significa consultar la inteligencia de pares y evaluar la posición internacional de un país.
Las evaluaciones mutuas del FATF sirven como punto de partida para comprender la estabilidad de los servicios financieros y la posición de un país en el mapa del AML/CFT. Estas evaluaciones analizan tanto el cumplimiento técnico de las 40 Recomendaciones como la eficacia práctica del régimen AML/CFT de un país. La brecha entre lo que dice la ley y lo que hacen las instituciones puede, en ocasiones, ser significativa. Una jurisdicción puede contar con un marco legal sólido y, al mismo tiempo, presentar debilidades en la aplicación, la supervisión o la cultura de reporte.
El FATF mantiene dos listas públicas de vigilancia —“Jurisdictions under Increased Monitoring” (lista gris) y “High-Risk Jurisdictions Subject to a Call for Action” (lista negra)— que se actualizan después de cada Plenario. La posición de un país en estas listas impacta directamente en el acceso a la banca corresponsal, el nivel de debida diligencia reforzada que deben aplicar los socios extranjeros y el grado general de escrutinio sobre la jurisdicción.
Estas listas no son estáticas. Reflejan los esfuerzos de implementación de los países y señalan áreas que requieren mejoras. Sudáfrica fue retirada de la lista gris en octubre de 2025 tras 32 meses, después de haber abordado los 22 puntos de su plan de acción con el FATF. Filipinas salió de la lista en febrero de 2025, tras casi cuatro años, después de reforzar la supervisión de los casinos y ampliar los requisitos AML para los servicios de remesas.
Leyendo el terreno: la legislación local
No estudias un idioma antes de ir de vacaciones: solo te aseguras de poder leer las señales críticas. En AML, las leyes primarias son las señales esenciales para el viajero que no se pueden ignorar: lo que exige la jurisdicción, dónde están los límites y qué desencadena consecuencias. No necesitas fluidez, pero sí debes entender las señales de advertencia antes de pasarlas por alto. Y, lo más importante, necesitas información actualizada y al día.
Solo en 2025, múltiples países reformaron sus regulaciones AML:
En México, se redujo el umbral de propiedad beneficiaria del 50 % al 25 % en julio de 2025. La reforma LFPIORPI incluyó el desarrollo inmobiliario en la lista de actividades vulnerables y otorgó a la Unidad de Inteligencia Financiera participación directa en investigaciones penales.
En los EAU, el Decreto Federal-Ley N.º 10/2025 reemplazó completamente la legislación de 2018 a mediados de octubre. Amplió la definición de delitos subyacentes para incluir la evasión fiscal y los delitos digitales, puso a los VASP bajo supervisión total AML/CFT y elevó las multas corporativas a 100 millones de AED. El panorama legal fue rediseñado fundamentalmente.
Siguiendo las señales del camino: regulación secundaria y guías de supervisión
Conocer la ley es el primer paso. Seguir las señales que los reguladores dejan — eso es lo que te mantiene en el camino correcto.
En México, la CNBV publica los requisitos de gestión para la prevención del fraude y establece comportamientos específicos de monitoreo para las instituciones. En los EAU, el Banco Central impuso más de 370 millones de AED en multas en 2025, incluyendo una sola penalidad de 200 millones de AED a una casa de cambio por fallas en su marco AML.
Ignorar estos pasos legislativos primarios y secundarios puede hacer que tu “viaje” salga realmente mal.
¿El costo? Consideremos el caso de N26. En marzo de 2021, el Banca d’Italia multó al neobanco alemán con 3,6 millones de euros y le ordenó cesar completamente la incorporación de clientes italianos. El problema no fue la escala, sino ignorar los requisitos locales. N26 no reportó transacciones sospechosas a la Unidad de Inteligencia Financiera de Italia durante más de un año, verificó de manera insuficiente la identidad de los clientes y careció de procedimientos para evaluar los riesgos de lavado de dinero y financiamiento del terrorismo.
El mensaje del regulador fue claro: N26 trató a Italia como una extensión de su operación en Alemania, no como una jurisdicción regulatoria distinta. Para mayo de 2022, N26 se retiró por completo de Italia. El costo no fue solo la multa: fue perder todo el mercado.
Elige tu alojamiento: reglas específicas por sector
Al igual que el lugar donde te alojas determina tu experiencia de viaje, el sector en el que operas determina qué reglas se aplican. Los requisitos en banca, fintech, seguros, bienes raíces y activos virtuales rara vez son idénticos, y asumir que lo son puede ser costoso.
En México, los bancos tradicionales enfrentan umbrales de CDD y requisitos de verificación biométrica diferentes a los de las fintech autorizadas bajo la Ley Fintech. Los desarrolladores inmobiliarios ni siquiera estaban clasificados como “actividades vulnerables” hasta la reforma de julio de 2025, lo que dejó transacciones por miles de millones fuera del alcance regulatorio durante años.
En los EAU, la Ley AML de 2025 ahora somete a los VASP —intercambios de criptomonedas, proveedores de wallets y plataformas DeFi— al régimen regulatorio completo: licencias, marcos de control y supervisión equivalentes a los de los bancos. El Artículo 30 va más allá, prohibiendo activos virtuales con anonimato que impidan la trazabilidad de las transacciones. Si tu plataforma permite privacy coins o transferencias peer-to-peer sin supervisión, estás incumpliendo por diseño.
En Filipinas, los casinos y operadores de juegos offshore fueron el núcleo del listado gris del país. La estrategia 2026–2030 se centra en negocios de juegos y de alta intensividad de efectivo, obligando a los operadores a demostrar, no solo prometer, que sus sistemas de vigilancia funcionan. Este cambio regulatorio plantea una pregunta más difícil: ¿cuántas otras jurisdicciones están a un problema de reclasificar un sector entero como de alto riesgo?
Pronóstico regulatorio: lo que se avecina
Un viajero revisa el clima antes de hacer la maleta. En AML, el FATF establece el pronóstico, y no seguirlo significa caminar hacia una posible tormenta sin estar preparado.
En su Plenario de febrero de 2026 en Ciudad de México, el FATF elevó el fraude cibernético a una prioridad estratégica, aprobando guías sobre cómo los delincuentes explotan los pagos instantáneos, las plataformas digitales y la ingeniería social. Un informe complementario específico sobre Stablecoins y Unhosted Wallets se centra en las transacciones peer-to-peer que evaden los controles institucionales.
La metodología de la 5ª ronda del FATF —que ahora se aplica en México, los EAU y Sudáfrica— otorga mayor peso a la eficacia demostrada. Los países enfrentan un ciclo de evaluación de seis años, con tres años para cerrar brechas antes de una escalada pública. Para las instituciones, esto significa contar con sistemas de monitoreo que “detecten patrones”, verificaciones de identidad que “prevengan el fraude” y reportes que “contribuyan a la inteligencia”.
Sin margen para improvisar
Algunos viajeros juran que su mejor viaje fue aquel que no planearon. Esa noción romántica no tiene lugar en el cumplimiento contra el lavado de dinero. Aquí, debes estar preparado. Tu timing debe ser preciso. Tus documentos deben estar listos. Tus defensas deben anticipar amenazas que aún no has visto.
Ahí es donde se rompe la analogía. Perder un vuelo significa reprogramar y frustración. No cumplir un requisito regulatorio significa multas, revisiones o suspensiones de licencia, o acciones de cumplimiento público; consecuencias que pueden terminar con negocios, no solo incomodarlos.
Tenemos ejemplos recientes. En julio de 2025, la FCA multó a Monzo Bank con 21 millones de libras. Los sistemas de onboarding no lograron detectar direcciones implausibles, miles de clientes de alto riesgo se registraron incluso después de una prohibición específica de la autoridad supervisora. La defensa del banco de que los sistemas “estaban siendo mejorados” se vino abajo ante la evidencia de que las alertas se ignoraron durante meses. La lección: las buenas intenciones sin disciplina operativa carecen de valor legal.
Ya sea que estés entrando en un nuevo mercado, incorporando clientes de una jurisdicción desconocida o preparándote para un escrutinio regulatorio, el éxito depende en gran medida de leer cada capa del terreno regulatorio de un país. Una preparación completa aún no te protegerá de la complejidad de las reformas legislativas, nuevas acciones de cumplimiento o cambios en las prioridades supervisoras. Pero, al igual que con un seguro de viaje obligatorio, sabrás mejor cuáles son tus opciones.
Lo que te llevas
Mantenerse en cumplimiento es un viaje que en realidad nunca termina. Puedes estudiar todos los mapas, memorizar cada regla y prepararte para cualquier escenario, pero el cumplimiento, al igual que los viajes, te enseña más cuando ya estás sobre el terreno.
La diferencia es que, en AML, lo que te llevas no es un souvenir, sino memoria institucional: los sistemas que funcionaron, las brechas que identificaste antes que los reguladores, y la disciplina para tratar cada jurisdicción como si tu licencia dependiera de ello. Porque depende.