Diligencia debida en PBC: medidas normales, simplificadas y reforzadas
No todos los clientes exigen el mismo nivel de control. La Ley 10/2010 gradúa la
diligencia debida según el riesgo: tres niveles, tres formas de mirar a quién tienes
enfrente.
AutorMolina Law Boutique
PublicadoJunio 2026
Lectura11 min
CategoríaPrevención de Blanqueo (PBC/FT)
Fig. 1 — La medida normal es el punto de partida; el riesgo concreto la sube (reforzada) o la baja (simplificada).
La diligencia debida no es un trámite uniforme. La ley pide tratar distinto lo que es
distinto: aligerar donde el riesgo es bajo y reforzar donde es alto. Entender esos tres
niveles es la base de cualquier sistema de prevención que funcione.
La diligencia debida es el corazón de la
prevención del blanqueo de capitales:
el conjunto de medidas con las que un sujeto obligado conoce a su cliente y vigila su
operativa. La Ley 10/2010 y su reglamento gradúan esas medidas en tres niveles según el
riesgo. Vamos a verlos uno a uno.
Qué es la diligencia debida en PBC
La diligencia debida (en inglés, customer due diligence) es el conjunto de
obligaciones de conocimiento del cliente y seguimiento de su actividad
que la normativa de prevención del blanqueo impone a los sujetos obligados. Su núcleo es
el conocido KYC (know your customer):
saber con quién se opera, con qué finalidad y con qué fondos.
Fuente legalLey 10/2010 y Real Decreto 304/2014
Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la
financiación del terrorismo, y su reglamento de desarrollo:
boe.es — Ley 10/2010
.
El enfoque basado en el riesgo
¿Por qué tres niveles y no uno solo? Porque la normativa española sigue un
enfoque basado en el riesgo, consolidado con el RD 304/2014 al
incorporar las recomendaciones del GAFI. La idea es sencilla: los recursos de control se
concentran donde el riesgo de blanqueo es mayor, y se aligeran donde es menor.
Esto obliga a cada sujeto obligado a hacer un análisis de riesgo previo
—por tipo de cliente, producto, canal y geografía— que es el que determina qué nivel de
diligencia aplicar en cada caso. No es una decisión arbitraria: hay que poder justificarla.
Medidas normales de diligencia debida
Son el punto de partida: el estándar que se aplica con carácter general.
Comprenden cuatro obligaciones básicas que todo sujeto obligado debe cumplir:
Fig. 2 · Medidas normales
Identificar al cliente, identificar al titular real, conocer el propósito y vigilar la
relación: la base sobre la que se construye todo lo demás.
El seguimiento continuo
es probablemente el más olvidado de los cuatro: la diligencia no se agota al dar de alta
al cliente, sino que dura toda la relación de negocios.
Medidas simplificadas de diligencia debida
Cuando un cliente, producto u operación presenta un riesgo reducido, el
sujeto obligado puede aplicar medidas simplificadas. Conviene desmontar un malentendido
habitual: simplificar no es eximir. Las obligaciones siguen existiendo;
lo que se ajusta es su intensidad.
En la práctica, simplificar puede significar, por ejemplo, comprobar la identidad solo
al superar un umbral cuantitativo tras iniciar la relación, o reducir la periodicidad de
la revisión documental. Eso sí, hay un límite tajante: las medidas simplificadas
cesan en cuanto aparecen indicios de blanqueo o un riesgo superior al promedio.
El error de fondo
Tratar la diligencia simplificada como "no hacer nada" es uno de los fallos más
sancionados. Es un régimen reducido y reversible, no una exención: si el riesgo sube,
el nivel sube con él.
Medidas reforzadas de diligencia debida
En el otro extremo están las áreas, clientes y operaciones de mayor riesgo.
Ahí el sujeto obligado debe aplicar, además de las medidas normales, medidas reforzadas:
comprobar en todo caso las actividades declaradas y la identidad del titular real, y
añadir controles adicionales según el riesgo (actualizar datos, recabar información sobre
el origen de los fondos, etc.).
La normativa identifica varios supuestos en los que las medidas reforzadas son
obligatorias o especialmente exigibles:
Fig. 3 · Cuándo se refuerza
Con los terceros países de alto riesgo, las medidas reforzadas son obligatorias por
ley; en el resto, las gradúa el análisis de riesgo.
Dos de estos supuestos merecen atención propia: las
personas políticamente expuestas (PEP),
que exigen controles específicos sobre el origen del patrimonio y los fondos, y los
terceros países de alto riesgo,
donde las medidas reforzadas vienen impuestas directamente por la normativa.
Los tres niveles, comparados
Resumido en una tabla, así se reparten los tres niveles según cuándo aplican y qué
implican:
Nivel
Cuándo aplica
Qué implica
Simplificada
Clientes, productos u operaciones de riesgo reducido.
Las mismas obligaciones, con intensidad reducida (no es exención).
Normal
Régimen general, por defecto.
Las cuatro medidas base: identificación, titular real, propósito y seguimiento.
Reforzada
Riesgo superior al promedio (PEP, países de alto riesgo, no presencial…).
Las medidas normales más controles adicionales (origen de fondos, actualización…).
§ § §
El nivel no es fijo: sube y baja con el riesgo
La clave que conecta los tres niveles es que no son compartimentos estancos.
Un mismo cliente puede empezar en diligencia simplificada y pasar a reforzada si cambia su
perfil, su operativa o la geografía de sus operaciones. El sistema es dinámico: el nivel
se revisa a lo largo de toda la relación de negocios, no solo al inicio.
Por eso el seguimiento continuo y un buen
procedimiento de diligencia debida
son tan importantes: son los que permiten detectar a tiempo que un cliente ha "subido de
nivel" y ajustar los controles antes de que el riesgo se materialice. Conviene recordar,
además, que el paquete normativo europeo de PBC en marcha (con el
Reglamento europeo de PBC)
reforzará y armonizará muchas de estas obligaciones en los próximos años.
Errores frecuentes con la diligencia debida
Confundir simplificada con exención. El error más caro: aplicar
"ningún control" donde la ley solo permite controles reducidos.
Olvidar el seguimiento continuo. Identificar bien al cliente al alta
y no volver a mirar su operativa deja un agujero que las inspecciones detectan enseguida.
No documentar el análisis de riesgo. Si no puedes justificar por qué
aplicaste un nivel u otro, la diligencia "correcta" no sirve de nada ante el supervisor.
No reforzar ante PEP o países de alto riesgo. Son supuestos en los que
la norma exige expresamente subir el nivel; pasarlos por alto es incumplimiento directo.
Quedarse en la identificación formal y saltarse el titular real.
Identificar a la sociedad no basta: hay que llegar a la persona física que controla.
Acertar con el nivel de diligencia debida —y poder demostrar por qué se eligió— es lo que
separa un expediente que supera una inspección de uno que acaba en sanción. La graduación
por riesgo no es burocracia: es la lógica que hace eficaz todo el sistema de prevención.
Prevención de Blanqueo (PBC/FT)
¿Tu diligencia debida resistiría una inspección?
Diseñamos y revisamos tus procedimientos de diligencia debida —normal, simplificada y
reforzada—, el análisis de riesgo que los sustenta y el seguimiento continuo, para que tu
sistema de prevención del blanqueo sea sólido y demostrable ante el SEPBLAC.