Los negocios cotidianos —supermercados, restaurantes o salones de belleza— pueden atender libremente a los clientes sin establecer su identidad. Un cajero no te pide que muestres tu identificación para venderte una barra de pan, y ciertamente no indaga sobre el origen de los fondos que usas para pagar un corte de pelo. Además, en la mayoría de los países desarrollados, negarse a atender a un cliente que no desea revelar su nombre, edad, ciudadanía o lugar de residencia se consideraría una discriminación flagrante.
Pero en cuanto entramos en el ámbito de los activos de alta liquidez —como las criptomonedas— el panorama cambia. Aquí la norma es diferente: se exige a las empresas que conozcan a sus clientes (Know Your Customer, KYC). Se pide a los usuarios que presenten documentos, selfies con su pasaporte, comprobantes de domicilio y, a veces, incluso extractos bancarios.
Los defensores de la regulación estricta lo explican de forma simple: no puedes revender la comida de un restaurante, pero sí puedes revender fácilmente una criptomoneda. Por tanto, un restaurante no puede formar parte de una cadena utilizada para ocultar actividad criminal, mientras que un negocio de criptomonedas sí puede. Se cree que la alta liquidez convierte a los activos digitales en una herramienta ideal para delincuentes.
En realidad, esto es un error grave. Los datos de las transacciones en blockchain se almacenan de forma permanente. Incluso si hoy es difícil rastrear una cadena de transacciones hasta una persona específica, nadie puede garantizar que no surjan nuevas herramientas analíticas mañana. De hecho, ya existen: las agencias de aplicación de la ley usan con éxito análisis de blockchain (basta recordar cómo el Departamento de Justicia de EE. UU. incautó más de 3.600 millones de dólares en bitcoin robados en el hackeo a Bitfinex).
Pero la cuestión principal está en otro lugar: ¿debe recaer realmente en las empresas la responsabilidad de identificar a los usuarios y verificar el origen de sus fondos? Creo que no. Y aquí explico por qué.
Un golpe a la competencia: cómo el KYC perjudica a las startups
Imagina que estás lanzando un nuevo negocio de criptomonedas. Inviertes en desarrollo, pones un esfuerzo enorme en marketing y atraes a tus primeros clientes. Llegan y los recibes con el requisito: «Muestra tu identificación, hazte un selfie, explica de dónde viene tu dinero.» ¿Cuál será su reacción?
Los clientes simplemente se irán. No porque tengan algo que ocultar, sino porque tú no eres nadie en el mercado. Al tratar con una gran empresa que lleva diez años operando y es de confianza para millones, una persona está dispuesta a revelar sus datos: esa empresa tiene riesgos reputacionales. Contigo, esa confianza no existe. Y esto es un comportamiento racional: si tu servicio desaparece, quiebra o deja de proteger los datos, los riesgos de fraude o robo de identidad permanecerán con el cliente y no desaparecerán junto con tu negocio.
El resultado es predecible: en lugar de una competencia sana que conduce a precios más bajos y mejor servicio, el mercado queda monopolizado por gigantes. Las nuevas empresas que podrían ofrecer mejores condiciones y productos innovadores simplemente no tienen oportunidad. El KYC se convierte en una clásica barrera de captura regulatoria, protegiendo de forma fiable a los líderes consolidados. El mercado de criptomonedas, que podría haber sido un modelo de competencia abierta, se transforma en un oligopolio.
La ilusión de la privacidad, o el consentimiento forzado
Muchos países tienen leyes estrictas de protección de datos personales. Su principio básico es simple: no se puede recopilar información sobre una persona sin su consentimiento voluntario. Los individuos tienen derecho a la privacidad y a no revelar al mundo entero qué servicios usan.
Pero en la práctica, sin pasar por el KYC, una persona queda efectivamente excluida de categorías enteras de servicios —principalmente los financieros. La negativa de un cliente potencial a revelar información personal obliga a las empresas a denegarles el servicio de forma automática.
En 2025, la FATF misma —el principal impulsor global de dicha regulación— reconoció que los requisitos desproporcionados han creado consecuencias no deseadas: un gran número de personas respetuosas de la ley han sido excluidas del sistema financiero legal simplemente por no contar con los documentos requeridos o por no querer revelar su identidad. Según la FATF, esto afecta particularmente a refugiados, migrantes y a quienes no tienen acceso a la banca, a quienes el Estado debería proteger.
La posición del Tribunal de Justicia de la Unión Europea también es reveladora: en 2022 anuló una norma que hacía accesible al público en general la información sobre los beneficiarios efectivos de las empresas, citando una injerencia desproporcionada en la vida privada. El tribunal subrayó que tal injerencia debe ser necesaria y proporcional al objetivo perseguido. Sin embargo, por alguna razón, estos principios no parecen aplicarse a los requisitos de KYC ni siquiera en Europa.
Los datos como cebo: el KYC crea lo que pretende evitar
Uno de los argumentos más importantes contra el KYC obligatorio es puramente práctico. Cuando se fuerza a las empresas a recopilar millones de pasaportes y selfies, sus servidores se convierten en objetivos atractivos para cibercriminales. Y esta amenaza no es teórica.
Ya en 2019 se informó que un hacker conocido como ExploitDOT estaba vendiendo alrededor de 100.000 documentos de identidad en la darknet Dread, presuntamente recopilados por grandes exchanges como Binance, Poloniex, Bitfinex y Bittrex como parte de sus procedimientos KYC. El origen de los datos permaneció en disputa: los exchanges negaron haber sido hackeados, y los datos podrían haber sido robados a un proveedor externo de KYC. Pero esto solo hace el incidente más revelador: la cadena de custodios que posee tus datos personales es más larga de lo que crees, y cualquier eslabón de esa cadena puede ser vulnerable.
En mayo de 2025 ocurrió algo que ya no podía atribuirse a la incertidumbre sobre la fuente: Coinbase reconoció públicamente que cibercriminales habían sobornado a un grupo de contratistas de soporte en el extranjero, que luego entregaron datos personales de clientes (nombres, direcciones, números de teléfono, partes de números de Seguro Social y escaneos de documentos de identidad presentados durante la verificación KYC). Un total de 69.461 usuarios resultaron afectados. El exchange se negó a pagar un rescate de 20 millones de dólares, pero estimó las pérdidas potenciales por el incidente entre 180 y 400 millones de dólares.
En el otoño de 2025, investigadores de ciberseguridad descubrieron una base de datos sin protección perteneciente a la plataforma cripto NCX, que contenía más de 5 millones de registros, incluidos enlaces directos a los documentos KYC de los usuarios. Todo ello era accesible públicamente debido a un error de configuración de MongoDB. No fue necesario ningún hack: la base de datos simplemente quedó abierta.
En resumen, la mejor forma de proteger los datos personales es no almacenarlos. Cada nuevo operador que recopila datos de pasaportes es un nuevo riesgo. El KYC no solo crea registros de clientes, sino objetivos para los delincuentes. Con acceso al nombre, dirección, datos biométricos e historial de activos de una persona, un atacante tiene todo lo necesario para suplantarla.
¿Quién debe atrapar a los delincuentes: la policía o las empresas?
Las agencias de aplicación de la ley se financian con impuestos para ofrecer servicios —incluyendo investigar delitos y combatir flujos financieros ilícitos. Las empresas también se pagan por prestar servicios. Sin embargo, los procedimientos de KYC trasladan efectivamente funciones policiales al sector privado: se exige a las empresas identificar a los clientes, comprobar listas de sanciones, analizar el origen de los fondos y reportar transacciones sospechosas. Al mismo tiempo, el Estado no las compensa con un solo centavo de los impuestos ya recaudados para estos fines. Si una empresa comete un error, paga una multa. Si no la comete, aun así soporta costos enormes por un sistema que, estrictamente hablando, es una función estatal.
Lo más perjudicial aquí son los datos sobre la eficacia. Ronald Pol, investigador de La Trobe University (Australia), en su artículo muy citado publicado en la revista Policy Design and Practice, encontró que los costos de cumplimiento superan la cantidad de activos realmente recuperados a los delincuentes por más de cien veces.
Las empresas gastan cientos de miles de millones de dólares anualmente (los costos globales de cumplimiento superan los 200.000 millones de dólares por año), y aun así los resultados son insignificantes. ¿Quién en su sano juicio querría asumir tales costos sin sentido? Los Estados ciertamente no —y por eso los trasladan a las empresas, y en última instancia a los consumidores.
A veces este mecanismo adopta una dimensión explícitamente política. En febrero de 2022, durante las protestas de camioneros en Canadá, el gobierno aprovechó que organizaciones financieras y cripto tenían datos sobre los participantes y les ordenó aplicar la Emergency Act para congelar fondos entrantes. Las empresas se encontraron actuando como instrumentos políticos, mientras los ciudadanos perdían acceso a su propio dinero. Dos años después, un tribunal declaró que estas acciones eran inconstitucionales, pero los fondos ya habían sido congelados y los ciudadanos ya habían experimentado la magnitud de la amenaza de primera mano.
El mercado ya dictó su veredicto
La reacción del mercado ya es clara. En el ámbito de las criptomonedas hay una demanda fuerte y persistente de servicios sin KYC: la gente está dispuesta a soportar inconvenientes, buscar soluciones alternativas e incluso pagar más —solo para evitar entregar documentos a empresas desconocidas con prácticas de almacenamiento de datos opacas.
Pero a menudo ni siquiera tienen que pagar más. Rabbit.io puede ofrecer las mejores tasas de cambio en parte porque no incurre en los costos asociados a recopilar, procesar y almacenar datos de clientes. Naturalmente, cuando los consumidores tienen opción, prefieren obtener servicios donde el costo es menor. Por eso nuestros clientes nos eligen. Y también por eso imponer el KYC a las empresas las perjudica efectivamente.
Nuestros usuarios no son delincuentes ni teóricos de la conspiración. Son personas con una motivación simple y comprensible: completar una transacción al mejor tipo de cambio sin tener que revelar su identidad cuando no es necesario. Cuando compro manzanas en un mercado, el vendedor no me pide el pasaporte. Cuando le pido a una tienda que me cambie un billete por otros de menor denominación, nadie pregunta por qué necesito billetes diferentes. ¿Por qué las transacciones digitales deberían ser fundamentalmente distintas?
Conclusión
Los requisitos de KYC crean un sistema en el que los costos se distribuyen injustamente. Las empresas pagan por lo que es, en esencia, una función estatal. Los usuarios honestos también lo pagan y además ponen en riesgo sus datos personales. Las nuevas empresas fracasan debido a la ventaja competitiva de los incumbentes. Mientras tanto, los verdaderos delincuentes encuentran formas de eludir el sistema, en parte explotando los mismos registros de datos que las empresas están obligadas a construir bajo los procedimientos KYC.
Si los gobiernos creen que la supervisión de los flujos financieros es necesaria, se necesita una discusión honesta: quién la paga, quién asume la responsabilidad y por qué las empresas privadas deberían desempeñar funciones policiales a su propio costo y en detrimento de sus clientes. También es necesario reconocer que el KYC obligatorio y universal es una herramienta cara e ineficiente que convierte a participantes de mercado honestos en sospechosos y sus datos en objetivos para los delincuentes.
