Si vas a operar una fintech en América Latina en 2026, el compliance dejó de ser un departamento al que se le pide permiso al final. Es arquitectura. La decisión de cómo construyes tu KYC y AML el primer día determina si puedes entrar a un nuevo país en semanas o si tienes que reescribir media plataforma. México, Colombia, Brasil y Argentina avanzan en direcciones parecidas pero a ritmos distintos, y cada regulador tiene su propio acento.
La trampa más común es construir para un solo país. Lanzas en México cumpliendo la Ley Fintech, todo funciona, y al expandir a Colombia descubres que tu flujo de identidad, tu retención de evidencia y tus reportes no encajan. El objetivo de este artículo es ayudarte a pensar el stack como una capa común que se adapta por jurisdicción, en lugar de cuatro integraciones aisladas que se pelean entre sí.
México: la Ley Fintech y la CNBV marcan el estándar
México fue pionero regional con su ley de instituciones de tecnología financiera, y eso significa expectativas maduras. La CNBV, junto con el régimen de prevención de lavado, espera identificación robusta del cliente, expedientes completos, conservación de información por plazos prolongados y reportes estructurados de operaciones relevantes e inusuales. La identificación biométrica y la validación contra fuentes oficiales son ya prácticas esperadas, no diferenciadores.
En la práctica, esto te obliga a tres cosas: niveles de KYC escalonados según el tipo de cuenta y el riesgo, un expediente digital que sobreviva a una auditoría, y un proceso de reporte que no dependa de extraer datos a mano cada mes. Si tu KYC vive en una hoja de cálculo, México te lo va a hacer notar rápido.
Colombia: la SFC y el valor del sandbox
Colombia ha apostado por la innovación supervisada. La Superintendencia Financiera mantiene un enfoque basado en riesgo y un sandbox regulatorio que permite probar modelos con acompañamiento del regulador. Para una fintech entrante, el sandbox es una ventaja real: reduce incertidumbre y te da una relación temprana con el supervisor en lugar de un primer contacto en una sanción.
Lo que la SFC valora es la gestión de riesgo demostrable: políticas claras de conocimiento del cliente, segmentación por riesgo, y monitoreo proporcional al perfil. La debida diligencia reforzada para clientes de mayor riesgo y para PEP no es opcional. Si entras por el sandbox, llega con tu marco documentado; la conversación será mucho más rápida.
Brasil: el Banco Central y la era del Pix
Brasil es el mercado más grande y el más dinámico tecnológicamente, en gran parte por Pix. La omnipresencia de los pagos instantáneos cambia las reglas del monitoreo: las transacciones son inmediatas e irreversibles, así que el control de fraude y lavado tiene que operar en tiempo real, no en lotes nocturnos. El Banco Central ha sido activo en endurecer requisitos de seguridad y prevención conforme el volumen de Pix crece.
Para tu stack esto significa monitoreo transaccional capaz de evaluar y, si hace falta, frenar operaciones antes de que se liquiden. Las reglas estáticas no bastan cuando el atacante mueve fondos en segundos. Necesitas scoring dinámico, listas actualizadas y la capacidad de pausar una cuenta sin romper la experiencia del usuario legítimo.
Argentina: volatilidad y enfoque en el flujo de fondos
Argentina añade una capa propia: alta inflación, controles cambiarios cambiantes y una fuerte adopción de cripto como refugio. El marco de prevención de lavado, alineado con estándares internacionales, pone el foco en el origen y destino de los fondos y en la trazabilidad de operaciones que cruzan entre pesos, dólares y activos digitales. La regla práctica es asumir que cualquier flujo cripto-fiat va a recibir escrutinio.
Lo que esto exige de tu operación es trazabilidad de punta a punta y una política clara de origen de fondos que aguante un entorno regulatorio que se mueve. No construyas suponiendo que las reglas de hoy seguirán igual en doce meses; construye para poder ajustar umbrales y políticas sin tocar el código base.
El stack que escala en lugar de reescribirse
El hilo común de los cuatro países es claro: identidad robusta, screening continuo, monitoreo en tiempo real y evidencia auditable. La forma de no reescribir tu plataforma cada vez que cruzas una frontera es separar la capa de compliance de la lógica de negocio y configurarla por jurisdicción, no codificarla a fuego.
- KYC e identidad: un proveedor de verificación robusto como Sumsub o Didit que cubra documento, biometría y validación de vida, con niveles configurables por país y por riesgo.
- Screening de sanciones y PEP: listas globales y locales, screening en el alta y de forma recurrente, no una sola vez.
- Monitoreo de transacciones: reglas y scoring que corran en tiempo real, especialmente para mercados de pagos instantáneos como Brasil.
- Origen y destino de fondos (SOF/SOW): captura y verificación de evidencia para depósitos relevantes, con trazabilidad cripto-fiat donde aplique.
- Trazabilidad de auditoría: registro inmutable de cada decisión de KYC y AML, retención por los plazos que exige cada regulador, y reportes que se generan solos.
El compliance que escala no se diseña por país; se diseña como una capa común que se configura por país. La diferencia se paga en cada expansión.
Construir esta capa una vez, bien, es lo que separa a las fintechs que abren un mercado nuevo en un trimestre de las que se quedan atascadas reescribiendo flujos. En Horizon integramos este stack dentro de Orion y lo orquestamos con Smart Dashboard para que el KYC, el screening, el monitoreo y la pista de auditoría vivan en el mismo lugar y se adapten a cada regulador. La meta no es solo cumplir hoy en México; es poder decir sí a Colombia, Brasil o Argentina sin empezar de cero.