AML
El marco completo
"AML (prevención del blanqueo) abarca políticas, análisis de riesgo, diligencia debida, monitorización, reporte de operaciones sospechosas, formación y órgano de control."
AML y KYC
AML (prevención del blanqueo) es el marco completo de cumplimiento; KYC (conoce a tu cliente) es una de sus piezas: la identificación y diligencia debida del cliente y del titular real. Te ayudamos a implantar ambos conforme a la Ley 10/2010, al SEPBLAC y al nuevo paquete AML de la UE.
Consulta gratuita
Te respondemos en menos de 24 h
Servicios
Qué necesitas para un sistema AML/KYC sólido
Seis bloques que convierten las obligaciones de prevención de blanqueo y conocimiento del cliente en un sistema documentado y defendible ante el SEPBLAC.
AML
Manual y políticas de prevención de blanqueo
Redactamos el manual de PBC/FT, el análisis de riesgo y los procedimientos internos: la columna vertebral del sistema AML conforme a la Ley 10/2010.
Ver más →
Ley 10/2010ManualAnálisis de riesgoSEPBLAC
KYC
Procesos de identificación y diligencia debida
Diseñamos el onboarding KYC: identificación formal, verificación, titular real (UBO), propósito de la relación y seguimiento continuo, con enfoque basado en riesgo.
Ver más →
OnboardingTitular realRBA
Titular real
Identificación del titular real (UBO)
Determinamos quién está realmente detrás de cada cliente: personas físicas con control superior al 25% o el administrador, con la trazabilidad que exige la norma.
Ver más →
UBO+25%
Reporte
Operaciones sospechosas al SEPBLAC
Establecemos la monitorización, el examen especial y la comunicación de operaciones sospechosas a la UIF: la salida natural del sistema AML.
Ver más →
MonitorizaciónReporte
Órgano
Representante y órgano de control
Definimos el representante ante el SEPBLAC y el órgano de control interno, con las funciones, la independencia y la formación que exige la norma.
Ver más →
RepresentanteOCI
Control
Examen externo y auditoría
Coordinamos el examen externo anual y revisamos la eficacia del sistema AML/KYC, dejando las evidencias que el SEPBLAC espera encontrar.
Ver más →
Examen externoEvidencias
Conceptos
AML y KYC no son lo mismo: uno contiene al otro
Es la confusión más habitual. El AML es todo el marco de prevención del blanqueo; el KYC es la pieza de conocer e identificar al cliente. Entender la relación entre ambos es el primer paso para construir un sistema que funcione.
KYC
La pieza de conocer al cliente
"KYC (conoce a tu cliente) es la identificación, la verificación, el titular real y el propósito de la relación. Es una parte esencial del AML, no su sinónimo."
Riesgo
Todo gira en torno al riesgo
"El enfoque basado en riesgo decide qué diligencia aplicar: simplificada en riesgo bajo, normal por defecto y reforzada para PEP o clientes de alto riesgo."
Continuo
No termina en el alta
"El KYC no acaba en el onboarding: la relación se monitoriza de forma continua y los datos del cliente se mantienen actualizados a lo largo del tiempo."
Por qué importa
¿Por qué AML y KYC son críticos?
Un sistema AML/KYC deficiente —sin diligencia debida real, sin titular real verificado o sin monitorización— expone a la entidad a sanciones del SEPBLAC, a responsabilidad de administradores y a facilitar, sin saberlo, delitos de blanqueo.
El error más habitual: tratar el KYC como un mero trámite de alta (subir un DNI) y olvidar que es diligencia debida continua, con titular real, propósito de la relación y seguimiento.
El titular real es el punto débil: no identificar quién está realmente detrás de una estructura societaria es uno de los fallos que más persiguen el SEPBLAC y el nuevo marco europeo.
El riesgo manda: aplicar la misma diligencia a todos los clientes —ni reforzada para los de alto riesgo ni simplificada para los de bajo— delata un sistema que no funciona de verdad.
Ley 10/2010
Sujetos obligados
La obligación de AML/KYC alcanza a un amplio listado de sujetos obligados (art. 2), no solo a la banca: también fintech, inmobiliarias, asesorías y más.
SEPBLAC
Sanciones
El incumplimiento puede dar lugar a infracciones muy graves, con multas elevadas y responsabilidad de administradores y directivos.
Paquete AML UE
10-jul-2027
El Reglamento (UE) 2024/1624 (AMLR) será de aplicación directa desde esa fecha, con reglas de diligencia debida más detalladas y exigentes.
¿Tu sistema AML/KYC aguantaría una inspección del SEPBLAC?
Antes de que el supervisor lo revise conviene comprobar que el manual refleja tu riesgo real, que el KYC identifica al titular real, que la diligencia debida se gradúa por riesgo y que la monitorización y el reporte de operaciones sospechosas funcionan de verdad.
Preguntas frecuentes
AML y KYC: dudas habituales
¿Qué es AML?
AML (Anti-Money Laundering) es la prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT): el marco completo de políticas, procedimientos y controles que una entidad implanta para no ser utilizada para blanquear dinero.
En España se regula en la Ley 10/2010 y su reglamento (RD 304/2014), bajo la supervisión del SEPBLAC.
¿Qué es KYC?
KYC (Know Your Customer, "conoce a tu cliente") es el conjunto de medidas para identificar y conocer al cliente: identificación formal, verificación de la identidad, determinación del titular real y comprensión del propósito de la relación de negocios.
Es la traducción práctica de la diligencia debida que exige la Ley 10/2010.
¿En qué se diferencian AML y KYC?
No son sinónimos: el KYC es una parte del AML.
- AML: el marco global (riesgo, diligencia, monitorización, reporte, formación, órgano de control).
- KYC: la pieza concreta de identificar y conocer al cliente y al titular real.
Dicho de otro modo: todo KYC es AML, pero el AML va mucho más allá del KYC.
¿Qué es la diligencia debida?
Es el conjunto de obligaciones de conocer al cliente: identificación formal, identificación del titular real, conocimiento del propósito e índole de la relación de negocios y seguimiento continuo. Se gradúa según el riesgo: simplificada, normal o reforzada.
¿Qué es el enfoque basado en riesgo?
Es el principio de que no todos los clientes reciben el mismo nivel de control. La entidad clasifica el riesgo de cada cliente, producto y operación y aplica medidas proporcionales:
- Simplificada para riesgo bajo (arts. 9-10 de la Ley 10/2010).
- Normal por defecto.
- Reforzada para riesgo alto (PEP, países de alto riesgo, etc.).
¿Quién está obligado a aplicar AML/KYC?
Los sujetos obligados del artículo 2 de la Ley 10/2010: no solo bancos, también entidades de pago y dinero electrónico, empresas de servicios de inversión, proveedores de servicios de criptoactivos, inmobiliarias, asesorías y gestorías, abogados en ciertas operaciones, casinos y muchos más.
¿Puedo hacer el KYC de forma no presencial?
Sí. La normativa (art. 21 del RD 304/2014) admite la identificación no presencial por medios telemáticos cuando se emplean procedimientos fiables, como la videoidentificación o la identificación electrónica conforme a eIDAS. El nuevo marco europeo refuerza el uso de medios de identificación electrónica seguros.
¿Qué cambia con el nuevo paquete AML de la UE?
El paquete de 2024 introduce un código normativo único: el Reglamento (UE) 2024/1624 (AMLR), de aplicación directa desde el 10 de julio de 2027; la Directiva (UE) 2024/1640 (AMLD6); y la nueva autoridad europea AMLA. En España, que ya tiene un marco sólido con la Ley 10/2010, supone un ajuste de nivel: diligencia debida más detallada, titular real más estricto y mayor armonización.
¿KYC y verificación de identidad son lo mismo?
No exactamente. La verificación de identidad es solo un paso del KYC (comprobar que el cliente es quien dice ser). El KYC va más allá: incluye el titular real, el propósito de la relación, el perfil de riesgo y el seguimiento continuo.
También se preguntan
AML y KYC: titular real, PEP, CDD y siglas
¿Qué es el titular real (UBO)?
Es la persona física que en último término posee o controla al cliente: por regla general, quien tiene más del 25% del capital o de los derechos de voto, o quien ejerce el control por otros medios. Identificarlo es una pieza central del KYC.
¿Qué es una PEP?
Una persona expuesta políticamente: quien desempeña o ha desempeñado funciones públicas importantes, y sus allegados. Su relación de negocios exige diligencia debida reforzada, por el mayor riesgo de corrupción o blanqueo asociado.
¿Qué diferencia hay entre CDD y EDD?
CDD (Customer Due Diligence) es la diligencia debida normal que se aplica por defecto. EDD (Enhanced Due Diligence) es la reforzada: un escrutinio más profundo para clientes de alto riesgo, que incluye verificar el origen de los fondos.
¿AML y PBC son lo mismo?
Sí. AML es la sigla en inglés (Anti-Money Laundering) y PBC la española (Prevención del Blanqueo de Capitales). Suelen usarse indistintamente; en España la referencia normativa es PBC/FT, que añade la financiación del terrorismo.
¿Qué relación tiene el KYC con la protección de datos?
El KYC recoge datos personales, por lo que debe convivir con el RGPD: tratar solo los datos necesarios, informar al cliente y conservarlos durante el plazo legal de la normativa de blanqueo. Son obligaciones que se coordinan, no que se contradicen.
¿Cada cuánto hay que actualizar el KYC?
No hay un plazo único: depende del riesgo del cliente. La norma exige un seguimiento continuo y mantener la información actualizada; los clientes de mayor riesgo se revisan con más frecuencia que los de riesgo bajo.
Cómo encajan
AML vs KYC y las intensidades de diligencia debida
El AML es el marco; el KYC, una de sus piezas. Y dentro del KYC, la intensidad de la diligencia debida depende del riesgo de cada cliente.
AML: el marco completo
El sistema de prevención del blanqueo abarca mucho más que conocer al cliente. Estos son sus bloques esenciales:
- Análisis de riesgo
- Evaluación del riesgo de la entidad y de cada cliente.
- Diligencia debida
- Aquí entra el KYC: identificar y conocer al cliente.
- Monitorización
- Seguimiento y examen de operaciones.
- Reporte y control
- Operaciones sospechosas, formación y órgano de control.
KYC: conocer al cliente
El KYC es la pieza de diligencia debida sobre el cliente. Sus pasos esenciales, conforme a la Ley 10/2010:
- Identificación formal del cliente (documento fehaciente).
- Identificación y verificación del titular real (UBO).
- Propósito e índole prevista de la relación de negocios.
- Seguimiento continuo de la relación a lo largo del tiempo.
| Intensidad | Sigla | Cuándo se aplica | Qué implica |
|---|---|---|---|
| Simplificada | SDD | Clientes, productos u operaciones de riesgo reducido (arts. 9-10). | Medidas aligeradas, sin renunciar a la identificación. |
| Normal | CDD | Régimen estándar, por defecto, para la mayoría de clientes. | Identificación, titular real, propósito y seguimiento. |
| Reforzada | EDD | Riesgo alto: PEP, países de alto riesgo, relaciones complejas. | Escrutinio más profundo y verificación del origen de fondos. |
Intensidades de diligencia debida conforme a la Ley 10/2010 y al RD 304/2014. La asignación del nivel se basa en el enfoque basado en riesgo y debe documentarse y justificarse. El nuevo Reglamento (UE) 2024/1624 (AMLR), de aplicación desde el 10 de julio de 2027, detalla con más precisión estos requisitos de diligencia debida y de identificación del titular real.
Guía operativa
Cómo implantar AML y KYC: guía práctica
Un sistema AML/KYC no es un formulario de alta: es un proceso vivo que debe demostrar, con datos y trazabilidad, que la entidad conoce a sus clientes y vigila sus operaciones. La clave es graduar por riesgo y dejar evidencia.
Empieza por el análisis de riesgo
Sin un análisis de riesgo propio no hay sistema AML válido. Es lo que justifica qué diligencia se aplica a cada cliente y por qué. Copiar una plantilla genérica es el primer fallo que detecta el SEPBLAC.
El UBO no es opcional
Identificar y verificar a la persona física que controla al cliente es una de las obligaciones más vigiladas. En estructuras societarias complejas hay que poder explicar y documentar quién está detrás.
El KYC es un proceso vivo
La diligencia no termina en el alta: hay que monitorizar operaciones, actualizar datos y reaccionar ante señales de alerta. Un KYC congelado en el onboarding es un sistema que no funciona.
Checklist: un sistema AML/KYC sólido
- Confirmar si la entidad es sujeto obligado conforme al artículo 2 de la Ley 10/2010.
- Elaborar el análisis de riesgo propio de la entidad.
- Redactar el manual de prevención y los procedimientos internos.
- Diseñar el onboarding KYC: identificación formal y verificación.
- Identificar y verificar al titular real (UBO) de cada cliente.
- Graduar la diligencia debida por riesgo (simplificada, normal o reforzada).
- Implantar la monitorización y el examen de operaciones.
- Establecer el canal de comunicación de operaciones sospechosas al SEPBLAC.
- Nombrar el representante ante el SEPBLAC y el órgano de control interno.
- Planificar la formación, el examen externo y la revisión periódica del sistema.
Si quieres implantar o revisar tu sistema AML/KYC, consulta nuestros servicios de prevención de blanqueo (AML/PBC) o el manual de prevención de blanqueo.
AML/KYC en modo operativo
Del alta del cliente a la vigilancia continua
Un sistema AML/KYC eficaz no es un formulario: es un ciclo (riesgo, identificación y KYC, diligencia graduada, monitorización y reporte) que se demuestra con trazabilidad. Aquí tienes un panel visual para entender cómo se aterriza en la práctica.
1) RiesgoAnálisis de riesgo: el punto de partida
Todo arranca evaluando el riesgo de la entidad y de cada cliente. Es lo que justifica qué diligencia aplicar y la base de todo el sistema AML.
- Riesgo de la entidad
- Riesgo por cliente y producto
- Clasificación bajo/medio/alto
2) KYCKYC: conocer e identificar al cliente
Identificación formal, verificación, titular real y propósito de la relación. La pieza de diligencia debida sobre el cliente, presencial o telemática.
- Identificación y verificación
- Titular real (UBO)
- Propósito de la relación
3) DiligenciaDiligencia graduada por riesgo
Simplificada para riesgo bajo, normal por defecto y reforzada para PEP o alto riesgo, con verificación del origen de fondos cuando procede.
- Simplificada (SDD)
- Normal (CDD)
- Reforzada (EDD)
4) VigilanciaMonitorización y reporte: el sistema vivo
Seguimiento continuo, examen especial de operaciones, comunicación de operaciones sospechosas al SEPBLAC y actualización de datos. Es lo que convierte el AML en algo real.
Tip: las inspecciones suelen revisar el titular real, la graduación de la diligencia y la trazabilidad de las alertas y comunicaciones.
Idea claveMapa rápido: ¿AML o KYC?
AML
El marco completo: riesgo, diligencia, monitorización, reporte, formación y control.
KYC
La pieza de conocer al cliente: identificación, titular real y propósito.
Relación
El KYC vive dentro del AML: es necesario, pero no suficiente por sí solo.
Playbook
AML y KYC en la práctica
Análisis de riesgo
Evaluación documentada del riesgo de la entidad y criterios de clasificación de clientes.
Documento de análisis de riesgo y metodología de scoring.
Identificación (KYC)
Identificación formal, verificación de identidad y titular real de cada cliente.
Expediente KYC, copia de documentos y ficha de titular real.
Diligencia graduada
Aplicación de medidas simplificadas, normales o reforzadas según el riesgo.
Justificación del nivel aplicado y, en EDD, origen de fondos.
Monitorización
Seguimiento continuo de operaciones y examen especial de las que generan alerta.
Registros de alertas, exámenes especiales y resoluciones.
Reporte y control
Comunicación de operaciones sospechosas, representante ante el SEPBLAC y formación.
Comunicaciones al SEPBLAC, actas del órgano de control y plan formativo.
Errores frecuentes que detecta el SEPBLAC
Detéctalos antes de una inspección para evitar requerimientos y sanciones.
- Tratar el KYC como un trámite de alta y no como diligencia debida continua.
- No identificar ni verificar al titular real en estructuras societarias.
- Aplicar la misma diligencia a todos los clientes, sin graduar por riesgo.
- Manual y análisis de riesgo de plantilla, sin relación con el negocio real.
- No documentar las alertas, los exámenes especiales ni las comunicaciones.
Diccionario operativo
Conceptos clave: AML, KYC y diligencia debida
Si estás montando o revisando tu sistema de AML y KYC, estos términos aparecen en el manual, en el onboarding y en la relación con el SEPBLAC. Entenderlos bien ayuda a construir un sistema coherente.
AMLMarco
Anti-Money Laundering
Prevención del blanqueo de capitales y de la financiación del terrorismo: el marco completo de cumplimiento. En España, PBC/FT (Ley 10/2010).
Equivale a PBC en español.
KYCPieza
Know Your Customer
Conoce a tu cliente: identificación, verificación, titular real y propósito de la relación. Es la pieza de diligencia debida sobre el cliente dentro del AML.
Una parte del AML, no su sinónimo.
CDDDiligencia
Customer Due Diligence
Diligencia debida del cliente en su nivel normal: identificación, titular real, propósito de la relación y seguimiento continuo.
Régimen por defecto.
EDDReforzada
Enhanced Due Diligence
Diligencia debida reforzada para clientes de alto riesgo (PEP, países de alto riesgo): escrutinio más profundo y verificación del origen de los fondos.
Sección 3.ª del Cap. II de la Ley 10/2010.
UBOTitular real
Titular real
Persona física que en último término controla al cliente: por regla general, con más del 25% del capital o derechos de voto, o por otros medios de control.
Ultimate Beneficial Owner.
PEPRiesgo
Persona expuesta políticamente
Quien desempeña o ha desempeñado funciones públicas importantes, y sus allegados. Exige diligencia debida reforzada por su mayor riesgo.
Politically Exposed Person.
SEPBLACSupervisor
Supervisor y UIF
Servicio Ejecutivo de la Comisión de Prevención del Blanqueo. Es el supervisor y la Unidad de Inteligencia Financiera de España.
Recibe las comunicaciones de operaciones sospechosas.
RBAPrincipio
Enfoque basado en riesgo
Principio por el que las medidas se gradúan según el riesgo de cada cliente, producto u operación. Es la lógica que recorre todo el sistema AML/KYC.
Risk-Based Approach.
AMLRUE
Reglamento (UE) 2024/1624
Código normativo único europeo contra el blanqueo, de aplicación directa desde el 10 de julio de 2027. Detalla la diligencia debida y el titular real.
Con AMLD6 y la autoridad AMLA.