KYS (Know Your Supplier): guía completa para verificar y proteger a sus proveedores

El KYS, o Know Your Supplier, es el proceso mediante el cual una organización verifica sistemáticamente la identidad, la legitimidad y la fiabilidad de sus proveedores antes de establecer una relación comercial con ellos. Mientras que el KYC se aplica a los clientes particulares y el KYB a los clientes empresariales, el KYS se ocupa del otro extremo de la cadena: sus proveedores, subcontratistas y prestadores de servicios, hacia quienes se dirigen sus pagos salientes.

En 2025, el fraude vinculado a proveedores costó a las empresas europeas más de 3.500 millones de euros según las estimaciones de la Association of Certified Fraud Examiners (ACFE). Estas pérdidas son el resultado de prácticas que van desde la creación de proveedores ficticios hasta la falsificación de datos bancarios (IBAN), pasando por sociedades pantalla sofisticadas. Ante este riesgo, un proceso KYS riguroso ya no es una opción para las organizaciones que gestionan volúmenes significativos de pagos salientes.

¿Qué es el KYS?

El KYS es un conjunto de procedimientos de due diligence aplicados a sus proveedores. Su objetivo es responder a preguntas simples pero críticas: ¿existe este proveedor legalmente? ¿Es realmente quien dice ser? ¿Los datos bancarios proporcionados le pertenecen realmente?

A diferencia del KYB, cuyo objetivo es principalmente evaluar el riesgo regulatorio de un cliente profesional, el KYS está más orientado hacia la prevención del fraude financiero y el control de los riesgos operativos. Abarca tres grandes dimensiones: la verificación de la identidad jurídica del proveedor, la autenticación de sus datos bancarios y la evaluación continua del riesgo a lo largo de toda la relación comercial.

El KYS se inscribe, además, en un marco normativo preciso. La Ley de Transparencia e Integridad en las Actividades Empresariales y la normativa antisoborno obligan a las grandes empresas a evaluar a sus terceros y socios comerciales. La Directiva europea de Diligencia Debida en materia de Sostenibilidad Empresarial (CSDDD) extiende esta exigencia al conjunto de la cadena de suministro. La CSRD amplía los requisitos de información a los aspectos medioambientales, sociales y de gobernanza en toda la cadena. Para las empresas sujetas a las obligaciones AML/KYC, la vigilancia se aplica igualmente a los flujos salientes.

Las tipologías de fraude de proveedor

El fraude de proveedor es polifacético. Comprender sus formas más habituales es el primer paso para protegerse eficazmente.

El fraude del proveedor falso es uno de los más extendidos. Un defraudador crea una entidad ficticia o suplanta la identidad de un proveedor legítimo para presentar facturas fraudulentas. Aprovechando procesos de validación poco rigurosos, logra que le paguen por servicios inexistentes. En 2024, Euler Hermes estimaba que esta forma de fraude representaba el 30 % de los siniestros relacionados con el fraude interno en Europa.

El fraude por modificación de datos bancarios (o desvío de IBAN) es quizás el más sofisticado. Un atacante intercepta o falsifica una solicitud de actualización de datos bancarios, sustituyendo el IBAN real del proveedor por el de una cuenta bajo su control. Los pagos posteriores son redirigidos hacia esa cuenta antes de que se detecte el fraude. Este ataque suele canalizarse a través de un correo electrónico fraudulento o una bandeja de entrada comprometida.

El fraude del CEO (o Business Email Compromise, BEC) ataca directamente los procesos de pago. Un atacante se hace pasar por un directivo de la empresa y solicita una transferencia urgente hacia una nueva cuenta de proveedor. La combinación de la presión temporal y la aparente autoridad del remitente reduce la vigilancia de los colaboradores involucrados.

Las sociedades pantalla y los entramados fraudulentos representan una categoría más compleja. Una empresa de apariencia legítima oculta actividades ilícitas: blanqueo de capitales, elusión de sanciones internacionales, financiación de estructuras criminales. Para las organizaciones sujetas a las obligaciones AML, contratar con este tipo de proveedor sin la debida diligencia previa compromete su responsabilidad regulatoria.

El fraude interno por connivencia suele infravalorarse. Un empleado crea un proveedor ficticio en el sistema ERP y valida él mismo las facturas correspondientes. Este vector de ataque se aprovecha de un control insuficiente de la separación de funciones.

El proceso KYS: las etapas clave

Un programa KYS eficaz abarca la totalidad del ciclo de vida del proveedor, desde el inicio de la relación hasta el seguimiento continuo.

La verificación de la identidad jurídica constituye el punto de entrada: número de identificación fiscal (NIF/CIF), extracto del Registro Mercantil, estatutos, identificación de los beneficiarios efectivos. Estos datos deben cruzarse con los registros oficiales (Registro Mercantil, BORME) para detectar posibles incoherencias o procedimientos concursales en curso.

La verificación de los datos bancarios es la etapa más directamente vinculada a la prevención del fraude. Confirmar que un IBAN corresponde efectivamente al titular declarado no puede basarse en un simple control de formato. Exige una verificación activa: mediante open banking o mediante confirmación con un interlocutor identificado de forma independiente al canal de la solicitud inicial.

El screening de listas de sanciones es imprescindible para cualquier organización que gestione pagos internacionales. Los proveedores deben ser controlados en el momento de inicio de la relación y de forma periódica, dado que las listas de la OFAC, la UE y la ONU se actualizan con frecuencia.

La evaluación del riesgo y el scoring sintetizan el conjunto de la información recopilada. Una puntuación de proveedor tiene en cuenta el país de implantación, el sector de actividad, la antigüedad de la estructura y las señales de alerta detectadas. Orienta el nivel de diligencia a aplicar: estándar, reforzada o rechazo.

El seguimiento continuo cierra el ciclo. La información de un proveedor puede cambiar: estado jurídico, directivos, datos bancarios. Un programa KYS maduro integra alertas automáticas activadas por cualquier cambio significativo.

El marco regulatorio del KYS en Europa

En Europa, varios textos legislativos enmarcan directamente las obligaciones de las empresas con respecto a sus proveedores.

La Ley de Transparencia e Integridad / normativa antisoborno obliga a las grandes empresas a implantar procedimientos de evaluación de sus terceros y socios comerciales. Los organismos reguladores competentes (como la CNMC en España, o equivalentes nacionales) supervisan el cumplimiento de estas obligaciones y pueden imponer sanciones significativas.

La Directiva CSDDD (Corporate Sustainability Due Diligence Directive) impone un plan de diligencia debida que cubre los riesgos en los subcontratistas y proveedores, incluyendo los derechos humanos, la salud y la seguridad. Su transposición al derecho nacional de los Estados miembros amplía el alcance de estas exigencias.

La Directiva CSRD, en vigor de forma progresiva desde 2024, extiende los requisitos de información a la cadena de suministro en los ámbitos medioambiental, social y de gobernanza.

Por último, para las entidades sujetas a las obligaciones AML, el marco de cumplimiento normativo se aplica también a los flujos salientes: cualquier pago a un tercero no identificado puede constituir un incumplimiento de las obligaciones de vigilancia establecidas por las directivas europeas AML.

‍