Mantén tu sistema PBC/FT vivo con una debida diligencia continuada eficaz: monitorización de clientes, actualización periódica de KYC, seguimiento de operaciones, detección de alertas y documentación de evidencias para cumplir con la Ley 10/2010 y estar preparado ante SEPBLAC.
"Revisamos y actualizamos la información de clientes según su nivel de riesgo: documentación, titular real, PEPs, sanciones y origen de fondos. Siempre al día, siempre evidenciable."
"Diseñamos reglas de monitorización proporcionales al riesgo: umbrales, patrones inusuales, alertas automáticas, investigación y cierre documentado de cada caso."
"Monitorización permanente contra listas de sanciones internacionales, PEPs y medios adversos. Si cambia la situación de un cliente, lo detectamos y actuamos."
"Cada revisión, cada alerta, cada decisión queda documentada con fecha, responsable y criterio. Evidencias listas para auditoría, experto externo y SEPBLAC."
Revisión programada de la información de clientes según nivel de riesgo: documentación de identidad, titular real, actividad, origen de fondos y perfil de operativa.
Diseño de reglas de seguimiento: umbrales, patrones inusuales, frecuencia, importes, países de origen/destino y coherencia con el perfil declarado del cliente.
Monitorización permanente contra listas de sanciones internacionales, Personas Expuestas Políticamente y medios adversos con alertas automáticas ante cambios.
Protocolo de investigación interna: recepción de alertas, análisis, escalado, decisión (archivo, EDD, comunicación) y cierre documentado con evidencias.
Aplicación de medidas reforzadas cuando el riesgo lo exige: investigación ampliada, origen de fondos y patrimonio, aprobación de dirección y seguimiento intensificado.
Registro de cada actuación de debida diligencia continuada: revisiones, alertas, decisiones, escalados y resultados con fecha, responsable y criterio aplicado.
Obligación legal: la Ley 10/2010 y el RD 304/2014 exigen a los sujetos obligados aplicar medidas de seguimiento continuo durante toda la relación de negocio, no solo al inicio.
Cambio de perfil de riesgo: un cliente que era de bajo riesgo puede convertirse en alto riesgo si cambia su actividad, sus titulares reales, su operativa o su exposición a jurisdicciones sensibles.
Hallazgo frecuente en inspecciones: la falta de debida diligencia continuada es uno de los incumplimientos más señalados por SEPBLAC en sus inspecciones y por los informes de experto externo.
Sanciones graves: el incumplimiento de las obligaciones de seguimiento continuo puede derivar en sanciones graves o muy graves conforme a la Ley 10/2010 (arts. 51-56).
Riesgo reputacional y operativo: no detectar operaciones sospechosas por falta de monitorización expone a la empresa a consecuencias penales, bloqueos bancarios y pérdida de confianza.
La debida diligencia continuada (también llamada seguimiento continuo u ongoing due diligence) es la obligación que tienen los sujetos obligados de mantener actualizada la información de sus clientes y monitorizar sus operaciones durante toda la duración de la relación de negocio, no solo en el momento del alta.
Se basa en el principio de que el perfil de riesgo de un cliente no es estático: puede cambiar por modificaciones en la actividad, en la estructura societaria, en los titulares reales, en la operativa o en la exposición a jurisdicciones, sanciones o noticias adversas.
La debida diligencia continuada no es un extra: es una obligación central de la Ley 10/2010 (art. 6) y su incumplimiento es uno de los hallazgos más frecuentes en inspecciones de SEPBLAC.
Todos los sujetos obligados por la Ley 10/2010: entidades financieras, entidades de pago, empresas de servicios de inversión, aseguradoras, inmobiliarias, profesionales del derecho y la contabilidad, casinos, joyerías, comerciantes de bienes de alto valor, proveedores de servicios de criptoactivos (VASPs/CASPs) y otras actividades incluidas en el ámbito de aplicación.
La obligación se extiende a todas las relaciones de negocio vigentes, no solo a los clientes nuevos. Esto incluye clientes históricos cuya información puede estar desactualizada.
Si tu empresa es sujeto obligado y tiene clientes activos, la debida diligencia continuada se aplica a todos ellos, con intensidad proporcional a su nivel de riesgo.
La debida diligencia continuada incluye tres componentes principales: actualización de la información del cliente (KYC periódico), monitorización de operaciones (seguimiento de la coherencia entre la operativa real y el perfil declarado) y screening continuo (verificación permanente contra listas de sanciones, PEPs y medios adversos).
Además, incluye la gestión de alertas (investigación, escalado y cierre documentado), la aplicación de medidas reforzadas (EDD) cuando se detecta un aumento del riesgo, y la documentación de todas las actuaciones con fecha, responsable, criterio y resultado.
Lo que diferencia un sistema de debida diligencia continuada eficaz de uno formal es la ejecución: que las revisiones se hagan, que las alertas se investiguen y que todo quede evidenciado.
La frecuencia de actualización del KYC debe ser proporcional al nivel de riesgo del cliente, conforme al enfoque basado en riesgos (RBA) que exige la normativa PBC/FT.
La clave no es solo establecer la periodicidad, sino ejecutar las revisiones y documentar los resultados. Un calendario de KYC sin ejecución es un incumplimiento.
La monitorización de operaciones consiste en verificar de forma continua que la operativa real del cliente es coherente con su perfil declarado: tipo de operaciones, importes, frecuencia, contrapartes, países de origen/destino y medios de pago.
Una alerta que no se investiga es peor que no tener alertas: demuestra que el sistema detectó algo y la empresa no actuó.
Cuando la debida diligencia continuada detecta un aumento del nivel de riesgo de un cliente —nuevas alertas, cambio de titulares reales, vinculación a PEPs, operativa incoherente con el perfil—, se activan las medidas de diligencia debida reforzada (EDD).
La EDD puede incluir la solicitud de información adicional sobre origen de fondos y patrimonio, la aprobación de la relación por parte de la dirección, la intensificación de la monitorización operativa y, en casos extremos, la decisión de terminar la relación de negocio.
La EDD no es discrecional cuando se detectan señales de riesgo: es una obligación legal cuyo incumplimiento se considera falta de diligencia debida.
El incumplimiento de las obligaciones de seguimiento continuo puede derivar en sanciones graves o muy graves conforme a la Ley 10/2010 (arts. 51-56): multas de hasta el 10% del volumen de negocios, amonestación pública, suspensión de actividad o revocación de autorizaciones.
Más allá de las sanciones, la falta de debida diligencia continuada expone a la empresa a responsabilidad penal por blanqueo imprudente (art. 301.3 CP), bloqueos de cuentas bancarias, pérdida de relaciones con entidades corresponsales y daño reputacional irreversible.
La debida diligencia continuada no es un coste: es la protección que evita consecuencias mucho más graves que su implantación.
La debida diligencia continuada forma parte de un sistema PBC/FT completo. Descubre los servicios que complementan la monitorización y el seguimiento de tus clientes.
Documento obligatorio donde se definen los procedimientos de debida diligencia continuada, roles, flujos y criterios de actuación.
Catálogo completo: evaluación de riesgos, manual, formación, auditorías, informe de experto externo y seguimiento continuo.
Análisis y documentación del recorrido de fondos y operaciones para dar soporte a las investigaciones de debida diligencia continuada.
Acreditación del origen lícito de fondos para operaciones relevantes: documentación y trazabilidad verificable.
Debida diligencia continuada aplicada a proveedores de servicios cripto: KYC/KYB, KYT, Travel Rule y monitorización on-chain.
Revisión del sistema AML de exchanges y plataformas: eficacia de la monitorización, alertas, KYC y plan de remediación.
Cumplimiento de la regla de viaje: datos obligatorios en transferencias, validaciones y trazabilidad como parte del seguimiento continuo.
Declaración informativa de criptomonedas en el extranjero: obligaciones de reporting que se conectan con la monitorización PBC/FT.
Marca los supuestos que aplican a tu empresa. Cuantos más queden sin marcar, mayor es la brecha en tu debida diligencia continuada.
0 de 10 controles
Marca los controles que ya tienes implantados.
Todo lo que necesitas saber sobre la debida diligencia continuada en PBC/FT: marco legal, componentes, frecuencia, relación con el enfoque basado en riesgos, sectores específicos y errores que debes evitar.
La debida diligencia continuada es el conjunto de medidas que los sujetos obligados deben aplicar para mantener actualizada la información de sus clientes y monitorizar sus operaciones durante toda la vigencia de la relación de negocio. Está regulada en el artículo 6 de la Ley 10/2010 y desarrollada en los artículos 26 y siguientes del RD 304/2014.
No es un control puntual ni una tarea que se hace una vez: es un proceso continuo que combina la revisión periódica de la información del cliente (KYC), la monitorización de sus operaciones (transaction monitoring), el screening permanente contra listas de sanciones y PEPs, y la gestión documentada de alertas e incidencias. Su objetivo es detectar cambios en el perfil de riesgo del cliente y actuar en consecuencia antes de que se materialice un incumplimiento.
La Ley 10/2010 establece en su artículo 6 que los sujetos obligados deben aplicar medidas de seguimiento continuo a la relación de negocio, incluyendo el escrutinio de las operaciones efectuadas y la actualización de los documentos, datos e información obtenidos en aplicación de las medidas de diligencia debida.
El RD 304/2014 (arts. 26-28) desarrolla estas obligaciones: la información debe actualizarse con periodicidad proporcional al riesgo, las operaciones deben monitorizarse para detectar incoherencias con el perfil del cliente, y el sujeto obligado debe poder demostrar que el seguimiento se ejecuta efectivamente. Las directrices de SEPBLAC y las recomendaciones del GAFI refuerzan que la debida diligencia continuada debe ser proporcional, basada en riesgos y documentada.
El primer componente es la actualización periódica del KYC: revisar y actualizar la documentación de identidad, el titular real, la actividad económica, el origen de fondos y el perfil de operativa del cliente con una frecuencia proporcional a su nivel de riesgo.
El segundo componente es la monitorización de operaciones: establecer reglas, umbrales y patrones que permitan detectar operaciones inusuales o incoherentes con el perfil declarado del cliente. El tercer componente es el screening continuo: verificación permanente contra listas de sanciones, PEPs y medios adversos.
El cuarto componente es la gestión de alertas: protocolo de investigación interna (recepción, análisis, decisión, escalado, cierre) con documentación de cada paso. Y el quinto es la aplicación de medidas reforzadas (EDD) cuando el riesgo lo exige: origen de fondos y patrimonio, aprobación de dirección, monitorización intensificada o terminación de la relación.
La debida diligencia continuada debe aplicarse con intensidad proporcional al riesgo. No todos los clientes requieren la misma frecuencia de revisión ni el mismo nivel de monitorización. El enfoque basado en riesgos (RBA) permite asignar los recursos de forma eficiente: más intensidad a los clientes de mayor riesgo, revisiones menos frecuentes a los de menor riesgo.
Los factores que determinan el nivel de riesgo incluyen el tipo de cliente (persona física, jurídica, estructura compleja), el producto o servicio contratado, el canal de distribución, la jurisdicción (del cliente y de sus contrapartes), la actividad económica y el historial operativo. Estos factores deben evaluarse de forma conjunta y documentarse en la clasificación de riesgo del cliente.
Un sistema de debida diligencia continuada que trata a todos los clientes igual no cumple con el RBA: o gasta recursos innecesarios en clientes de bajo riesgo o —mucho peor— no dedica suficiente atención a los de alto riesgo.
En el sector financiero, la debida diligencia continuada incluye la monitorización transaccional automatizada, el screening en tiempo real y la gestión de alertas KYT (Know Your Transaction) con reglas calibradas por tipo de producto y canal.
En el sector cripto, se añade la monitorización on-chain (KYT/blockchain analytics), la verificación de contrapartes en transferencias (Travel Rule) y el screening de direcciones/wallets contra bases de datos de riesgo. En el sector inmobiliario, la debida diligencia continuada se centra en la actualización del perfil de compradores e inversores, la verificación del origen de fondos en operaciones sucesivas y el seguimiento de arrendatarios relevantes.
En todos los sectores, la clave es la misma: un sistema que se ejecuta, que se documenta y que permite demostrar ante supervisores que el sujeto obligado ha mantenido la diligencia debida durante toda la relación de negocio.
El error más habitual es hacer la debida diligencia solo al alta y no continuarla: muchos sujetos obligados invierten en un KYC robusto al onboarding pero no revisan la información del cliente durante años. Ante SEPBLAC, esto equivale a no tener debida diligencia continuada.
Otro error frecuente es tener reglas de monitorización genéricas que no se adaptan al tipo de cliente, producto o canal. Un sistema con umbrales y patrones idénticos para todos los clientes no cumple con el enfoque basado en riesgos y genera exceso de falsos positivos (que saturan el equipo) o falsos negativos (que dejan pasar operaciones sospechosas).
También es crítico no documentar las decisiones sobre alertas: archivar una alerta sin registrar quién la analizó, qué información revisó, qué criterio aplicó y por qué decidió cerrarla. Ante una inspección, la ausencia de documentación convierte una decisión razonable en un hallazgo de incumplimiento. La debida diligencia continuada no es solo monitorizar: es poder demostrar que se monitorizó, se analizó y se actuó con criterio.