Cumplimiento · PSD2 · Ley 10/2010

Cumplimiento normativo & AML

Cómo KBPPAY cumple sus obligaciones como Entidad de Pagos autorizada por el Banco de España: prevención del blanqueo de capitales y financiación del terrorismo, KYC, sanciones internacionales, protección de los fondos del usuario, seguridad operacional y gobierno corporativo.

Última actualización Versión 1.0

01Marco regulatorio aplicable

KBPPAY opera bajo el conjunto de normas que rigen el sector de los servicios de pago y la prevención del blanqueo de capitales en España y en la Unión Europea:

  • Directiva (UE) 2015/2366 (PSD2) sobre servicios de pago en el mercado interior.
  • Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, y su Real Decreto de desarrollo.
  • Directiva (UE) 2015/849 (AMLD4), modificada por las directivas posteriores AMLD5 y AMLD6 sobre prevención del blanqueo y financiación del terrorismo.
  • Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y su Reglamento (RD 304/2014).
  • Reglamento (UE) 2015/847 sobre información que acompaña a las transferencias de fondos ("Travel rule").
  • Reglamento (UE) 2016/679 (RGPD) y LOPDGDD en materia de protección de datos.
  • Reglamentos europeos de sanciones financieras y régimen español del Comité de Sanciones Financieras Internacionales.
  • Reglamento (UE) 2023/1113 (TFR) sobre transferencias y trazabilidad de los criptoactivos, en lo aplicable.

02Licencia y supervisión

KBPPAY se encuentra autorizada como Entidad de Pagos e inscrita en el registro público correspondiente del Banco de España, autoridad nacional competente para la supervisión prudencial conforme al RDL 19/2018.

Figura PSD2Entidad de Pagos
Servicios autorizadosEnvío de dinero (art. 1.2.f RDL 19/2018) listado adicional
Autoridad supervisoraBanco de España · Departamento de Supervisión de Entidades
Número de registronº inscripción BdE
Fecha de autorizaciónDD/MM/AAAA

Puedes verificar la autorización en el Registro de Entidades del Banco de España.

03Prevención del blanqueo (Ley 10/2010)

KBPPAY es sujeto obligado conforme al art. 2 de la Ley 10/2010. En consecuencia, dispone de un sistema integral de prevención del blanqueo de capitales y de la financiación del terrorismo que comprende:

  • Un Manual de Prevención aprobado por el órgano de administración y revisado periódicamente.
  • Una política de admisión de clientes con análisis del riesgo individualizado.
  • Procedimientos formales de diligencia debida (estándar, simplificada y reforzada) en función del riesgo.
  • Sistemas automatizados de monitorización transaccional con alertas, escenarios y revisión humana.
  • Procedimientos de comunicación al SEPBLAC de operaciones por indicio o sistemáticas.
  • Plan anual de formación obligatoria a todo el personal.
  • Examen anual por un experto externo independiente conforme al art. 28 de la Ley 10/2010.

04Identificación del cliente (KYC) y diligencia debida

Antes de iniciar una relación de negocio, KBPPAY identifica formalmente al usuario y verifica su identidad con documentos oficiales y procedimientos biométricos:

  • Captura del documento oficial (DNI, NIE o pasaporte) con detección de fraude documental.
  • Verificación de coincidencia biométrica con imagen facial (selfie) en vivo (liveness).
  • Recogida de información sobre actividad profesional y propósito de la relación.
  • Determinación, en su caso, de la condición de PEP y del origen lícito de los fondos.
  • Consulta de listas internacionales de sanciones y bases comerciales de fraude.

KBPPAY aplica medidas de diligencia reforzada cuando concurren factores de mayor riesgo, como operaciones de elevado importe, países identificados como de alto riesgo o esquemas atípicos.

05Personas con responsabilidad pública (PEP)

Conforme al art. 14 de la Ley 10/2010, KBPPAY identifica a las personas con responsabilidad pública (nacionales, extranjeras y de organizaciones internacionales), sus familiares y personas reconocidamente allegadas.

La admisión de una PEP requiere aprobación de la alta dirección, comprobación del origen del patrimonio y de los fondos y un seguimiento reforzado de la relación de negocio.

06Sanciones internacionales y listas restrictivas

Antes y durante toda la relación, KBPPAY realiza comprobaciones contra las principales listas de sanciones aplicables:

  • Listas de la Unión Europea (Consejo y Comisión) y Naciones Unidas.
  • Lista del OFAC del Tesoro de los Estados Unidos y otras autoridades relevantes (HM Treasury UK, etc.).
  • Listas españolas del Ministerio de Asuntos Exteriores y del Comité de Sanciones Financieras Internacionales.

KBPPAY denegará o bloqueará cualquier operación cuyo originante, beneficiario o intermediario figure en una lista aplicable, sin perjuicio de las comunicaciones que correspondan a las autoridades.

07Monitorización transaccional

El sistema de monitorización analiza cada operación frente a un conjunto de escenarios de riesgo, generando alertas que son revisadas por el equipo de cumplimiento:

  • Operaciones inusuales por importe, frecuencia o destino.
  • Fragmentación (structuring) y patrones de evasión de umbrales.
  • Operaciones inconsistentes con el perfil declarado por el usuario.
  • Conexiones con direcciones IP, dispositivos o documentos previamente vinculados a fraude.
  • Operaciones hacia o desde jurisdicciones de alto riesgo según GAFI/UE.

Las alertas confirmadas dan lugar a las medidas de mitigación pertinentes (información complementaria al cliente, retención provisional, bloqueo, comunicación a las autoridades).

08Comunicación al SEPBLAC

El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo (SEPBLAC) es la unidad de inteligencia financiera de España. KBPPAY tiene la obligación de comunicar al SEPBLAC:

  • Comunicaciones por indicio: cuando existan indicios o certeza de que un hecho u operación está relacionado con el blanqueo de capitales o la financiación del terrorismo (art. 18 Ley 10/2010).
  • Comunicaciones sistemáticas: operaciones que cumplan los umbrales o criterios establecidos por la normativa.
  • Atención inmediata a los requerimientos de información del SEPBLAC y de las autoridades judiciales o policiales.

Conforme al art. 24 de la Ley 10/2010, KBPPAY mantiene el deber de confidencialidad ("tipping-off") y no informará al cliente afectado de que se ha realizado una comunicación al SEPBLAC.

09Protección de los fondos del usuario

Como Entidad de Pagos, KBPPAY garantiza la protección de los fondos recibidos de los usuarios para ejecutar operaciones de pago, conforme al art. 22 del RDL 19/2018, mediante el método de segregación en cuenta separada en una entidad de crédito autorizada:

  • Los fondos del usuario se depositan en una cuenta de fondos segregados en entidad bancaria depositaria.
  • Estos fondos no forman parte del patrimonio de KBPPAY y, por tanto, no responden frente a sus acreedores en caso de insolvencia.
  • Conciliación diaria de los importes recibidos con la cuenta de salvaguarda.
No es Fondo de Garantía de Depósitos

Las Entidades de Pagos no están adheridas al Fondo de Garantía de Depósitos. La protección legal proviene del mecanismo de segregación descrito, con efecto equivalente respecto a los fondos en proceso de envío.

10Seguridad de la información y operacional

KBPPAY aplica un marco de seguridad alineado con las directrices de la Autoridad Bancaria Europea (EBA) sobre riesgos operativos y de seguridad de los servicios de pago, así como con las exigencias de PSD2 (SCA, EBA RTS):

  • Autenticación reforzada (SCA) con dos factores independientes en operaciones de pago y accesos sensibles.
  • Cifrado TLS 1.3 en tránsito y AES-256 en reposo.
  • Control de acceso por roles, principio de mínimo privilegio y revisión periódica.
  • Registro inmutable de eventos y logs centralizados.
  • Pruebas de seguridad periódicas (pen testing), gestión de vulnerabilidades y bug bounty.
  • Plan de continuidad de negocio (BCP) y recuperación ante desastres (DRP) con RTO/RPO objetivos.
  • Procedimiento de gestión de incidentes con notificación al Banco de España y a la AEPD cuando sea exigible.

11Auditoría externa y revisión independiente

KBPPAY se somete a las siguientes revisiones externas:

  • Auditoría anual de cuentas por auditor inscrito en el ROAC.
  • Examen anual del sistema de prevención del blanqueo por experto externo independiente, conforme al art. 28 de la Ley 10/2010.
  • Revisiones periódicas de los sistemas de información y de la efectividad del marco de control interno.
  • Certificaciones objetivo: ISO 27001 / SOC 2 — según roadmap

12Gobierno corporativo y oficial de cumplimiento

KBPPAY cuenta con una estructura de gobierno acorde con su perfil de riesgo:

  • Órgano de administración con responsabilidad última en materia de cumplimiento.
  • Comité de cumplimiento con representación de las áreas relevantes.
  • Oficial de Cumplimiento (Compliance Officer): nombre / cargo, persona designada y notificada al SEPBLAC conforme al art. 35 del RD 304/2014.
  • Función de auditoría interna independiente, con reporte directo al órgano de administración.
  • Canal interno de denuncias (whistleblowing) conforme a la Ley 2/2023.

Para cualquier consulta relacionada con el marco de cumplimiento puedes contactar en compliance@kbppay.es.

Documentos relacionados

Otros documentos que completan el marco legal de KBPPAY.

Aviso legal

Titularidad y licencia PSD2 de KBPPAY.

Leer

Política de privacidad

Tratamiento de datos conforme al RGPD.

Leer

Política de cookies

Cookies y gestión del consentimiento.

Leer

Términos de uso

Condiciones del servicio y derechos del usuario.

Leer