KYC & Onboarding

Diligencia debida simplificada vs. reforzada: cuándo aplicar cada una

No todos los clientes necesitan el mismo nivel de verificación. La Ley 10/2010 establece cuándo puedes simplificar el proceso y cuándo es obligatorio aplicar medidas reforzadas.

9 min de lectura

¿Necesitas automatizar este proceso hoy?

CiberGuardIA AML gestiona el KYC, screening y expedientes de forma automatizada.

Probar gratis
Diligencia debida simplificada vs reforzada: escala de riesgo en compliance AML y KYC

Una de las confusiones más habituales en compliance no es la más grave normativamente, pero sí la que más fricciones genera en el día a día: aplicar el mismo nivel de verificación a todos los clientes sin distinción. A veces porque "para cumplir, mejor pasarse que quedarse corto". A veces por puro desconocimiento de que existe una escala.

La realidad es que la Ley 10/2010 y su reglamento (Real Decreto 304/2014) establecen explícitamente tres niveles de diligencia debida: normal, simplificada y reforzada. Y no es una distinción menor: aplicar la reforzada donde no toca genera fricción innecesaria y puede alejar clientes; no aplicarla donde sí toca es directamente una infracción sancionable.


La lógica detrás del sistema: el enfoque basado en riesgo

Antes de entrar en qué es simplificada y qué es reforzada, conviene entender por qué existe esa distinción. El marco AML europeo —y la normativa española en particular— pivota sobre lo que se llama enfoque basado en riesgo (risk-based approach). La idea es que los recursos de cumplimiento son limitados y deben concentrarse donde el riesgo real de blanqueo o financiación del terrorismo es mayor.

No tiene ningún sentido invertir el mismo tiempo en verificar a una mutualidad de previsión social que a una empresa pantalla constituida en una jurisdicción no cooperativa. Por eso, el legislador permite adaptar la intensidad del KYC al perfil de riesgo real de cada cliente, operación o producto.

Principio base: El nivel de diligencia debida debe ser proporcional al riesgo. Ni más, ni menos. Aplicar sistemáticamente diligencia reforzada a todo el mundo no es "cumplir mejor", es incumplir el propio enfoque que exige la ley.

Diligencia debida normal: el punto de partida

Antes de hablar de simplificada y reforzada, vale la pena recordar qué incluye la diligencia normal, que es el estándar para la mayoría de clientes y operaciones. La Ley 10/2010, artículo 3, establece cuatro medidas básicas que deben aplicarse siempre:

  1. Identificación formal del cliente y del titular real (con documento oficial vigente)
  2. Verificación de la identidad mediante documentación fidedigna
  3. Comprensión del propósito e índole de la relación de negocio o la operación
  4. Seguimiento continuo de la relación para detectar inconsistencias con el perfil declarado

Esto se aplica, como mínimo, al inicio de cada relación de negocio y en operaciones ocasionales que superen los 1.000 euros (umbral general para la identificación formal del cliente). Para la identificación del titular real, el umbral en operaciones ocasionales sube a 15.000 euros.


Diligencia debida simplificada: cuándo y para quién

La diligencia simplificada (DDS) está regulada en el artículo 9 de la Ley 10/2010 y el artículo 16 del Real Decreto 304/2014. Permite reducir la intensidad y la frecuencia de las medidas de KYC cuando el riesgo de blanqueo o financiación del terrorismo es objetivamente bajo.

¿Qué clientes o productos permiten aplicar DDS?

El reglamento no da carta blanca. Enumera categorías específicas donde el riesgo se considera inherentemente reducido:

  • Entidades financieras sujetas a supervisión equivalente: bancos, aseguradoras, gestoras de fondos que operen bajo regulación de la UE o de un tercer país con estándares equivalentes a los europeos.
  • Empresas cotizadas en mercados regulados de la UE, o de terceros países con requisitos de transparencia equivalentes.
  • Administraciones públicas españolas o de la UE: sujetos con identidad y actividad plenamente transparentes.
  • Productos y operaciones de bajo riesgo: seguros de vida con prima anual inferior a 1.000 euros o prima única inferior a 2.500 euros, planes de pensiones sin rescate anticipado, productos específicos de ahorro con ventaja fiscal regulados por ley.
  • Dinero electrónico que no permita recargas superiores a 150 euros mensuales y no sea reembolsable en efectivo por encima de 50 euros.

¿Qué puede simplificarse exactamente?

La simplificación no elimina las obligaciones: las reduce en su intensidad. En la práctica, eso puede significar:

  • Verificar la identidad del cliente con menos documentación inicial
  • Reducir la frecuencia del seguimiento continuo
  • No requerir información detallada del titular real en operaciones de cuantía mínima
  • Diferir la verificación formal hasta después del inicio de la relación de negocio (cuando hay justificación de urgencia o baja posibilidad de evasión)
Atención: La DDS no elimina la obligación de identificar al cliente ni la de reportar operaciones sospechosas. Simplifica el procedimiento, no suspende las obligaciones fundamentales. Y para aplicarla, el sujeto obligado debe tener documentada la justificación de por qué ese cliente o producto la merece.

Diligencia debida reforzada: los casos en que no hay margen

La diligencia reforzada (DDR) es el régimen más exigente y está regulada en el artículo 11 de la Ley 10/2010 y los artículos 18 a 25 del Real Decreto 304/2014. Se aplica cuando la situación presenta factores de riesgo elevado que no pueden ignorarse.

Casos donde la DDR es obligatoria por ley

La normativa española establece una lista de supuestos donde la DDR siempre aplica, sin necesidad de evaluación caso a caso:

  • Personas Políticamente Expuestas (PEPs) y sus familiares directos y allegados
  • Relaciones de negocio con clientes no presenciales (contratación online o a distancia sin verificación presencial, salvo que se usen mecanismos electrónicos equivalentes)
  • Operaciones con países de alto riesgo: los identificados por la Comisión Europea como jurisdicciones con deficiencias estratégicas en AML/CFT (lista actualizada periódicamente)
  • Corresponsalía bancaria transfronteriza con entidades de terceros países
  • Banca privada y gestión de grandes patrimonios
  • Envío de dinero y cambio de moneda extranjera por encima de los umbrales reglamentarios
  • Operaciones inmobiliarias complejas con financiación en efectivo, múltiples intermediarios o estructuras opacas

Casos donde aplica por evaluación del riesgo propio

Además de los supuestos legales automáticos, la DDR se activa cuando tu propio análisis de riesgo —el que debes tener documentado en el Manual de Prevención— detecta señales de alerta que elevan el perfil del cliente. Algunos ejemplos:

  • Clientes con estructuras accionariales opacas o con mucho nivel de intermediación
  • Operaciones que no tienen sentido económico aparente para el perfil del cliente
  • Clientes que muestran resistencia a proporcionar documentación o información sobre el origen de los fondos
  • Patrones de operaciones fragmentadas o inusuales (smurfing, pagos estructurados)
  • Presencia en medios de comunicación por investigaciones o procesos judiciales

¿En qué consiste la DDR en la práctica?

La reforzada no es solo "pedir más papeles". Tiene un contenido concreto que la normativa exige:

  • Investigación del origen del patrimonio y de los fondos: no basta con preguntar al cliente de dónde viene el dinero. Hay que obtener documentación que lo acredite de forma razonable (declaraciones de renta, escrituras, contratos, etc.).
  • Aprobación de la alta dirección o del órgano de cumplimiento para iniciar o continuar la relación de negocio.
  • Seguimiento reforzado y continuo: la monitorización de transacciones debe ser más frecuente y reactiva ante desviaciones del perfil habitual.
  • Documentación exhaustiva de todas las decisiones: por qué se analizó, qué se encontró y por qué se tomó la decisión de aceptar o rechazar.
Dato de referencia: En las últimas memorias de actividades del SEPBLAC, la deficiencia más recurrente en las inspecciones no es la falta de identificación formal, sino la "aplicación insuficiente de medidas reforzadas en clientes de alto riesgo" y la ausencia de documentación que acredite que se evaluó el riesgo y se tomó una decisión fundada. La DDR sin documentación equivale a no haberla aplicado.

Si quieres profundizar en cómo aplicarla en la práctica —con checklist, ejemplos por sector y análisis de los artículos 19-22 del Reglamento— tenemos una guía completa: Diligencia debida reforzada (ampliada): qué es, cuándo es obligatoria y cómo aplicarla.


Tabla comparativa rápida

Aspecto Simplificada (DDS) Normal Reforzada (DDR)
Cuándo aplica Riesgo bajo comprobado Caso estándar Riesgo alto, PEPs, no presencial, países de riesgo
Identificación Reducida o diferida Completa Completa + verificación adicional
Origen de fondos No exigida Información básica Documentación acreditativa obligatoria
Aprobación dirección No necesaria No necesaria Sí, obligatoria
Monitorización Reducida Estándar Intensificada y continua
Documentación Justificación del régimen simplificado Expediente KYC completo Expediente KYC + justificación de cada decisión

El error más común: confundir la ausencia de sospecha con bajo riesgo

Muchos equipos de cumplimiento aplican diligencia simplificada —o incluso la omiten— simplemente porque "el cliente no da mala espina". Eso no es análisis de riesgo, es intuición. Y la intuición no supera una inspección del SEPBLAC.

El régimen simplificado exige que el cliente, producto u operación encaje en alguno de los supuestos normativos que habilitan ese régimen. No basta con que no haya señales de alerta. La justificación debe ser objetiva, estar documentada y, en caso de duda, preferir el estándar normal.

En el mismo sentido, la DDR también debe activarse de forma proactiva, sin esperar a que aparezca algo obvio. Si el perfil del cliente tiene factores de riesgo elevado desde el principio —aunque no haya ninguna señal de alarma inmediata—, la diligencia reforzada aplica desde el primer momento.


Lo que cambia con el nuevo Reglamento Europeo (UE) 2024/1624

El paquete AML aprobado por la UE en mayo de 2024 —especialmente el Reglamento (UE) 2024/1624— introduce cambios relevantes en los umbrales y categorías de diligencia debida que afectarán a los sujetos obligados españoles cuando entre en aplicación plena en julio de 2027.

  • El umbral general para aplicar medidas de diligencia debida en operaciones ocasionales se eleva a 10.000 euros (frente al régimen actual español)
  • El umbral para la identificación formal del cliente en operaciones ocasionales se fija en 3.000 euros
  • Los prestadores de servicios de criptoactivos quedan explícitamente incluidos: DDR obligatoria en operaciones ocasionales desde 1.000 euros
  • Mayor armonización en la definición de PEPs y en los criterios de DDR entre estados miembros
  • Mayor exigencia documental sobre el origen del patrimonio en perfiles de alto riesgo

El Ministerio de Economía ya ha abierto una consulta pública previa para la transposición de estos cambios al ordenamiento español. No hay prisa inmediata, pero conviene seguir el proceso de cerca, especialmente si tu empresa opera en sectores que tradicionalmente han tenido umbrales más bajos.


Conclusión

La diligencia debida no es un proceso binario. Es una escala. Y aplicarla bien —simplificada donde procede, reforzada donde toca y normal en el resto— no es solo una cuestión legal: es lo que distingue un programa de cumplimiento funcional de uno meramente formal.

El problema real no suele ser la voluntad de cumplir, sino la capacidad de hacerlo de forma sistemática y consistente. Decidir en cada caso qué nivel aplica, documentarlo correctamente y monitorizarlo de forma continua es una tarea que a mano, en cualquier empresa con un volumen moderado de clientes, se vuelve inmanejable. Si tu proceso de KYC descansa en criterios no documentados o en el sentido común del gestor de turno, tienes una brecha real esperando a que la encuentre una inspección.

Etiquetas:Diligencia simplificadaDiligencia reforzadaDiligencia ampliadaEDDKYCLey 10/2010SEPBLACDue diligenceBlanqueo de capitalesCompliance AML

¿Listo para cumplir sin complicaciones?

CiberGuardIA AML automatiza el KYC, el screening de sanciones, el análisis de riesgo y los expedientes SEPBLAC. Empieza gratis, sin tarjeta de crédito.

Sin tarjeta de crédito · Configuración en minutos · Soporte en español

Este sitio utiliza cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias. Puede aceptar todas las cookies, rechazarlas o configurar sus preferencias. Más información