Publicado 2026-07-09 · Actualizado 2026-07-09

KYC y AML para fintechs en Colombia: guía SARLAFT/UIAF

Orientación educativa sobre KYC, AML, SARLAFT y UIAF para fintechs en Colombia, y cómo el monitoreo transaccional complementa el cumplimiento.

Las fintechs en Colombia que manejan dinero de terceros —crédito, pagos, wallets, remesas, cripto (cuando aplique)— enfrentan una tensión permanente: crecer rápido y, al mismo tiempo, demostrar KYC (conozca a su cliente) y AML (prevención de lavado de activos) creíbles. En el lenguaje local aparecen SARLAFT y reportes a la UIAF, según el tipo de entidad y el marco que le aplique.

Esta guía es educativa y general. No sustituye asesoría legal, ni el manual de cumplimiento de su compañía, ni los instructivos oficiales. Cada fintech debe validar obligaciones con su oficial de cumplimiento y abogados.

1. KYC y AML en una frase

  • KYC: identificar y verificar quién es el cliente (y, cuando corresponda, beneficiarios finales) con un nivel de debida diligencia proporcional al riesgo.
  • AML: prevenir que la plataforma sea usada para lavar activos o financiar ilícitos — políticas, monitoreo, reportes y cultura de control.

En producto, eso se traduce en fricción de onboarding, límites, alertas y decisiones que el usuario “siente”. El arte es proporcionalidad: más control donde hay más riesgo.

2. SARLAFT y UIAF: orientación (no checklist legal)

En Colombia, muchas entidades vigiladas o sujetas a prevención de LA/FT operan bajo sistemas tipo SARLAFT (Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo) y obligaciones de reporte ante la UIAF (Unidad de Información y Análisis Financiero), según su naturaleza jurídica y actividad.

Lo importante para un equipo de producto/tech:

  1. Su matriz de riesgo define qué tan profundo es el KYC
  2. El monitoreo transaccional no es opcional si mueve valor
  3. Los reportes y la trazabilidad deben ser defendibles en auditoría
  4. “Comprar un vendor” no reemplaza gobierno, roles y evidencia

Si su abogado dice que usted no es sujeto obligado “clásico”, igual puede tener obligaciones contractuales con bancos, pasarelas o inversores que exigen controles equivalentes.

3. Capas típicas de un programa fintech

Identidad (KYC)

Documento, biometría, listas restrictivas, verificación de empresa (NIT) en B2B, actualización periódica.

Debida diligencia reforzada

PEP, geografías de mayor riesgo, productos de alto ticket, patrones inusuales.

Monitoreo de transacciones

Reglas y modelos sobre depósitos, transferencias, dispersiones, cash-out. Aquí encaja un score de riesgo operativo — ver qué es un score de riesgo transaccional.

Investigación y reporting

Casos, tipologías, decisión de reportar o no, conservación de evidencia.

4. Errores frecuentes en fintechs en etapa early

  • Tratar KYC como “checkbox de marketing”
  • No segmentar riesgo (mismo fricción para todos)
  • Monitoreo solo batch semanal cuando el producto es tiempo real
  • Alertas sin dueño ni SLA
  • Cero explicación de por qué se bloqueó a un cliente (mala UX y mala auditoría)
  • Confundir antifraude de pagos con programa AML completo

5. Cómo se relaciona el antifraude transaccional con AML

No son sinónimos.

Antifraude de pagos AML / SARLAFT
Chargebacks, tarjetas robadas, abuso de plataforma Lavado, tipologías LA/FT, reportes
Score y reglas en milisegundos Políticas, gobierno, debida diligencia
Optimiza pérdida operativa Cumple marco y reputación regulatoria

En la práctica se solapan: una red de cuentas mulas puede ser fraude y tipología de lavado. Por eso equipos maduros conectan señales de Kairo Shield API (o similar) con la cola de compliance — sin pretender que la API “sea” el SARLAFT.

Casos de uso verticales: pasarelas/PSP, marketplaces, apuestas, crédito/BNPL, remesas y billeteras.

6. Métodos de pago locales y riesgo

PSE y Bre-B cambian la superficie de ataque frente a tarjetas internacionales. Entender esos riesgos ayuda a diseñar reglas proporcionales: PSE, Bre-B y fraude.

7. Preguntas que producto debería hacerle a compliance

  1. ¿Qué tipologías son prioritarias este trimestre?
  2. ¿Qué eventos debemos loguear sí o sí?
  3. ¿Cuál es el SLA de revisión humana?
  4. ¿Qué evidencia necesitamos conservar y por cuánto tiempo?
  5. ¿Cómo medimos falsos positivos que dañan conversión?

8. Roadmap técnico razonable

  1. Inventario de productos y flujos de dinero
  2. Matriz de riesgo acordada con compliance
  3. Eventos canónicos (onboarding, depósito, payout)
  4. Motor de reglas + score en tiempo real donde duela
  5. Panel de casos con auditoría
  6. Ejercicios de tabletop (simular tipología y reporte)

Preguntas frecuentes

¿Esta guía me dice si debo reportar a la UIAF?
No. Esa decisión es de su oficial de cumplimiento según la norma y los hechos del caso.

¿Puedo lanzar MVP sin monitoreo?
Depende de su actividad y contrapartes. Muchos bancos/pasarelas exigirán controles mínimos antes de integrarlos.

¿Kairo Connect ofrece SARLAFT “llave en mano”?
No. Kairo Connect ofrece infraestructura tecnológica de antifraude/pagos (Shield). El programa de cumplimiento es responsabilidad de cada entidad.


Contenido educativo de Kairo Connect S.A.S. No constituye asesoría legal, regulatoria ni de cumplimiento. Consulte fuentes oficiales y a su equipo legal antes de diseñar controles.