Gestionas una fiduciaria en Ginebra o eres responsable de cumplimiento en un despacho. ¿Percibes que 2026 será un “pequeño” endurecimiento AML? Lectura equivocada. El alcance se amplía, las expectativas aumentan y los expedientes “a medias” serán costosos.
Seré directo: el AML no se gestiona con un archivador polvoriento y un formulario KYC firmado una vez. Se gestiona como un sistema. Con pruebas. Y hábitos.
Fuentes útiles para contextualizar: (fuente: Revisión AML/LTPM 2026 (Secretaría de Estado para Asuntos Financieros Internacionales SFI)), (fuente: Bases legales AML y OBA (textos oficiales, fedlex)), (fuente: Bases legales de FINMA (AML, OBA, OBA-FINMA)), (fuente: FAQ AML (ch.ch, portal Estado suizo)), (fuente: Guía anti-lavado y registro de beneficiarios efectivos (admin.ch)), (fuente: Posiciones 2026 (news EXPERTsuisse)).
Alcance 2026: ¿quién está sujeto al AML y qué actividades?
La pregunta no es “¿soy una fiduciaria?”. La verdadera pregunta: “¿realizo una actividad que me pone dentro del alcance AML?”
En la práctica, en Ginebra, muchos despachos descubren que están “sujetos” cuando un cliente pide una estructura exótica o el banco hace preguntas inesperadas.
Actividades fiduciarias que activan el AML
Sin ser jurista, recuerde una lógica simple: en cuanto interviene en flujos, estructuras u operaciones que pueden ocultar el origen de fondos, está en el ámbito AML.
Típicamente se observa:
- constitución, administración, gestión de sociedades (especialmente con accionistas no residentes)
- provisión de administradores, gerentes, domiciliación (según el rol real)
- asistencia en apertura de cuentas, organización de pagos, gestión de tesorería
- operaciones sobre activos (aunque “no toque el dinero”, pero lo orquesta)
Trampa clásica: “Solo hacemos la contabilidad”. Sí… pero prepara pagos, da instrucciones, gestiona poderes, es el intermediario que permite la operación. Resultado: está bajo la lupa.
2026: lo que cambia en el espíritu (y en la práctica)
Aunque el texto no “revoluciona” todo, la ejecución cambia:
- más trazabilidad esperada sobre el beneficiario efectivo (BE)
- más exigencias sobre la justificación económica de las operaciones
- más coherencia entre el perfil del cliente y los flujos observados
En nuestra opinión, el verdadero cambio 2026 es tolerancia cero para expedientes incompletos. Antes, algunos pasaban desapercibidos. Mañana, será un riesgo para el despacho.
Tabla — mapeo rápido de situaciones (visión práctica)
| Situación en fiduciaria | Riesgo AML típico | Acción concreta |
|---|---|---|
| Cliente extranjero quiere una Sàrl en Ginebra “para facturar” | Sociedad pantalla / justificación económica débil | Exigir modelo de negocio, contratos, clientes, países de actividad, BE documentado |
| Domiciliación + administración “de conveniencia” | Control efectivo opaco | Rechazar si no entiende quién decide y por qué |
| Mandato contable + prepara los pagos | Se convierte en eslabón del flujo | Procedimiento de aprobación, justificantes, monitoreo |
| Grupo con holdings y préstamos intragrupo | Circulación de fondos difícil de leer | Contratos de préstamo, tasas, calendarios, lógica fiscal/económica |
| Cliente cripto “convierte” y quiere pagar proveedores | Origen de fondos / trazabilidad | Pruebas de origen, plataformas, historiales, coherencia |
Obligaciones de diligencia y documentación (SRO, controles internos, registros)
El AML no es “hacer firmar un papel”. Es demostrar que hizo su trabajo y puede probarlo 18 meses después, cuando todos lo han olvidado.
SRO: afiliación, reglas internas y lo que realmente le pedirán
Si está sujeto, debe estar afiliado a una organización autorregulada (SRO) o bajo una supervisión equivalente según su estatus. En los controles, no le piden su opinión. Le piden:
- su reglamento interno AML (actualizado)
- sus procesos (quién hace qué, cuándo, cómo)
- sus pruebas de ejecución (expedientes, registros, validaciones)
Observación práctica: muchos despachos tienen un reglamento interno “copiado” que no corresponde a la realidad. Es peor que nada. Porque demuestra que no sigue sus propias reglas.
Controles internos: separación de roles, incluso en equipos pequeños
¿Son tres en el despacho? Perfecto. Aun así se puede separar:
- la persona que recopila documentos
- la persona que valida el riesgo y la relación
- la persona que hace el seguimiento periódico
Cuando no es posible, documente la compensación: doble validación puntual, revisión trimestral por un socio, listas de verificación firmadas.
Registros: lo que debe poder entregar en 10 minutos
El día que la SRO o un auditor lo solicite, debe producir rápidamente:
- lista de relaciones comerciales (clientes activos)
- clasificación de riesgo (bajo / estándar / alto) + fecha de revisión
- registro PEP (o al menos prueba de screening y resultados)
- registro de alertas / incidentes / decisiones (incluyendo “falsa alerta”)
Procedimientos KYC: identificación del cliente, beneficiarios, justificantes y obligaciones reforzadas
El KYC es su seguro. Pero muchos lo tratan como una formalidad. Y luego, cuando llega un flujo extraño, no hay nada para explicar.
Identificación del cliente: persona física vs persona jurídica
Para una persona física:
- documento de identidad válido (copia legible)
- dirección y prueba (según su política)
- actividad profesional, empleador, país de tributación (cuando sea relevante)
Para una sociedad:
- extracto del registro mercantil (o equivalente)
- estatutos / documentos constitutivos
- órganos, poderes de firma
- descripción de la actividad real (no “consultoría” en una línea)
Pregunta simple: “¿Quién firma, quién decide, quién se beneficia?” Si no tiene la respuesta, no tiene KYC.
Beneficiario efectivo (BE): el punto que rompe los expedientes
El BE es la persona física que controla o se beneficia realmente. Y no, “es un trust” no es respuesta.
Lo que se espera de un expediente correcto:
- declaración BE firmada
- organigrama claro (aunque sea en una página)
- documentos que corroboren (registro, pacto de accionistas si es necesario, documentos de constitución)
Trampa clásica: se toma la declaración BE, se archiva y nunca se verifica si coincide con la realidad (país, actividad, flujos). Cuando explota, la declaración no le salva.
Justificantes: lo que marca la diferencia en auditoría
Un buen expediente KYC contiene pruebas “utilizables”:
- contratos (clientes/proveedores) cuando la actividad es nueva o atípica
- facturas tipo, sitio web, pitch deck (sí, incluso eso)
- justificantes de origen de fondos cuando hay aportes, préstamos o inyección de capital
Obligaciones reforzadas: cuando debe pasar a “riesgo alto”
Pasa a reforzado cuando:
- PEP (o cercano/asociado) identificado
- país de riesgo / sanciones / alta corrupción
- estructura compleja sin razón económica clara
- actividad intensiva en efectivo o flujos incoherentes
Reforzado significa:
- más documentos
- validación por nivel senior
- frecuencia de revisión más corta
- justificación escrita de la decisión de aceptar
Checklist KYC (inicio de relación) — versión despacho
- Mandato firmado + alcance claro (qué hace / qué no hace)
- Identificación del cliente (ID / RM / estatutos)
- BE identificado + declaración firmada + organigrama
- Objetivo y naturaleza de la relación (2–5 frases, no una fórmula)
- Perfil esperado de flujos (montos, países, frecuencia, contrapartes)
- Screening PEP/sanciones documentado
- Clasificación de riesgo + fecha de próxima revisión
- Validación interna (quién aceptó, cuándo)
Supervisión continua: PEP, listas de sanciones, monitoreo automatizado
El control inicial está bien. Pero el lavado suele ocurrir después. Cuando la relación está establecida y todos bajan la guardia.
PEP: lo que los despachos subestiman
PEP no significa “prohibido”. Significa “debe poder explicar por qué acepta y cómo supervisa”.
En la práctica, lo que complica:
- PEP indirecto (familiar, cónyuge, asociado)
- PEP “local” (función pública, empresas estatales)
- cambio de estatus (un cliente se convierte en PEP tras el inicio)
Sanciones: el riesgo directo
Las sanciones son binarias: si se le escapan, está en problemas. Y no es raro: homónimos, transliteraciones, sociedades pantalla.
Reflejo: conservar prueba fechada del screening y un procedimiento “qué hacer si hay coincidencia”.
Monitoreo: manual, semi-automatizado, automatizado… pero demostrable
Puede hacerlo simple, incluso sin herramientas costosas, siempre que sea coherente:
- revisión periódica de clientes de alto riesgo (ej. trimestral)
- revisión semestral de clientes estándar
- revisión anual de clientes de bajo riesgo
Y sobre todo: un registro de alertas. Una alerta tratada sin rastro es como si nunca se hubiera tratado.
Tabla — ejemplo de plan de monitoreo realista
| Nivel de riesgo | Desencadenantes típicos | Frecuencia de revisión | Pruebas a conservar |
|---|---|---|---|
| Bajo | actividad local simple, flujos coherentes | 1x/año | nota de revisión + screening |
| Estándar | PyME con flujos internacionales moderados | 2x/año | revisión de flujos + justificantes puntuales |
| Alto | PEP, país de riesgo, estructura compleja | 4x/año | revisión detallada + validación senior + decisiones |
Reporte MROS: umbrales de declaración, procedimiento y protección legal
El MROS asusta. A menudo porque se confunde “sospecha” y “prueba”. No es fiscal. Es un profesional sujeto a obligación de reportar en ciertas situaciones.
Para el marco legal y explicaciones oficiales: (fuente: FAQ AML (ch.ch, portal Estado suizo)), (fuente: Bases legales AML y OBA (textos oficiales, fedlex)).
Cuándo reportar: el verdadero desencadenante
El desencadenante es sospecha fundada. No “no me gusta su cara”, no “es un cliente complicado”. Sospecha fundada es cuando los elementos disponibles hacen plausible un vínculo con un delito previo, organización criminal o fondos ilícitos, y no puede disipar la duda con aclaraciones razonables.
Ejemplos concretos:
- aportes “préstamos” sin contrato, sin calendario, sin lógica
- facturas circulares entre sociedades vinculadas, sin sustancia
- flujos hacia jurisdicciones sensibles sin razón comercial
- negativa a entregar documentos simples (BE, contratos, origen de fondos)
Ark Fiduciaire
¿Necesita ayuda con este tema?
Nuestros expertos están disponibles para un acompañamiento personalizado. Primera consulta gratuita y sin compromiso.
Procedimiento interno: quién decide y cómo se documenta
En un despacho, se necesita un procedimiento escrito:
- quién recibe la alerta (colaborador, contador, admin)
- quién analiza (responsable de cumplimiento / socio)
- qué aclaraciones se intentan (y cuáles no)
- quién decide reportar
- cómo se archiva el expediente MROS
Protección legal y confidencialidad: cuidado con el “tipping-off”
No puede avisar al cliente que reporta (tipping-off). Y debe proteger a sus colaboradores: una decisión MROS debe ser asumida por el despacho, no por “Juan, junior, que vio algo”.
Observación práctica: algunos despachos escriben correos internos demasiado explícitos (“es lavado”). Mala idea. Sea factual: hechos, fechas, montos, incoherencias, documentos faltantes.
Creación y control del expediente de cumplimiento: organización, almacenamiento, auditorías internas
Un expediente de cumplimiento sólido cuenta una historia coherente: quién es el cliente, por qué se aceptó, cómo opera y cómo se supervisa.
Organización: un expediente único, no 12 lugares
Si sus documentos están en:
- un correo
- un drive
- un ERP
- un archivador físico
… perderá tiempo y elementos. Buena práctica: expediente central (físico o digital), con estructura estándar.
Almacenamiento: integridad, acceso y prueba de fecha
Le pedirán: “¿quién tuvo acceso? ¿cuándo se añadió el documento? ¿es la versión final?”
Incluso sin herramientas sofisticadas puede:
- nombrar archivos con fecha (YYYY-MM-DD)
- bloquear carpetas de clientes (derechos de acceso)
- mantener una pista de validación (PDF firmado, nota interna)
Auditorías internas: el control que evita catástrofes
En nuestra opinión, un despacho que espera la auditoría SRO para descubrir sus fallos está en riesgo.
Ritmo realista:
- mini-auditoría trimestral de 5 expedientes (incluyendo 2 de alto riesgo)
- auditoría anual completa sobre una muestra mayor
Lo que se revisa: coherencia BE, screening, perfil de flujos, revisiones periódicas, decisiones documentadas.
Checklist “expediente de cumplimiento listo para auditoría”
- KYC completo + BE + organigrama
- Perfil de riesgo motivado (no solo una casilla)
- Screening PEP/sanciones con prueba fechada
- Notas de revisiones periódicas (fechas, hallazgos, acciones)
- Justificantes de operaciones atípicas (contratos, facturas, explicaciones)
- Registro de alertas y decisiones (incluyendo cierre)
- Trazabilidad de validaciones internas
Paso a paso: dejar su despacho “limpio” antes de 2026
Vamos al concreto. Aquí una secuencia que funciona en despacho, sin paralizar a todos por 3 meses.
Paso 1 — Mapear sus servicios y riesgos reales (1 semana)
- liste sus servicios (contabilidad, nóminas, domiciliación, admin, apertura de cuentas, etc.)
- para cada servicio, anote: “¿toco flujos? ¿creo/control una estructura?”
- clasifique los mandatos existentes: bajo / estándar / alto
Paso 2 — Estandarizar sus expedientes (2 semanas)
- cree una estructura única
- imponga checklist KYC de inicio
- imponga checklist de revisión periódica
Paso 3 — Registrar decisiones (inmediato)
Una simple tabla interna basta al inicio:
- fecha
- cliente
- alerta / evento
- decisión
- quién valida
- documentos
Paso 4 — Revisar expedientes “antiguos” (4 a 8 semanas)
Comience por:
- PEP potenciales
- estructuras complejas
- clientes no residentes
Y haga una cosa: llenar los huecos. No reescribir la historia.
Paso 5 — Probar su sistema (auditoría interna)
Tome 10 expedientes al azar. Pregúntese: “si la SRO llega mañana, ¿podemos defender cada expediente sin sudar?”
Caso práctico (Ginebra): una Sàrl de consultoría que transfiere al extranjero
Situación real (típica):
- Cliente: Sàrl en Ginebra, consultoría IT
- Facturación anual: CHF 1’200’000
- Margen bruto: CHF 720’000
- Director: residente suizo
- Accionista: holding en Chipre
- BE declarado: persona física residente en Emiratos
En 3 meses, la sociedad:
- recibe CHF 310’000 de 4 clientes suizos
- paga CHF 185’000 a “subcontratistas” en Portugal y Dubái
- paga CHF 90’000 en “management fees” a la holding
Problema: ningún documento sólido. Solo facturas PDF genéricas.
Un expediente de cumplimiento defendible exige:
- BE: organigrama + prueba de control (documentos de la holding, registro, declaración)
- Objetivo económico: ¿por qué una holding en Chipre? ¿por qué management fees?
- Subcontratación: contratos, entregables, pruebas de servicio (tickets, informes, acceso, correos de proyecto)
- Perfil de flujos: justificación escrita de que se esperan pagos internacionales, con países y montos
Decisión del despacho (ejemplo):
- solicitar en 10 días: contratos + entregables + explicación de management fees + base de cálculo
- si hay rechazo o incoherencias persistentes: escalada interna, riesgo alto, revisión reforzada
- si la sospecha fundada no se disipa: análisis MROS según procedimiento
Este caso se ve a menudo en cierre anual. El contador encuentra gastos “consultoría” enormes, sin sustancia. Todos entran en pánico. Si el KYC y el monitoreo se hacen desde el inicio, ahorra mucho tiempo.
3 errores costosos para fiduciarias de Ginebra (y cómo corregirlos)
Error 1 — “Tenemos copia del pasaporte, así que está bien”
No. Tiene una identidad, no una comprensión.
Corrección: añada nota “objetivo y naturaleza” + perfil de flujos + BE corroborado.
Error 2 — Expediente PEP tratado como estándar
El PEP no es un sello. Es un nivel de supervisión.
Corrección: validación senior + revisión más frecuente + justificación escrita de aceptación.
Error 3 — Alerta tratada verbalmente, sin rastro
Clásico: “lo hablamos, no era nada”. Pero en auditoría, “lo hablamos” no existe.
Corrección: registro de alertas, aunque sea minimalista. Una línea, una decisión, un documento.
Riesgos de incumplimiento y sanciones 2026
No es solo una reprimenda. El riesgo es múltiple:
- medidas de la SRO (exigencias correctivas, auditorías reforzadas)
- daño reputacional (en Ginebra, es rápido)
- ruptura bancaria (el cliente pierde el banco, usted pierde el mandato)
- responsabilidad del despacho y órganos según el caso
Y hay un riesgo muy concreto: “riesgo de cartera”. Un solo expediente tóxico puede desencadenar revisión de 30 expedientes.
En nuestra opinión, la mejor estrategia es invertir en disciplina documental. No en frases complicadas. Una buena nota interna factual vale más que un informe de 12 páginas que no prueba nada.
Lo que su cliente debe entender (si no, usted asume todo el riesgo)
Puede hacer un KYC perfecto. Si el cliente no coopera, está bloqueado.
Deje claro en el mandato:
- obligación de entregar documentos en plazos razonables
- derecho a suspender servicios si faltan documentos
- derecho a rescindir si hay incoherencias graves
Frase simple que uso en reuniones: «Si no puede explicar de dónde viene el dinero y por qué circula así, yo no puedo acompañarle.» Eso lo aclara todo.
FAQ AML para fiduciarias: 2026
1) ¿Una fiduciaria “solo contabilidad” está afectada por AML?
Depende de lo que realmente haga. Si se limita a la contabilidad sin intervenir en flujos, organizar pagos o administrar estructuras, el riesgo de estar sujeto es diferente. El problema es que muchos mandatos “contabilidad” derivan en gestión operativa (pagos, poderes, apertura de cuentas). Y ahí cambia de categoría.
2) ¿Qué es un BE aceptable en un expediente?
Un BE aceptable es una persona física identificada, con declaración firmada y elementos que corroboren (organigrama, documentos de la sociedad, coherencia económica). Si solo tiene un nombre en un formulario, sin nada detrás, es vulnerable.
3) ¿Con qué frecuencia debe revisarse un expediente de cliente?
No hay una frecuencia mágica para todos. Fije una frecuencia según el riesgo y cúmplala. Bajo: anual. Estándar: semestral. Alto: trimestral. Clave: conservar prueba fechada de la revisión y decisiones.
4) ¿Qué hacer si un cliente se niega a dar el origen de fondos?
Documente la solicitud, el rechazo y evalúe si la duda puede disiparse de otra forma. A menudo, no. En ese caso, no siga “como si nada”. Escale internamente, revalúe el riesgo y considere reporte MROS si la sospecha se funda.
5) ¿Qué significa un match en una lista de sanciones?
Significa: detener y verificar. Muchos matches son homónimos. Pero debe probar que revisó y concluyó. Sin prueba, está expuesto.
6) ¿Cómo preparar una auditoría SRO sin perder la salud?
Estandarice expedientes, mantenga registros (clientes, riesgos, PEP/sanciones, alertas), haga mini-auditoría interna trimestral. La auditoría SRO va bien si puede entregar documentos rápido y la historia del expediente es coherente.
Referencias
- FAQ AML (ch.ch, portal Estado suizo)
- Guía anti-lavado y registro de beneficiarios efectivos (admin.ch)
- Posiciones 2026 (news EXPERTsuisse)
- Bases legales AML y OBA (textos oficiales, fedlex)
- Revisión AML/LTPM 2026 (Secretaría de Estado para Asuntos Financieros Internacionales SFI)
- Bases legales de FINMA (AML, OBA, OBA-FINMA)