AML en fiduciarias: obligaciones 2026, KYC, PEP, MROS y expediente de cumplimiento

Panorama 2026 de las nuevas obligaciones AML para fiduciarias en Suiza: mayor alcance, procedimientos KYC, controles PEP/sanciones, reportes MROS y puntos clave para crear un expediente de cumplimiento sólido. Enfoque en buenas prácticas y riesgos de incumplimiento para despachos fiduciarios, directivos y responsables de cumplimiento.

Por Ark Fiduciaire

Publicado el 01/07/2026

Tiempo de lectura: 14min (2808 words)

conformiteoarlbaamlfinmapme

Gestionas una fiduciaria en Ginebra o eres responsable de cumplimiento en un despacho. ¿Percibes que 2026 será un “pequeño” endurecimiento AML? Lectura equivocada. El alcance se amplía, las expectativas aumentan y los expedientes “a medias” serán costosos.

Seré directo: el AML no se gestiona con un archivador polvoriento y un formulario KYC firmado una vez. Se gestiona como un sistema. Con pruebas. Y hábitos.

Fuentes útiles para contextualizar: (fuente: Revisión AML/LTPM 2026 (Secretaría de Estado para Asuntos Financieros Internacionales SFI)), (fuente: Bases legales AML y OBA (textos oficiales, fedlex)), (fuente: Bases legales de FINMA (AML, OBA, OBA-FINMA)), (fuente: FAQ AML (ch.ch, portal Estado suizo)), (fuente: Guía anti-lavado y registro de beneficiarios efectivos (admin.ch)), (fuente: Posiciones 2026 (news EXPERTsuisse)).

Alcance 2026: ¿quién está sujeto al AML y qué actividades?

La pregunta no es “¿soy una fiduciaria?”. La verdadera pregunta: “¿realizo una actividad que me pone dentro del alcance AML?”

En la práctica, en Ginebra, muchos despachos descubren que están “sujetos” cuando un cliente pide una estructura exótica o el banco hace preguntas inesperadas.

Actividades fiduciarias que activan el AML

Sin ser jurista, recuerde una lógica simple: en cuanto interviene en flujos, estructuras u operaciones que pueden ocultar el origen de fondos, está en el ámbito AML.

Típicamente se observa:

  • constitución, administración, gestión de sociedades (especialmente con accionistas no residentes)
  • provisión de administradores, gerentes, domiciliación (según el rol real)
  • asistencia en apertura de cuentas, organización de pagos, gestión de tesorería
  • operaciones sobre activos (aunque “no toque el dinero”, pero lo orquesta)

Trampa clásica: “Solo hacemos la contabilidad”. Sí… pero prepara pagos, da instrucciones, gestiona poderes, es el intermediario que permite la operación. Resultado: está bajo la lupa.

2026: lo que cambia en el espíritu (y en la práctica)

Aunque el texto no “revoluciona” todo, la ejecución cambia:

  • más trazabilidad esperada sobre el beneficiario efectivo (BE)
  • más exigencias sobre la justificación económica de las operaciones
  • más coherencia entre el perfil del cliente y los flujos observados

En nuestra opinión, el verdadero cambio 2026 es tolerancia cero para expedientes incompletos. Antes, algunos pasaban desapercibidos. Mañana, será un riesgo para el despacho.

Tabla — mapeo rápido de situaciones (visión práctica)

Situación en fiduciariaRiesgo AML típicoAcción concreta
Cliente extranjero quiere una Sàrl en Ginebra “para facturar”Sociedad pantalla / justificación económica débilExigir modelo de negocio, contratos, clientes, países de actividad, BE documentado
Domiciliación + administración “de conveniencia”Control efectivo opacoRechazar si no entiende quién decide y por qué
Mandato contable + prepara los pagosSe convierte en eslabón del flujoProcedimiento de aprobación, justificantes, monitoreo
Grupo con holdings y préstamos intragrupoCirculación de fondos difícil de leerContratos de préstamo, tasas, calendarios, lógica fiscal/económica
Cliente cripto “convierte” y quiere pagar proveedoresOrigen de fondos / trazabilidadPruebas de origen, plataformas, historiales, coherencia

Obligaciones de diligencia y documentación (SRO, controles internos, registros)

El AML no es “hacer firmar un papel”. Es demostrar que hizo su trabajo y puede probarlo 18 meses después, cuando todos lo han olvidado.

SRO: afiliación, reglas internas y lo que realmente le pedirán

Si está sujeto, debe estar afiliado a una organización autorregulada (SRO) o bajo una supervisión equivalente según su estatus. En los controles, no le piden su opinión. Le piden:

  • su reglamento interno AML (actualizado)
  • sus procesos (quién hace qué, cuándo, cómo)
  • sus pruebas de ejecución (expedientes, registros, validaciones)

Observación práctica: muchos despachos tienen un reglamento interno “copiado” que no corresponde a la realidad. Es peor que nada. Porque demuestra que no sigue sus propias reglas.

Controles internos: separación de roles, incluso en equipos pequeños

¿Son tres en el despacho? Perfecto. Aun así se puede separar:

  • la persona que recopila documentos
  • la persona que valida el riesgo y la relación
  • la persona que hace el seguimiento periódico

Cuando no es posible, documente la compensación: doble validación puntual, revisión trimestral por un socio, listas de verificación firmadas.

Registros: lo que debe poder entregar en 10 minutos

El día que la SRO o un auditor lo solicite, debe producir rápidamente:

  • lista de relaciones comerciales (clientes activos)
  • clasificación de riesgo (bajo / estándar / alto) + fecha de revisión
  • registro PEP (o al menos prueba de screening y resultados)
  • registro de alertas / incidentes / decisiones (incluyendo “falsa alerta”)

Procedimientos KYC: identificación del cliente, beneficiarios, justificantes y obligaciones reforzadas

El KYC es su seguro. Pero muchos lo tratan como una formalidad. Y luego, cuando llega un flujo extraño, no hay nada para explicar.

Identificación del cliente: persona física vs persona jurídica

Para una persona física:

  • documento de identidad válido (copia legible)
  • dirección y prueba (según su política)
  • actividad profesional, empleador, país de tributación (cuando sea relevante)

Para una sociedad:

  • extracto del registro mercantil (o equivalente)
  • estatutos / documentos constitutivos
  • órganos, poderes de firma
  • descripción de la actividad real (no “consultoría” en una línea)

Pregunta simple: “¿Quién firma, quién decide, quién se beneficia?” Si no tiene la respuesta, no tiene KYC.

Beneficiario efectivo (BE): el punto que rompe los expedientes

El BE es la persona física que controla o se beneficia realmente. Y no, “es un trust” no es respuesta.

Lo que se espera de un expediente correcto:

  • declaración BE firmada
  • organigrama claro (aunque sea en una página)
  • documentos que corroboren (registro, pacto de accionistas si es necesario, documentos de constitución)

Trampa clásica: se toma la declaración BE, se archiva y nunca se verifica si coincide con la realidad (país, actividad, flujos). Cuando explota, la declaración no le salva.

Justificantes: lo que marca la diferencia en auditoría

Un buen expediente KYC contiene pruebas “utilizables”:

  • contratos (clientes/proveedores) cuando la actividad es nueva o atípica
  • facturas tipo, sitio web, pitch deck (sí, incluso eso)
  • justificantes de origen de fondos cuando hay aportes, préstamos o inyección de capital

Obligaciones reforzadas: cuando debe pasar a “riesgo alto”

Pasa a reforzado cuando:

  • PEP (o cercano/asociado) identificado
  • país de riesgo / sanciones / alta corrupción
  • estructura compleja sin razón económica clara
  • actividad intensiva en efectivo o flujos incoherentes

Reforzado significa:

  • más documentos
  • validación por nivel senior
  • frecuencia de revisión más corta
  • justificación escrita de la decisión de aceptar

Checklist KYC (inicio de relación) — versión despacho

  • Mandato firmado + alcance claro (qué hace / qué no hace)
  • Identificación del cliente (ID / RM / estatutos)
  • BE identificado + declaración firmada + organigrama
  • Objetivo y naturaleza de la relación (2–5 frases, no una fórmula)
  • Perfil esperado de flujos (montos, países, frecuencia, contrapartes)
  • Screening PEP/sanciones documentado
  • Clasificación de riesgo + fecha de próxima revisión
  • Validación interna (quién aceptó, cuándo)

Supervisión continua: PEP, listas de sanciones, monitoreo automatizado

El control inicial está bien. Pero el lavado suele ocurrir después. Cuando la relación está establecida y todos bajan la guardia.

PEP: lo que los despachos subestiman

PEP no significa “prohibido”. Significa “debe poder explicar por qué acepta y cómo supervisa”.

En la práctica, lo que complica:

  • PEP indirecto (familiar, cónyuge, asociado)
  • PEP “local” (función pública, empresas estatales)
  • cambio de estatus (un cliente se convierte en PEP tras el inicio)

Sanciones: el riesgo directo

Las sanciones son binarias: si se le escapan, está en problemas. Y no es raro: homónimos, transliteraciones, sociedades pantalla.

Reflejo: conservar prueba fechada del screening y un procedimiento “qué hacer si hay coincidencia”.

Monitoreo: manual, semi-automatizado, automatizado… pero demostrable

Puede hacerlo simple, incluso sin herramientas costosas, siempre que sea coherente:

  • revisión periódica de clientes de alto riesgo (ej. trimestral)
  • revisión semestral de clientes estándar
  • revisión anual de clientes de bajo riesgo

Y sobre todo: un registro de alertas. Una alerta tratada sin rastro es como si nunca se hubiera tratado.

Tabla — ejemplo de plan de monitoreo realista

Nivel de riesgoDesencadenantes típicosFrecuencia de revisiónPruebas a conservar
Bajoactividad local simple, flujos coherentes1x/añonota de revisión + screening
EstándarPyME con flujos internacionales moderados2x/añorevisión de flujos + justificantes puntuales
AltoPEP, país de riesgo, estructura compleja4x/añorevisión detallada + validación senior + decisiones

Reporte MROS: umbrales de declaración, procedimiento y protección legal

El MROS asusta. A menudo porque se confunde “sospecha” y “prueba”. No es fiscal. Es un profesional sujeto a obligación de reportar en ciertas situaciones.

Para el marco legal y explicaciones oficiales: (fuente: FAQ AML (ch.ch, portal Estado suizo)), (fuente: Bases legales AML y OBA (textos oficiales, fedlex)).

Cuándo reportar: el verdadero desencadenante

El desencadenante es sospecha fundada. No “no me gusta su cara”, no “es un cliente complicado”. Sospecha fundada es cuando los elementos disponibles hacen plausible un vínculo con un delito previo, organización criminal o fondos ilícitos, y no puede disipar la duda con aclaraciones razonables.

Ejemplos concretos:

  • aportes “préstamos” sin contrato, sin calendario, sin lógica
  • facturas circulares entre sociedades vinculadas, sin sustancia
  • flujos hacia jurisdicciones sensibles sin razón comercial
  • negativa a entregar documentos simples (BE, contratos, origen de fondos)

Ark Fiduciaire

¿Necesita ayuda con este tema?

Nuestros expertos están disponibles para un acompañamiento personalizado. Primera consulta gratuita y sin compromiso.

Procedimiento interno: quién decide y cómo se documenta

En un despacho, se necesita un procedimiento escrito:

  1. quién recibe la alerta (colaborador, contador, admin)
  2. quién analiza (responsable de cumplimiento / socio)
  3. qué aclaraciones se intentan (y cuáles no)
  4. quién decide reportar
  5. cómo se archiva el expediente MROS

Protección legal y confidencialidad: cuidado con el “tipping-off”

No puede avisar al cliente que reporta (tipping-off). Y debe proteger a sus colaboradores: una decisión MROS debe ser asumida por el despacho, no por “Juan, junior, que vio algo”.

Observación práctica: algunos despachos escriben correos internos demasiado explícitos (“es lavado”). Mala idea. Sea factual: hechos, fechas, montos, incoherencias, documentos faltantes.

Creación y control del expediente de cumplimiento: organización, almacenamiento, auditorías internas

Un expediente de cumplimiento sólido cuenta una historia coherente: quién es el cliente, por qué se aceptó, cómo opera y cómo se supervisa.

Organización: un expediente único, no 12 lugares

Si sus documentos están en:

  • un correo
  • un drive
  • un ERP
  • un archivador físico

… perderá tiempo y elementos. Buena práctica: expediente central (físico o digital), con estructura estándar.

Almacenamiento: integridad, acceso y prueba de fecha

Le pedirán: “¿quién tuvo acceso? ¿cuándo se añadió el documento? ¿es la versión final?”

Incluso sin herramientas sofisticadas puede:

  • nombrar archivos con fecha (YYYY-MM-DD)
  • bloquear carpetas de clientes (derechos de acceso)
  • mantener una pista de validación (PDF firmado, nota interna)

Auditorías internas: el control que evita catástrofes

En nuestra opinión, un despacho que espera la auditoría SRO para descubrir sus fallos está en riesgo.

Ritmo realista:

  • mini-auditoría trimestral de 5 expedientes (incluyendo 2 de alto riesgo)
  • auditoría anual completa sobre una muestra mayor

Lo que se revisa: coherencia BE, screening, perfil de flujos, revisiones periódicas, decisiones documentadas.

Checklist “expediente de cumplimiento listo para auditoría”

  • KYC completo + BE + organigrama
  • Perfil de riesgo motivado (no solo una casilla)
  • Screening PEP/sanciones con prueba fechada
  • Notas de revisiones periódicas (fechas, hallazgos, acciones)
  • Justificantes de operaciones atípicas (contratos, facturas, explicaciones)
  • Registro de alertas y decisiones (incluyendo cierre)
  • Trazabilidad de validaciones internas

Paso a paso: dejar su despacho “limpio” antes de 2026

Vamos al concreto. Aquí una secuencia que funciona en despacho, sin paralizar a todos por 3 meses.

Paso 1 — Mapear sus servicios y riesgos reales (1 semana)

  • liste sus servicios (contabilidad, nóminas, domiciliación, admin, apertura de cuentas, etc.)
  • para cada servicio, anote: “¿toco flujos? ¿creo/control una estructura?”
  • clasifique los mandatos existentes: bajo / estándar / alto

Paso 2 — Estandarizar sus expedientes (2 semanas)

  • cree una estructura única
  • imponga checklist KYC de inicio
  • imponga checklist de revisión periódica

Paso 3 — Registrar decisiones (inmediato)

Una simple tabla interna basta al inicio:

  • fecha
  • cliente
  • alerta / evento
  • decisión
  • quién valida
  • documentos

Paso 4 — Revisar expedientes “antiguos” (4 a 8 semanas)

Comience por:

  • PEP potenciales
  • estructuras complejas
  • clientes no residentes

Y haga una cosa: llenar los huecos. No reescribir la historia.

Paso 5 — Probar su sistema (auditoría interna)

Tome 10 expedientes al azar. Pregúntese: “si la SRO llega mañana, ¿podemos defender cada expediente sin sudar?”

Caso práctico (Ginebra): una Sàrl de consultoría que transfiere al extranjero

Situación real (típica):

  • Cliente: Sàrl en Ginebra, consultoría IT
  • Facturación anual: CHF 1’200’000
  • Margen bruto: CHF 720’000
  • Director: residente suizo
  • Accionista: holding en Chipre
  • BE declarado: persona física residente en Emiratos

En 3 meses, la sociedad:

  • recibe CHF 310’000 de 4 clientes suizos
  • paga CHF 185’000 a “subcontratistas” en Portugal y Dubái
  • paga CHF 90’000 en “management fees” a la holding

Problema: ningún documento sólido. Solo facturas PDF genéricas.

Un expediente de cumplimiento defendible exige:

  1. BE: organigrama + prueba de control (documentos de la holding, registro, declaración)
  2. Objetivo económico: ¿por qué una holding en Chipre? ¿por qué management fees?
  3. Subcontratación: contratos, entregables, pruebas de servicio (tickets, informes, acceso, correos de proyecto)
  4. Perfil de flujos: justificación escrita de que se esperan pagos internacionales, con países y montos

Decisión del despacho (ejemplo):

  • solicitar en 10 días: contratos + entregables + explicación de management fees + base de cálculo
  • si hay rechazo o incoherencias persistentes: escalada interna, riesgo alto, revisión reforzada
  • si la sospecha fundada no se disipa: análisis MROS según procedimiento

Este caso se ve a menudo en cierre anual. El contador encuentra gastos “consultoría” enormes, sin sustancia. Todos entran en pánico. Si el KYC y el monitoreo se hacen desde el inicio, ahorra mucho tiempo.

3 errores costosos para fiduciarias de Ginebra (y cómo corregirlos)

Error 1 — “Tenemos copia del pasaporte, así que está bien”

No. Tiene una identidad, no una comprensión.

Corrección: añada nota “objetivo y naturaleza” + perfil de flujos + BE corroborado.

Error 2 — Expediente PEP tratado como estándar

El PEP no es un sello. Es un nivel de supervisión.

Corrección: validación senior + revisión más frecuente + justificación escrita de aceptación.

Error 3 — Alerta tratada verbalmente, sin rastro

Clásico: “lo hablamos, no era nada”. Pero en auditoría, “lo hablamos” no existe.

Corrección: registro de alertas, aunque sea minimalista. Una línea, una decisión, un documento.

Riesgos de incumplimiento y sanciones 2026

No es solo una reprimenda. El riesgo es múltiple:

  • medidas de la SRO (exigencias correctivas, auditorías reforzadas)
  • daño reputacional (en Ginebra, es rápido)
  • ruptura bancaria (el cliente pierde el banco, usted pierde el mandato)
  • responsabilidad del despacho y órganos según el caso

Y hay un riesgo muy concreto: “riesgo de cartera”. Un solo expediente tóxico puede desencadenar revisión de 30 expedientes.

En nuestra opinión, la mejor estrategia es invertir en disciplina documental. No en frases complicadas. Una buena nota interna factual vale más que un informe de 12 páginas que no prueba nada.

Lo que su cliente debe entender (si no, usted asume todo el riesgo)

Puede hacer un KYC perfecto. Si el cliente no coopera, está bloqueado.

Deje claro en el mandato:

  • obligación de entregar documentos en plazos razonables
  • derecho a suspender servicios si faltan documentos
  • derecho a rescindir si hay incoherencias graves

Frase simple que uso en reuniones: «Si no puede explicar de dónde viene el dinero y por qué circula así, yo no puedo acompañarle.» Eso lo aclara todo.

FAQ AML para fiduciarias: 2026

1) ¿Una fiduciaria “solo contabilidad” está afectada por AML?

Depende de lo que realmente haga. Si se limita a la contabilidad sin intervenir en flujos, organizar pagos o administrar estructuras, el riesgo de estar sujeto es diferente. El problema es que muchos mandatos “contabilidad” derivan en gestión operativa (pagos, poderes, apertura de cuentas). Y ahí cambia de categoría.

2) ¿Qué es un BE aceptable en un expediente?

Un BE aceptable es una persona física identificada, con declaración firmada y elementos que corroboren (organigrama, documentos de la sociedad, coherencia económica). Si solo tiene un nombre en un formulario, sin nada detrás, es vulnerable.

3) ¿Con qué frecuencia debe revisarse un expediente de cliente?

No hay una frecuencia mágica para todos. Fije una frecuencia según el riesgo y cúmplala. Bajo: anual. Estándar: semestral. Alto: trimestral. Clave: conservar prueba fechada de la revisión y decisiones.

4) ¿Qué hacer si un cliente se niega a dar el origen de fondos?

Documente la solicitud, el rechazo y evalúe si la duda puede disiparse de otra forma. A menudo, no. En ese caso, no siga “como si nada”. Escale internamente, revalúe el riesgo y considere reporte MROS si la sospecha se funda.

5) ¿Qué significa un match en una lista de sanciones?

Significa: detener y verificar. Muchos matches son homónimos. Pero debe probar que revisó y concluyó. Sin prueba, está expuesto.

6) ¿Cómo preparar una auditoría SRO sin perder la salud?

Estandarice expedientes, mantenga registros (clientes, riesgos, PEP/sanciones, alertas), haga mini-auditoría interna trimestral. La auditoría SRO va bien si puede entregar documentos rápido y la historia del expediente es coherente.


Referencias

Hablemos

Póngase en contacto

Nuestros expertos pueden ayudarle a comprender los detalles e implicaciones para su empresa. Obtenga asesoramiento personalizado adaptado a su situación.