Compliance para procesadores de pago en LATAM: guía práctica

Los procesadores de pago están en el centro de la economía digital latinoamericana. Cada transacción de e-commerce, cada pago con QR, cada transferencia P2P pasa por algún tipo de Payment Service Provider (PSP). Y donde fluye el dinero, fluye también la atención de los reguladores.

Si operás una pasarela de pagos, una billetera digital, o cualquier servicio que mueva fondos de terceros en América Latina, este artículo es para vos. Vamos a revisar qué exigen los principales reguladores de la región y cómo armar un programa de compliance que funcione sin frenar tu crecimiento.

Por qué los procesadores de pago son foco regulatorio

Los PSP tienen características que los hacen especialmente atractivos para el lavado de activos: manejan grandes volúmenes de transacciones, operan a velocidad digital, y muchas veces tienen contacto limitado con el cliente final. Eso no significa que todos los procesadores sean riesgosos, pero sí que los reguladores les prestan atención especial.

El GAFI (Grupo de Acción Financiera Internacional) ha emitido múltiples guías sobre servicios de pago, y los evaluadores regionales del GAFILAT revisan específicamente cómo cada país supervisa a estos actores. El resultado es una tendencia clara en toda la región: más regulación, más supervisión, y más consecuencias por incumplir.

Si querés entender mejor el marco global de regulación crypto que también afecta a los PSP, te recomendamos leer nuestro artículo sobre MiCA y FATF.

Panorama regulatorio por país

Cada país de LATAM tiene su propio enfoque, pero hay patrones comunes.

Uruguay

Los procesadores de pago están regulados por el Banco Central del Uruguay (BCU) bajo la Ley 19.574 y la normativa de instituciones emisoras de dinero electrónico. Las obligaciones incluyen registro ante el BCU, implementación de políticas KYC/AML, designación de Oficial de Cumplimiento, y reporte de operaciones sospechosas a la UIAF.

Si aún no conocés el marco uruguayo, te recomendamos leer nuestra guía sobre sujetos obligados y el artículo sobre qué es la SENACLAFT.

Argentina

La Unidad de Información Financiera (UIF) supervisa a los PSP bajo la Ley 25.246 y resoluciones específicas. Las Proveedoras de Servicios de Pago (PSP) registradas ante el BCRA tienen obligaciones de debida diligencia del cliente, monitoreo de transacciones, y reporte de operaciones sospechosas. La UIF ha aumentado significativamente su actividad de fiscalización en los últimos años.

México

La CNBV y la UIF supervisan a las Instituciones de Tecnología Financiera (ITF) bajo la Ley Fintech. Los procesadores de pago que operan como ITF o como agregadores tienen obligaciones específicas de PLD (Prevención de Lavado de Dinero) que incluyen identificación de clientes, monitoreo, y reportes regulatorios.

Colombia

La Superintendencia Financiera de Colombia y la UIAF regulan a los corresponsales bancarios y pasarelas de pago. La Ley 1762 de 2015 y sus decretos reglamentarios establecen obligaciones de SARLAFT (Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo) para todos los actores del sistema de pagos.

Chile

La Comisión para el Mercado Financiero (CMF) y la UAF supervisan a los emisores y operadores de medios de pago. La Ley 19.913 establece las obligaciones AML, y la Ley Fintech de 2023 trajo nuevos requisitos para los PSP.

Perú

La SBS y la UIF-Perú regulan a las empresas emisoras de dinero electrónico y procesadores de pago bajo la Ley 27693 y normativa complementaria. Las obligaciones incluyen debida diligencia del cliente, monitoreo continuo, y reporte de operaciones sospechosas.

Obligaciones comunes en toda la región

Más allá de las diferencias locales, hay un núcleo de obligaciones que aplican prácticamente en todos los países.

Conoce a tu cliente (KYC)

Antes de procesar pagos para un comercio, tenés que saber quién es. Esto implica verificar la identidad legal de la empresa, identificar a los beneficiarios finales (UBOs) que controlan más del 10-25% según la jurisdicción, entender el giro del negocio y el tipo de transacciones esperadas, y evaluar el riesgo que representa el cliente.

Para comercios de bajo riesgo, un proceso simplificado puede ser suficiente. Pero para industrias de alto riesgo —gambling, crypto, adult content, remesas— necesitás debida diligencia reforzada.

Monitoreo de transacciones

No alcanza con conocer al cliente al inicio. Tenés que monitorear su actividad de forma continua para detectar patrones inusuales o cambios en el perfil transaccional, transacciones fraccionadas para evadir umbrales de reporte, volúmenes inconsistentes con el tipo de negocio, y operaciones con países de alto riesgo.

El monitoreo puede ser automatizado —y debería serlo si manejás volumen—, pero alguien tiene que revisar las alertas y tomar decisiones.

Screening contra listas

Todos tus comercios y sus beneficiarios finales deben ser verificados contra listas de sanciones internacionales como OFAC, ONU, Unión Europea, y las listas locales de cada país. También contra listas de Personas Políticamente Expuestas (PEPs) y bases de noticias negativas (adverse media).

Este screening debe hacerse al onboarding y repetirse periódicamente durante toda la relación comercial.

Reporte de operaciones sospechosas

Cuando detectás algo que no cierra, tenés la obligación legal de reportarlo a la unidad de inteligencia financiera de tu país. No podés avisar al cliente que lo estás reportando (tipping off), y el reporte debe hacerse en los plazos que establece cada regulador.

La falta de reportes es una de las principales causas de sanciones a PSP en la región.

Conservación de documentos

Toda la documentación de KYC, transacciones, y decisiones de compliance debe conservarse por un mínimo de 5 a 10 años según el país. Esto incluye la evidencia de por qué aceptaste o rechazaste a un comercio, y el historial de monitoreo.

Los riesgos específicos de los procesadores de pago

Hay situaciones que generan alertas rojas en este sector.

El merchant laundering (o transaction laundering) ocurre cuando un comercio legítimo procesa transacciones de otro negocio no autorizado. Por ejemplo, una tienda de ropa que en realidad está procesando pagos de un casino online ilegal. Detectar esto requiere monitoreo de patrones transaccionales y a veces verificaciones físicas.

Los comercios fantasma son negocios que existen solo en papel para lavar dinero. La debida diligencia reforzada —incluyendo verificación de dirección física y actividad real— ayuda a identificarlos.

El fraccionamiento (structuring o smurfing) consiste en dividir transacciones grandes en múltiples pequeñas para evadir umbrales de reporte. Los sistemas de monitoreo deben agregar transacciones por cliente para detectar estos patrones.

Cómo armar un programa de compliance efectivo

Un programa que funcione tiene varios componentes clave.

Políticas documentadas

Necesitás políticas escritas que cubran el proceso de onboarding y KYC, los criterios de aceptación y rechazo de comercios, el procedimiento de monitoreo y escalamiento de alertas, y el proceso de reporte de operaciones sospechosas. Estas políticas deben ser aprobadas por el directorio y revisadas al menos anualmente.

Oficial de Cumplimiento

Debe ser alguien con jerarquía suficiente para tomar decisiones, acceso directo al directorio, independencia de las áreas comerciales, y capacitación específica en PLA/FT. En empresas pequeñas puede ser un rol part-time, pero tiene que existir formalmente.

Tecnología adecuada

Procesar compliance manualmente no escala. Necesitás herramientas para automatizar la verificación de identidad y documentos, el screening contra listas de sanciones y PEPs, el monitoreo de transacciones con reglas configurables, y la gestión de casos y documentación.

Capacitación continua

Todo el equipo que tiene contacto con comercios debe conocer las señales de alerta y saber cómo escalar situaciones sospechosas. La capacitación debe ser documentada y repetirse periódicamente.

Auditoría y mejora continua

El programa debe ser auditado internamente y, idealmente, por terceros independientes. Los hallazgos deben traducirse en mejoras concretas.

Las consecuencias de no cumplir

Los reguladores de LATAM están siendo cada vez más activos. Las consecuencias de incumplir incluyen multas que pueden llegar a millones de dólares, suspensión o revocación de licencias, daño reputacional —las sanciones suelen ser públicas—, y en casos graves, responsabilidad penal para directivos.

Pero más allá de las sanciones directas, el incumplimiento te expone a perder relaciones bancarias. Los bancos hacen due diligence de sus clientes PSP, y si tu programa de compliance es débil, pueden terminar la relación comercial.

Conclusión

El compliance no es opcional para los procesadores de pago en LATAM. Los reguladores están mirando, los bancos están exigiendo, y los riesgos son reales.

La buena noticia es que un programa bien implementado no tiene que ser un freno para el negocio. Con las herramientas adecuadas, podés automatizar la mayor parte del proceso y enfocarte en crecer mientras cumplís con la normativa.

Fuentes y referencias

Organismos internacionales

• GAFI/FATF - Grupo de Acción Financiera Internacional
• GAFILAT - Grupo de Acción Financiera de Latinoamérica
• Guía GAFI sobre nuevos métodos de pago

Uruguay

• Banco Central del Uruguay (BCU)
• SENACLAFT
• Ley 19.574 - Prevención de Lavado de Activos

Argentina

• Unidad de Información Financiera (UIF)
• Banco Central de la República Argentina (BCRA)
• Ley 25.246 - Encubrimiento y Lavado de Activos

México

• Comisión Nacional Bancaria y de Valores (CNBV)
• Unidad de Inteligencia Financiera (UIF México)
• Ley Fintech México

Colombia

• Superintendencia Financiera de Colombia
• UIAF Colombia
• Ley 1762 de 2015 - Anticontrabando

Chile

• Comisión para el Mercado Financiero (CMF)
• Unidad de Análisis Financiero (UAF)
• Ley 19.913 - UIF Chile
• Ley Fintech Chile 2023

Perú

• Superintendencia de Banca, Seguros y AFP (SBS)
• UIF Perú
• Ley 27693 - Sistema de Prevención de Lavado de Activos

Artículos relacionados de Legaltalent

• ¿Qué es la SENACLAFT? - Marco regulatorio uruguayo
• ¿Soy sujeto obligado? - Guía para identificar obligaciones
• PEPs: Personas Políticamente Expuestas - Debida diligencia reforzada
• Adverse Media: monitoreo de noticias - Complemento al screening
• MiCA y FATF: regulación crypto global - Estándares internacionales

¿Necesitas implementar compliance para tu PSP?

En Legaltalent ayudamos a procesadores de pago y fintechs a cumplir con las normas AML/KYC de forma simple. Nuestra plataforma te permite hacer screening automatizado contra listas globales de sanciones y PEPs, verificar beneficiarios finales, y mantener tu documentación organizada para auditorías.

Comienza gratis y descubre cómo cumplir con la normativa sin frenar tu crecimiento.