Vas a emitir un security token y te frenas en la misma pregunta: cuando el token circule por la blockchain, ¿cómo cumples las obligaciones de KYC y AML? En el mundo bancario tienes un mostrador y un formulario. Aquí el activo se mueve solo, de cartera a cartera, sin que nadie levante la mano. Si no controlas quién recibe el token, el cumplimiento se te escapa en la primera transferencia.
La buena noticia: no necesitas vigilar cada transacción a mano. Las obligaciones se trasladan a la propia capa técnica del token. Esta guía te explica qué exige la ley, cómo se aplica on-chain y quién responde de cada cosa.
Respuesta corta
El KYC y el AML no desaparecen on-chain: se programan. Identificas y verificas a cada inversor (KYC, conoce a tu cliente), metes su wallet en una lista blanca y configuras el token para que solo se mueva entre direcciones autorizadas. Si algo falla, congelas. El sujeto obligado sigue siendo la entidad regulada que comercializa la emisión, no el software. HokenFi te da la capa técnica para aplicar esos controles; no presta servicios regulados ni es sujeto obligado.
Qué te exigen KYC y AML
La norma de referencia en España es la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo (AML/PBC, prevención de blanqueo). Te obliga a saber con quién operas y a vigilar lo que ocurre después.
KYC: conoce a tu cliente
KYC significa identificar y verificar a quien va a ser titular del valor. Recoges su identidad, compruebas que es real y entiendes el origen de los fondos. No basta con apuntar un nombre. Verificas el documento y la persona detrás. Sin ese paso, ninguna wallet debería tocar el token.
AML: vigila y reporta
El AML va después del alta. Vigilas la operativa, detectas lo que no encaja y reportas a las autoridades cuando corresponde. Es un deber continuo, no un trámite de entrada. La identificación abre la puerta; la vigilancia mantiene el control mientras el valor sigue vivo (Ley 10/2010).
Qué significa para ti: antes de que un solo inversor reciba tokens, necesitas un proceso de verificación cerrado y un mecanismo de vigilancia que siga funcionando cuando el activo ya circula.
Cómo se aplica el cumplimiento on-chain
En un security token el control no es un departamento que revisa papeles: son reglas escritas en el contrato del token. Tres mecanismos hacen casi todo el trabajo.
Whitelist de wallets verificadas
Cada inversor que supera el KYC entra en una lista blanca. Su wallet queda marcada como autorizada. El token reconoce esas direcciones y rechaza al resto. Una cartera que no ha pasado la verificación, sencillamente, no puede figurar como titular. La ERIR, el notario digital del registro, anota la titularidad con efectos legales (art. 8 LMVSI; RD 814/2023). A 2026, la primera ERIR autorizada en España es Ursus-3 Capital.
Restricciones de transferencia
El token lleva escrita una condición: solo se mueve entre direcciones de la whitelist. Si alguien intenta enviarlo a una wallet sin verificar, la propia red rechaza la operación. No hace falta que nadie intervenga. La regla actúa sola, en cada transferencia, sin excepciones que se cuelen.
Congelación y ejecución forzosa
A veces hay que parar. Una orden judicial, un dato de KYC que caduca, una sospecha fundada. El contrato permite congelar el saldo de una dirección concreta o forzar un movimiento por mandato. Es el equivalente on-chain a bloquear una cuenta. La capacidad existe desde el diseño, no se improvisa después.
Qué significa para ti: el cumplimiento deja de depender de la buena voluntad de cada inversor. Si lo configuras bien al emitir, el token hace cumplir las reglas por ti en cada transacción.
Quién es el sujeto obligado
El sujeto obligado es el actor regulado que comercializa o gestiona la emisión —la empresa de servicios de inversión, la entidad que distribuye—, no la blockchain ni el software que ejecuta las reglas. La obligación recae en una persona o entidad, no en el código.
Conviene tenerlo claro porque marca responsabilidades. El sujeto obligado responde del KYC, de la vigilancia AML y de los reportes. El software es la herramienta con la que aplica esos controles. Confundir los dos planos te deja expuesto: das por hecho que el sistema cumple solo, y nadie asume el deber legal.
Lo mismo ocurre con la terminología del sector: cada figura tiene un rol delimitado. La ESI presta el servicio de inversión. La ERIR registra. El proveedor de software aporta la infraestructura. Saber quién hace qué es el primer control de cumplimiento.
Qué significa para ti: identifica desde el principio qué entidad regulada actúa como sujeto obligado en tu emisión. Esa entidad necesita sus propios procedimientos de PBC, y el software se conecta a ellos.
Qué hace el software y qué no
HokenFi es software no custodial. Facilita la aplicación técnica de los controles —whitelist, reglas de transferencia, congelación— pero no custodia tus activos, no es sujeto obligado y no presta servicios regulados.
La distinción importa. El software te da los mecanismos para que el sujeto obligado cumpla sus deberes con eficacia. Traduce una obligación legal a una regla ejecutable. Pero la decisión de admitir o rechazar a un inversor, de reportar una operación o de congelar un saldo es del actor regulado. El software ejecuta; la entidad decide y responde.
Existe además la Travel Rule, recogida en el Reglamento (UE) 2023/1113, que impone acompañar las transferencias de criptoactivos con información de origen y destino. Aplica a las transferencias de criptoactivos y conviene tenerla en el radar al diseñar el flujo. Comprueba su alcance concreto para tu caso (Reglamento (UE) 2023/1113).
Qué significa para ti: el software no te exime de nada. Te equipa. La responsabilidad de cumplir sigue siendo de la entidad regulada que está detrás de la emisión.
Control on-chain frente a obligación legal
Esta tabla conecta cada mecanismo técnico con la obligación que satisface. Úsala como checklist al configurar tu emisión.
| Control on-chain | Obligación legal que cubre |
|---|---|
| Verificación KYC antes de admitir la wallet | Identificar y verificar al cliente (Ley 10/2010) |
| Whitelist de wallets verificadas | Operar solo con titulares identificados (Ley 10/2010) |
| Restricción de transferencia a direcciones autorizadas | Evitar que el valor llegue a sujetos no verificados (Ley 10/2010) |
| Congelación y ejecución forzosa por orden | Bloqueo y medidas por mandato legal o sospecha (Ley 10/2010) |
| Registro de titularidad en la ERIR | Inscripción del valor con efectos legales (art. 8 LMVSI; RD 814/2023) |
| Información de origen y destino en transferencias | Travel Rule de criptoactivos (Reglamento (UE) 2023/1113) |
Qué hacer ahora
Ordena el cumplimiento antes de emitir, no después. Da estos pasos.
- Define qué entidad regulada actúa como sujeto obligado en tu emisión y revisa sus procedimientos de PBC.
- Diseña el flujo de KYC: qué datos recoges, cómo verificas y cuándo entra cada wallet en la whitelist.
- Configura las reglas de transferencia y la capacidad de congelación desde el contrato del token. Repasa cómo emitir un security token en España para encajar estos controles en el proceso completo.
- Si arrancas desde cero, sitúa el KYC/AML en el mapa general con la guía de tokenización de activos para empresas.
Preguntas frecuentes
¿Es HokenFi el sujeto obligado de KYC y AML?
No. HokenFi es software no custodial. El sujeto obligado es la entidad regulada que comercializa o gestiona la emisión. El software aporta la capa técnica para aplicar los controles.
¿Puedo emitir un security token sin KYC?
No. La identificación del cliente es una obligación de la Ley 10/2010 que recae sobre el sujeto obligado. On-chain se traduce en que solo wallets verificadas entran en la whitelist y pueden ser titulares.
¿Cómo se evita que el token llegue a una wallet no verificada?
Con reglas de transferencia escritas en el contrato del token. Solo permiten mover el valor entre direcciones de la lista blanca. La red rechaza cualquier envío a una wallet sin verificar.
¿Se puede congelar un security token?
Sí. El contrato permite congelar el saldo de una dirección o forzar un movimiento por orden. Es el equivalente on-chain a bloquear una cuenta cuando lo exige un mandato legal o una sospecha fundada.
¿Qué es la Travel Rule y me afecta?
Es la obligación de acompañar las transferencias de criptoactivos con información de origen y destino, recogida en el Reglamento (UE) 2023/1113. Aplica a transferencias de criptoactivos. Comprueba su alcance concreto para tu emisión.
¿Qué papel tiene la ERIR en el cumplimiento?
La ERIR es el notario digital del registro: anota la titularidad del valor con efectos legales (art. 8 LMVSI; RD 814/2023). A 2026, la primera ERIR autorizada en España es Ursus-3 Capital.
Aviso
Contenido divulgativo. No constituye asesoramiento jurídico, fiscal ni de inversión. HokenFi es proveedor de software e infraestructura; no presta servicios regulados. Verifica la versión vigente de las normas citadas en BOE y EUR-Lex.
Normas citadas
- Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión (LMVSI), art. 8.
- Real Decreto 814/2023, de 8 de noviembre.
- Reglamento (UE) 2023/1113 del Parlamento Europeo y del Consejo (Travel Rule de criptoactivos).
