Compliance & Regulación

El Manual PBC: qué debe incluir y cómo tenerlo siempre actualizado

El Manual de Prevención del Blanqueo es lo primero que pide el SEPBLAC en una inspección. Descubre qué secciones son obligatorias, qué errores evitar y cómo mantenerlo al día.

9 min de lectura

¿Necesitas automatizar este proceso hoy?

CiberGuardIA AML gestiona el KYC, screening y expedientes de forma automatizada.

Probar gratis
Manual PBC abierto sobre mesa de trabajo con documentación de compliance y normativa de prevención del blanqueo de capitales

Hay un documento que, cuando llega una inspección del SEPBLAC, los inspectores piden de forma casi invariable en los primeros minutos. Antes de revisar expedientes de clientes, antes de comprobar comunicaciones de operaciones sospechosas, antes de hablar con el responsable de cumplimiento. Ese documento es el Manual de Prevención del Blanqueo de Capitales.

Y lo que encuentran en muchas empresas —especialmente en las medianas y pequeñas— suele ser una de estas tres cosas: un manual que es una plantilla descargada de internet con cuatro campos rellenados, un documento de 2018 que no se ha tocado desde entonces, o directamente... que no existe. Los tres escenarios son problemáticos. Los tres pueden derivar en sanción.

Este artículo explica qué debe contener el Manual PBC según la normativa vigente, cómo estructurarlo de forma que sea útil (y no solo un documento que duerme en un cajón) y cómo mantenerlo actualizado cuando la regulación cambia —que, últimamente, cambia bastante.


¿Qué es el Manual PBC y por qué es obligatorio?

El Manual PBC es el documento interno que recoge las políticas, procedimientos y controles que un sujeto obligado ha establecido para cumplir con la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. No es un trámite opcional ni un complemento bienvenido. Es una obligación legal.

El artículo 26 de la Ley 10/2010 establece la obligación de los sujetos obligados de "establecer procedimientos adecuados de control interno y de comunicación" para prevenir e impedir operaciones de blanqueo. El Reglamento de desarrollo (Real Decreto 304/2014) concreta cómo deben articularse esos procedimientos. Todo ese aparato normativo se materializa, en la práctica, en el Manual PBC.

Dicho de forma directa: si eres sujeto obligado —inmobiliaria, gestoría, asesor financiero, joyero, notaría, casino, abogado en operaciones específicas, etc.— tienes que tenerlo. Y tiene que estar actualizado, aprobado por el órgano de administración y reflejar fielmente lo que tu empresa hace en la realidad.


Lo que el SEPBLAC busca cuando revisa tu Manual

Antes de entrar en el contenido, conviene entender qué perspectiva tiene el inspector cuando abre ese documento. No busca un manual bonito. Busca tres cosas concretas:

  1. Que exista y esté vigente. Suena obvio, pero no lo es. Muchos manuales tienen fecha de aprobación de hace cinco años y no han sido revisados desde entonces. Eso, en sí mismo, es un hallazgo.
  2. Que refleje la realidad operativa de la empresa. Si el manual dice que se realiza una revisión de clientes de alto riesgo cada seis meses pero en la práctica no hay ningún registro de esas revisiones, hay una discrepancia que el inspector va a señalar.
  3. Que esté adaptado al sector y al perfil de riesgo real. Un manual genérico, copiado y pegado sin adaptación al tipo de negocio, es casi peor que no tener ninguno. Demuestra que el proceso de redacción no fue serio.

Con esa perspectiva en mente, veamos qué debe contener.


Estructura y contenido obligatorio del Manual PBC

No existe un formato único homologado por el SEPBLAC. La ley habla de contenidos mínimos, no de una plantilla. Pero sí existe un consenso en la práctica sobre qué secciones son imprescindibles y cómo deben articularse.

1. Análisis de riesgo del sujeto obligado

Esta es la sección que, con diferencia, está peor desarrollada en la mayoría de los manuales que he visto. Y es, paradójicamente, la más importante.

El análisis de riesgo es la base sobre la que se construye todo lo demás. Consiste en identificar y evaluar los riesgos de blanqueo a los que está expuesta tu empresa, considerando:

  • Tipos de clientes que atiende (particulares, empresas, no residentes, PEPs...)
  • Países o zonas geográficas con los que opera
  • Productos o servicios que ofrece
  • Canales de distribución utilizados (presencial, digital, intermediarios...)
  • Volumen y tipo de operaciones habituales

El resultado de este análisis debe traducirse en una clasificación del nivel de riesgo global de la entidad y, a partir de ahí, en una justificación de por qué los procedimientos establecidos son proporcionales a ese riesgo. Si tu empresa atiende principalmente a clientes de bajo riesgo con operaciones estándar, eso debe estar justificado. Si, en cambio, opera en sectores o con clientes de perfil más complejo, los controles deben ser más intensivos.

2. Política de aceptación de clientes

Esta sección define quién puede ser cliente de la empresa y quién no. Debe incluir:

  • Criterios de aceptación por nivel de riesgo (bajo, medio, alto)
  • Categorías de clientes no admitidos o que requieren aprobación especial (PEPs, residentes en jurisdicciones de alto riesgo, personas con antecedentes conocidos en blanqueo...)
  • El proceso de aprobación interna para clientes de alto riesgo (¿quién lo autoriza? ¿en qué plazos? ¿con qué documentación?)
  • Los criterios para rechazar o dar de baja a un cliente existente

Un error frecuente: muchas empresas tienen esta política implícita (todo el mundo "sabe" que hay ciertos clientes que no se aceptan) pero no está documentada. En una inspección, lo que no está escrito no existe.

3. Medidas de diligencia debida

Aquí se describe con detalle cómo se identifica y verifica la identidad de los clientes. Esta sección es extensa y debe cubrir, al menos:

  • Diligencia debida ordinaria: documentación requerida para personas físicas y jurídicas, verificación del titular real (UBO), comprensión del propósito de la relación de negocio.
  • Diligencia debida simplificada (SDD): qué categorías de clientes pueden beneficiarse de ella y bajo qué condiciones. Debe estar justificada en el análisis de riesgo.
  • Diligencia debida reforzada (EDD): qué factores la activan (PEPs, países de alto riesgo, operaciones complejas, importes elevados...) y qué pasos adicionales implica.
  • Identificación no presencial: si la empresa acepta clientes de forma remota, el manual debe explicar cómo se garantiza la equivalencia de la verificación.
  • Monitorización continua: cómo y con qué frecuencia se revisa el perfil de los clientes existentes.

4. Procedimientos de comunicación interna de operaciones sospechosas

¿Qué hace un empleado cuando detecta algo que le genera dudas? El manual debe responder a esa pregunta con un procedimiento claro y sin ambigüedad:

  • A quién comunica la sospecha (responsable inmediato, representante SEPBLAC, OCI...)
  • En qué plazo y por qué canal
  • Qué información mínima debe incluir la comunicación interna
  • Qué sucede después: ¿quién analiza? ¿quién decide si se eleva al SEPBLAC como DOS?
  • Cómo se garantiza la confidencialidad frente al cliente

Este circuito interno tiene que ser realista y funcional. Un procedimiento que dice "el empleado comunica a la dirección general" en una empresa de 200 personas es perfectamente válido en papel e inútil en la práctica.

5. Estructura organizativa y responsabilidades PBC

Esta sección identifica a las personas con responsabilidades específicas en el sistema de prevención:

  • Representante ante el SEPBLAC: nombre, cargo y mecanismo de comunicación con el supervisor. Su designación debe haberse comunicado formalmente al SEPBLAC.
  • Órgano de Control Interno (OCI): composición, funciones, periodicidad de reuniones y documentación de acuerdos. En entidades pequeñas puede coincidir con la dirección general, pero tiene que estar formalizado.
  • Estructura de reporte: quién reporta a quién en materia PBC y cómo se escalan las decisiones de alto riesgo.

6. Programa de formación del personal

La formación en PBC no es opcional. El manual debe recoger:

  • A qué empleados aplica el programa (no solo al equipo de compliance)
  • Qué contenidos se cubren y con qué periodicidad
  • Cómo se acredita que la formación se ha realizado (registros, certificados, firmas...)
  • Qué formación específica se da a los empleados que se incorporan de nuevas

En inspecciones, el SEPBLAC suele pedir los registros de las últimas sesiones formativas. Si no existen, es un hallazgo. Si los registros muestran que solo reciben formación las cinco personas del equipo de compliance y no los gestores de clientes que tienen contacto directo con ellos, también puede ser un problema.

7. Conservación de documentación

La ley establece un plazo mínimo de conservación de diez años para la documentación de diligencia debida y de las operaciones. El manual debe recoger:

  • Qué documentación se conserva y durante cuánto tiempo
  • Dónde y en qué soporte (físico, digital, mixto)
  • Cómo se garantiza la integridad y accesibilidad de los documentos cuando se requieran
  • Los procedimientos de destrucción segura una vez transcurridos los plazos

8. Procedimientos de control interno y auditoría

Un sistema de prevención que nadie supervisa es un sistema que no funciona. Esta sección debe describir:

  • Cómo se audita internamente el cumplimiento de los procedimientos (¿hay auditoría interna? ¿externa? ¿con qué frecuencia?)
  • Los indicadores de seguimiento que se utilizan para medir la eficacia del sistema
  • El proceso de revisión y actualización del propio Manual PBC

Los errores más frecuentes que detecta el SEPBLAC

Después de revisar numerosas inspecciones y hallazgos del SEPBLAC —tanto en sus informes públicos como en la experiencia acumulada del sector— hay una serie de problemas que se repiten con llamativa frecuencia:

Manual desactualizado

Es el número uno. Empresas con manuales aprobados en 2019 o 2021 que no han sido revisados desde entonces, a pesar de que entre tanto la empresa ha cambiado de actividad, ha incorporado nuevos productos o canales, o simplemente la normativa ha evolucionado. Si el manual no tiene una fecha de revisión anual programada y documentada, este problema está virtualmente garantizado.

Análisis de riesgo genérico o inexistente

Muchos manuales tienen un análisis de riesgo que no es tal: dos párrafos que dicen que "la empresa tiene un riesgo bajo-medio porque opera en España y sus clientes son empresas nacionales". Sin datos. Sin evaluación por categorías. Sin justificación. Eso no es un análisis de riesgo, es un párrafo de relleno.

Desconexión entre el manual y la realidad operativa

El manual dice que se hace una cosa; en la práctica se hace otra. Esto puede ocurrir en la diligencia debida (el manual exige documentación que en realidad no se solicita sistemáticamente), en la monitorización (dice que es trimestral y los registros muestran que rara vez se hace) o en la formación (el plan existe pero los registros son escasos o inexistentes).

Falta de aprobación formal por el órgano de administración

El Manual PBC debe estar aprobado formalmente por el consejo de administración o, en su defecto, por el órgano equivalente. No basta con que lo haya redactado el responsable de compliance. Tiene que haber una decisión formal y documentada del órgano de gobierno. En muchas empresas pequeñas esto ni siquiera se plantea.

Representante SEPBLAC no comunicado o desactualizado

La designación del representante ante el SEPBLAC debe comunicarse formalmente al supervisor. Si la persona ha cambiado (por ejemplo, por una rotación en la dirección), la comunicación de actualización es obligatoria. Es un trámite sencillo que con frecuencia se olvida.


Cómo mantenerlo actualizado: el ciclo de revisión

Un manual que se redacta una vez y se archiva para siempre no vale de nada. La pregunta real es: ¿cómo montamos un proceso sostenible de actualización?

Lo que funciona en la práctica es establecer un ciclo de revisión estructurado con tres disparadores:

Revisión anual programada

Una vez al año, el OCI o el responsable de compliance revisa el manual de forma sistemática: ¿siguen siendo válidos los criterios de riesgo? ¿Ha habido cambios normativos que afecten a alguna sección? ¿Los procedimientos documentados reflejan lo que realmente se hace? Esta revisión queda documentada en el registro del OCI aunque no genere cambios.

Actualización por cambio normativo

Cada vez que se produce un cambio relevante en la normativa —una circular del SEPBLAC, una nueva directiva europea transpuesta, un cambio en la Ley 10/2010 como el producido por el Real Decreto-ley 9/2024— se evalúa el impacto en el manual y se actualiza si procede. Esta evaluación también debe quedar documentada aunque la conclusión sea que no hay cambios que incorporar.

Actualización por cambio en la actividad de la empresa

Si la empresa lanza un nuevo producto, incorpora un canal digital de onboarding, empieza a operar con clientes extranjeros o experimenta cualquier cambio significativo en su modelo de negocio, el manual debe revisarse para comprobar si los procedimientos existentes son adecuados para la nueva realidad o requieren adaptación.


El impacto del nuevo marco europeo 2024-2027

No podemos terminar este artículo sin hacer referencia a lo que viene. En junio de 2024, la Unión Europea adoptó un paquete legislativo AML de gran calado: el Reglamento (UE) 2024/1624 y la Directiva (UE) 2024/1640 (Sexta Directiva PBC).

Este paquete supone la mayor reforma del marco europeo de prevención del blanqueo desde la Cuarta Directiva. Las novedades más relevantes para los sujetos obligados españoles:

  • Un reglamento de aplicación directa que armoniza los requisitos de diligencia debida en toda la UE, eliminando parte de la discrecionalidad nacional en la transposición
  • La creación de la Autoridad AML/CFT de la UE (AMLA), con sede en Frankfurt, que supervisará directamente a las entidades de mayor riesgo y coordinará a los supervisores nacionales
  • La ampliación del colectivo de entidades obligadas, incluyendo intermediarios en el mercado de criptoactivos
  • La armonización en toda la UE del umbral de pagos en efectivo de alto riesgo

Los Estados Miembros tienen hasta el 10 de julio de 2027 para transponer la Directiva. Eso no significa que sea un tema que pueda dejarse para 2027: el proceso de transposición en España implicará modificaciones en la Ley 10/2010 y en el Reglamento 304/2014, y las empresas que ya tengan sus sistemas de cumplimiento bien rodados necesitarán menos esfuerzo de adaptación que las que empiecen con retraso.

La recomendación práctica: cuando realices la revisión anual de tu Manual PBC en 2025 o 2026, incluye un apartado de "seguimiento normativo" donde se recojan los cambios pendientes de transposición y su impacto potencial en los procedimientos internos.


Un manual vivo, no un documento muerto

La metáfora que más me gusta para describir lo que debe ser un Manual PBC es la de un organismo vivo. Nace con una estructura, pero crece y se adapta a medida que la empresa evoluciona y la normativa cambia. Un manual que no cambia nunca, en un sector regulatorio tan dinámico como este, es un manual que ha dejado de reflejar la realidad.

El objetivo final no es tener un manual para enseñarlo al SEPBLAC. El objetivo es tener un sistema de prevención del blanqueo que funcione de verdad, y el manual es la plasmación documental de ese sistema. Si el sistema funciona bien, el manual estará actualizado por necesidad. Si el manual está actualizado pero el sistema no funciona... ya sabes cómo acaba esa historia en una inspección.

Y si al leer esto te das cuenta de que llevas tiempo sin revisar el tuyo, ya sabes por dónde empezar.

Etiquetas:Manual PBCPrevención blanqueoSEPBLACObligaciones PBCLey 10/2010Compliance

¿Listo para cumplir sin complicaciones?

CiberGuardIA AML automatiza el KYC, el screening de sanciones, el análisis de riesgo y los expedientes SEPBLAC. Empieza gratis, sin tarjeta de crédito.

Sin tarjeta de crédito · Configuración en minutos · Soporte en español

Este sitio utiliza cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias. Puede aceptar todas las cookies, rechazarlas o configurar sus preferencias. Más información