Última actualización: junio de 2026
El cumplimiento normativo es el punto de partida, no la meta final. Este mes comienza la Fase 2 de las nuevas Reglas Operativas de Nacha, lo que eleva el estándar para el monitoreo de fraudes basado en riesgos en toda la red ACH. Para las organizaciones que envían o reciben pagos ACH, la pregunta ya no es si existen controles, sino si estos reflejan la forma real en que el dinero se mueve por la organización: el volumen, la exposición, las vulnerabilidades y los patrones que pueden alertar sobre un fraude.
La regla transforma el monitoreo preventivo de ACH basado en riesgos de ser una práctica recomendada a una obligación clara de cumplimiento. Las organizaciones contempladas deben documentar y mantener procesos y procedimientos basados en riesgos, revisarlos al menos una vez al año y estar preparadas para demostrar su funcionamiento en la práctica. Para las partes recién incorporadas en la Fase 2, los límites de volumen anteriores ya no sirven de excepción. La prevención del fraude ACH ya no puede considerarse responsabilidad exclusiva de un banco, procesador o equipo administrativo. Cada participante debe comprender su función en la red y aplicar un monitoreo acorde con la naturaleza, escala y complejidad de su actividad de ACH.
Las nuevas reglas modifican la forma en que los Originadores, las ODFI, las RDFI, los Terceros Remitentes y los Terceros Proveedores de Servicios detectan y documentan el riesgo de fraude en ACH. Para los Originadores y terceros participantes, esto significa contar con procesos basados en riesgos diseñados razonablemente para identificar transacciones ACH iniciadas debido a un fraude. Para las RDFI, implica realizar un monitoreo basado en riesgos de los créditos ACH entrantes para detectar indicadores de fraude, utilizando patrones de transacciones, características de las cuentas y otras señales relevantes.
Esta guía explica qué significa esto en la práctica: quiénes están cubiertos, qué exigen las reglas, cómo debe documentarse el monitoreo basado en riesgos, qué esperan ver los auditores y en qué aspectos suelen fallar los programas de gestión de riesgos de ACH.
Resumen rápido
Las reglas de Nacha para 2026 exigen un monitoreo preventivo del fraude ACH basado en riesgos para todas las instituciones financieras de EE. UU., con una aplicación gradual que comienza el 20 de marzo y se extiende a todo el ecosistema el 19 de junio (fecha límite práctica de cumplimiento: 22 de junio).
Los requisitos abarcan tanto los flujos de origen como los de recepción, incluyendo la evaluación previa al envío, el monitoreo del originador y la detección de cuentas muleras en el lado del crédito por parte de las RDFI.
Las herramientas tradicionales basadas en reglas fijas no pueden seguir el ritmo de fraudes adaptativos como el compromiso de correo electrónico empresarial (BEC), las estafas de suplantación de identidad, las redes de muleros, la toma de control de cuentas (ATO) y los ataques de ingeniería social.
El monitoreo debe estar documentado, revisarse anualmente y estar listo para la auditoría anual de cumplimiento de las reglas ACH que vence el 31 de diciembre. Los controles no documentados reprueban la auditoría, incluso si funcionan en la práctica.
La plataforma de riesgo basada en agentes de Oscilar ofrece detección en tiempo real, datos unificados, controles por capas y documentación lista para auditorías para cumplir con las normas de Nacha para 2026.
¿Qué es el cumplimiento de Nacha?
El cumplimiento de Nacha es la adhesión a las reglas operativas establecidas por Nacha, la organización que gestiona la red ACH en los Estados Unidos. Cada institución financiera, empresa y procesador externo que participa en la red ACH acepta seguir estas reglas como condición para utilizar la red.
En 2026, el cumplimiento de Nacha incluye cuatro obligaciones fundamentales:
Monitoreo de fraudes en el origen. Cada ODFI y cada originador no consumidor, Tercero Proveedor de Servicios y Tercero Remitente deben ejecutar procesos basados en riesgos para identificar transacciones ACH iniciadas debido a un fraude, lo que incluye filtrar los archivos salientes antes de que ingresen a la red.
Monitoreo de créditos en la recepción. Cada RDFI debe monitorear los créditos ACH entrantes para detectar indicios de fraude, incluida la actividad de cuentas muleras.
Documentación. Los procesos de monitoreo deben estar tan bien documentados que superen una auditoría, y deben revisarse al menos una vez al año.
Validación de cuentas y estándares de registro. Los originadores deben validar las cuentas para los débitos WEB y utilizar descripciones estandarizadas de registro de la empresa, como
DESCARGO DE RESPONSABILIDAD
El contenido de este sitio web se proporciona solo con fines informativos y no constituye asesoramiento legal, fiscal, financiero, de inversión u otro tipo de asesoramiento profesional. Las opiniones expresadas por las personas citadas, los colaboradores o terceros son exclusivamente suyas y no reflejan necesariamente los puntos de vista de nuestra organización.
Nada aquí debe interpretarse como un respaldo, recomendación o aprobación de ninguna estrategia, producto, servicio o punto de vista en particular. Los lectores deben consultar a sus propios asesores calificados antes de tomar cualquier decisión financiera o de inversión.
Oscilar no hace declaraciones ni garantías sobre la precisión, integridad o actualidad de la información proporcionada y renuncia a cualquier responsabilidad por cualquier pérdida o daño que surja de la confianza en este contenido. Este sitio web puede contener enlaces a sitios web de terceros, que Oscilar no controla ni respalda.
![](data:image/svg+xml,<svg display="block" role="presentation" viewBox="0 0 48 48" xmlns="http://www.w3.org/2000/svg"><g d="M 0 48 L 0 0 L 48 0 L 48 48 Z M 44.447 0 L 3.544 0 C 1.584 0 0 1.547 0 3.459 L 0 44.531 C 0 46.444 1.584 48 3.544 48 L 44.447 48 C 46.406 48 48 46.444 48 44.541 L 48 3.459 C 48 1.547 46.406 0 44.447 0 Z M 14.241 40.903 L 7.116 40.903 L 7.116 17.991 L 14.241 17.991 Z M 10.678 14.869 C 8.391 14.869 6.544 13.022 6.544 10.744 C 6.544 8.466 8.391 6.619 10.678 6.619 C 12.956 6.619 14.803 8.466 14.803 10.744 C 14.803 13.013 12.956 14.869 10.678 14.869 Z M 40.903 40.903 L 33.787 40.903 L 33.787 29.766 C 33.787 27.113 33.741 23.691 30.084 23.691 C 26.381 23.691 25.819 26.588 25.819 29.578 L 25.819 40.903 L 18.712 40.903 L 18.712 17.991 L 25.537 17.991 L 25.537 21.122 L 25.631 21.122 C 26.578 19.322 28.903 17.419 32.362 17.419 C 39.572 17.419 40.903 22.163 40.903 28.331 L 40.903 40.903 Z" fill="transparent" height="48px" id="adFk4VB3K" width="48px"><path d="M 0 48 L 0 0 L 48 0 L 48 48 Z" fill="transparent" height="48px" id="DghPi7XP3" width="48px"/><path d="M 44.447 0 L 3.544 0 C 1.584 0 0 1.547 0 3.459 L 0 44.531 C 0 46.444 1.584 48 3.544 48 L 44.447 48 C 46.406 48 48 46.444 48 44.541 L 48 3.459 C 48 1.547 46.406 0 44.447 0 Z M 14.241 40.903 L 7.116 40.903 L 7.116 17.991 L 14.241 17.991 Z M 10.678 14.869 C 8.391 14.869 6.544 13.022 6.544 10.744 C 6.544 8.466 8.391 6.619 10.678 6.619 C 12.956 6.619 14.803 8.466 14.803 10.744 C 14.803 13.013 12.956 14.869 10.678 14.869 Z M 40.903 40.903 L 33.787 40.903 L 33.787 29.766 C 33.787 27.113 33.741 23.691 30.084 23.691 C 26.381 23.691 25.819 26.588 25.819 29.578 L 25.819 40.903 L 18.712 40.903 L 18.712 17.991 L 25.537 17.991 L 25.537 21.122 L 25.631 21.122 C 26.578 19.322 28.903 17.419 32.362 17.419 C 39.572 17.419 40.903 22.163 40.903 28.331 L 40.903 40.903 Z" fill="rgb(20, 20, 20)" height="48px" id="Qi9pnIQwR" width="48px"/></g></svg>)
![](data:image/svg+xml,<svg display="block" role="presentation" viewBox="0 0 48 48" xmlns="http://www.w3.org/2000/svg"><path d="M 34.653 0 L 41.4 0 L 26.659 16.847 L 44 39.772 L 30.422 39.772 L 19.788 25.868 L 7.62 39.772 L 0.869 39.772 L 16.635 21.752 L 0 0 L 13.922 0 L 23.535 12.709 Z M 32.285 35.734 L 36.023 35.734 L 11.891 3.826 L 7.879 3.826 Z" fill="rgb(20, 20, 20)" height="39.77194px" id="A8r2uGwai" transform="translate(2 3.808)" width="44px"/></svg>)
