España lleva más de una década con uno de los marcos de prevención del blanqueo de capitales más robustos de Europa. La Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo, supervisada por el SEPBLAC y la CNMV, ha forjado una cultura de cumplimiento sólida en el sector financiero español. Y sin embargo, este marco va a ser absorbido y superado por una nueva realidad regulatoria europea de obligado cumplimiento.
El Reglamento Antiblaqueo (AMLR) y la sexta Directiva (AMLD6), adoptados por la UE en mayo de 2024, no son una directiva más que España deba transponer a su manera. Son un reglamento directamente aplicable, sin necesidad de transposición nacional, que unifica las obligaciones en los 27 Estados miembros a partir del 10 de julio de 2027. Para bancos, aseguradoras, gestoras, plataformas de financiación participativa, agencias inmobiliarias y profesionales regulados, la cuenta atrás ya ha comenzado.
En este artículo te explicamos qué cambia realmente para la verificación de identidad digital, qué establece el Artículo 22, qué esperar del CDD RTS y cómo las soluciones de Signaturit Group, a Namirial Company cubren estos nuevos requisitos.
1. ¿Por qué nuevas normas anti-blanqueo? Del mosaico de directivas al marco único europeo
Durante más de dos décadas, la lucha contra el blanqueo en Europa se ha articulado a través de una cadena de directivas, desde la AML4 hasta la AML6, que cada Estado miembro ha transpuesto con sus propios matices. En España, esto se ha traducido en la Ley 10/2010 y sus sucesivas modificaciones. El resultado es un panorama de cumplimiento robusto en lo nacional, pero fragmentado en lo europeo.
El AMLR viene a resolver esta fragmentación con un instrumento de aplicación directa e inmediata en toda la UE, sin margen de interpretación nacional. Junto a él, la AMLD6 homogeneiza los marcos de supervisión nacionales e introduce la Autoridad Europea contra el Blanqueo de Capitales (AMLA), con sede en Fráncfort, que supervisará directamente a las entidades de mayor riesgo a partir de 2028.
Los impulsores del cambio:
- Divergencias persistentes entre transposiciones nacionales que generan arbitraje regulatorio para los actores del crimen financiero
- La explosión de los servicios financieros digitales y del onboarding remoto que las normativas PBC/FT vigentes no estaban pensadas para encuadrar
- El auge del fraude documental asistido por IA, los ataques deepfake en procesos KYC y las identidades sintéticas
- La necesidad de alinear las obligaciones PBC/FT con la infraestructura de identidad digital europea (eIDAS 2.0, Cartera EUDI)
📅 Fechas clave
AMLR adoptado: 31 de mayo de 2024
Aplicación a partir del: 10 de julio de 2027
Transposición AMLD6: antes de julio de 2026
Publicación del CDD RTS: T1 2026 (previsto)
Aceptación obligatoria de la Cartera EUDI: diciembre de 2027
2. Qué cambia el Artículo 22 en la práctica para el onboarding remoto
El Artículo 22 del AMLR es la disposición con mayor impacto operativo para cualquier entidad que establezca relaciones de negocio a distancia. Define los requisitos de diligencia debida con el cliente (Customer Due Diligence — CDD), es decir, el proceso de identificación y verificación antes y durante la relación de negocio.
Qué debe verificarse (Artículo 22, apartado 1)
Para personas físicas, los sujetos obligados deberán recopilar y verificar:
- Nombre y apellidos completos
- Fecha y lugar de nacimiento
- Nacionalidad (o situación de apatridia / refugio si procede)
- Número de identificación nacional (DNI, NIE o equivalente)
- Domicilio habitual o dirección postal
- Número de identificación fiscal (cuando esté disponible)
Para personas jurídicas, los requisitos se extienden a la forma jurídica, el domicilio social, los nombres de los representantes legales y la información sobre titulares reales — en línea con las obligaciones que ya contempla la Ley 10/2010 para entidades financieras y profesionales obligados en España.
Cómo puede realizarse la verificación (Artículo 22, apartado 6)
Aquí es donde el AMLR introduce un reconocimiento explícito de las herramientas de identidad digital. La verificación podrá realizarse mediante:
- (a) Onboarding remoto basado en documentos: presentación de un documento de identidad (DNI, passeport o equivalente) y obtención de información de fuentes fiables e independientes: el proceso habitual de identificación a distancia.
- (b) Medios de identificación electrónica: uso de eIDs conformes a eIDAS con niveles de garantía «sustancial» o «elevado», o de servicios de confianza cualificados conforme a eIDAS, incluyendo expresamente la Cartera EUDI y la Firma Electrónica Cualificada (FEQ – QES en inglés).
⚖️ Lo que significa para las entidades obligadas en España
El Artículo 22(6)(b) del AMLR refuerza y europeíza lo que el Real Decreto-ley 7/2021 ya introdujo en España: la posibilidad de acreditar la identidad del cliente en relaciones no presenciales mediante firma electrónica cualificada. Lo que antes era una opción habilitada por la ley española pasa a ser un estándar europeo obligatorio. Las entidades con procesos de onboarding digital basados en FEQ y eIDs reconocidos (Cl@ve, DNIe) están ya bien posicionadas. Las que dependen de procesos documentales no auditables deberán actualizar su infraestructura KYC antes de julio de 2027.
3. El papel del CDD RTS: qué anticipar a partir del T1 2026
El Artículo 22 establece el marco jurídico, pero el detalle técnico de cómo debe implementarse la verificación de identidad lo fijarán las Normas Técnicas de Regulación sobre Diligencia Debida con el Cliente (CDD RTS), cuya publicación por la Autoridad Bancaria Europea (ABE) se espera para el T1 de 2026.
Un primer proyecto de CDD RTS fue publicado en octubre de 2025. A partir de ese texto, las RTS abordarán las siguientes temáticas:
| Temática | Qué establecerá el CDD RTS |
| Verificación no presencial | Requisitos específicos para identificación biométrica, eIDs, carteras digitales y FEQ |
| Requisitos de acreditación de identidad | Estándares técnicos para detección de vida, autenticidad documental y concordancia biométrica |
| Calibrado basado en riesgo | Cómo ajustar la intensidad de la verificación al perfil de riesgo del cliente y al canal de distribución |
| Trazabilidad y pista de auditoría | Requisitos de documentación para las decisiones de onboarding y las pruebas de verificación de identidad |
Una vez finalizado, el CDD RTS será vinculante y constituirá el referente técnico con el que los equipos de cumplimiento, y supervisores como el SEPBLAC, el Banco de España o la CNMV, evaluarán los procesos de onboarding. Los sujetos obligados deben empezar a mapear su infraestructura KYC actual frente a estas normas sin esperar a la publicación definitiva.
4. eID, Cartera EUDI y FEQ: las tres vías de cumplimiento reconocidas
El Artículo 22(6) del AMLR reconoce explícitamente tres vías tecnológicas para la verificación de identidad a distancia conforme. Comprender sus diferencias, y sus niveles de garantía respectivos, es fundamental para elegir la aproximación adecuada según el perfil de riesgo de cada proceso de onboarding.
| eID (identidad electrónica) | Cartera EUDI | FEQ (Firma Electrónica Cualificada) |
| Esquemas de identidad electrónica nacionales notificados bajo eIDAS, en niveles de garantía «sustancial» o «elevado». En España: Cl@ve PIN, Cl@ve permanente, DNIe y certificados de la FNMT. Ideal para: onboarding en sectores regulados con alta adopción de eIDs nacionales. | La Cartera de Identidad Digital Europea, obligatoria bajo eIDAS 2.0 (Artículo 5f). Los Estados miembros deben desplegarla antes de 2026; las entidades financieras deberán aceptarla antes de diciembre de 2027. Ideal para: onboarding transfronterizo, reutilización ágil de atributos de identidad entre servicios. | El nivel más alto de firma bajo eIDAS, respaldado por un certificado cualificado emitido tras una verificación de identidad rigurosa (presencial o videollamada certificada). En España, el Real Decreto-ley 7/2021 ya reconoce la FEQ como medio válido para acreditar la identidad en relaciones de negocio no presenciales. Ideal para: onboarding de alto riesgo, contratos regulados, operaciones que requieren presunción legal de autenticidad. |
| Garantía: Sustancial o Elevado | Garantía: Elevado (eIDAS 2.0) | Garantía: Elevado — presunción legal de validez |
Nota sobre la terminología española: la FEQ (Firma Electrónica Cualificada) es el equivalente español de la QES del marco eIDAS. En España, los certificados cualificados son emitidos por prestadores reconocidos como Ivnosys o Validated ID (ambas entidades del grupo Signaturit) y validados por el Ministerio de Asuntos Económicos a través de la lista de confianza española.
La combinación adecuada de vías, o su uso diferenciado según el nivel de riesgo, depende del perfil del cliente, del canal y del producto. Un dispositivo de verificación de identidad modular y basado en riesgo no es un lujo operativo: es una exigencia de cumplimiento bajo el AMLR.
5. Cómo cubre Signaturit Group, a Namirial Company estos requisitos
Como Prestador de Servicios de Confianza Cualificado (QTSP) reconocido bajo eIDAS, y operando a través de cinco entidades de grupo: Universign, Vialink, Validated ID, Ivnosys y Signaturit; Signaturit Group, a Namirial Company está estructuralmente posicionado para acompañar a las entidades obligadas españolas en las tres vías de cumplimiento reconocidas por el AMLR.
Verificación de identidad por IA — Onboarding remoto conforme desde hoy
La solución de Verificación de Identidad de Signaturit realiza comprobaciones automatizadas de autenticidad sobre documentos de identidad de más de 200 países, con más de 50 puntos de control, concordancia biométrica facial y detección activa de vida para contrarrestar deepfakes y ataques de inyección. Está diseñada para cumplir tanto los requisitos actuales del Artículo 22(6)(a) como los futuros estándares del CDD RTS sobre verificación no presencial.
FEQ y certificados cualificados — El nivel de garantía más alto
A través de Ivnosys (prestador de confianza cualificado en España, inscrito en la lista de confianza del Ministerio) y Validated ID, Signaturit Group, a Namirial Company ofrece la emisión de certificados cualificados tras verificación de identidad por videollamada certificada. La FEQ resultante tiene presunción de validez jurídica en España y en toda la UE, y está alineada con lo que el Real Decreto-ley 7/2021 ya reconocía como vía válida para relaciones de negocio no presenciales.
Cartera EUDI — Listos para la aceptación obligatoria de diciembre de 2027
A través de Validated ID y VIDwallet, Signaturit Group, a Namirial Company es un actor activo en el ecosistema de la Cartera de Identidad Digital Europea. Nuestras soluciones soportan la emisión, gestión y verificación de Credenciales Verificables (CV) conforme a eIDAS 2.0 y al marco W3C VC — un ejemplo concreto es el Proyecto Camins en Cataluña, donde Signaturit Group, a Namirial Company facilita la emisión directa de títulos académicos y microcredenciales a estudiantes.
Recopilación de datos KYC y verificación documental
Nuestra solución de Verificación de Documentos integra controles en tiempo real contra más de 15 bases de datos públicas y privadas para el screening KYC complementario, incluyendo listas de sanciones internacionales y bases de datos de Personas Políticamente Expuestas (PEP). Combinada con nuestros flujos de recopilación de datos, permite una vigilancia continua, no solo un onboarding puntual, tal y como exigen las obligaciones de diligencia debida permanente del AMLR.
| Requisito AMLR | Solución Signaturit Group, a Namirial Company |
| Verificación de identidad a distancia (Art. 22.6a) | ✅ Verificación de identidad por IA (biometría + control documental) |
| eID / identificación conforme a eIDAS (Art. 22.6b) | ✅ FEQ + emisión de certificados cualificados (Ivnosys, Validated ID) |
| Aceptación de la Cartera EUDI (obligatoria dic. 2027) | ✅ VIDwallet + Credenciales Verificables (Validated ID) |
| Vigilancia continua y screening KYC | ✅ Verificación de documentos + recopilación y análisis de datos KYC |
| Pista de auditoría y documentación de cumplimiento | ✅ Pistas de auditoría a prueba de manipulaciones + preservación digital cualificada |
| Verificación reforzada para alto riesgo / PEP / sanciones | ✅ Consulta automática de +15 BBDD externas (listas de sanciones, PEP, etc.) |
Conclusión: la ventana de cumplimiento está abierta — no esperes a 2026 para actuar
Julio de 2027 puede parecer lejano. No lo es. El CDD RTS añadirá obligaciones técnicas adicionales en 2026, la Cartera EUDI será obligatoria en 2027, y las entidades que inicien su evaluación ahora tendrán el tiempo necesario para adaptar sus procesos de onboarding, elegir los socios tecnológicos adecuados y evitar la presión de última hora.
El AMLR y la AMLD6 no son solo un ejercicio de cumplimiento. Son una oportunidad para modernizar la verificación de identidad, reducir el fraude, mejorar la experiencia del cliente y ganar ventaja competitiva en un mercado donde la confianza es el principal diferenciador.
En España y en toda Europa, Signaturit Group, a Namirial Company está preparado para acompañar esta transición: como QTSP, como socio tecnológico y como infraestructura de confianza de las transacciones digitales.
| 📥 DESCARGA NUESTRO WHITEPAPER: «Lucha contra el fraude con un onboarding digital seguro» 👉 signaturit.com/es/recursos/lucha-fraude-onboarding-digital-seguro/ |
📎 Artículos relacionados en signaturit.com
- De la AMLR a la eIDAS 2.0: cómo navegar la normativa europea de KYC
- La Sexta Directiva AML: qué es y cómo refuerza la lucha contra el blanqueo
- KYC bajo AML6: guía completa para un onboarding digital eficiente
- Blanqueo de capitales: cómo prevenirlo en tu empresa
- eIDAS 2.0: Credenciales Verificables y EUDI Wallet
- Los monederos electrónicos y las credenciales verificables simplifican el KYC
