KYC & Onboarding

Diligencia debida reforzada (ampliada): qué es, cuándo es obligatoria y cómo aplicarla

La diligencia debida reforzada (también llamada ampliada o EDD) es el nivel más exigente de verificación de clientes. Aprende cuándo es obligatoria por ley, qué medidas concretas exige y cómo documentarla correctamente para superar una inspección del SEPBLAC.

12 min de lectura

¿Necesitas automatizar este proceso hoy?

CiberGuardIA AML gestiona el KYC, screening y expedientes de forma automatizada.

Probar gratis
Diligencia debida reforzada o ampliada (EDD): guía completa para sujetos obligados en España

La diligencia debida reforzada —también llamada ampliada o EDD (Enhanced Due Diligence)— es el nivel más exigente de verificación de clientes que establece la normativa española de prevención del blanqueo de capitales. No es opcional, no es una recomendación de buenas prácticas y no la sustituye ningún software por sí solo: cuando la ley dice que aplica, aplica. Y cuando no se aplica correctamente, el SEPBLAC lo detecta.

En este artículo encontrarás exactamente qué es, cuándo es obligatoria (con referencias a los artículos concretos del Reglamento), qué medidas incluye en la práctica, cómo documentarla y qué errores llevan a que una inspección acabe mal.


¿Qué es la diligencia debida reforzada (EDD)?

La diligencia debida reforzada es el conjunto de medidas adicionales de verificación, análisis y seguimiento que los sujetos obligados deben aplicar cuando la relación de negocio o la operación presenta un riesgo de blanqueo de capitales o financiación del terrorismo superior al promedio.

No es un trámite independiente: se construye sobre la diligencia debida normal. Primero se aplica el nivel estándar (identificación, verificación, comprensión del propósito, seguimiento continuo) y, cuando el perfil lo exige, se añaden las medidas reforzadas por encima. Ignorar la base y saltar directamente a pedir documentación extra sin haber completado el KYC estándar tampoco cumple.

Su marco legal en España son los artículos 11 y 12 de la Ley 10/2010 y, con mayor detalle operativo, los artículos 19 a 22 del Real Decreto 304/2014, que es el Reglamento que desarrolla esa ley.

Nota terminológica: "Reforzada" y "ampliada" son el mismo concepto. La Ley 10/2010 usa "reforzada". En el sector se usa indistintamente "ampliada" o el anglicismo EDD (Enhanced Due Diligence). Todos se refieren a lo mismo.

¿Cuándo es obligatoria? Los supuestos del artículo 19 del RD 304/2014

Aquí está el mapa completo de cuándo debes activar la diligencia debida reforzada según la normativa vigente. Hay dos categorías: los supuestos automáticos (donde no hay margen de interpretación) y los supuestos por evaluación de riesgo (donde tu análisis interno determina si aplica).

Supuestos automáticos: siempre aplica DDR

El artículo 19 del RD 304/2014 establece una lista de situaciones donde la DDR es preceptiva, sin necesidad de evaluación caso a caso:

  • Clientes PEP (Personas Políticamente Expuestas) y sus familiares directos y allegados. Esto incluye a quienes hayan cesado en el cargo en los últimos dos años (para cargos nacionales; sin límite temporal si son extranjeros).
  • Servicios de banca privada: cualquier relación de gestión de grandes patrimonios con atención personalizada.
  • Operaciones de envío de dinero cuyo importe, individual o acumulado por trimestre natural, supere los 3.000 euros.
  • Operaciones de cambio de moneda extranjera cuyo importe, individual o acumulado por trimestre, supere los 6.000 euros.
  • Clientes no presenciales: cuando la relación de negocio o la operación se establece a distancia (online, telefónica) sin que el cliente haya estado físicamente presente para ser identificado con garantías equivalentes.
  • Sociedades con acciones al portador o sociedades preconstituidas (las llamadas "shelf companies", constituidas sin actividad real para su venta posterior).
  • Operaciones o relaciones con países de alto riesgo (artículo 22): los identificados por la Comisión Europea como jurisdicciones con deficiencias estratégicas en PBC/FT, los que figuran en la lista negra o gris del GAFI, y los que el propio sujeto obligado haya identificado como de riesgo elevado en su análisis interno.
  • Corresponsalía bancaria transfronteriza con entidades de terceros países fuera de la UE.
  • Operaciones que favorezcan el anonimato: cualquier producto, servicio o canal que dificulte la identificación del cliente o el rastreo de las operaciones.
Punto clave sobre los umbrales acumulados: los límites de 3.000 € en envío de dinero y 6.000 € en cambio de divisas se miden por trimestre natural, no por operación. Si un cliente hace tres transferencias de 1.200 € en el mismo trimestre, el umbral se ha superado y la DDR aplica retroactivamente a esa relación.

Supuestos por evaluación de riesgo propio

Además de los supuestos legales, la DDR también se activa cuando tu análisis de riesgo interno detecta señales de alerta que hacen que el perfil del cliente sea de riesgo alto, aunque no encaje en ninguna categoría automática. Algunos ejemplos recurrentes:

  • Estructuras societarias con múltiples capas en las que el titular real resulta difícil de identificar o verificar
  • Operaciones sin justificación económica aparente para el perfil declarado del cliente
  • Clientes que ofrecen resistencia o retrasos injustificados a la hora de aportar documentación sobre el origen de los fondos
  • Clientes que han aparecido en medios de comunicación relacionados con investigaciones judiciales, aunque no estén formalmente imputados
  • Patrones de pagos estructurados o smurfing: múltiples operaciones de cuantías inferiores al umbral que encajan con una sola operación real
  • Cambios significativos e inexplicados en el perfil habitual de operaciones del cliente
  • Clientes con nexos con jurisdicciones de alto riesgo que no figuran en listas oficiales pero que el sujeto obligado ha identificado como problemáticas en su análisis propio

¿Qué medidas concretas incluye? El artículo 20 del RD 304/2014

La DDR no es un proceso único y estandarizado: el artículo 20 del RD 304/2014 establece un menú de medidas que el sujeto obligado debe aplicar en función del nivel de riesgo detectado. El punto de partida obligatorio es siempre verificar las actividades declaradas por el cliente y la identidad del titular real. A partir de ahí, se añaden las medidas que correspondan:

  1. Actualización de datos: Revisar y actualizar toda la información obtenida en el proceso de onboarding. Si el cliente lleva tiempo con nosotros y su perfil de riesgo ha cambiado, la información del expediente debe reflejarlo.
  2. Documentación adicional: Obtener más documentación o información de la que se pediría en un proceso estándar. Puede incluir referencias de terceros, información de bases de datos externas o documentación específica de la actividad del cliente.
  3. Autorización de la alta dirección: Para iniciar o para mantener la relación de negocio en situaciones de riesgo elevado, se requiere la aprobación expresa de un nivel directivo superior. Esta aprobación debe quedar documentada.
  4. Origen del patrimonio y de los fondos: No basta con preguntar al cliente de dónde viene el dinero. Hay que obtener documentación que lo acredite de forma razonable: declaración de la renta, escrituras, contratos de venta de activos, extractos bancarios, etc. El artículo 20 es explícito en que se deben adoptar "medidas adecuadas" para determinar este origen, lo que implica un esfuerzo proporcional al riesgo.
  5. Seguimiento reforzado y continuo: La monitorización de las transacciones debe ser más frecuente, con revisión de más operaciones y con mayor detalle. Se deben "seleccionar patrones de operaciones para examen", no simplemente revisar alertas cuando saltan.
  6. Documentación de la congruencia económica: Examinar y documentar que las operaciones tienen sentido económico en relación con el perfil del cliente. Si un cliente de bajo perfil económico realiza operaciones de gran volumen, esa incongruencia debe analizarse y quedar documentada, tanto si se decide comunicar como si no.
Lo que el SEPBLAC busca en inspecciones: No solo que hayas aplicado medidas reforzadas, sino que puedas demostrar por escrito qué medidas aplicaste, por qué, qué encontraste y qué decisión tomaste en consecuencia. La DDR sin documentación equivale, a efectos de inspección, a no haberla aplicado.

Diligencia debida reforzada por sectores: ejemplos prácticos

La misma obligación legal produce procedimientos muy distintos según el sector. Estos son los casos más frecuentes y cómo debe aplicarse en cada uno:

Sector inmobiliario

Las agencias inmobiliarias y promotoras están en el punto de mira del SEPBLAC. El Análisis Nacional de Riesgos 2024 identifica el sector inmobiliario como uno de los de mayor exposición al blanqueo en España. Los supuestos más frecuentes de DDR en este sector:

  • Comprador o vendedor que es una empresa con titular real no residente o con estructura compleja
  • Pago total o parcial en efectivo por encima de 1.000 euros (ya de por sí problemático bajo la Ley 7/2012)
  • Financiación proveniente de un tercero cuya vinculación con el comprador no está clara
  • Operación a precio significativamente inferior o superior al valor de mercado del inmueble
  • Comprador que es PEP o tiene vínculos con jurisdicciones de alto riesgo

En operaciones de alto riesgo inmobiliario, la DDR implica verificar el origen de todos los fondos (incluyendo la financiación hipotecaria, si la hay), identificar al titular real de todas las sociedades intervinientes, y obtener la aprobación de la dirección antes de formalizar cualquier arras o contrato.

Asesores fiscales y gestorías

Los asesores fiscales y gestorías son sujetos obligados bajo el artículo 2.1.f de la Ley 10/2010. La DDR aplica con especial intensidad cuando asesoran en:

  • Constitución de sociedades o estructuras societarias complejas sin un propósito económico claro
  • Operaciones con implicación de jurisdicciones fiscalmente poco transparentes
  • Clientes con grandes patrimonios de origen poco documentado
  • Clientes que son PEP o gestión de estructuras donde el titular real es un PEP
  • Transmisiones de participaciones societarias que involucren precios inusuales o partes desconocidas

Entidades financieras y fintech

Para bancos, entidades de pago y fintech, los supuestos de DDR son los más ampliamente regulados. Los casos más frecuentes:

  • Clientes de banca privada (automático)
  • Clientes que envían remesas recurrentes a países de alto riesgo
  • Empresas de criptoactivos que realizan conversiones frecuentes y de importes significativos
  • Corresponsales bancarios en jurisdicciones fuera de la UE sin supervisión equivalente
  • Clientes con fondos procedentes de economías con alto porcentaje de efectivo

Joyerías, anticuarios y marchantes de arte

Para las joyerías y negocios de artículos de alta gama, la DDR es prácticamente obligatoria en cualquier operación de importe significativo. Las señales de alerta más comunes:

  • Pago en efectivo por importes elevados (la actividad de estas empresas suele operar cerca de los umbrales legales)
  • Comprador que no puede justificar el nivel de su adquisición con su perfil económico
  • Operaciones de compraventa repetidas entre los mismos intervinientes sin propósito coleccionista evidente
  • Clientes que solicitan que la parte del precio no quede reflejada en la factura

Clientes no presenciales: el artículo 21 del RD 304/2014

El artículo 21 regula específicamente el caso de los clientes que se registran o contratan a distancia, sin presencia física. En estos casos, la DDR es obligatoria salvo que la identificación se haya realizado mediante alguno de los métodos reconocidos como equivalentes:

  • Firma electrónica cualificada (conforme al Reglamento eIDAS)
  • Videollamada con identificación en tiempo real, mediante un proceso previamente autorizado por el SEPBLAC (los sistemas de videoidentificación homologados)
  • Primer ingreso desde una cuenta bancaria española o de la UE a nombre del cliente (el banco ya ha hecho su propio KYC)
  • Métodos nif-based o de certificado electrónico nacional equivalente

Si el proceso de onboarding digital no utiliza ninguno de estos mecanismos homologados, el cliente se considera no presencial y la DDR aplica por defecto. Esto tiene implicaciones directas para los flujos de registro en plataformas online: si tu proceso de alta de clientes no incluye videoidentificación o firma electrónica cualificada, estás en zona de DDR automática.


Jurisdicciones de alto riesgo: el artículo 22 del RD 304/2014

El artículo 22 del RD 304/2014 define qué se entiende por país o jurisdicción de alto riesgo a efectos de activar la DDR. Hay tres fuentes que determinan esa clasificación:

  1. La lista de la Comisión Europea de terceros países de alto riesgo (se actualiza con cierta periodicidad y se publica en el DOUE). Esta es la referencia primaria para sujetos obligados en España.
  2. Las listas del GAFI/FATF: tanto la lista negra (jurisdicciones de alto riesgo sujetas a contramedidas) como la lista gris (bajo vigilancia intensificada). Cuando el GAFI pone a un país en cualquiera de las dos listas, la DDR es obligatoria para cualquier operación con ese país.
  3. El análisis de riesgo propio del sujeto obligado: el Reglamento permite (y en ciertos casos exige) que el propio sujeto obligado identifique jurisdicciones adicionales como de riesgo elevado, aunque no figuren en ninguna lista oficial. Esto debe quedar documentado en la política de riesgos.

A marzo de 2026, los países en lista negra del GAFI con contramedidas activas incluyen Corea del Norte, Irán y Myanmar. Los países en lista gris (seguimiento intensificado) incluyen, entre otros, Emiratos Árabes Unidos, Nigeria, Sudáfrica, Vietnam, Yemen y varios otros. Esta lista cambia en cada plenaria del GAFI (aproximadamente tres veces al año), por lo que mantener el seguimiento actualizado es una obligación operativa, no solo documental.


Checklist práctico: cómo aplicar la DDR paso a paso

Este es el flujo que debe seguir cualquier sujeto obligado cuando detecta que un cliente o una operación activa la DDR. Adapta los detalles a tu sector y a las proporciones de tu negocio, pero no saltes pasos.

Fase 1 — Identificación del supuesto DDR

  • ☐ ¿El cliente es PEP, familiar de PEP o allegado?
  • ☐ ¿Se trata de una operación de envío de dinero que, acumulada en el trimestre, supera los 3.000 €?
  • ☐ ¿Se trata de cambio de moneda extranjera que supera los 6.000 € en el trimestre?
  • ☐ ¿Ha habido o hay presencia físicamente no verificada del cliente (contratación online sin mecanismo homologado)?
  • ☐ ¿Hay implicación de un país o jurisdicción en lista negra o gris del GAFI o en la lista de la Comisión Europea?
  • ☐ ¿Intervienen sociedades con acciones al portador o preconstituidas?
  • ☐ ¿Ha activado alguna señal de alerta el propio sistema de scoring o monitorización?

Fase 2 — Aplicación de medidas reforzadas

  • ☐ Completar la verificación estándar (KYC base) si no estaba completada
  • ☐ Verificar y actualizar toda la información del expediente del cliente
  • ☐ Identificar y verificar documentalmente al titular real (UBO) hasta la persona física última
  • ☐ Obtener documentación acreditativa del origen del patrimonio y de los fondos de la operación (declaración de la renta, escrituras, contratos, extractos bancarios)
  • ☐ Verificar que las actividades declaradas por el cliente son coherentes con su perfil y con la operación
  • ☐ Obtener autorización expresa de la alta dirección o del órgano de cumplimiento para iniciar o mantener la relación (dejar constancia documental)
  • ☐ Activar seguimiento reforzado: mayor frecuencia de revisión, análisis de más operaciones y con mayor detalle
  • ☐ Verificar en listas de sanciones internacionales (UE, ONU, OFAC) y en bases de datos de PEPs

Fase 3 — Documentación

  • ☐ Anotar en el expediente qué supuesto DDR activaba la obligación
  • ☐ Documentar qué medidas reforzadas se aplicaron y por qué esas y no otras
  • ☐ Dejar constancia del resultado de la investigación sobre el origen de los fondos
  • ☐ Registrar la autorización de la dirección (nombre, cargo, fecha)
  • ☐ Si se decidió no comunicar al SEPBLAC: documentar por qué se descartó la sospecha
  • ☐ Si se decidió comunicar al SEPBLAC: seguir el procedimiento del Artículo 18 de la Ley 10/2010

Fase 4 — Seguimiento

  • ☐ Establecer la periodicidad del seguimiento reforzado para ese cliente
  • ☐ Revisar periódicamente si el cliente sigue en los mismos supuestos de DDR o si el riesgo ha cambiado
  • ☐ Actualizar el expediente cuando cambie el perfil de riesgo

Los errores más comunes en la aplicación de la DDR (y que el SEPBLAC detecta)

Basándose en los informes de actividades del SEPBLAC y en la resoluciones sancionadoras publicadas, estos son los fallos más frecuentes que llevan a sanciones:

  • Aplicar DDR de nombre pero no de contenido: Marcar el expediente como "riesgo alto" sin aplicar medidas adicionales reales. La etiqueta no sustituye al procedimiento.
  • No documentar el origen de los fondos: Preguntar al cliente y conformarse con la respuesta verbal. La DDR exige documentación acreditativa, no declaraciones.
  • Omitir la autorización de la dirección: Tratar a un PEP o a un cliente de alto riesgo como cualquier otro sin que la alta dirección haya dado el visto bueno. Esta omisión es por sí sola una infracción.
  • No actualizar el expediente: Aplicar DDR al inicio de la relación y no revisarlo cuando el cliente cambia de actividad, de país de residencia o aparece en nuevas listas.
  • Confundir ausencia de sospecha con bajo riesgo: Un cliente que "no da mala espina" no es automáticamente de riesgo bajo. Si encaja en alguno de los supuestos automáticos, la DDR aplica independientemente de la intuición.
  • No conocer los umbrales acumulados: Ignorar que los 3.000 € en envío de dinero o los 6.000 € en cambio de divisas se miden por trimestre, no por operación individual.

Lo que cambia con el Reglamento (UE) 2024/1624

El paquete AML europeo de mayo de 2024, que entra en aplicación plena en julio de 2027, introduce cambios relevantes en materia de DDR:

  • Obligación de seguimiento en tiempo real de sanciones para operaciones de alto riesgo, especialmente en el sector inmobiliario y en servicios de pago.
  • Prestadores de servicios de criptoactivos: DDR obligatoria para operaciones ocasionales desde 1.000 euros (umbral significativamente más bajo que el general).
  • Ampliación del catálogo de PEPs: mayor homogeneización entre Estados miembros en la definición de quién es PEP y en los plazos de permanencia en esa condición tras cesar en el cargo.
  • Mayor exigencia documental sobre el origen del patrimonio en perfiles de alto riesgo, con referencias específicas a indicadores que el propio reglamento enumera.
  • Autoridad AML europea (AMLA) con sede en Fráncfort, operativa desde 2026, con supervisión directa sobre las entidades de mayor riesgo de la UE.

Las empresas que lleguen a 2027 sin haber reforzado sus procesos de DDR van a tener que hacer cambios estructurales a contrarreloj. Las que lo anticipen desde ahora tendrán la transición prácticamente resuelta.


¿Cuándo se puede terminar una relación por DDR?

La DDR no siempre conduce a la aceptación del cliente. La Ley 10/2010 y su Reglamento establecen que, cuando el sujeto obligado no puede completar adecuadamente las medidas de diligencia debida —sea normal o reforzada—, debe:

  • No iniciar la relación de negocio si el proceso aún no ha comenzado.
  • Poner fin a la relación existente si no puede obtener la información necesaria.
  • Considerar si la imposibilidad de completar la DDR es en sí misma una señal de sospecha que debería comunicarse al SEPBLAC.

La imposibilidad de verificar al titular real, la negativa del cliente a documentar el origen de los fondos o la detección de incongruencias graves en el perfil económico son motivos suficientes y, en muchos casos, obligación, de terminar la relación. No hacerlo y mantener al cliente activo sin DDR completa es directamente una infracción.


Conclusión

La diligencia debida reforzada no es un procedimiento más dentro del compliance AML: es el mecanismo que demuestra que tu sistema de prevención funciona cuando el riesgo real aparece. El SEPBLAC lo sabe, y es lo primero que busca en una inspección cuando hay un perfil de cliente que debería haberla activado.

Aplicarla bien requiere tres cosas que muchas empresas no tienen alineadas: saber cuándo aplica (conocer los supuestos legales y los propios), saber qué hacer cuando aplica (tener el procedimiento documentado), y poder demostrar que lo hiciste (mantener el expediente con el nivel de detalle que exige la normativa).

Si tu proceso actual depende de la memoria del gestor o de criterios no escritos, tienes una brecha real esperando a que la encuentre una inspección o, peor, una operación de blanqueo que pase por delante sin que nadie la detenga.

Etiquetas:Diligencia debida reforzadaDiligencia debida ampliadaEDDEnhanced Due DiligenceKYCPEPLey 10/2010RD 304/2014SEPBLACCompliance AMLBlanqueo de capitales

¿Listo para cumplir sin complicaciones?

CiberGuardIA AML automatiza el KYC, el screening de sanciones, el análisis de riesgo y los expedientes SEPBLAC. Empieza gratis, sin tarjeta de crédito.

Sin tarjeta de crédito · Configuración en minutos · Soporte en español

Este sitio utiliza cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias. Puede aceptar todas las cookies, rechazarlas o configurar sus preferencias. Más información