Cumplimiento de las normas contra el lavado de dinero en 2026: Costos, plazos y sanciones reales
4.300 millones de dólares. Ese fue el acuerdo de Binance con el Departamento de Justicia de EE. UU., FinCEN y OFAC en noviembre de 2023, y sigue siendo el récord de incumplimientos en materia de prevención del blanqueo de capitales en el sector de las criptomonedas. Sin embargo, no es el caso más reciente. En febrero de 2025, OKX pagó 504 millones de dólares para resolver un caso paralelo del Departamento de Justicia. En noviembre de ese mismo año, el Banco Central de Irlanda multó a Coinbase Europe con 21,46 millones de euros por no supervisar 30 millones de transacciones por valor de 176.000 millones de euros. En marzo de 2025, los servidores de Garantex fueron incautados en EE. UU., Alemania y Finlandia. El patrón es claro. La aplicación de la normativa contra el blanqueo de capitales en el sector de las criptomonedas ya no es esporádica. Es continua. Depende de la jurisdicción. Es costosa.
Para cualquier operador de un negocio de activos virtuales, el cumplimiento de las normas AML en 2026 representa un costo anual de siete cifras. Tres vías de licenciamiento (EU MiCA, UK FCA, Singapore DTSP) se aplican en un período de doce meses. Las stablecoins ahora impulsan el 84% de todo el volumen ilícito en la cadena de bloques. El perfil de amenaza de los delitos financieros ha cambiado más rápido de lo que cualquier programa de cumplimiento diseñado antes de 2024 puede absorber. Esta es la situación actual del sector, con las cifras correspondientes.
Qué significa el cumplimiento de las normas contra el blanqueo de capitales en 2026
AML es el marco legal y operativo que los bancos y las empresas de criptomonedas utilizan para mantener los fondos criminales fuera de sus productos. Estos fondos adoptan muchas formas: producto del delito, evasión fiscal, fraude, pagos de rescate por ransomware, evasión de sanciones. El objetivo de cualquier programa AML es prevenir el lavado de dinero, combatir los esquemas de lavado de dinero ya en marcha y evitar que los flujos de lavado de dinero y financiación del terrorismo se mezclen con el sistema financiero. En el contexto de las criptomonedas, el marco se amplió mediante la Recomendación 16 del GAFI en 2019. En EE. UU., la Ley de Secreto Bancario ahora se aplica a las empresas de servicios monetarios, incluidas las empresas de criptomonedas. AML se basa en cuatro pilares operativos: un programa de identificación del cliente (CIP); la debida diligencia del cliente (CDD) con activadores de debida diligencia reforzados que cumplen con los requisitos de debida diligencia del marco principal; monitoreo continuo de transacciones, con la obligación de informar sobre actividades sospechosas a la unidad de inteligencia financiera correspondiente; y control de sanciones. Conozca a su cliente (KYC) es solo el componente de identificación. El trabajo más arduo se realiza después de la incorporación. Hay que detectar transacciones sospechosas en tiempo real, presentar el informe correcto ante la autoridad competente dentro del plazo establecido y hacerlo mientras los clientes esperan un producto sin complicaciones.
Para un negocio de criptomonedas, esto implica varias cosas. Necesitas conocer a tu cliente. Necesitas saber qué fondos mueve. Necesitas saber de dónde provienen esos fondos. Y necesitas verificar que ninguna dirección, nombre o contraparte figure en una lista de sanciones. El nivel de esfuerzo varía según el riesgo y la jurisdicción. Cada país aplica las normas de manera diferente. Ahí es donde la situación se vuelve interesante.
2026 Marcador de cumplimiento: El costo de equivocarse
¿Cuál es el costo real de un fallo en la lucha contra el blanqueo de capitales en Estados Unidos? La evolución de las medidas de aplicación de la ley desde 2022 es la respuesta empírica. Cada caso sentó un precedente, y los más recientes superaron con creces el patrón exclusivo de Estados Unidos.
| Fecha | Firme | Pena | Autoridad | Por qué |
|---|---|---|---|---|
| Octubre de 2022 | Bittrex | 29,28 millones de dólares | FinCEN + OFAC | Más de 116.000 transacciones con jurisdicciones sancionadas, un total de 263 millones de dólares. |
| Noviembre de 2023 | Binance | 4.300 millones de dólares | Departamento de Justicia + FinCEN + OFAC | Fallos sistémicos en la lucha contra el blanqueo de capitales, supervisión de FinCEN durante 5 años, salida de EE. UU. |
| Marzo de 2025 | Garantex | Derribar | Estados Unidos + Alemania + Finlandia | Sancionado por la OFAC desde 2022, continuó operando. |
| Febrero de 2025 | OKX | 504,3 millones de dólares | Departamento de Justicia | Transacciones sospechosas por valor de más de 5.000 millones de dólares entre 2018 y 2024, confiscación de 420 millones de dólares + multa de 84 millones de dólares |
| Noviembre de 2025 | Coinbase Europa | 21,46 millones de euros | Banco Central de Irlanda | 30 millones de transacciones no monitorizadas durante 12 meses (valor de 176.000 millones de euros) |
| Diciembre de 2025 | Paxful | 3,5 millones de dólares | FinCEN | Flujos sospechosos de más de 500 millones de dólares, exposición a Irán, Corea del Norte y Venezuela. |
Cabe destacar dos tendencias. En primer lugar, la aplicación de la ley ya no se concentra en Estados Unidos. Europol y el Banco Central de Irlanda actúan ahora por su cuenta, sin esperar a que la Ley contra el Blanqueo de Capitales (AMLA) entre en pleno vigor. En segundo lugar, el caso Garantex demuestra que las sanciones por sí solas no detienen a una plataforma de intercambio que incumple la normativa. La OFAC sancionó a Garantex en abril de 2022. La plataforma operó durante casi tres años y solo cesó su actividad cuando las autoridades confiscaron físicamente sus servidores.
El coste de una infracción grave de las normas contra el blanqueo de capitales ahora abarca órdenes de cese y desistimiento, multas multimillonarias, vigilancia penal y la salida forzosa del mercado. Los 4.300 millones de dólares de Binance siguen siendo noticia. Los casos de OKX y Coinbase Europe establecen referencias más relevantes para un proveedor de servicios de seguridad de datos de tamaño medio que evalúe el riesgo.
El giro de las stablecoins y el hackeo de Bybit
El informe 2026 Crypto Crime de Chainalysis cambió el enfoque del problema de las finanzas ilícitas. El volumen total ilícito en la cadena alcanzó los $154 mil millones en 2025. Esto representa un aumento del 162% con respecto al año anterior. De ese total, el 84% involucró stablecoins, en comparación con el 63% en 2024. Las entidades sancionadas impulsaron el aumento. Los ingresos a direcciones sancionadas crecieron un 694% interanual. Casi todo provino de la stablecoin rusa A7A5 respaldada por rublos, que movió $93.3 mil millones en menos de doce meses. Gran parte de ese flujo pasó por el exchange Grinex.
El caso más sonado de 2025 fue el hackeo de Bybit. El 21 de febrero, el Grupo Lazarus de Corea del Norte, que operaba bajo el clúster TraderTraitor, extrajo 1.500 millones de dólares en Ethereum de una billetera fría de Bybit mediante una interfaz SafeWallet comprometida. En cinco días, se movieron aproximadamente 400 millones de dólares a través de exchanges descentralizados, puentes entre cadenas y conversiones a Bitcoin. No se recuperó ni un solo fondo. En 2025, agentes vinculados al Estado norcoreano robaron más de 2.000 millones de dólares, convirtiéndose en el año más exitoso en su historia de robo de criptomonedas.
Para un equipo de lucha contra el blanqueo de capitales, se derivan dos conclusiones. Primero, analizar las contrapartes únicamente con análisis de la cadena de bloques ya no es suficiente. Las rutas de blanqueo ahora utilizan contratos inteligentes inmutables, intercambios atómicos y puentes que se activan a las pocas horas del robo. Segundo, los emisores de stablecoins constituyen ahora el punto de estrangulamiento más poderoso de la cadena. El bloqueo de la dirección correcta por parte de Tether o Circle es más efectivo que cualquier rastreo posterior.
Calendario de Cumplimiento 2026: MiCA, FCA del Reino Unido, MAS
Tres de las cuatro principales jurisdicciones occidentales están cumpliendo simultáneamente con los plazos estructurales para la lucha contra el blanqueo de capitales. Todo ello en un plazo de doce meses. Una empresa de criptomonedas que opere en todas ellas necesita planificar tres procesos de obtención de licencias en paralelo.
| Jurisdicción | Estructura | Fecha límite | Impacto | Límite |
|---|---|---|---|---|
| UE | Reglamento MiCA + Transferencia de Fondos | 1 de julio de 2026 | Todos los CASP preexistentes necesitan autorización completa; la ESMA confirmó en abril 2026 que no habrá prórrogas | Cero (CASP a CASP) |
| UE | Supervisión de AMLR + AMLA | 10 de julio de 2027 | AMLR reemplaza a AMLD5/6; AMLA supervisa directamente a las 40 entidades de mayor riesgo. | Estandarizado en toda la UE |
| Reino Unido | Autorización completa de criptomonedas de la FCA | Septiembre 2026 | Se abre la ventana de solicitud; no hay transferencia automática desde el registro AML existente. | Por régimen |
| Singapur | Marco MAS DTSP | 30 de junio de 2025 (aprobado) | Se requiere una licencia DTSP para las empresas que prestan servicios en el extranjero; MAS declaró que "generalmente no la emitirá". | Por régimen |
| Global | Recomendación 16 del GAFI | En curso | Normativa de viaje: el 73% de las jurisdicciones tienen legislación al respecto, pero el 59% no la aplican. | USD/EUR 1.000 base |
AMLA es la nueva Autoridad Europea contra el Blanqueo de Capitales. Tiene su sede en Fráncfort y comenzó sus operaciones formales el 1 de julio de 2025. Su mandato abarca tanto el blanqueo de capitales como la lucha contra la financiación del terrorismo. Por primera vez, el cumplimiento normativo en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo recae en una única autoridad de la UE. La primera tarea de AMLA es armonizar aproximadamente sesenta supervisores nacionales de lucha contra el blanqueo de capitales, fragmentados hasta entonces, bajo un único marco normativo. La supervisión directa de las cuarenta entidades de la UE de mayor riesgo comenzará en 2028. La multa de 21,5 millones de euros impuesta por el Banco Central de Irlanda a Coinbase Europe en noviembre de 2025 es una señal temprana. Las autoridades nacionales no están esperando a que AMLA tenga plenas competencias.
La brecha en la Regla de Viaje es sorprendente. La Actualización Dirigida de 2025 del GAFI reveló que el 73 % de las 117 jurisdicciones que permiten los VASP habían aprobado la legislación de la Recomendación 16, pero el 59 % aún no la había aplicado. El Reglamento de la UE sobre Transferencias de Fondos va más allá que el GAFI: impone un umbral cero para las transferencias entre CASP, lo que significa que toda transferencia entre entidades reguladas debe incluir la información completa del beneficiario.
Costo de AML: Proveedores y salarios del oficial de cumplimiento
Esta es la parte del cumplimiento de las normas contra el lavado de dinero que rara vez se menciona en los materiales educativos. Un proveedor de servicios de seguridad de datos de tamaño mediano que gestiona un programa interno se enfrenta a una serie de partidas bien definidas. Las cifras no son pequeñas.
| Componente | Ejemplos de proveedores | Banda anual | Notas |
|---|---|---|---|
| Análisis de blockchain (KYT) | Chainalysis KYT + Reactor | 120.000 € - 250.000 € | A menudo, es la partida individual más grande. |
| Examen de la cartera | Navegador elíptico | 80.000 € - 180.000 € | A veces se utiliza como sustituto de Chainalysis. |
| Riesgo de transacción | Laboratorios TRM | 60.000 € - 150.000 € | El más barato de los tres principales |
| KYC / identidad | Sumsub, Ondato, Trulioo | Basado en asientos | Se ajusta al volumen de incorporación. |
| Regla de viaje | Notabene, Regla de viaje Sumsub, TRISA | Suscripción | Precios vinculados al volumen de mensajes del VASP |
| Control de sanciones | LSEG / LexisNexis World-Check | Basado en asientos | Las listas SDN de la OFAC, la UE y el Reino Unido se actualizan diariamente. |
El equipamiento para una operación seria de tamaño mediano cuesta entre 300.000 y 700.000 euros al año. Esto sin contar los salarios. Luego está el personal. Un responsable de cumplimiento normativo de criptomonedas en EE. UU. gana una media de 159.792 dólares (ZipRecruiter, 2025). Los puestos de director de cumplimiento normativo tienen una media de 200.000 dólares. Un responsable de prevención del blanqueo de capitales en Londres cobra entre 130.000 y 180.000 libras esterlinas (guía de Morgan McKinley 2025). Si añadimos un puesto de asistente de cumplimiento normativo, el coste de personal supera ahora los 400.000 dólares en EE. UU. o las 220.000 libras esterlinas en el Reino Unido. Un programa serio de lucha contra el blanqueo de capitales en un proveedor de servicios de seguridad de criptomonedas regulado rara vez cuesta menos de 1 millón de dólares en total. Esto incluye asesoramiento legal, auditoría e infraestructura.
Estas cifras explican por qué la disyuntiva entre desarrollar internamente o adquirir una solución es fundamental para quienes se adentran en el mundo de los pagos con criptomonedas. Las leyes contra el blanqueo de capitales y las decisiones sobre el cumplimiento normativo pueden determinar la viabilidad de un negocio.
Desarrollar internamente o comprar: ¿Cuándo externalizar la prevención del blanqueo de capitales a un procesador de pagos?
Un pequeño o mediano comerciante de criptomonedas no necesita contratar a un responsable de prevención del blanqueo de capitales ni licenciar a tres proveedores de análisis. El procesador de pagos asume las obligaciones de prevención del blanqueo de capitales como institución financiera principal. El comerciante integra una API. El proveedor de servicios de pago se encarga de las licencias, la verificación de identidad del cliente (KYC), la verificación de antecedentes, la presentación de informes de actividades sospechosas (SAR) y el cumplimiento de la normativa Travel Rule. Así es como se posicionan proveedores como Plisio, BitPay y CoinGate. La prevención del blanqueo de capitales es el producto en sí, no un complemento.
El árbol de decisiones es bastante claro. Consideremos un umbral de volumen de aproximadamente 50 millones de dólares. Por debajo de esa cifra, en una sola jurisdicción, sin actividad VASP regulada (custodia, intercambio, transmisión de dinero), la opción PSP casi siempre resulta más ventajosa. Por encima de ese umbral, la gestión interna ofrece ventajas en cuanto a personalización, control de datos y flexibilidad operativa. El coste deja de ser evitable.
El modelo híbrido predomina actualmente entre los operadores medianos. Un proveedor de servicios de alojamiento web regulado (CASP) recurre a terceros para uno o dos servicios especializados, como el enrutamiento por reglas de viaje. La clave no reside en qué modelo es más económico, sino en cuál asigna el riesgo de licencia a la entidad adecuada.
Tornado Cash, contratos inteligentes y los límites de la OFAC
Los equipos de cumplimiento normativo deben asimilar un cambio de política independiente. El 26 de noviembre de 2024, el Tribunal de Apelaciones del Quinto Circuito de EE. UU. dictaminó en el caso Van Loon que los contratos inteligentes inmutables no constituyen "propiedad" según la Ley de Poderes Económicos de Emergencia Internacional. El 21 de marzo de 2025, la OFAC levantó formalmente las sanciones contra el mezclador Tornado Cash. El proceso penal contra el cofundador Roman Storm continúa, y el juicio está programado para el 14 de julio de 2025.
Lo que esto significa en la práctica para un equipo AML es preciso en lugar de extenso. El protocolo en sí ya no puede ser sancionado, pero direcciones de billetera específicas sí pueden estar y permanecer en la lista SDN de la OFAC (más de 12 000 entradas al 9 de marzo). Interactuar con el protocolo no es, por sí solo, una violación de las sanciones. Enviar fondos a una dirección sancionada o recibirlos desde ella sí lo es. Las políticas de interacción de contratos inteligentes deben escribirse a nivel de dirección, no a nivel de protocolo, con un análisis vinculado al feed SDN de la OFAC y las listas equivalentes de la UE y el Reino Unido. El Reino Unido ha consolidado sus listas: a partir del 28 de enero de 2026, la Lista Consolidada de la OFSI se cerró y la Lista de Sanciones del Reino Unido es ahora la única fuente.
Análisis de la realidad de la regla de viaje con criptomonedas
La Recomendación 16 de la Regla de Viaje del Grupo de Acción Financiera Internacional (GAFI) exige a los proveedores de servicios de activos virtuales (VASP) que transmitan información sobre el originador y el beneficiario para transferencias superiores a 1000 USD/EUR. Según la Actualización Dirigida de 2025 del GAFI, el 73 % de las jurisdicciones que permiten los VASP habían aprobado legislación al respecto, pero el 59 % de ellas no la habían aplicado. La UE va más allá que el GAFI, imponiendo un umbral cero para las transferencias entre proveedores de servicios de activos virtuales (CASP) en virtud del Reglamento sobre la Transferencia de Fondos.
En el aspecto operativo, el Informe sobre el estado de la Regla de Viaje de Notabene 2025 (91 proveedores de servicios de activos virtuales encuestados) reveló que el 100 % de los encuestados se comprometieron a cumplir con la Regla de Viaje para finales de 2025, y un aumento interanual del 431 % en las empresas que bloquean los retiros hasta que se verifica la información del beneficiario. La infraestructura ha madurado: Notabene, la Regla de Viaje de Sumsub, TRISA y Veriscope son las plataformas operativas. El problema restante es la interoperabilidad entre los proveedores de red competidores, una fragmentación que probablemente se consolidará en los próximos dos años.
Lo que realmente tiene que hacer un programa AML en 2026
Despojado de la capa de marketing, un programa de cumplimiento AML 2026 en una empresa de criptomonedas tiene nueve obligaciones concretas. Un MLRO o Oficial de Cumplimiento AML designado con autoridad documentada. Un marco CIP y CDD basado en riesgos con disparadores EDD para clientes de alto riesgo y personas políticamente expuestas (PEP). Control de sanciones contra OFAC SDN, EU Consolidated, UK Sanctions List, con re-control continuo. Monitoreo de transacciones con reglas y umbrales documentados. Informe de actividad sospechosa (presentación de SAR y CTR) con la FIU correspondiente en los plazos definidos. Implementación de la regla de viaje para transferencias por encima del umbral (cero en la UE, $1,000 globalmente). Prueba anual independiente del programa. Capacitación continua del personal, documentada y fechada. Mantenimiento de registros bajo el período de retención aplicable (normalmente cinco años).
Los marcos difieren en detalles, pero el mínimo operativo es el mismo en FinCEN, FCA, MAS y la UE posterior a la AMLA. Las regulaciones contra el lavado de dinero y las leyes más amplias han convergido más rápido de lo que la mayoría de los operadores esperaban. Las reglas globales AML ahora se remiten entre sí a nivel de requisitos regulatorios, no de marco nacional. Los programas de cumplimiento contra el lavado de dinero están más alineados entre los reguladores que nunca. Los esfuerzos de cumplimiento antes se limitaban a la banca corresponsal y los servicios financieros tradicionales. Ahora se extienden a través de todos los canales de criptomonedas regulados. Los casos de sanciones de 2022-2025 se agrupan en torno a fallas en dos pilares: monitoreo de transacciones a gran escala y presentación de SAR sobre lo que el monitoreo señaló. Construya primero esos dos. El cumplimiento efectivo de AML es en su mayoría un trabajo tedioso. Usted hace esos dos en conjunto en millones de transacciones y cada cliente en su cartera.
