Introducción.

En los últimos años, el sistema de prevención de lavado de activos y financiación del terrorismo en Argentina evolucionó desde un esquema centrado en controles formales hacia un enfoque basado en riesgo. Este cambio implica que ya no alcanza con cumplir procedimientos estandarizados, sino que cada empresa debe comprender, justificar y documentar los riesgos propios de su operación.

En este contexto, la Unidad de Información Financiera (UIF) consolidó un marco más exigente, apoyado en la Ley 25.246 y sus modificaciones -en particular la Ley 27.739- que amplió el universo de sujetos obligados, incorporando de manera expresa a los emisores, operadores y proveedores de servicios de cobros y/o pagos, a los proveedores no financieros de crédito y a los proveedores de servicios de activos virtuales (PSAV).

Sobre esa base, las Resoluciones UIF Nros. 200/2024 y 49/2024 reglamentaron las obligaciones específicas de estos sectores, estructurando un sistema basado en la identificación, evaluación, monitoreo y mitigación de riesgos, e incorporando como pieza central el Informe Técnico de Autoevaluación de Riesgos (ITAeR), junto con la metodología para efectuar ese informe, la definición de la tolerancia al riesgo y la revisión externa independiente.

En paralelo, en el ámbito de los activos virtuales, el esquema se complementa con la regulación de la Comisión Nacional de Valores (CNV), a través de la Resolución General CNV Nro. 994/2024 y su desarrollo mediante la Resolución General CNV Nro. 1058/2025, consolidando un marco regulatorio más amplio para este segmento.

Este punto marca un cambio relevante. Lo que antes podía percibirse como “políticas internas de cumplimiento”, hoy se transforma en una exigencia concreta que obliga a las empresas a analizar su operatoria, identificar vulnerabilidades y documentar cómo gestionan sus riesgos. En ese contexto, la autoevaluación deja de ser un concepto técnico para convertirse en una herramienta central de gestión, control y exposición regulatoria y en un presupuesto técnico para justificar la intensidad del sistema preventivo.

1. El error de tratar la autoevaluación como “un trámite más”.

Uno de los desvíos más frecuentes es abordar la autoevaluación como un requisito meramente formal. En la práctica, esto suele resolverse mediante plantillas estándar o documentos genéricos, con escasa conexión con la operatoria real.

Este enfoque resulta problemático. La normativa vigente no exige simplemente la existencia de un documento, sino un informe que refleje de manera razonada los riesgos del negocio. En este sentido, la mencionada resolución UIF Nro. 200/2024, por ejemplo, requiere que la autoevaluación sea autosuficiente, consistente y basada en factores concretos como clientes, productos, canales y zonas geográficas.

Cuando se la encara como un mero trámite, el resultado es doblemente negativo: por un lado, no cumple adecuadamente con el objetivo regulatorio, exponiendo a la empresa frente a eventuales revisiones. Por el otro, pierde valor como herramienta interna, ya que no aporta información útil para la gestión.

El problema no es solo jurídico, sino también operativo.

Una autoevaluación mal planteada no reduce riesgos ni fortalece controles; simplemente los describe de manera incompleta. Entender esta diferencia -entre cumplir y comprender- es el primer paso para encararla correctamente.

Este defecto no es solo la generalidad del documento, sino la ausencia de “correspondencia metodológica” entre riesgo inherente, controles mitigantes, riesgo residual (de cada factor de riesgo y de manera global) y apetito o tolerancia al riesgo. Ahí está una de las claves técnicas que distingue una autoevaluación seria de una puramente declarativa.

2. ¿Qué es en realidad un informe de autoevaluación de riesgos?

Más allá de su formulación normativa, la autoevaluación es un ejercicio de comprensión integral del negocio desde la perspectiva del riesgo: no se trata de completar una matriz, sino de reconstruir cómo funciona la operación en la práctica.

Esto implica analizar cómo ingresan los fondos, cómo circulan dentro de la estructura, quiénes toman decisiones relevantes y qué terceros intervienen. También supone identificar en qué puntos pueden generarse desvíos o zonas de menor control.

Las normas de la UIF exigen que este análisis se apoye en factores como clientes, productos, canales y geografía, pero el valor real está en entender cómo esos elementos interactúan en cada modelo de negocio.

Esta diferencia no es teórica. Se refleja directamente en cómo cada modelo de negocio expone riesgos distintos. Solo a modo de ejemplo, no es lo mismo el riesgo geográfico de una fintech de crédito que opera exclusivamente en el AMBA con validación biométrica, que el de una billetera virtual que permite la carga de efectivo en zonas de frontera mediante agentes de recaudación. Mientras la primera concentra su exposición en el fraude de identidad y el consiguiente lavado de activos, la segunda presenta mayor criticidad en el movimiento y seguimiento de los fondos. Un informe genérico omitiría esta distinción, dejando a la empresa vulnerable frente a una revisión que detecte esa falta de comprensión operativa.

En una fintech, donde la operatoria es digital, escalable y muchas veces apoyada en terceros, este ejercicio resulta particularmente relevante. La autoevaluación obliga a traducir esa dinámica en un esquema claro, documentado y defendible; no debe limitarse a describir la operatoria, sino que debe traducirla en hipótesis de vulnerabilidad verificables y mitigantes aplicados o a aplicar.

3. ¿Qué implica en la práctica para una fintech Pyme?

Desde lo operativo, la autoevaluación introduce un cambio concreto: obliga a revisar procesos que suelen haber sido diseñados con foco en la eficiencia, pero no necesariamente en su trazabilidad.

Esto puede implicar ajustar circuitos de aprobación, validar la intervención de terceros o revisar mecanismos de onboarding. En definitiva, supone pasar de una lógica implícita a una lógica documentada.

En el plano jurídico, el impacto es igual de relevante. La autoevaluación se convierte en un documento que puede ser requerido y analizado por el regulador, por lo que cada definición contenida pasa a integrar el universo de decisiones trazables de la empresa.

A nivel organizacional, el proceso suele evidenciar una cuestión recurrente en Pymes: la fragmentación en la gestión del riesgo. Áreas como comercial, tecnología, operaciones y finanzas tienden a trabajar sin una visión integrada. La autoevaluación, bien encarada, obliga a alinear esas miradas y a ordenar la gestión desde adentro.

Este deber, además, no opera de manera aislada. Se inserta en un sistema amplio que incluye obligaciones de monitoreo y reporte, como las previstas en la Resolución UIF Nro. 56/2024, que exige la comunicación de operaciones sospechosas en plazos particularmente breves, modificando transversalmente los plazos de reportes de operaciones sospechosas (ROS) y estableciendo que deben enviarse, una vez analizada la operación, sin demora, con plazos específicos. Esto refuerza la necesidad de contar con un conocimiento real y actualizado del riesgo propio.

4. La importancia de la metodología: por qué no alcanza con identificar riesgos.

Uno de los aspectos más subestimados en los informes de autoevaluación es la metodología utilizada para construir el análisis. En la práctica, muchas empresas identifican correctamente ciertos riesgos, pero no logran explicar de manera clara cómo fueron medidos, ponderados o clasificados. Esto genera un problema relevante: sin una metodología consistente, el informe pierde trazabilidad y solidez técnica.

La ITAeR no consiste únicamente en enumerar riesgos o describir controles. Requiere construir un esquema lógico que permita justificar por qué determinados factores fueron considerados más críticos que otros, cómo se valoró su impacto potencial y de qué manera los controles implementados modifican el nivel de exposición residual, de cada factor y de manera global.

En este punto, la metodología funciona como la estructura que sostiene todo el informe. Es lo que permite explicar, por ejemplo, por qué una fintech de crédito digital puede asignar mayor relevancia al riesgo vinculado a validación de identidad y fraude documental, mientras que un modelo basado en operaciones con efectivo o agentes de recaudación podría otorgar mayor peso al origen de fondos o al riesgo geográfico.

La importancia de este aspecto no es solo técnica. Frente a una revisión de la UIF, de un revisor externo independiente o incluso ante auditorías internas, la existencia de criterios metodológicos claros permite demostrar que las conclusiones del informe no responden a apreciaciones arbitrarias, sino a un proceso estructurado, razonable y consistente con la operatoria real.

Asimismo, una metodología adecuada aporta otro elemento central: comparabilidad. Permite que la empresa pueda revisar periódicamente su exposición al riesgo utilizando criterios homogéneos, identificar cambios relevantes en la operatoria y justificar ajustes en sus controles o en su tolerancia al riesgo.

En términos prácticos, esto implica definir previamente cuestiones como:

• qué factores de riesgo serán considerados;
• qué peso relativo tendrá cada uno;
• cómo se medirá el riesgo inherente;
• cómo se evaluará la efectividad de los controles;
• y de qué manera se determinará el riesgo residual.

La sofisticación de esta metodología no debe confundirse con complejidad innecesaria. En una fintech Pyme, un esquema metodológico simple pero consistente suele ser más efectivo que modelos excesivamente técnicos que luego no pueden sostenerse en la práctica. El valor del sistema no está en la cantidad de matrices o fórmulas utilizadas, sino en la capacidad de demostrar que existe una lógica clara entre los riesgos identificados, los controles aplicados y las decisiones adoptadas por la organización.

En definitiva, la metodología no es un elemento accesorio de la autoevaluación, sino el componente que le otorga coherencia, defendibilidad y utilidad real como herramienta de gestión y cumplimiento.

5. La autoevaluación como insumo del sistema integral de compliance.

Un aspecto poco advertido es la relación entre la autoevaluación y el programa de integridad empresarial previsto en la Ley de Responsabilidad penal de las personas jurídicas Nro. 27.401.

En muchos casos, estos programas se desarrollan a partir de modelos generales, sin una conexión real con los riesgos específicos de la empresa. Esto genera políticas correctas en lo formal, pero débiles en su aplicación práctica.

La autoevaluación permite revertir esa lógica. Al identificar con precisión los riesgos del negocio, se convierte en uno de los insumos más valiosos para diseñar controles y procedimientos alineados con la operatoria real.

Cabe aclarar que el sistema de Prevención de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva (PLA/FT/FP) y el Programa de integridad de la Ley 27.401 no son lo mismo ni persiguen exactamente el mismo objeto: uno se dirige a prevenir LA/FT/FP; el otro, a prevenir delitos contra la administración pública y a estructurar integridad corporativa.

La Ley 27.401 efectivamente exige que el Programa de integridad guarde relación con los riesgos propios de la actividad, su dimensión y capacidad económica, de ahí la utilidad del Informe Técnico de Autoevalución de Riesgos para este sistema preventivo.

6. ¿Cómo encarar una primera versión útil?

Para una fintech Pyme, el desafío no suele ser la falta de voluntad, sino la percepción de que el proceso requiere una estructura compleja o recursos desproporcionados. Sin embargo, una primera versión de calidad puede construirse a partir de un enfoque pragmático.

El punto de partida debería ser la identificación de los procesos donde efectivamente se concentra el riesgo, es decir, aquellos vinculados al flujo de fondos, la toma de decisiones relevantes o la intervención de terceros. En lugar de intentar cubrir todo el universo de riesgos desde el inicio, resulta más eficiente focalizar en esos núcleos críticos y desarrollar a partir de allí el análisis.

A su vez, muchas fintech ya cuentan con controles operativos que, aunque efectivos, no se encuentran formalizados. Límites transaccionales, validaciones adicionales o bloqueos automáticos suelen existir en la práctica, pero no están documentados ni integrados en un esquema de gestión de riesgos. La autoevaluación permite capturar, ordenar y justificar estos mecanismos.

Finalmente, la definición de criterios de segmentación de clientes y operaciones resulta clave para evitar enfoques genéricos. No todos los perfiles presentan el mismo nivel de riesgo, y esa distinción debe reflejarse en el análisis. La capacidad de demostrar que la empresa identifica estas diferencias y actúa en consecuencia es uno de los elementos que más valor aporta al informe técnico. No alcanza con identificar procesos críticos; conviene dejar claro que la selección y ponderación de factores de riesgo tiene que estar metodológicamente justificada. Es decir, por ejemplo, por qué se asigna más peso a canal que a geografía, o a producto que a cliente, según el modelo de negocio.

En este sentido, el ITAeR se convertierte en un ejercicio real de análisis estructurado de la operatoria, con impacto directo en la sustentabilidad y escalabilidad del negocio, además del cumplimento regulatorio.

7. ¿Cómo evitar errores frecuentes al momento de documentar la autoevaluación?

Uno de los aspectos más sensibles en la elaboración del informe no es solo la identificación de los riesgos, sino la forma en que estos se documentan. En la práctica, muchas fintech Pyme incurren en un desvío que puede resultar contraproducente: intentar sobrecumplir mediante descripciones excesivas o compromisos operativos que luego no pueden sostener.

Este punto es particularmente relevante porque el ITAeR no es un documento interno sin consecuencias. Se trata de una pieza que puede ser requerida, analizada y contrastada por la UIF, el Banco Central de la República Argentina (BCRA) e, incluso, por revisores externos independientes. Todo lo que allí se declara pasa a formar parte del estándar con el que la empresa será evaluada.

Por ello, resulta fundamental encontrar un equilibrio. El informe debe ser claro y completo para cumplir con los estándares exigidos por normas como la Resolución UIF Nro. 200/2024, pero también realista y alineado con la operatoria efectiva. Documentar controles inexistentes o procesos que no se ejecutan en la práctica incrementa la exposición frente a revisiones.

Tampoco resulta conveniente utilizar definiciones excesivamente rígidas o compromisos absolutos. En entornos dinámicos como los de las fintech, expresiones categóricas pueden generar rigideces innecesarias. Una redacción prudente, que contemple criterios y márgenes razonables, suele ser más sostenible.

Asimismo, no es recomendable incorporar niveles de sofisticación que la organización no está en condiciones de sostener. La autoevaluación debe ser consistente con la estructura, los recursos y el grado de madurez del negocio. En este punto, la proporcionalidad no es una concesión, sino un principio del propio sistema.

En este sentido, el informe debe construirse sobre criterios de realismo, prudencia y consistencia, asegurando que las definiciones adoptadas se alineen con la estructura y recursos disponibles, eviten rigideces innecesarias y mantengan coherencia entre los riesgos identificados y las medidas de mitigación implementadas.
El riesgo de una mala autoevaluación no es únicamente sancionatorio, sino también probatorio. En una inspección, requerimiento o revisión externa, un informe sobredimensionado o inconsistente se vuelve evidencia en contra del propio sujeto obligado, porque fija un estándar autodeclarado que luego puede contrastarse con la práctica

En definitiva, para una fintech Pyme, el informe técnico de autoevaluación de riesgos representa la oportunidad de transformar una obligación regulatoria en una ventaja competitiva, permitiendo un crecimiento sostenible y jurídicamente ordenado.