Manual SARLAFT — Mandapayá
Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo
CARROPAGO S.A.S.
1. Objeto y Alcance
1.1. Objeto
El presente manual establece las políticas, procedimientos y controles adoptados por CARROPAGO S.A.S. (en adelante "Mandapayá" o "la Empresa") para prevenir y controlar el riesgo de que la plataforma sea utilizada como instrumento para el Lavado de Activos (LA) o la Financiación del Terrorismo (FT). Este documento constituye el marco de referencia del Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT) de la Empresa, implementado de manera voluntaria y basado en un enfoque de riesgo proporcional al modelo de negocio.
1.2. Alcance
- Todas las operaciones realizadas a través de la plataforma Mandapayá.
- Todos los colaboradores, contratistas y terceros vinculados a la operación.
- Todos los productos y servicios ofrecidos: comercialización de activos digitales tipo gift card y servicios de redención y pago móvil (COP a VES).
- Todos los canales de operación: aplicación web, WhatsApp, PSE, Nequi, Daviplata, Efecty, AAVANCE, MERU y canal embajador.
- Todo el ciclo de vida de la relación comercial con el cliente: desde el registro hasta la terminación.
1.3. Modelo de Negocio
Mandapayá es una plataforma tecnológica de comercialización de activos digitales (gift cards) y servicios de redención y pago móvil COP a VES. La Empresa:
- NO es una entidad financiera.
- NO capta recursos del público.
- NO realiza intermediación financiera.
- NO administra fondos de terceros.
- Opera como empresa de servicios tecnológicos y comerciales bajo las normas del Código de Comercio colombiano.
La implementación del SARLAFT es una decisión voluntaria orientada a la gestión responsable del riesgo, la protección reputacional y el cumplimiento de buenas prácticas internacionales.
2. Definiciones
| Término | Definición |
|---|---|
| LA (Lavado de Activos) | Proceso mediante el cual se busca dar apariencia de legalidad a bienes o recursos de origen ilícito. |
| FT (Financiación del Terrorismo) | Provisión o recolección de fondos con la intención de que se utilicen para financiar actos terroristas. |
| SARLAFT | Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo. |
| UIAF | Unidad de Información y Análisis Financiero de Colombia. |
| KYC | Know Your Customer — Conocimiento del Cliente. Proceso de identificación y verificación de la identidad del cliente. |
| Debida Diligencia | Conjunto de políticas, procedimientos y controles para conocer al cliente y sus operaciones. |
| Operación Sospechosa | Operación que por sus características no guarda relación con la actividad económica del cliente o que por su monto, frecuencia o destino resulta inusual. |
| Operación Inusual | Operación que se sale de los patrones habituales del cliente pero que no necesariamente es sospechosa. |
| PEP | Persona Expuesta Políticamente. |
| Scoring | Puntuación numérica asignada a un usuario basada en eventos transaccionales y comportamiento. |
| Gift Card | Activo digital prepagado canjeable por bienes o servicios en comercios específicos. |
| Pago Móvil | Transferencia electrónica de fondos a través de telefonía móvil (esquema Venezuela). |
| Canal | Medio a través del cual el usuario accede a los servicios: PSE, Nequi, Daviplata, Efecty, WhatsApp, Web, AAVANCE, MERU. |
| Embajador | Tercero autorizado que actúa como canal de comercialización referido. |
| RPI | Regional Payment Infrastructure — Pipeline de desembolso USD/BS en lote para clientes corporativos. |
| Beneficiario | Persona natural en Venezuela que recibe el pago móvil o la gift card. |
| Decay | Reducción automática y periódica del score de riesgo de un usuario para evitar acumulación indefinida. |
| Selfie con documento | Fotografía del usuario sosteniendo su documento de identidad, utilizada como mecanismo de validación visual. |
3. Marco Normativo
3.1. Normativa Colombiana
| Norma | Descripción |
|---|---|
| Constitución Política de Colombia | Artículos 34 y 58 — prohibición de la confiscación y función social de la propiedad. |
| Ley 190 de 1995 | Estatuto Anticorrupción — establece mecanismos para prevenir y sancionar la corrupción. |
| Ley 526 de 1999 | Creación de la UIAF como entidad encargada del análisis de información para la prevención del LA/FT. |
| Ley 1121 de 2006 | Tipifica la financiación del terrorismo y disposiciones contra el LA/FT. |
| Ley 1453 de 2011 | Ley de Seguridad Ciudadana — refuerza medidas contra el LA/FT. |
| Ley 1581 de 2012 | Régimen de Protección de Datos Personales — aplicable al tratamiento de datos de clientes. |
| Código Penal (Ley 599 de 2000) | Artículos 323 (lavado de activos) y 345 (financiación del terrorismo). |
| Decreto 1068 de 2015 | Decreto único reglamentario del sector hacienda — regulaciones sobre control al LA/FT. |
| Circular Básica Jurídica SFC | Parte I, Título IV, Capítulo IV — Instrucciones relativas al SARLAFT (referencia conceptual). |
3.2. Estándares Internacionales
| Estándar | Descripción |
|---|---|
| Recomendaciones GAFI | 40 Recomendaciones del Grupo de Acción Financiera Internacional para la prevención del LA/FT. |
| Convención de Viena (1988) | Convención de las Naciones Unidas contra el tráfico ilícito de estupefacientes. |
| Convención de Palermo (2000) | Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional. |
| Resolución 1373 ONU | Medidas para combatir el terrorismo, incluyendo la financiación. |
3.3. Nota de Aplicabilidad
CARROPAGO S.A.S. no es una entidad vigilada por la Superintendencia Financiera de Colombia. La implementación de este SARLAFT es una decisión voluntaria basada en un enfoque de riesgo proporcional, siguiendo la estructura conceptual de la Circular Básica Jurídica como referencia de mejores prácticas, sin que ello implique la asunción de obligaciones propias de entidades vigiladas.
4. Estructura Organizacional SARLAFT
4.1. Órganos Responsables
| Órgano | Responsabilidad |
|---|---|
| Representante Legal | Aprobación del manual, designación del Oficial de Cumplimiento, garantizar recursos. |
| Oficial de Cumplimiento | Implementación, monitoreo, actualización y gestión diaria del SARLAFT. |
| Área de Operaciones | Ejecución de controles transaccionales, reporte de alertas. |
| Área de Tecnología | Implementación y mantenimiento de los sistemas automatizados de scoring y monitoreo. |
4.2. Líneas de Defensa
| Línea | Función |
|---|---|
| Primera línea | Operaciones — aplicación de controles en el punto de contacto con el cliente. |
| Segunda línea | Oficial de Cumplimiento — supervisión, monitoreo y gestión de alertas. |
| Tercera línea | Auditoría interna o externa — evaluación independiente del sistema. |
5. Metodología SARLAFT — Pilares
5.1. Pilar 1: Identificación del Riesgo
Reconocer los factores de riesgo inherentes al modelo de negocio que pueden exponer a la Empresa a ser utilizada para actividades de LA/FT.
a) Factor Cliente
- Usuarios anónimos o con información incompleta.
- Usuarios con volúmenes transaccionales atípicos.
- Usuarios vinculados a jurisdicciones de alto riesgo (listas GAFI).
- PEPs (Personas Expuestas Políticamente).
- Usuarios sin proceso KYC completado.
b) Factor Producto/Servicio
- Gift cards: por su naturaleza prepagada y facilidad de transferencia.
- Operaciones de redención y pago móvil COP a VES: operación transfronteriza.
- Pagos móviles: velocidad de ejecución y dificultad de reversibilidad.
c) Factor Canal
- WhatsApp: menor trazabilidad comparado con canales bancarios.
- Efecty: recaudo en efectivo con mayor riesgo inherente.
- Canal embajador: intermediación de terceros.
d) Factor Jurisdicción
- Colombia: origen de los fondos.
- Venezuela: destino de las operaciones de redención (riesgo cambiario, regulatorio y de listas).
- Países en lista gris/negra GAFI (si aplica a beneficiarios).
5.2. Pilar 2: Medición o Evaluación
El sistema de scoring de Mandapayá asigna una puntuación numérica acumulativa a cada usuario basada en eventos transaccionales y de comportamiento.
| Evento | Puntaje |
|---|---|
| Registro nuevo | +1 |
| Login exitoso | +0 |
| Intentos de login fallidos (consecutivos) | +1 a +2 |
| Compra procesada | Variable según monto y canal |
| Compra por canal WhatsApp | +0.5 adicional |
| Compra por canal Efecty | +1 adicional |
| Compra superior a $2.000.000 COP | +2 |
| Compra superior a $5.000.000 COP | +3 |
| Frecuencia mayor a 5 trx/día | +2 |
| Múltiples beneficiarios en 24h | +1 |
| KYC verificado | −2 |
| KYC ausente (MISSING) | +2 |
Niveles de Riesgo
| Nivel | Rango | Acción |
|---|---|---|
| BAJO (LOW) | 0 — 4.9 | Monitoreo estándar. Operación normal. |
| MEDIO (MEDIUM) | 5 — 9.9 | Monitoreo intensificado. Revisión manual de transacciones. |
| ALTO (HIGH) | 10+ | Alerta al Oficial de Cumplimiento. Revisión prioritaria. Posible suspensión preventiva. |
Decay (atenuación)
Para evitar la acumulación indefinida de puntos, el sistema aplica un factor de decay diario: score_nuevo = score_actual * 0.9. El scoring NO bloquea operaciones de manera automática: es una herramienta informativa de apoyo a la decisión del Oficial de Cumplimiento.
5.3. Pilar 3: Control
a) Controles Preventivos
- KYC progresivo según nivel de actividad.
- Validación de identidad con selfie y documento.
- Límites transaccionales por canal y período.
- Validación de beneficiarios (cédula, teléfono, banco).
- Consulta de listas restrictivas.
b) Controles Detectivos
- Scoring automatizado en tiempo real.
- Monitoreo de patrones transaccionales.
- Alertas automáticas por umbrales.
- Auditoría de eventos (audit_events).
- Trazabilidad completa de operaciones.
c) Controles Correctivos
- Procedimiento de gestión de alertas.
- Suspensión preventiva de usuarios de alto riesgo.
- Bloqueo de operaciones atípicas.
- Reportes al Oficial de Cumplimiento.
5.4. Pilar 4: Monitoreo
| Mecanismo | Frecuencia | Responsable |
|---|---|---|
| Revisión de scoring por usuario | Continuo (automático) | Sistema |
| Dashboard operacional SARLAFT | Diario | Operaciones |
| Revisión de alertas generadas | Diario | Oficial de Cumplimiento |
| Aplicación de decay | Diario (automático) | Sistema |
| Revisión de estadísticas de riesgo | Semanal | Oficial de Cumplimiento |
| Revisión de estadísticas KYC | Semanal | Oficial de Cumplimiento |
| Actualización de listas restrictivas | Mensual | Oficial de Cumplimiento |
| Revisión integral del SARLAFT | Anual | Auditoría |
Indicadores de Gestión
| Indicador | Meta |
|---|---|
| Usuarios con score ALTO | < 2% del total |
| Alertas generadas vs. analizadas | 100% analizadas en < 72h |
| Usuarios con KYC VERIFIED | > 80% de usuarios activos |
| Usuarios con KYC MISSING | < 10% de usuarios con > 3 trx |
| Eventos de riesgo registrados | 100% trazabilidad |
| Capacitaciones realizadas | 100% del personal, mínimo 1/semestre |
6. Matriz de Riesgo
| Factor | Nivel | Descripción | Controles |
|---|---|---|---|
| Cliente — Usuario estándar | BAJO | < 3 trx, monto acumulado < $500.000 COP | KYC básico, scoring automático |
| Cliente — Usuario frecuente | MEDIO | 3 a 10 trx, monto $500.000 a $5.000.000 COP | KYC progresivo, monitoreo intensificado |
| Cliente — Usuario intensivo | ALTO | > 10 trx o monto > $5.000.000 COP | KYC completo (selfie+documento), revisión manual |
| Cliente — Canal embajador | MEDIO | Intermediario de ventas referidas | KYC del embajador, monitoreo de referidos |
| Cliente — Sin KYC | MEDIO | Usuario activo sin proceso KYC completado | Invitación a completar KYC, scoring +2 |
| Producto — Gift card | BAJO | Activo digital prepagado, montos típicamente bajos | Límites por transacción |
| Producto — Redención COP→VES | MEDIO | Operación transfronteriza | Validación de beneficiario, límites diarios |
| Producto — RPI (lote) | MEDIO | Desembolsos en lote para clientes corporativos | Aprobación manual de lotes, contrato comercial |
| Canal — PSE/Nequi/Daviplata | BAJO | Canales bancarios con trazabilidad completa | Validación bancaria inherente |
| Canal — Efecty | MEDIO | Recaudo en efectivo | Límites diarios estrictos, KYC obligatorio |
| Canal — WhatsApp | MEDIO | Canal conversacional, menor trazabilidad formal | Scoring +0.5, logs completos |
| Canal — Web | BAJO | Canal digital con registro completo | Trazabilidad completa |
| Jurisdicción — Colombia | BAJO | Origen regulado | Marco legal establecido |
| Jurisdicción — Venezuela | MEDIO | Destino con riesgo cambiario y regulatorio | Validación de beneficiario, monitoreo reforzado |
7. Segmentación de Clientes
| Segmento | Criterio | Riesgo | KYC | Controles |
|---|---|---|---|---|
| Usuario estándar | < 3 trx y < $500.000 COP | BAJO | Nivel 1 (básico) | Scoring automático |
| Usuario frecuente | 3-10 trx o $500.000 a $5.000.000 COP | MEDIO | Nivel 2 (progresivo) | Monitoreo intensificado |
| Usuario intensivo | > 10 trx o > $5.000.000 COP | ALTO | Nivel 3 (completo) | Revisión manual, KYC selfie |
| Canal embajador | Tercero que refiere clientes | MEDIO | Nivel 2 + contrato | Monitoreo de referidos |
| Cliente RPI | Cliente corporativo de desembolsos en lote | Excluido del SARLAFT | Contrato comercial | Validación corporativa separada |
El sistema evalúa automáticamente si un usuario debe migrar de segmento basándose en el acumulado de transacciones exitosas, el volumen total en COP y el segmento de valor calculado. El escalamiento es automático y no requiere acción del usuario. No se bloquean operaciones por falta de KYC: el KYC ausente incrementa el score de riesgo pero no impide transacciones.
8. Procedimiento de Conocimiento del Cliente (KYC)
8.1. Principio General
Mandapayá implementa un esquema de Conocimiento del Cliente (KYC) progresivo, proporcional al nivel de actividad del usuario. El KYC identifica al usuario real, alimenta el scoring de riesgo y genera trazabilidad auditable. Su ausencia genera una penalización en el score, sin interrumpir la experiencia del usuario.
8.2. Modelo KYC Mandapayá
Nivel 1 — Registro básico (todos los usuarios)
| Campo | Tipo | Obligatorio |
|---|---|---|
| Nombre completo | Texto | Sí |
| Número de teléfono | Numérico | Sí |
| Correo electrónico | Texto | Sí |
| Canal de registro | Automático | Sí |
Nivel 2 — Validación progresiva (usuarios frecuentes)
| Campo | Tipo | Obligatorio |
|---|---|---|
| Tipo de documento | Selección (CC, CE, Pasaporte) | Sí |
| Número de documento | Numérico/Alfanumérico | Sí |
Nivel 3 — KYC completo con selfie (usuarios intensivos)
| Campo | Tipo | Obligatorio |
|---|---|---|
| Selfie con documento | Imagen (JPEG/PNG/WebP) | Sí |
- El usuario debe sostener su documento de identidad junto a su rostro en una única imagen.
- La imagen debe ser legible: número de documento y foto del documento verificables.
- Validación visual básica — no se utiliza biometría avanzada ni reconocimiento facial automatizado.
- Formatos aceptados: JPEG, PNG, WebP. Tamaño máximo: 2 MB.
- Procesamiento automático: conversión a JPEG, redimensión a 800px en su lado mayor, calidad 70%.
- Almacenamiento en sistema de archivos seguro con acceso restringido.
8.3. Estados de KYC
| Estado | Descripción | Efecto en scoring |
|---|---|---|
| MISSING | Usuario sin información KYC registrada. Estado inicial para usuarios previos a la implementación. | +2 |
| PENDING | El usuario subió su selfie con documento. Pendiente de verificación. | Neutral (0) |
| VERIFIED | Identidad verificada exitosamente. | −2 |
| REJECTED | Verificación rechazada. Imagen ilegible o datos inconsistentes. | Neutral (0), se solicita nuevo upload |
8.4. Flujo de verificación KYC
REGISTRO → MISSING → (selfie) → PENDING → (verificación) → VERIFIED o REJECTED
8.5. Usuarios migrados
Para los usuarios registrados antes de la implementación del KYC: se crean registros KYC automáticos con status MISSING, no se bloquean operaciones, se muestra invitación a completar su identidad y reciben +2 al score hasta completar al menos el Nivel 2.
9. Contacto
Para consultas, denuncias o reportes relacionados con el SARLAFT, escríbenos a:
cumplimiento@mandapaya.app
Última actualización: 16/4/2026