Saltar al contenido principal
El AML screening contrasta la identidad de una persona o empresa contra listas globales — sanciones, PEP, prensa adversa — y devuelve el resultado del análisis con su nivel de riesgo. Es un producto de compliance puro: no verifica la identidad con documentos ni prueba de vida (eso es la verificación KYC/KYB); analiza si la identidad presenta riesgo en listas.
Breaking change (v1.34): este producto vivía en POST /v1/kyc, /v1/kyc/rescreen y PATCH /v1/kyc/monitoring. Esas rutas se eliminaron y ahora son POST /v1/aml/screenings, POST /v1/aml/rescreen y PATCH /v1/aml/monitoring (misma semántica y mismas comisiones). Las rutas /v1/kyc/... ahora pertenecen a la verificación de identidad, que es otro producto.
Si CBPay configuró una comisión de compliance, se debita antes de la llamada (verás compliance_fee en la respuesta) y se reembolsa automáticamente si el screening falla. Con comisión 0 el servicio es gratuito para ti. Requiere tener tu propia verificación de identidad aprobada.

Catálogos para construir el formulario

Antes de armar el formulario de screening (o de verificación), obtén los catálogos oficiales con GET /v1/aml/catalogs: géneros, estados de empresa, tipos de dirección, formas jurídicas (globales y en cascada por país), fuentes de ingreso/patrimonio, estándares de industria con su default por país, y las listas ISO-3166 de países y subdivisiones. Cada entrada trae value (lo que envías a la API) y label (lo que muestras). Es data estática: puedes cachearla por horas.
Cascadas: el país de la empresa fija sus formas jurídicas (company_types_by_country[país], con company_types como fallback) y su estándar de industria (industry_code_type_by_country[país], default ISIC); con ese estándar tomas los códigos de industries_by_code_type[estándar].

Enviar el screening

Un solo endpoint para persona y empresa; el tipo se detecta del payload (las demás diferencias entre ambos tipos de cuenta están en personas y empresas):
Si omites person/company, se completa con los datos de tu cuenta (el tipo persona/empresa se toma del tipo de la cuenta).

Envía toda la identidad que tengas (recomendado)

El objeto customer acepta muchos más campos, todos opcionales, y se reenvían íntegros al motor de screening: mientras más datos de identidad envíes, más preciso es el análisis — la fecha de nacimiento, los países y los documentos fuertes descartan homónimos y reducen falsos positivos.
El motor de screening es estricto con los shapes y rechaza con 422 lo que no calza: en company no envíes campos planos tipo tax_id, registration_number ni country_of_incorporation (el identificador va en registration_authority_identification y el país en place_of_registration); en person, date_of_birth va SOLO como objeto {year, month, day}, nationality como array y personal_identification[] sin campo type (verificado en vivo 2026-07-18).
Una consulta con exactamente los mismos datos de identidad reutiliza el screening anterior (no se cobra uno nuevo). Agregar o cambiar campos de identidad (nombre, fecha, país, documento, alias) hace la búsqueda más específica y ejecuta — y cobra — un screening nuevo. Los campos cosméticos (email, teléfono, dirección textual) no cambian el matching.
Respuesta 201 — persona y empresa devuelven la misma forma; cambia compliance_service (compliance_person vs compliance_company, cada uno con su comisión):

Rescreening

Re-ejecuta el análisis de la misma identidad (por ejemplo, ante un cambio de datos o por política periódica). No lleva body — usa el customer_id de tu screening anterior:
Respuesta 200 (cobra compliance_rescreen, si está configurada):
Requiere haber enviado un screening antes; si no, 409 no_screening.

Monitoreo continuo

Activa (o desactiva) la vigilancia permanente de la identidad — cambios en listas, PEP, prensa adversa. Las novedades llegan por el webhook aml_screening_updated:
Respuesta 200:
Al desactivar, compliance_fee vuelve "0.000000" — desactivar es siempre gratis.

Informe PDF del screening

Cada screening de tu historial puede descargarse como informe PDF ejecutivo con tu branding: portada con la decisión y su semáforo de riesgo, indicadores (sanciones, watchlists, PEP, terrorismo, narcóticos, prensa adversa, fraude, corrupción, armas), las coincidencias consolidadas con sus listas y vínculos, alias, glosario de señales y una sección final de respaldo con las fuentes internacionales consultadas. Es el documento que entregas a un auditor o a una contraparte como evidencia del análisis. Primero ubica el screening_id en tu historial:
Y descarga el informe (lectura pura — sin comisión ni clave de idempotencia):
La respuesta es application/pdf con Content-Disposition y nombre de archivo descriptivo. lang acepta en (default), es y zh; otro valor devuelve 400 invalid_language. Un screening_id de otra cuenta devuelve 404.
El informe se genera desde la evidencia persistida del screening, por lo que siempre está disponible aunque el motor de compliance esté caído. Los datos del análisis (nombres de listas, títulos de prensa) se muestran en su idioma original; solo las etiquetas del informe se traducen.

Webhook

Payload de ejemplo:
Suscríbete igual que al resto de eventos (ver Webhooks).

Errores

Preguntas frecuentes

El screening contrasta una identidad contra listas (sanciones, PEP, prensa adversa) — no pide documentos. La verificación KYC/KYB comprueba que la persona/empresa es quien dice ser, con formulario, documentos y prueba de vida en video. Se complementan: verifica la identidad con KYC/KYB y vigila su riesgo con AML.
Sí: el objeto customer acepta cualquier identidad, no solo la de tu cuenta. Cada screening cobra su comisión (persona o empresa según el payload).
No. Desde v1.34 el kyc_status de tu cuenta lo maneja exclusivamente la verificación de identidad KYC/KYB (tu onboarding). El screening solo evalúa riesgo en listas.
El historial y el informe PDF se generan desde la evidencia persistida de cada screening, disponible para las operaciones ejecutadas desde que el historial existe (v1.55). Los screenings anteriores a esa versión no tienen evidencia persistida, por lo que no aparecen en GET /v1/aml/screenings ni pueden descargar informe. Si necesitas el documento, ejecuta un screening nuevo de la misma identidad (si los datos son idénticos, reutiliza el resultado sin cobrar de nuevo) y descarga su informe.
Última modificación el 18 de julio de 2026