Si llevas tiempo trabajando en entornos regulados o simplemente estás empezando a adentrarte en el mundo de la prevención del blanqueo de capitales, habrás comprobado que el sector tiene un idioma propio. Siglas, acrónimos, anglicismos y términos técnicos que se mezclan con fluidez y que, si no los controlas, hacen que las conversaciones con el SEPBLAC, con tu software de cumplimiento o con la auditoría interna se conviertan en un ejercicio de deducción.
Este glosario recoge los 30 términos fundamentales que cualquier responsable de cumplimiento, director financiero, asesor legal o empresario en un sector regulado debería manejar con soltura. No como una lista árida de definiciones, sino con explicaciones que tienen en cuenta el contexto legal español y cómo se aplica cada concepto en el día a día de un sujeto obligado.
Úsalo como referencia. Guárdalo. Compártelo con tu equipo. Y si detectas algún término que falta, bienvenido sea el debate.
Los 30 términos esenciales del mundo AML/PBC
1. AML (Anti-Money Laundering)
En español, prevención del blanqueo de capitales. Es el término inglés de referencia internacional que engloba el conjunto de normas, procedimientos y controles diseñados para detectar y prevenir el lavado de dinero. Cuando hablamos de "software AML", "compliance AML" o "equipo AML", estamos hablando de todo el aparato organizativo y técnico que una empresa desarrolla para no convertirse —ni voluntaria ni involuntariamente— en vehículo del blanqueo.
2. PBC (Prevención del Blanqueo de Capitales)
El equivalente español de AML. La normativa núcleo en España es la Ley 10/2010, de 28 de abril, complementada por su Reglamento de desarrollo (RD 304/2014). Cuando alguien dice "las obligaciones PBC", está hablando de todo lo que exige esta ley: identificación del cliente, diligencia debida, comunicación de operaciones sospechosas, formación del personal, Manual PBC, etc.
3. Sujeto Obligado
Toda persona física o jurídica que, por el tipo de actividad que desarrolla, queda bajo el paraguas de la Ley 10/2010 y está obligada a cumplir con sus exigencias. El artículo 2 de la ley define quién es sujeto obligado: bancos, aseguradoras, inmobiliarias, gestorías, notarías, abogados en determinadas operaciones, auditores, joyeros, casinos, asesores fiscales... La lista es más amplia de lo que la mayoría imagina. Si tienes dudas de si tu empresa está en esa lista, probablemente lo está.
4. SEPBLAC
El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias. Es la Unidad de Inteligencia Financiera (UIF) de España, adscrita al Banco de España. Recibe las comunicaciones de operaciones sospechosas, realiza inspecciones a los sujetos obligados, emite guías y tipologías, y propone sanciones. Cuando dices "el SEPBLAC me ha inspeccionado" o "hemos enviado un DOS al SEPBLAC", te refieres a esta institución.
5. KYC (Know Your Customer)
"Conoce a tu cliente". Es el proceso mediante el cual el sujeto obligado identifica y verifica la identidad del cliente antes de establecer una relación de negocio. KYC incluye la verificación documental (DNI, pasaporte, escrituras societarias), la obtención del propósito de la relación y el análisis del perfil de riesgo del cliente. En el contexto digital actual, el eKYC (KYC electrónico) permite hacer todo esto de forma remota mediante tecnología OCR, biometría y comparación con bases de datos.
6. CDD (Customer Due Diligence) — Diligencia Debida
El conjunto de medidas que se aplican para conocer al cliente en profundidad: identificación, verificación de identidad, identificación del titular real, comprensión de la naturaleza y propósito de la relación, y monitorización continua. La diligencia debida no es un trámite que se hace una vez y se olvida: es un proceso continuo durante toda la vida de la relación con el cliente.
7. SDD (Simplified Due Diligence) — Diligencia Debida Simplificada
Cuando el riesgo asociado a un cliente o tipo de operación es bajo, la ley permite aplicar medidas reducidas de diligencia. Esto significa que algunos controles pueden ser menos intensivos, aunque nunca pueden eliminarse por completo. Un ejemplo típico: clientes que son Administraciones Públicas o entidades de crédito supervisadas en la UE. La clave está en que la decisión de aplicar SDD debe estar documentada y justificada en el análisis de riesgo.
8. EDD (Enhanced Due Diligence) — Diligencia Debida Reforzada
En el extremo opuesto. Cuando el riesgo es alto —porque el cliente es una PEP, proviene de un país de alto riesgo, la operación es de gran importe o existen señales de alerta— hay que aplicar medidas reforzadas. Esto implica investigación adicional sobre el origen de los fondos, aprobación de la relación por un nivel directivo superior, monitorización más frecuente y documentación exhaustiva. La EDD no es opcional cuando se detectan factores de riesgo elevado.
9. UBO (Ultimate Beneficial Owner) — Titular Real
La persona física que, en última instancia, posee o controla a un cliente persona jurídica. Si una empresa tiene como accionista a otra empresa, que a su vez tiene otra, el UBO es la persona de carne y hueso que está al final de esa cadena. La Ley 10/2010 obliga a identificar al UBO siempre que se supere el umbral del 25% de participación o control efectivo. Si no hay ninguna persona con más del 25%, hay que identificar al que ejerce el control por otros medios. Identificar correctamente al UBO es una de las obligaciones más críticas y, a la vez, una de las que más problemas genera en la práctica.
10. PEP (Persona Políticamente Expuesta)
Una persona que ocupa o ha ocupado recientemente un cargo público prominente: jefes de Estado, ministros, parlamentarios, altos cargos judiciales, directivos de empresas públicas, embajadores, militares de alto rango... y también sus familiares directos y colaboradores estrechos. Las PEPs se consideran de riesgo elevado por su potencial exposición a la corrupción, aunque eso no significa que sean automáticamente sospechosos. Lo que significa es que requieren EDD, aprobación directiva y monitorización reforzada. La condición de PEP persiste, en España, al menos dos años después de cesar en el cargo.
11. DOS (Declaración de Operación Sospechosa)
El documento mediante el cual un sujeto obligado comunica al SEPBLAC una operación que, tras analizarla, considera que podría estar relacionada con el blanqueo de capitales o la financiación del terrorismo. El artículo 18 de la Ley 10/2010 regula esta obligación. El DOS debe enviarse de forma confidencial (sin alertar al cliente) y en cuanto sea posible una vez detectada la sospecha. No comunicar cuando se debería es una infracción grave. Comunicar sin fundamento real, en cambio, no está penalizado explícitamente, aunque debe hacerse con criterio.
12. STR (Suspicious Transaction Report)
El equivalente internacional del DOS. En el contexto anglosajón o en comunicaciones con organismos internacionales, se habla de STR o SAR (Suspicious Activity Report). El concepto es idéntico: el reporte formal de una operación o actividad sospechosa a la autoridad competente. En España, el canal es el SEPBLAC y el formato es el DOS. Cuando leas STR en directivas europeas o estándares del GAFI, son sinónimos.
13. GAFI / FATF
El Grupo de Acción Financiera Internacional (FATF en inglés). Es el organismo intergubernamental que establece los estándares globales para la lucha contra el blanqueo de capitales, la financiación del terrorismo y la proliferación de armas. Sus 40 Recomendaciones son la referencia internacional que todos los países miembros —incluida España— deben implementar en su legislación nacional. El GAFI también publica listas de jurisdicciones con deficiencias estratégicas (las famosas listas negra y gris) que afectan directamente a cómo deben gestionarse los clientes o transacciones vinculados a esos países.
14. Lista Negra y Lista Gris del GAFI
Dos categorías de países con deficiencias en sus sistemas AML/CFT. La lista negra (jurisdicciones de alto riesgo sujetas a llamada a la acción) incluye países como Irán y Corea del Norte, donde se aplican contramedidas reforzadas o directamente se restringe la operativa. La lista gris (jurisdicciones bajo monitorización intensificada) incluye países que están trabajando para corregir deficiencias identificadas por el GAFI: operar con ellos no está prohibido, pero requiere aplicar EDD. Esta lista se actualiza en febrero y junio de cada año.
15. CFT (Combating the Financing of Terrorism) — Financiación del Terrorismo
La prevención de la financiación del terrorismo es la otra pata, junto al blanqueo, del sistema AML. La diferencia clave: los fondos que financian el terrorismo pueden ser perfectamente lícitos en origen; el problema es su destino. Esto lo hace especialmente difícil de detectar. La obligación de screening de listas de sanciones (para detectar personas o entidades vinculadas al terrorismo) y la comunicación de operaciones sospechosas de FT son parte de las obligaciones de los sujetos obligados bajo la Ley 10/2010.
16. Screening de Sanciones
El proceso de cruzar la información de clientes, beneficiarios, UBOs y contrapartes contra listas de sanciones internacionales: la lista consolidada de la Unión Europea, la lista del Consejo de Seguridad de la ONU, la lista OFAC (Treasury Office of Foreign Assets Control, de EE.UU.), y otras listas relevantes como las nacionales de la Guardia Civil o el Tesoro. Este screening debe realizarse en el momento del onboarding, ante cualquier actualización de datos y, de forma proactiva, cuando las listas se actualizan (lo que puede ocurrir sin previo aviso).
17. Listas de Sanciones
Registros públicos de personas físicas, personas jurídicas, buques y aeronaves sobre los que pesan medidas restrictivas internacionales: congelación de activos, prohibición de transacciones, embargo de viajes, etc. Las principales con impacto en España son: la Lista Consolidada de la UE (Reglamento CE 2580/2001 y otros), la Lista ONU (Resoluciones del Consejo de Seguridad, especialmente los Comités 1267 y 1988) y la Lista SDN de OFAC. Aunque la OFAC es americana, tiene alcance extraterritorial de facto y cualquier empresa que opere con dólares o tenga contrapartes en EE.UU. debe tenerla en cuenta.
18. Risk Scoring — Puntuación de Riesgo
El proceso mediante el cual se asigna una puntuación de riesgo a cada cliente basándose en múltiples variables: país de residencia o actividad, tipo de actividad económica, volumen y tipo de operaciones, presencia en listas, categoría PEP, estructura societaria opaca, etc. El resultado es una clasificación (habitualmente bajo, medio, alto) que determina el nivel de diligencia debida aplicable y la frecuencia de revisión del expediente. El scoring no es estático: debe actualizarse cuando cambia el perfil del cliente o cuando la actividad real difiere del perfil esperado.
19. Enfoque Basado en Riesgo (EBR)
El principio regulatorio central de la Ley 10/2010 y de las directivas europeas: los recursos de cumplimiento deben concentrarse donde el riesgo es más elevado. Esto significa que no todos los clientes merecen el mismo nivel de atención ni los mismos controles. Un cliente de bajo riesgo puede gestionarse con medidas simplificadas, mientras que un cliente de alto riesgo exige recursos, tiempo y documentación adicional. El EBR da flexibilidad operativa, pero también exige una capacidad analítica sólida para justificar las decisiones de riesgo tomadas.
20. Smurfing
Una tipología de blanqueo que consiste en fragmentar grandes sumas de dinero en múltiples transacciones de menor importe, distribuyéndolas entre distintas personas (los "pitufos" o smurfs) o en distintos momentos, para evitar los umbrales que activan los controles o los informes obligatorios. El nombre viene de los famosos personajes de dibujos animados azules, en referencia a la idea de multiplicar pequeñas unidades para formar un todo mayor. Los sistemas de monitorización de transacciones están diseñados, entre otras cosas, para detectar patrones de smurfing.
21. Structuring (Estructuración)
Muy relacionado con el smurfing, el structuring es la práctica de dividir deliberadamente operaciones para situarlas por debajo de los umbrales legales de reporte o control. En España, el umbral de referencia más conocido es el de 10.000€ en operaciones con efectivo (Artículo 34, DMO), pero los sistemas robustos de monitorización detectan patrones recurrentes que sugieren estructuración aunque ninguna transacción individual supere el umbral.
22. DMO (Declaración de Movimiento de Efectivo)
La obligación de declarar ante Aduanas los movimientos de efectivo iguales o superiores a 10.000 euros cuando se cruce una frontera exterior de la UE (y declaración previa si se mueven más de 100.000€ dentro del territorio nacional entre distintas entidades obligadas). El Artículo 34 de la Ley 10/2010 y el Reglamento (UE) 2018/1672 regulan este aspecto. Los sujetos obligados deben conservar la información sobre las operaciones en efectivo y, en su caso, reportarlas al SEPBLAC.
23. Representante ante el SEPBLAC
El directivo o alto responsable designado formalmente por el sujeto obligado como interlocutor ante el SEPBLAC. Su nombre debe ser comunicado al SEPBLAC y es la persona responsable de recibir y canalizar los requerimientos del supervisor, así como de aprobar las DOS antes de su envío en entidades de cierto tamaño. No es una figura decorativa: tiene responsabilidad personal por el cumplimiento normativo de la organización en materia PBC.
24. Manual PBC
El documento interno que recoge las políticas, procedimientos y controles que el sujeto obligado ha establecido para cumplir con la Ley 10/2010. No hay un formato único, pero sí contenido mínimo obligatorio: política de aceptación de clientes, procedimientos de diligencia debida, criterios de riesgo, procedimientos de comunicación interna de operaciones sospechosas, plan de formación, etc. El Manual PBC debe estar aprobado por el órgano de administración, actualizado ante cambios normativos y puesto a disposición del SEPBLAC cuando lo solicite. Un manual desactualizado o que no refleja la realidad operativa de la empresa es uno de los hallazgos más frecuentes en las inspecciones.
25. Órgano de Control Interno (OCI)
La estructura interna de la empresa encargada de supervisar el cumplimiento de las medidas de prevención del blanqueo. En entidades grandes, puede ser un comité específico. En medianas y pequeñas, el OCI puede coincidir con la dirección general o el comité de dirección. Lo importante es que exista formalmente, tenga competencias definidas, se reúna con regularidad y documente sus decisiones. El SEPBLAC verifica su existencia y funcionamiento en las inspecciones.
26. Medios Adversos / Adverse Media
La búsqueda y análisis sistemático de noticias e información pública negativa sobre un cliente, potencial cliente o sus relacionados. El objetivo es detectar vínculos con actividades delictivas, escándalos de corrupción, fraudes o sanciones que no aparezcan en las listas oficiales pero que estén en el dominio público. El adverse media screening es un componente clave del KYC avanzado, especialmente en clientes de alto riesgo, y los sistemas modernos lo automatizan con agregadores de noticias e inteligencia artificial.
27. Correspondent Banking — Banca Corresponsal
La relación entre dos entidades bancarias mediante la que una (el banco corresponsal) presta servicios a otra (el banco respondent). Este modelo, esencial para las transferencias internacionales, ha sido históricamente uno de los vectores de mayor riesgo de blanqueo, especialmente a través de relaciones con bancos pantalla (shell banks) o con entidades de jurisdicciones de alto riesgo. Las directivas europeas y las recomendaciones del GAFI establecen requisitos específicos de diligencia para este tipo de relaciones.
28. Shell Company / Sociedad Pantalla
Una entidad jurídica constituida en papel pero sin actividad económica real, empleados, activos tangibles ni presencia física significativa. Las sociedades pantalla se utilizan frecuentemente para ocultar la identidad del verdadero propietario de fondos o activos, dificultar el rastreo de transacciones o interponer capas entre el origen ilícito del dinero y su destinatario final. Su presencia en la estructura societaria de un cliente es, por sí sola, una señal de alerta que exige investigación adicional.
29. Operación Inusual / Red Flag
Una transacción o patrón de comportamiento que se desvía, sin explicación razonable, del perfil esperado del cliente o de las prácticas habituales del sector. Los indicadores de operaciones inusuales ("señales de alerta" o red flags) están tipificados en guías del SEPBLAC y del GAFI. Algunos ejemplos clásicos: cliente que pide discreción sin justificación, operaciones en efectivo recurrentes por importes que rozan los umbrales, estructura societaria compleja sin lógica de negocio evidente, o cliente que no puede explicar el origen de sus fondos. La detección de una red flag no implica que haya blanqueo: implica que debe investigarse más antes de continuar.
30. Reglamento (UE) 2024/1624 — El nuevo paquete AML europeo
El paquete legislativo AML aprobado por la UE en junio de 2024 y que entrará en vigor a partir de 2027. Supone la mayor reforma del marco europeo de prevención del blanqueo desde la Cuarta Directiva. Entre sus novedades más relevantes: un reglamento de aplicación directa (sin necesidad de transposición nacional), la creación de la Autoridad AML/CFT de la UE (AMLA) con sede en Frankfurt, y la armonización de los umbrales de diligencia debida para pagos en efectivo en toda la UE. Para los sujetos obligados españoles, significa que en 2027 habrá cambios significativos en los procedimientos de cumplimiento que deben anticiparse desde ya.
Un último apunte sobre el lenguaje del compliance
Dominar la terminología AML no es un ejercicio de pedantería académica. En una inspección del SEPBLAC, en una reunión con el comité de dirección, en la redacción del Manual PBC o ante una due diligence por parte de un banco corresponsal, hablar con precisión demuestra que el sistema de cumplimiento está gestionado por profesionales que entienden lo que hacen.
Y si estás construyendo o revisando tu sistema de prevención del blanqueo y alguno de estos conceptos todavía te resulta borroso, ya sabes de dónde partir. El siguiente paso es comprobar que tu organización tiene procedimientos concretos para cada uno de ellos.