Prevención de Blanqueo · Diligencia debida

Diligencia debida en PBC: medidas normales, simplificadas y reforzadas

No todos los clientes exigen el mismo nivel de control. La Ley 10/2010 gradúa la diligencia debida según el riesgo: tres niveles, tres formas de mirar a quién tienes enfrente.

Fig. 1 — La medida normal es el punto de partida; el riesgo concreto la sube (reforzada) o la baja (simplificada).

La diligencia debida no es un trámite uniforme. La ley pide tratar distinto lo que es distinto: aligerar donde el riesgo es bajo y reforzar donde es alto. Entender esos tres niveles es la base de cualquier sistema de prevención que funcione.

La diligencia debida es el corazón de la prevención del blanqueo de capitales: el conjunto de medidas con las que un sujeto obligado conoce a su cliente y vigila su operativa. La Ley 10/2010 y su reglamento gradúan esas medidas en tres niveles según el riesgo. Vamos a verlos uno a uno.

Qué es la diligencia debida en PBC

La diligencia debida (en inglés, customer due diligence) es el conjunto de obligaciones de conocimiento del cliente y seguimiento de su actividad que la normativa de prevención del blanqueo impone a los sujetos obligados. Su núcleo es el conocido KYC (know your customer): saber con quién se opera, con qué finalidad y con qué fondos.

Fuente legal Ley 10/2010 y Real Decreto 304/2014

Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y su reglamento de desarrollo: boe.es — Ley 10/2010 .

El enfoque basado en el riesgo

¿Por qué tres niveles y no uno solo? Porque la normativa española sigue un enfoque basado en el riesgo, consolidado con el RD 304/2014 al incorporar las recomendaciones del GAFI. La idea es sencilla: los recursos de control se concentran donde el riesgo de blanqueo es mayor, y se aligeran donde es menor.

Esto obliga a cada sujeto obligado a hacer un análisis de riesgo previo —por tipo de cliente, producto, canal y geografía— que es el que determina qué nivel de diligencia aplicar en cada caso. No es una decisión arbitraria: hay que poder justificarla.

Medidas normales de diligencia debida

Son el punto de partida: el estándar que se aplica con carácter general. Comprenden cuatro obligaciones básicas que todo sujeto obligado debe cumplir:

Fig. 2 · Medidas normales
Identificar al cliente, identificar al titular real, conocer el propósito y vigilar la relación: la base sobre la que se construye todo lo demás.

El seguimiento continuo es probablemente el más olvidado de los cuatro: la diligencia no se agota al dar de alta al cliente, sino que dura toda la relación de negocios.

Medidas simplificadas de diligencia debida

Cuando un cliente, producto u operación presenta un riesgo reducido, el sujeto obligado puede aplicar medidas simplificadas. Conviene desmontar un malentendido habitual: simplificar no es eximir. Las obligaciones siguen existiendo; lo que se ajusta es su intensidad.

En la práctica, simplificar puede significar, por ejemplo, comprobar la identidad solo al superar un umbral cuantitativo tras iniciar la relación, o reducir la periodicidad de la revisión documental. Eso sí, hay un límite tajante: las medidas simplificadas cesan en cuanto aparecen indicios de blanqueo o un riesgo superior al promedio.

El error de fondo

Tratar la diligencia simplificada como "no hacer nada" es uno de los fallos más sancionados. Es un régimen reducido y reversible, no una exención: si el riesgo sube, el nivel sube con él.

Medidas reforzadas de diligencia debida

En el otro extremo están las áreas, clientes y operaciones de mayor riesgo. Ahí el sujeto obligado debe aplicar, además de las medidas normales, medidas reforzadas: comprobar en todo caso las actividades declaradas y la identidad del titular real, y añadir controles adicionales según el riesgo (actualizar datos, recabar información sobre el origen de los fondos, etc.).

La normativa identifica varios supuestos en los que las medidas reforzadas son obligatorias o especialmente exigibles:

Fig. 3 · Cuándo se refuerza
Con los terceros países de alto riesgo, las medidas reforzadas son obligatorias por ley; en el resto, las gradúa el análisis de riesgo.

Dos de estos supuestos merecen atención propia: las personas políticamente expuestas (PEP), que exigen controles específicos sobre el origen del patrimonio y los fondos, y los terceros países de alto riesgo, donde las medidas reforzadas vienen impuestas directamente por la normativa.

Los tres niveles, comparados

Resumido en una tabla, así se reparten los tres niveles según cuándo aplican y qué implican:

Nivel Cuándo aplica Qué implica
Simplificada Clientes, productos u operaciones de riesgo reducido. Las mismas obligaciones, con intensidad reducida (no es exención).
Normal Régimen general, por defecto. Las cuatro medidas base: identificación, titular real, propósito y seguimiento.
Reforzada Riesgo superior al promedio (PEP, países de alto riesgo, no presencial…). Las medidas normales más controles adicionales (origen de fondos, actualización…).
§ § §

El nivel no es fijo: sube y baja con el riesgo

La clave que conecta los tres niveles es que no son compartimentos estancos. Un mismo cliente puede empezar en diligencia simplificada y pasar a reforzada si cambia su perfil, su operativa o la geografía de sus operaciones. El sistema es dinámico: el nivel se revisa a lo largo de toda la relación de negocios, no solo al inicio.

Por eso el seguimiento continuo y un buen procedimiento de diligencia debida son tan importantes: son los que permiten detectar a tiempo que un cliente ha "subido de nivel" y ajustar los controles antes de que el riesgo se materialice. Conviene recordar, además, que el paquete normativo europeo de PBC en marcha (con el Reglamento europeo de PBC) reforzará y armonizará muchas de estas obligaciones en los próximos años.

Errores frecuentes con la diligencia debida

  1. Confundir simplificada con exención. El error más caro: aplicar "ningún control" donde la ley solo permite controles reducidos.
  2. Olvidar el seguimiento continuo. Identificar bien al cliente al alta y no volver a mirar su operativa deja un agujero que las inspecciones detectan enseguida.
  3. No documentar el análisis de riesgo. Si no puedes justificar por qué aplicaste un nivel u otro, la diligencia "correcta" no sirve de nada ante el supervisor.
  4. No reforzar ante PEP o países de alto riesgo. Son supuestos en los que la norma exige expresamente subir el nivel; pasarlos por alto es incumplimiento directo.
  5. Quedarse en la identificación formal y saltarse el titular real. Identificar a la sociedad no basta: hay que llegar a la persona física que controla.

Acertar con el nivel de diligencia debida —y poder demostrar por qué se eligió— es lo que separa un expediente que supera una inspección de uno que acaba en sanción. La graduación por riesgo no es burocracia: es la lógica que hace eficaz todo el sistema de prevención.

Prevención de Blanqueo (PBC/FT)

¿Tu diligencia debida resistiría una inspección?

Diseñamos y revisamos tus procedimientos de diligencia debida —normal, simplificada y reforzada—, el análisis de riesgo que los sustenta y el seguimiento continuo, para que tu sistema de prevención del blanqueo sea sólido y demostrable ante el SEPBLAC.

Solicitar asesoramiento

Seguir profundizando

PBC/FT

Debida diligencia (lavado de activos)

Diseño e implantación de los procedimientos de diligencia debida en prevención del blanqueo de capitales.

PBC/FT

Medidas reforzadas de diligencia debida

Controles adicionales para clientes y operaciones de alto riesgo: PEP, países de riesgo y origen de fondos.

PBC/FT

AML / KYC

Conoce a tu cliente: identificación, verificación y conocimiento del cliente como base de la prevención del blanqueo.