Para una fintech liderada por ingeniería, el Bank Secrecy Act puede parecer un impuesto a la innovación: un cuerpo de obligaciones escrito para bancos tradicionales y dejado caer sobre un equipo de producto que preferiría lanzar. Ese encuadre es comprensible y, en mi experiencia, costoso. El BSA no va a desaparecer, la Anti-Money Laundering Act de 2020 lo afiló, y las empresas que tratan el cumplimiento como una competencia central son las que conservan sus cuentas bancarias y superan la debida diligencia. El objetivo no es elegir entre cumplimiento y producto. Es construir controles proporcionados y defendibles sin frenar el producto.
Qué exige realmente el BSA
El Bank Secrecy Act, administrado por FinCEN, exige que las empresas cubiertas ayuden al gobierno a detectar y prevenir el delito financiero. Muchas empresas cripto y de pagos caen dentro de él como money services businesses, lo que conlleva un conjunto concreto de obligaciones. El punto de partida es el registro ante FinCEN como MSB, seguido de un programa AML por escrito: los cuatro "pilares" que la mayoría de los profesionales recita —un oficial de cumplimiento designado, políticas y controles internos, capacitación continua y pruebas independientes.
A partir de ahí siguen las obligaciones operativas. Debida diligencia del cliente y conoce a tu cliente en la incorporación, incluida la titularidad beneficiaria de los clientes que son personas jurídicas. Screening contra las listas de sanciones de OFAC y otras listas de vigilancia. Monitoreo de transacciones calibrado a tus flujos reales, con reportes de actividad sospechosa presentados cuando los hechos lo ameritan y reportes de transacciones en efectivo donde se alcanzan los umbrales. Para las transmisiones iguales o superiores al umbral aplicable, se activan los requisitos de conservación de registros y la "travel rule": la información del originador y del beneficiario tiene que viajar con la transferencia. Y todo ello debe documentarse lo bastante bien como para que alguien externo a la empresa pueda verificar que funciona.
Dónde se meten en problemas las fintech de verdad
Las fallas son predecibles, y rara vez tienen que ver con la intención. Una empresa lanza con un documento de políticas pulido que nadie operacionaliza. Los umbrales de monitoreo se configuran una vez al incorporar una herramienta de un proveedor y nunca se ajustan al comportamiento real, así que o ahogan al equipo en falsos positivos o pasan por alto los patrones que importan. El screening de sanciones se ejecuta contra nombres pero no contra direcciones de billetera, y una coincidencia obvia se escapa. O, lo más común de todo, el crecimiento simplemente supera a la función de cumplimiento: el volumen de transacciones se multiplica por diez mientras el programa sigue donde estaba en etapa semilla.
Cualquiera de estas puede costar una relación bancaria, y la razón es estructural. Cuando un banco atiende a tu empresa, hereda tu riesgo de delito financiero y responde por él ante sus propios examinadores. Un programa AML endeble es una de las formas más rápidas de quedar "de-risked" fuera de los libros de un banco, y recuperar el acceso después es mucho más difícil que conservarlo.
Construir controles que escalan
El BSA es explícitamente basado en riesgo, que es la parte en la que las fintech deberían apoyarse. Un programa basado en riesgo concentra la diligencia donde el riesgo realmente está —flujos de alto valor, jurisdicciones de mayor riesgo, patrones inusuales— en lugar de tratar a cada cliente de forma idéntica y llamarlo rigor. El monitoreo y el screening deberían ajustarse a cómo se mueve genuinamente el valor a través de tus rieles específicos, no copiarse de una plantilla genérica. El programa y sus expedientes de auditoría deberían ser legibles para un socio bancario sin un mes de idas y vueltas. Y una revisión independiente debería ocurrir antes de que un regulador o un banco potencial haga las preguntas difíciles, no después.
El cumplimiento es un activo comercial
Hay un argumento comercial que los fundadores subestiman. Un programa AML creíble y documentado acorta la incorporación bancaria, elimina una objeción recurrente en la debida diligencia de rondas de inversión y te permite entrar a un nuevo mercado sin reconstruir la función desde cero. Las empresas de pagos maduras no viven la innovación y el cumplimiento como opuestos; corren ambos a la vez, y la postura de cumplimiento se vuelve parte de por qué los socios confían en ellas.
Si estás construyendo una empresa de pagos o cripto y quieres un programa BSA/AML que satisfaga a bancos y reguladores sin estrangular el producto, conversemos.