PBC/AML: Programa de Prevención de Blanqueo que Protege su Empresa

La prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT) en España está regulada por la Ley 10/2010 y su Reglamento de desarrollo (RD 304/2014), que transponen las Directivas europeas anti-blanqueo y establecen las obligaciones de diligencia debida, identificación del titular real, comunicación de operaciones sospechosas al SEPBLAC y conservación de documentación para un catálogo amplio de sujetos obligados: entidades financieras, promotores inmobiliarios, abogados en determinadas operaciones, auditores, asesores fiscales y contables, y otros prestadores de servicios empresariales. El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) es la Unidad de Inteligencia Financiera española y el organismo supervisor, con potestad sancionadora que puede alcanzar multas superiores al millón de euros e inhabilitación de administradores. La nueva Autoridad Anti-Blanqueo europea (AMLA) comenzará a ejercer supervisión directa sobre entidades seleccionadas a partir de 2025-2026, elevando los estándares exigibles.

Nuestro equipo de compliance PBC cuenta con experiencia en la implementación de programas de prevención para entidades de distintos sectores: financiero, inmobiliario, jurídico, contable y de servicios empresariales.

Por que un programa PBC deficiente expone a su empresa a riesgo penal

Las sanciones por incumplimiento de la normativa PBC/AML pueden superar el millon de euros, pero el riesgo real para las empresas españolas va mucho más allá del importe de la multa. Un programa PBC deficiente puede generar responsabilidad penal para los administradores y directivos, daño reputacional irreversible y la exclusión de licitaciones públicas y contratos con grandes corporaciones. El SEPBLAC ha intensificado sus inspecciones de forma muy significativa desde 2022, con un foco especial en la identificación de la titularidad real y en la calidad de los procedimientos de diligencia debida reforzada.

Muchas empresas obligadas creen cumplir porque tienen un manual de prevención. La realidad es que ese manual, si no se aplica efectivamente, no protege a nadie: los tribunales y el SEPBLAC exigen evidencia de controles reales, no solo documentación.

Como diseñamos e implementamos el programa PBC/AML

Nuestro equipo de especialistas diseña e implementa programas PBC/FT adaptados al perfil de riesgo específico de cada empresa, no plantillas genericas. Comenzamos con la evaluación de riesgos según clientes, productos, canales y geografia. A partir de ahí, construimos el manual de prevención, las políticas KYC, los procedimientos de diligencia debida ordinaria y reforzada y los mecanismos de comunicación con el SEPBLAC.

La implementación real del programa — formación al personal, establecimiento del representante ante el SEPBLAC, sistemas de monitoreo de operaciones — es tan importante como la documentación. Un programa que existe sobre el papel pero no se aplica en la práctica es, a efectos sancionadores, equivalente a no tener programa. Coordinamos con el área de compliance penal para garantizar una cobertura integral de los riesgos de cumplimiento.

Marco normativo PBC en España: Ley 10/2010 y directivas europeas

La Ley 10/2010 de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, y su Reglamento de desarrollo (RD 304/2014), son el marco principal en España. La normativa española transpone las Directivas europeas anti-blanqueo, incluida la Sexta Directiva (6AMLD), que refuerza los requisitos de KYC, amplia las categorías de delito previo y aumenta la cooperación entre unidades de inteligencia financiera. La nueva Autoridad Anti-Blanqueo europea (AMLA) comenzara su actividad supervisora directa sobre entidades seleccionadas a partir de 2025-2026, elevando el nivel de exigencia.

Las sanciones aplicables van desde apercibimientos hasta multas de millones de euros, con responsabilidad personal para administradores y directivos en los casos más graves.

Resultados que puedes esperar

• Evaluación de riesgos PBC/FT específica para su sector y modelo de negocio
• Manual de prevención, políticas KYC y procedimientos de diligencia debida operativos
• Sistema de identificación de titularidad real conforme a los criterios del SEPBLAC
• Formación al personal y a los órganos de administración
• Representante ante el SEPBLAC designado y con funciones definidas
• Preparación para inspecciones del SEPBLAC con expediente de cumplimiento documentado

La clave de un programa eficaz no es la cantidad de documentación, sino la efectividad real de los controles y la cultura de cumplimiento que se construye en la organización. El mapa de riesgos de cumplimiento permite integrar el programa PBC en la visión regulatoria consolidada de la empresa junto al resto de marcos aplicables.

Las obligaciones concretas del sujeto obligado bajo la Ley 10/2010

La Ley 10/2010 establece un sistema de obligaciones escalonadas que todo sujeto obligado debe cumplir. Conocer su alcance exacto es imprescindible para construir un programa PBC eficaz:

Diligencia debida ordinaria. Todo sujeto obligado debe identificar y verificar la identidad de sus clientes antes del inicio de la relación de negocio o antes de ejecutar operaciones ocasionales por importe superior a 1.000 euros (o 10.000 euros en algunas categorías). La verificación exige documentación original o equivalente, no basta con la declaración del cliente.

Identificación del titular real. Esta es la obligación que más incumplimientos genera y la que el SEPBLAC revisa con mayor rigor en sus inspecciones. El titular real es la persona física que en última instancia posee o controla al cliente, con carácter general quien posee directa o indirectamente más del 25% del capital o de los derechos de voto. En estructuras con sociedades holding, fundaciones o trusts, la identificación puede requerir recorrer cadenas de propiedad complejas. La modificación del Registro Mercantil para la inscripción de titulares reales ha facilitado la verificación, pero no elimina la obligación del sujeto obligado de verificar activamente.

Diligencia debida reforzada. Aplicable cuando el cliente, el producto o la operación presentan un perfil de riesgo elevado: personas políticamente expuestas (PEPs) y sus familiares y colaboradores cercanos, clientes de jurisdicciones de riesgo (listas FATF, UE), operaciones con activos o importes inusuales, o relaciones de negocio sin presencia física del cliente. La diligencia reforzada exige aprobación de la alta dirección para la apertura de la relación y monitoreo continuo.

Comunicación de operaciones sospechosas al SEPBLAC. La obligación de comunicar no requiere certeza sobre el blanqueo: basta con que existan indicios o sospechas razonables. La comunicación se realiza a través del sistema RCPBC del SEPBLAC, y va acompañada de la obligación de confidencialidad (no revelar al cliente que se ha comunicado). El incumplimiento de la obligación de comunicar es una infracción grave bajo la Ley 10/2010.

Conservación de documentación. Toda la documentación de diligencia debida y las comunicaciones deben conservarse durante un mínimo de diez años desde la terminación de la relación de negocio o la ejecución de la operación. Este plazo coincide deliberadamente con el plazo de prescripción de los delitos de blanqueo de capitales más graves.

Representante ante el SEPBLAC. El sujeto obligado debe designar un representante ante el SEPBLAC, con rango directivo suficiente y funciones claramente definidas en el manual de prevención. Este representante es el interlocutor en las inspecciones y el responsable de las comunicaciones periódicas exigidas por la normativa.

La AMLA y el paquete AML 2026: el nuevo escenario regulatorio europeo

El paquete legislativo AML de la Unión Europea aprobado en 2024 —que incluye el Reglamento AML, la Sexta Directiva (6AMLD) y el Reglamento AMLA— representa el cambio más significativo en la arquitectura de la prevención del blanqueo en Europa desde 2010. Su impacto sobre los sujetos obligados españoles es directo y sustancial.

La nueva Autoridad Anti-Blanqueo europea (AMLA, Anti-Money Laundering Authority) tiene sede en Frankfurt y comenzará a ejercer supervisión directa sobre las entidades financieras de mayor riesgo a partir de 2026. Para el resto de sujetos obligados —incluidos los que operan en los sectores jurídico, contable, inmobiliario y de servicios empresariales— la AMLA ejercerá supervisión indirecta, coordinando a los supervisores nacionales (el SEPBLAC, en el caso español) y estableciendo estándares técnicos uniformes a través de normativa de nivel 2 y 3.

Las principales novedades del paquete AML para los sujetos obligados son:

• Ampliación del ámbito subjetivo: el Reglamento AML incluye nuevas categorías de sujetos obligados, entre ellas los proveedores de servicios de criptoactivos (incluyendo los CASP bajo MiCA), los agentes inmobiliarios de alta gama y determinados prestadores de servicios de crowdfunding. Las empresas que operen en estos sectores deben evaluar si pasan a ser sujetos obligados.

• Refuerzo del KYC en productos de mayor riesgo: se establecen requisitos más detallados para la identificación del titular real en estructuras de múltiples capas, y se limita el uso de identidad anónima en determinados productos financieros.

• Lista negra y naranja europeas: la Comisión Europea mantendrá listas de países de alto riesgo y de riesgo moderado, con umbrales de diligencia debida reforzada más específicos que las listas actuales.

• Plazo de transposición: el Reglamento AML es de aplicación directa (no requiere transposición), por lo que los sujetos obligados deberán adaptarse a los nuevos estándares a partir de las fechas de entrada en vigor, sin esperar a la legislación nacional.

La preparación para el nuevo marco AML europeo es más eficiente si se realiza sobre un programa PBC ya sólido y documentado. Nuestro equipo está siguiendo el desarrollo de la normativa de nivel 2 de la AMLA y realizando actualizaciones preventivas en los programas de los clientes para anticipar los cambios antes de que sean exigibles. La interacción con el cumplimiento de la normativa DORA es también relevante para las entidades financieras y fintech sujetas a ambas normativas.

El programa PBC como parte del compliance integrado de la empresa

La prevención del blanqueo no puede diseñarse como un silo separado del resto del programa de cumplimiento de la empresa. Un programa PBC eficaz debe estar integrado con el mapa de riesgos de cumplimiento, el programa de compliance penal (artículo 31 bis del Código Penal), el canal de denuncias exigido por la Ley Whistleblowing, y las políticas de protección de datos aplicables al tratamiento de datos personales en los procedimientos KYC.

La integración es especialmente importante para las empresas que son sujetos obligados bajo múltiples marcos regulatorios simultáneamente —una gestora de activos puede estar sujeta a PBC, DORA, MiCA y GDPR a la vez— donde la proliferación de programas independientes genera redundancias, inconsistencias y costes innecesarios. Nuestro enfoque de compliance integrado permite construir un marco único que cubre todos los requisitos con eficiencia y coherencia, con el canal de denuncias como elemento transversal que sirve simultáneamente para comunicaciones PBC internas, denuncias Whistleblowing y reportes de incidentes bajo DORA.

Fuentes y Marco Normativo

• BOE - Ley 10/2010 de Prevencion del Blanqueo de Capitales
• SEPBLAC (Servicio Ejecutivo de Prevencion del Blanqueo)
• GAFILAT / FATF-GAFI
• Ministerio de Economia - Secretaria General del Tesoro
• CGPJ (Consejo General del Poder Judicial)