Enfoque Basado en Riesgo PBC/FT: Modelo de Scoring de Clientes 2026
Guía completa para implementar el enfoque basado en riesgo en prevención del blanqueo. Criterios de segmentación, matrices de riesgo, DDC simplificada/reforzada y automatización según Ley 10/2010 y AMLD6.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokEl Enfoque Basado en Riesgo en PBC/FT: fundamento jurídico y obligaciones
El enfoque basado en riesgo (EBR) en la prevención del blanqueo de capitales y la financiación del terrorismo (PBC/FT) consiste en calibrar las medidas de diligencia debida al nivel real de riesgo que presenta cada cliente, producto o canal. La Ley 10/2010 de 28 de abril de prevención del blanqueo de capitales, en sus artículos 7 a 9, establece la obligación de toda entidad sujeta de adoptar medidas de diligencia debida proporcionales al riesgo identificado.
Síntesis clave: La Recomendación 1 del GAFI (2012, actualizada 2023) exige que los países requieran a las instituciones financieras identificar, evaluar y comprender sus riesgos de LA/FT, y aplicar medidas de diligencia proporcionadas a esos riesgos. España, como miembro del GAFI desde 1982, transpuso este principio mediante la Ley 10/2010 y la Directiva (UE) 2021/1640 (6.ª DAL/AMLD6).
La Circular 1/2020 del SEPBLAC sobre la gestión del riesgo de LA/FT desarrolla los criterios concretos que deben cumplir los sujetos obligados en España. La SEPBLAC supervisa el cumplimiento y puede iniciar procedimientos sancionadores por deficiencias en la evaluación del riesgo. En la práctica, el EBR no es una opción metodológica: es una exigencia legal cuyo incumplimiento conlleva consecuencias sancionadoras directas, con independencia de si el sujeto obligado ha sufrido o no un caso real de blanqueo.
El fundamento del EBR descansa en la premisa de que los recursos de cumplimiento son limitados y deben dirigirse allí donde el riesgo es mayor. Una entidad que aplique controles uniformes a todos sus clientes, sin distinción de perfil, incumplirá el estándar regulatorio por exceso en unos casos y por defecto en otros. La proporcionalidad — no la uniformidad — es el principio rector de la normativa española y europea en materia de PBC/FT.
Las cuatro dimensiones del riesgo en la diligencia debida al cliente
Una evaluación de riesgo efectiva abarca cuatro categorías diferenciadas que las entidades obligadas deben analizar de forma sistemática y documentada.
1. Riesgo geográfico: Países en las listas negra o gris del GAFI, territorios bajo sanciones de la UE o la ONU, y jurisdicciones identificadas por el SEPBLAC o la Comisión Europea como de alto riesgo. La presencia de cualquier vínculo con estas geografías — domicilio del cliente, sede del beneficiario, país de origen de los fondos — eleva automáticamente la puntuación de riesgo del expediente.
2. Riesgo del cliente: Si el cliente es una persona con responsabilidad pública (PRP) o persona relacionada con ella, si la estructura de titularidad real es opaca o utiliza entramados societarios complejos offshore, y si opera en sectores asociados a mayor riesgo de LA/FT (juego, inmobiliario, efectivo intensivo, criptoactivos).
3. Riesgo del producto o servicio: Las transferencias transfronterizas, la banca privada, los activos virtuales y las operaciones con efectivo presentan un riesgo inherente elevado frente a los productos bancarios minoristas estándar. La combinación de producto de alto riesgo con cliente de perfil medio puede elevar la calificación final a un nivel que exija diligencia reforzada.
4. Riesgo del canal de distribución: Las relaciones no presenciales, las introducciones por terceros no regulados y las relaciones de corresponsalía bancaria requieren escrutinio adicional conforme al artículo 11 de la Ley 10/2010. La identificación no presencial, aunque válida cuando se realiza con garantías adecuadas, incrementa por defecto el nivel de riesgo del expediente.
Síntesis clave: Según el Informe de la ACFE de 2024, los métodos manuales de detección identifican únicamente el 37% de los casos de fraude, con un retraso medio de 87 días entre el inicio del fraude y su descubrimiento, lo que subraya la necesidad de una evaluación de riesgos sistemática y automatizada. Una entidad que confíe exclusivamente en la revisión manual de expedientes no solo asume un riesgo regulatorio elevado, sino que opera con una capacidad de detección estadísticamente inferior a la que los supervisores consideran suficiente.
Construir una matriz de scoring de riesgo de clientes
Un modelo de scoring estructurado asigna un peso numérico a cada dimensión de riesgo, los combina en una puntuación global y la mapea a un nivel de diligencia debida concreto. La siguiente tabla ilustra un marco de ponderación habitual para entidades sujetas en España:
| Factor de riesgo | Ponderación | Indicadores clave |
|---|---|---|
| Perfil geográfico | 30 % | Países lista gris/negra GAFI, sanciones UE/ONU, zonas de conflicto |
| Tipo de cliente / PRP | 25 % | PRP, estructura de titularidad opaca, sector de alto riesgo |
| Producto o servicio | 25 % | Activos virtuales, transferencias transfronterizas, efectivo |
| Canal de distribución | 20 % | Relación no presencial, introducción por tercero no regulado |
Las puntuaciones se agrupan en cuatro niveles: Bajo (0–30) → diligencia simplificada; Medio (31–60) → diligencia ordinaria; Alto (61–80) → diligencia reforzada; Muy alto (81–100) → diligencia reforzada con aprobación de la alta dirección.
La construcción de la matriz debe documentarse en la política interna de PBC/FT de la entidad y revisarse, como mínimo, con periodicidad anual o cuando se produzcan cambios normativos relevantes. El SEPBLAC ha señalado reiteradamente en sus guías supervisoras que la mera existencia de una puntuación numérica no es suficiente: la entidad debe demostrar que los criterios y las ponderaciones son razonables, coherentes con su perfil de negocio y revisados periódicamente a la luz de los casos detectados.
Para más información sobre metodologías de evaluación del riesgo, consulte nuestro artículo sobre evaluación de riesgos de cumplimiento normativo.
¿Listo para automatizar sus verificaciones?
Piloto gratuito con sus propios documentos. Resultados en 48h.
Solicitar un piloto gratuitoDDC simplificada, ordinaria y reforzada: cuándo aplicar cada nivel
El régimen de diligencia debida se articula en tres niveles en la Ley 10/2010, cada uno con requisitos procedimentales diferenciados.
Diligencia debida simplificada (Art. 9): Aplicable exclusivamente cuando el cliente y el producto presentan un riesgo objetivamente reducido — por ejemplo, entidades financieras supervisadas, administraciones públicas o sociedades cotizadas en mercados regulados. No implica ausencia de controles, sino una menor intensidad de verificación. Es un error frecuente confundir "simplificada" con "inexistente": incluso en este nivel, la entidad debe poder justificar ante el SEPBLAC por qué aplicó un régimen reducido.
Diligencia debida ordinaria: Nivel predeterminado para la mayoría de clientes minoristas y pymes. Comprende la identificación del cliente, la comprobación del titular real y la comprensión del propósito de la relación de negocio. Revisión periódica anual o ante eventos desencadenantes como cambios de actividad, alertas de monitoreo transaccional o actualizaciones en listas de sanciones.
Diligencia debida reforzada (Art. 11): Obligatoria para PRP, corresponsalía bancaria transfronteriza, clientes de países terceros de alto riesgo y relaciones no presenciales de alto riesgo. Requiere aprobación de la dirección general, documentación del origen de fondos y monitoreo continuo intensificado. La entidad debe acreditar, en cada expediente sometido a DDC reforzada, que ha obtenido información adicional sobre el origen del patrimonio y que la alta dirección ha aprobado la relación.
Síntesis clave: El SEPBLAC puede imponer sanciones pecuniarias de hasta 10 millones de euros o el 10% del volumen de negocios anual por incumplimientos graves del régimen de PBC/FT, incluidas las deficiencias en la aplicación del enfoque basado en riesgo. Las inspecciones del SEPBLAC han detectado con mayor frecuencia tres tipos de deficiencias: ausencia de documentación del origen de fondos en PRP, falta de aprobación de la alta dirección en relaciones de corresponsalía, y revisiones periódicas no ejecutadas en los plazos previstos por la política interna.
Véase también nuestra guía completa sobre prevención del blanqueo de capitales para las mejores prácticas de cumplimiento normativo.
Automatizar la evaluación del riesgo con tecnología
La evaluación manual del riesgo es inherentemente inconsistente: distintos analistas, ante el mismo expediente de cliente, frecuentemente asignan puntuaciones diferentes, generando riesgo regulatorio y lagunas en la pista de auditoría. La automatización no elimina el juicio humano, pero lo estandariza y lo hace auditable.
La plataforma CheckFile cubre más de 3.200 tipos de documentos en 32 jurisdicciones, lo que permite automatizar la verificación documental de identidad, titularidad real y domicilio a escala. El sistema emplea análisis multicapa — verificación estructural, análisis de metadatos y comprobación de coherencia entre documentos — para detectar discrepancias que la revisión manual podría pasar por alto. Cada verificación genera un registro inmutable con la fecha, el resultado y los criterios aplicados, lo que satisface los requisitos de pista de auditoría exigidos por el SEPBLAC.
Para entidades financieras que requieren flujos de trabajo KYC específicos, la puntuación automatizada se integra directamente con los procesos de alta de clientes, reduciendo el tiempo hasta la decisión y creando una pista de auditoría completa. En la práctica, las entidades que han implementado soluciones automatizadas de scoring reportan reducciones significativas en el tiempo de onboarding y en la tasa de errores de clasificación del nivel de diligencia.
La automatización también facilita la revisión periódica de carteras: en lugar de esperar a que un analista identifique manualmente un evento desencadenante, el sistema puede monitorizar continuamente los cambios en listas de sanciones, apariciones en bases de datos de PRP y modificaciones en registros mercantiles, disparando alertas y revisiones automáticas cuando el perfil de riesgo de un cliente cambia de forma significativa.
Consulte nuestra página de seguridad para los detalles sobre la gestión de datos conforme al RGPD. Los precios de las soluciones de verificación automatizada están disponibles en nuestra página de tarifas. Consulte también nuestra guía de conformidad documental para un marco integral de gestión documental.
Preguntas frecuentes
¿Es obligatorio el enfoque basado en riesgo para todos los sujetos obligados en España?
Sí. El artículo 7 de la Ley 10/2010 impone a todos los sujetos obligados — entidades financieras, notarios, abogados, agentes inmobiliarios, auditores — la obligación de aplicar medidas de diligencia debida proporcionales al riesgo identificado. La ausencia de una evaluación de riesgos documentada es, en sí misma, un incumplimiento susceptible de sanción por parte del SEPBLAC, con independencia de que no se haya producido ningún caso real de blanqueo en la cartera de clientes.
¿Qué diferencia hay entre la DDC simplificada y la DDC reforzada?
La diligencia simplificada se aplica cuando tanto el cliente como el producto presentan un riesgo objetivamente bajo (entidades reguladas, administraciones públicas), y reduce la intensidad de la verificación sin eliminarla. La diligencia reforzada se impone para PRP, países terceros de alto riesgo y relaciones no presenciales de riesgo elevado: exige aprobación de la alta dirección, documentación del origen de fondos y vigilancia continua intensificada, con revisiones más frecuentes y mayor profundidad documental.
¿Con qué frecuencia se debe revisar el perfil de riesgo de un cliente?
La revisión periódica de los perfiles de riesgo debe realizarse al menos anualmente para los clientes en diligencia ordinaria, y con mayor frecuencia — típicamente cada seis meses — para los clientes en diligencia reforzada. Cualquier evento desencadenante (cambio de actividad, aparición en una lista de sanciones, modificación de la titularidad real o alertas del sistema de monitoreo transaccional) obliga a una revisión inmediata con independencia del calendario periódico establecido.
¿Cuáles son las sanciones del SEPBLAC por incumplimiento del EBR?
El SEPBLAC puede imponer sanciones que van desde la amonestación pública hasta multas de hasta 10 millones de euros o el 10% del volumen de negocio anual para infracciones muy graves. En los últimos años, varias entidades financieras han sido sancionadas específicamente por carecer de una evaluación del riesgo debidamente documentada, por no aplicar el nivel de diligencia adecuado al perfil de riesgo de sus clientes, o por no haber actualizado su modelo de scoring tras cambios normativos relevantes.
Aviso legal: Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Los requisitos regulatorios pueden cambiar. Consulte a un profesional cualificado para obtener asesoramiento específico a su situación.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.