2026–2027 AML e Identidad Digital: por qué estamos ante una revolución estructural del KYC

AML-KYC: un cambio estructural, no una evolución incremental

Los años 2026 y 2027 no marcarán simplemente otro hito regulatorio para los departamentos de cumplimiento. Representarán un punto de inflexión estructural para la identidad digital, el onboarding de clientes, los pagos y las infraestructuras de confianza en toda Europa y probablemente mucho más allá.

Lo que se aproxima no es una ola. Es un tsunami.

En el centro de esta transformación se encuentra el reglamento eIDAS revisado (eIDAS 2.0), que exige que para diciembre de 2026 todos los Estados miembros de la UE pongan a disposición al menos un European Digital Identity Wallet (EUDIW). Para diciembre de 2027, la obligación de aceptar estos wallets se extenderá no solo a las administraciones públicas, sino también a las grandes plataformas online y a entidades privadas reguladas, incluidos bancos, operadores de telecomunicaciones y empresas de servicios públicos.

En paralelo, 2027 también marcará la plena aplicabilidad del nuevo Anti-Money Laundering Regulation (AMLR), supervisado por la nueva Autoridad Europea de Lucha contra el Blanqueo de Capitales (AMLA). Los Regulatory Technical Standards (RTS) ya se encuentran en consulta pública, lo que indica que el perímetro de cumplimiento se está estrechando mientras se reimagina la infraestructura digital.

A esto se suma la rápida evolución del fraude impulsado por inteligencia artificial, los flujos biométricos basados en NFC, los sistemas agenticos y una nueva economía en la que no solo los individuos (KYC), sino también las empresas (KYB) y los agentes autónomos (KYA) deben ser verificados, monitorizados y considerados fiables.

Por último, identidad y pagos – tradicionalmente tratados como ámbitos separados – están convergiendo. Los recientes debates globales, incluidas importantes contribuciones de instituciones internacionales y consorcios industriales europeos, sugieren que la fusión entre identidad digital e infraestructuras de pago podría desbloquear nuevos modelos de inclusión financiera, seguridad y eficiencia económica.

Las implicaciones para el onboarding son profundas. Para los proveedores de servicios de confianza, las industrias reguladas y las plataformas digitales, los próximos dos años redefinirán la escala, la interoperabilidad y la ventaja competitiva.

De la disponibilidad a la adopción: el verdadero desafío del European Digital Identity Wallet

Para diciembre de 2026, los Estados miembros de la UE deberán proporcionar a los ciudadanos acceso a un European Digital Identity Wallet. El reglamento pone en marcha la infraestructura. Sin embargo, la disponibilidad no significa necesariamente adopción.

Europa ya ha visto esta dinámica antes.

Consideremos el SPID italiano (Sistema Pubblico di Identità Digitale). Introducido en 2016, el SPID necesitó casi una década para alcanzar un porcentaje significativo de la población (hoy casi el 100 % si se consideran las generaciones más jóvenes). La adopción solo se aceleró cuando ciertos casos de uso se volvieron indispensables: declaraciones fiscales, servicios relacionados con la pandemia, prestaciones públicas y servicios digitales de la administración pública. La infraestructura por sí sola no impulsó el crecimiento, fue la utilidad.

La Comisión Europea ha fijado un objetivo ambicioso: el 80 % de los ciudadanos de la UE utilizando una solución de identidad digital para 2030. Alcanzar ese objetivo requiere algo más que plazos regulatorios. Requiere un ecosistema convincente de servicios que haga que el wallet sea indispensable.

El EUDIW contendrá atributos de identidad, credenciales y certificaciones que pueden compartirse de manera selectiva. Pero su potencial transformador radica en su capacidad para reducir la fricción en el onboarding y la autenticación transfronteriza. Si se implementa correctamente, podría eliminar procedimientos KYC repetitivos, permitir una confianza portátil y simplificar las transacciones transfronterizas.

La mayoría de los nuevos casos de uso que están surgiendo alrededor del wallet no se basan en la simple prueba de identidad, sino en el intercambio controlado de atributos específicos, cualificación profesional, residencia, rol corporativo, titularidad real, rangos o umbrales de ingresos, credenciales de seguros, certificaciones de IBAN. Los atributos son la verdadera revolución del EUDIW. Permiten divulgación selectiva, minimización de datos y verificación específica para cada propósito, transformando fundamentalmente la forma en que se diseñan los procesos de onboarding y cumplimiento.

Para que esta revolución pueda escalar, sin embargo, la emisión y verificación de atributos deben ser económicamente sostenibles. Por ello es esencial diseñar modelos transaccionales para la verificación de atributos que creen incentivos claros para emisores, verificadores y relying parties.

En Namirial estamos a la vanguardia en la definición de los habilitadores que hacen sostenibles a gran escala estos modelos transaccionales de atributos, exactamente el tipo de modelo que ya ha demostrado su éxito en sistemas de identidad digital adoptados a nivel nacional como SPID en Italia, itsme en Bélgica, BankID en los países nórdicos o Evrotrust en Bulgaria. Estos ecosistemas demuestran que cuando la verificación se apoya en marcos económicos viables, la adopción sigue y las infraestructuras de confianza se vuelven duraderas.

Sin embargo, la adopción depende de tres factores críticos:

1. Casos de uso convincentes en el sector privado.
2. Experiencias de usuario fluidas.
3. Confianza en la seguridad y la protección de los datos.

Sin estos elementos, el wallet corre el riesgo de convertirse en un instrumento formal de cumplimiento en lugar de un compañero digital cotidiano.

Diciembre de 2027: el momento de la aceptación obligatoria

Si 2026 se refiere a la disponibilidad, 2027 se refiere a la obligación.

A partir de diciembre de 2027, de conformidad con el artículo 5f del reglamento eIDAS revisado (eIDAS 2.0), las administraciones públicas deberán aceptar el European Digital Identity Wallet. Más importante aún, la misma disposición extiende la obligación a las grandes plataformas online designadas en virtud de la legislación de la UE y a entidades privadas reguladas como bancos, operadores de telecomunicaciones y empresas de servicios públicos, que también deberán aceptarlo para la autenticación y la identificación.

Esto cambiará drásticamente el panorama competitivo.

Las grandes plataformas – Google, Amazon, Meta – tendrán que integrar los estándares europeos de identidad en sus flujos de autenticación. Las industrias reguladas tendrán que rediseñar los procesos de onboarding para incorporar la verificación de identidad basada en el wallet.

La cuestión ya no será si aceptar el wallet, sino cómo integrarlo de una manera que mejore la experiencia del cliente manteniendo al mismo tiempo el cumplimiento normativo.

Para los bancos, esto podría significar que el proceso de onboarding de un nuevo cliente pase de la carga de documentos y la captura biométrica a la recuperación de credenciales y la divulgación selectiva. Para los operadores de telecomunicaciones, el registro de tarjetas SIM y la activación de clientes podrían convertirse en procesos nativos del wallet. Para las empresas de servicios públicos, la suscripción y la firma de contratos podrían volverse casi instantáneas.

Todo esto significa menores costes de adquisición de clientes, mayores tasas de conversión, mayor seguridad y mejores experiencias de cliente. Y ya lo hemos visto con las eID existentes, donde el tiempo de onboarding pasó de minutos a segundos, con un aumento significativo de la tasa de conversión en el embudo.

Así que… ¡gracias, Papá Noel!

La obligación de aceptar el wallet creará efectivamente una capa continental de interoperabilidad de identidad. Sin embargo, esta nueva capa no será estática: durante los próximos cinco a diez años, las organizaciones necesitarán procesos de onboarding y autenticación flexibles y modulares capaces de gestionar diferentes tipos de flujos – desde simples pruebas de identidad hasta verificaciones complejas de múltiples atributos – al tiempo que se adaptan a las distintas preferencias de los usuarios sobre cómo compartir credenciales y gestionar el consentimiento.

Los ganadores serán aquellos capaces de diseñar arquitecturas adaptativas que orquesten dinámicamente datos de identidad, atributos y divulgaciones controladas por el usuario, aprovechando estratégicamente el wallet y el KYC en lugar de tratarlos como un simple requisito regulatorio.

AMLR y AMLA: el cumplimiento ahora a nivel europeo

Al mismo tiempo, 2027 marcará la aplicabilidad del nuevo Anti-Money Laundering Regulation (AMLR), directamente aplicable en los Estados miembros a partir de julio de 2027 y supervisado por la nueva Autoridad Europea de Lucha contra el Blanqueo de Capitales (AMLA).

No se trata de una actualización menor. Es una armonización sistémica de las obligaciones AML en toda Europa.

Los Regulatory Technical Standards (RTS), actualmente en consulta, indican un movimiento hacia evaluaciones de riesgo más granulares, una diligencia debida armonizada y obligaciones de reporte reforzadas. En particular, el artículo 22 del AMLR refuerza el marco de diligencia debida del cliente (Customer Due Diligence – CDD) al aclarar los requisitos para la identificación y verificación de clientes y beneficiarios efectivos, mientras que el correspondiente artículo 7 del borrador de RTS sobre CDD especifica aún más los estándares operativos y técnicos que las entidades obligadas deben seguir cuando se basan en medios de identificación digital y servicios de confianza.

El paso de una normativa basada en directivas a un reglamento de aplicación directa reduce la fragmentación y aumenta la convergencia supervisora. En última instancia, el objetivo del legislador es crear procesos de identificación y cumplimiento utilizables en toda la Unión Europea, reduciendo la necesidad de interpretaciones nacionales fragmentadas o de localizaciones supervisoras – como las históricamente observadas con autoridades como BaFin en Alemania (véase también el artículo del despacho Bird & Bird “Germany: Video identification only as a fallback: EBA is shifting to eIDAS”) o SEPBLAC en España – y fomentando un verdadero mercado único para la identidad digital y el cumplimiento AML.

Para los procesos de onboarding, esto significa que las entidades obligadas deberán adoptar un enfoque basado en el riesgo y guiado por el contexto, combinando distintos medios de identificación dependiendo del caso de uso específico, el perfil de riesgo y el recorrido del cliente.

En algunos escenarios, puede ser apropiado apoyarse en el European Digital Identity Wallet y en certificaciones electrónicas cualificadas; en otros, los esquemas eID notificados a nivel nacional o los sistemas de identidad digital domésticos existentes pueden seguir siendo preferibles; en otras situaciones, puede ser necesaria la verificación biométrica, la detección de vivacidad o medidas reforzadas de diligencia debida, respetando los requisitos actualizados de los futuros RTS sobre CDD.

Así que también para el AMLR, Papá Noel viene en camino, incluso en el verano de 2027.

De manera crucial, las instituciones deberán documentar y justificar estas decisiones ante sus autoridades competentes, demostrando que el flujo de identificación seleccionado es proporcional, conforme al artículo 22 del AMLR y a los RTS relacionados, y alineado con su marco interno de evaluación del riesgo:

• mayor escrutinio sobre la fiabilidad de la verificación de identidad
• requisitos más claros para la monitorización continua
• expectativas más fuertes sobre los registros de auditoría digitales
• mayor responsabilidad para los sectores de alto riesgo

La interacción entre el AMLR y el European Digital Identity Wallet es donde la revolución se vuelve evidente. Si los wallets proporcionan atributos de identidad de alta garantía y credenciales verificables, pueden servir como entradas estandarizadas en los procesos AML. Sin embargo, las instituciones seguirán siendo responsables de la evaluación del riesgo.

En otras palabras, los wallets pueden simplificar la adquisición de datos, pero no eliminan la responsabilidad de cumplimiento.

Las organizaciones capaces de combinar onboarding basado en wallets con análisis de riesgo impulsado por inteligencia artificial, detección de fraude y monitorización continua definirán la próxima generación de ecosistemas de onboarding conformes, capaces no solo de satisfacer a los reguladores, sino también de ganar la batalla de la experiencia del cliente.

El campo de batalla del fraude: IA contra IA

La identidad digital está bajo asedio.

La inteligencia artificial generativa ha hecho que las identidades sintéticas, los vídeos deepfake y las campañas automatizadas de phishing sean más sofisticadas y escalables que nunca. Los estafadores operan ahora con herramientas que rivalizan con tecnologías de nivel empresarial.

Pero la misma revolución de la IA también proporciona contramedidas.

La detección avanzada de vivacidad (liveness detection), la biometría conductual, la detección de ataques por inyección y de ataques de presentación, así como los sistemas de puntuación de riesgo en tiempo real, son cada vez más capaces de identificar manipulaciones sintéticas. El campo de batalla se está convirtiendo en una confrontación entre IA y IA.

En este entorno, el onboarding debe equilibrar tres objetivos en competencia:

1. Seguridad frente a fraudes avanzados.
2. Cumplimiento normativo.
3. Una experiencia de cliente sin fricciones.

Históricamente, aumentar la seguridad significaba aumentar la fricción. La promesa de la identidad basada en wallets es reducir la fricción manteniendo al mismo tiempo altos niveles de garantía. En lugar de capturar datos biométricos repetidamente, las instituciones pueden confiar en credenciales previamente verificadas almacenadas en el wallet.

Sin embargo, el fraude no desaparece, se desplaza. Los atacantes pueden apuntar a los procesos de emisión de wallets, al robo de credenciales o a la ingeniería social.

En este contexto, el uso de tecnologías biométricas avanzadas se vuelve cada vez más indispensable para garantizar una verificación de identidad remota con alto nivel de garantía y para contrarrestar ataques sofisticados impulsados por IA, como deepfakes e identidades sintéticas.

Por esta razón, el cumplimiento de estándares técnicos rigurosos y certificaciones independientes se está convirtiendo en un factor crítico de confianza para todo el ecosistema. Marcos como ETSI TS 119 461 v2.1.1, que define requisitos actualizados para servicios fiables de verificación remota de identidad, son esenciales para garantizar fiabilidad, seguridad y aceptación regulatoria en toda Europa.

Por eso, en Namirial hemos invertido significativamente en obtener la certificación ETSI 119 461, reforzando nuestro compromiso de ofrecer tecnologías de verificación de identidad que cumplan los más altos estándares europeos, al tiempo que apoyan un onboarding digital escalable y seguro.

Más allá de los individuos: KYB y el auge del Business Wallet

La revolución no se limita a los individuos.

Los procesos Know Your Business (KYB) siguen siendo notoriamente complejos, especialmente en operaciones transfronterizas. Las estructuras corporativas, la titularidad real y los requisitos documentales generan fricción y retrasos.

El concepto emergente de Business Wallet – que almacena credenciales corporativas verificables, certificados de registro, certificaciones de titularidad real y documentación de cumplimiento – podría simplificar drásticamente el onboarding B2B.

Un marco europeo estandarizado para la identidad empresarial permitiría:

• onboarding de proveedores más rápido
• acceso simplificado a servicios financieros para las pymes
• autenticación corporativa transfronteriza

En un mercado único que aspira a la soberanía digital y a la competitividad, reducir la fricción en los procesos KYB podría liberar un valor económico significativo.

En Namirial creemos firmemente que el Business Wallet no es simplemente una evolución técnica de los procesos KYB, sino un pilar estratégico para el futuro de Europa, permitiendo un comercio transfronterizo confiable, fortaleciendo la soberanía digital y proporcionando tanto a pymes como a grandes empresas una infraestructura de identidad escalable e interoperable adecuada para la próxima década de integración económica.

KYA: identificar agentes en la economía agentica

El auge de los agentes autónomos de inteligencia artificial introduce una nueva dimensión: Know Your Agent (KYA).

A medida que los sistemas de IA actúan cada vez más en nombre de individuos y empresas – ejecutando transacciones, negociando contratos o iniciando pagos – surge una pregunta fundamental: ¿cómo identificamos, autenticamos y autorizamos actores no humanos?

Las discusiones del sector ya están explorando identidades de confianza para agentes de IA. El concepto implica asignar credenciales verificables a los agentes, vincularlas con entidades legales responsables y garantizar la trazabilidad.

Sin un marco sólido de confianza, la economía agentica corre el riesgo de convertirse en un terreno fértil para la automatización irresponsable y el fraude.

El marco europeo de identidad digital ofrece una oportunidad única para definir estándares para la identidad de los agentes desde una etapa temprana. Si los business wallets y los wallets de identidad digital pueden interactuar con credenciales de agentes, Europa podría influir en las normas globales para transacciones de IA responsables.

Identidad y pagos: una convergencia estratégica

Históricamente, la verificación de identidad y los pagos han operado en paralelo. Pero la convergencia se está acelerando.

Los wallets digitales capaces de almacenar credenciales de identidad junto con instrumentos de pago crean oportunidades para procesos de onboarding y transacciones fluidos. La autenticación fuerte del cliente (Strong Customer Authentication – SCA), el cumplimiento AML y la autorización de pagos pueden convertirse en partes de una experiencia unificada.

Precisamente por eso, dentro del Architecture and Reference Framework (ARF) del EUDI Wallet, ya estamos empezando a ver referencias explícitas a mecanismos de SCA y a la capacidad de gestionar tokens de transacción de manera segura e interoperable. En el horizonte regulatorio, se espera que la misma apertura y neutralidad tecnológica se reflejen en el futuro marco de la Payment Services Regulation (PSR) y PSD3, permitiendo que los wallets de identidad interactúen de forma nativa con los ecosistemas de pago y respalden flujos transaccionales conformes y centrados en el usuario en toda Europa.

Los debates globales recientes destacan la importancia de vincular los sistemas de identidad digital con las infraestructuras de pago para mejorar la inclusión financiera y reducir el fraude. Esta perspectiva se refleja claramente en el informe reciente del Banco Mundial “ID Meets Instant: Enabling Trusted, Inclusive Fast Payments through Digital ID” (febrero de 2026), así como en el non-paper del Webuild Consortium, “Trusted Identities for AI Agents – An Opportunity for Europe”, que aboga por una alineación estratégica entre identidades digitales de confianza, capacidades transaccionales y competitividad europea.

Cuando la identidad es fiable y portátil, los servicios financieros pueden prestarse más rápidamente y a menor coste.

Sin embargo, combinar identidad y pagos también plantea cuestiones de gobernanza, privacidad y responsabilidad. La separación clara de funciones, el consentimiento del usuario y la minimización de datos deben seguir siendo principios fundamentales. Además, la asignación de responsabilidades entre emisores de wallets, proveedores de servicios de pago, relying parties y emisores de atributos debe definirse claramente: ¿quién es responsable en caso de uso fraudulento de credenciales, tokens de transacción comprometidos, atributos incorrectos o flujos de autenticación fallidos?

A medida que las capas de identidad y pago convergen, la certeza jurídica sobre los marcos de responsabilidad será tan importante como la interoperabilidad técnica, garantizando que la innovación no supere a la responsabilidad. Será precisamente en los detalles técnicos – dentro de la evolución del Architecture and Reference Framework y, sobre todo, en el diseño final y las interpretaciones de PSR y PSD3 – donde esta asignación de responsabilidades y la interacción práctica entre las capas de identidad y pago se clarificarán, definiendo el equilibrio operativo real entre innovación, riesgo y responsabilidad.

La escala como factor decisivo

Las infraestructuras de confianza requieren inversiones significativas.

Construir sistemas de identidad conformes, mantener defensas de ciberseguridad, integrar sistemas de detección de fraude basados en IA y garantizar la interoperabilidad transfronteriza requiere importantes recursos.

La escala no es opcional, es fundamental.

Los grandes proveedores de servicios de confianza, los Qualified Trust Service Providers (QTSP) y los actores consolidados en el ámbito de la identidad están especialmente bien posicionados para apoyar el ecosistema. Combinan experiencia regulatoria, capacidad tecnológica y resiliencia operativa.

En un mercado fragmentado, los actores más pequeños pueden tener dificultades para mantener el ritmo de los cambios regulatorios y de la innovación tecnológica. Es probable que se produzcan procesos de consolidación y alianzas estratégicas.

El papel de los líderes de confianza en el nuevo ecosistema

A medida que Europa entra en esta fase transformadora, los proveedores de servicios de confianza desempeñan un papel clave.

Actúan como:

• emisores de certificados y credenciales cualificadas
• proveedores de soluciones de identificación remota
• integradores de infraestructuras de wallet
• facilitadores de cumplimiento para sectores regulados

Su misión se amplía más allá de la prestación de servicios técnicos. Se convierten en arquitectos de los ecosistemas de confianza digital.

En este entorno, la innovación debe coexistir con la fiabilidad. El cumplimiento normativo no puede ser una reflexión posterior; debe estar integrado desde el diseño. En Namirial estamos invirtiendo fuertemente en estos nuevos flujos de identidad y pagos, desarrollando soluciones de KYC y onboarding que permitan a nuestros clientes gestionar la complejidad regulatoria, técnica y operativa que les espera durante la próxima década.

Creemos que solo plataformas flexibles, interoperables y diseñadas con un enfoque compliance-by-design pueden apoyar realmente a las instituciones que se enfrentan a obligaciones convergentes derivadas de eIDAS, AMLR y la regulación de pagos.

Estamos orgullosos de que nuestra plataforma Namirial Onboarding ya nos haya posicionado como líderes reconocidos en mercados de verificación de identidad regulada, demostrando nuestra capacidad para combinar identificación de alta garantía, verificación biométrica avanzada, soporte de esquemas eID, futuros wallets y capacidades de orquestación escalables en entornos donde el cumplimiento y la experiencia del cliente deben ir de la mano.

El punto de inflexión 2026–2027

Cuando los historiadores de la transformación digital miren atrás, 2026–2027 podría aparecer como el momento en que Europa pasó de iniciativas fragmentadas de identidad digital a una arquitectura unificada de confianza.

La emisión obligatoria de wallets, la obligación de aceptarlos, la aplicación del AMLR bajo la supervisión de AMLA, la madurez de las defensas contra el fraude impulsado por IA, la aparición de business wallets y los primeros pasos hacia la identidad de agentes crean una convergencia rara vez vista en la historia regulatoria.

Para las organizaciones, la complacencia no es una opción. El objetivo final es convertir la regulación en una ventaja competitiva.

La preparación requiere:

• alineación estratégica de las hojas de ruta
• inversión tecnológica y arquitecturas adaptativas
• coordinación transversal entre cumplimiento, IT y unidades de negocio

Quienes se muevan primero darán forma al ecosistema. Quienes se retrasen tendrán que adaptarse a él.

Conclusión: surfear el tsunami

Un tsunami redefine las costas.

La revolución de la identidad digital y del onboarding entre 2026 y 2027 transformará las infraestructuras de confianza, el cumplimiento regulatorio y la experiencia del cliente en toda Europa.

Para las organizaciones, el mensaje es claro: la preparación debe comenzar ahora. Las instituciones deben empezar por mapear sus futuras arquitecturas de onboarding, evaluando cómo los flujos del EUDI Wallet, los sistemas eID nacionales y la verificación biométrica pueden coexistir dentro de plataformas de orquestación flexibles. Deben revisar sus modelos de riesgo a la luz del artículo 22 del AMLR y de los futuros RTS, invertir en detección de fraude basada en IA y en tecnologías biométricas certificadas, y garantizar que sus sistemas estén preparados para gestionar verificaciones basadas en atributos y autenticación mediante wallets. Igual de importante es alinear los equipos de cumplimiento, IT, producto y experiencia del cliente para rediseñar los procesos de onboarding de manera que estén preparados para los reguladores y centrados en el usuario.

En el centro de esta transformación hay una verdad simple: la confianza debe ser escalable.

Las organizaciones capaces de combinar rigor regulatorio, excelencia tecnológica y escala continental no solo sobrevivirán al tsunami, definirán la nueva línea costera de la Europa digital.

Como Namirial, estamos preparados para apoyar a nuestros clientes en los pasos estratégicos que tienen por delante, acompañándolos en la complejidad regulatoria, la transformación tecnológica y los nuevos paradigmas de confianza que definirán el futuro digital de Europa.