KYC & Onboarding

PEPs (Personas Políticamente Expuestas): cómo identificarlos y qué riesgo implican

Un PEP puede ser cliente válido, pero exige diligencia reforzada. Aprende a identificar personas políticamente expuestas, qué listas consultar y qué procedimientos aplicar en cumplimiento de la Ley 10/2010.

9 min de lectura

¿Necesitas automatizar este proceso hoy?

CiberGuardIA AML gestiona el KYC, screening y expedientes de forma automatizada.

Probar gratis
Personas Políticamente Expuestas (PEPs): guía de identificación y diligencia reforzada en compliance AML

La primera vez que aceptas como cliente a un alto cargo de la administración —un concejal, un directivo de una empresa pública, un embajador— sin activar los mecanismos correctos, ya has cometido una infracción. Y lo peor no es que lo hayas hecho del todo adrede, sino que probablemente ni sabías que esa persona tenía la condición de PEP.

Las Personas Políticamente Expuestas son uno de los conceptos que más confusión generan en compliance, y también uno de los que más expedientes sancionadores protagonizan. No porque sean clientes prohibidos —no lo son—, sino porque requieren un tratamiento diferente desde el primer momento. Y ese "diferente" tiene nombre, forma y consecuencias concretas si se omite.


La Ley 10/2010, de prevención del blanqueo de capitales y la financiación del terrorismo, y su reglamento de desarrollo, el Real Decreto 304/2014, son las normas de referencia en España. Ambas siguen de cerca las recomendaciones del GAFI (Grupo de Acción Financiera Internacional) sobre este colectivo.

Un PEP es toda persona física que ejerce o ha ejercido funciones públicas importantes. La palabra "importantes" no es vaga: la normativa detalla un catálogo de cargos, entre los que se incluyen:

  • Jefes de Estado, jefes de Gobierno, ministros, secretarios de Estado y subsecretarios
  • Parlamentarios y miembros de asambleas legislativas
  • Miembros de tribunales supremos o constitucionales, tribunales de cuentas y bancos centrales
  • Embajadores, encargados de negocios y altos mandos militares
  • Miembros de órganos rector de empresas de propiedad estatal (consejos de administración incluidos)
  • Miembros de la dirección de partidos políticos con representación parlamentaria
  • Altos cargos de organizaciones internacionales (FMI, Banco Mundial, Europol, etc.)

La lista no opera solo para cargos españoles. Un ministro marroquí, un gobernador regional ecuatoriano o un diputado de una asamblea regional francesa también tienen la condición de PEP cuando operan con una entidad española sujeta a la normativa AML.

Punto importante: El SEPBLAC no publica una lista de nombres de personas. Publica una relación de cargos y funciones que determinan la condición de PEP en España (disponible en el portal del Tesoro Público). La identificación del individuo concreto que ocupa cada cargo es responsabilidad del sujeto obligado.

Los familiares y allegados: la parte que más se pasa por alto

Aquí es donde muchas empresas fallan. La condición de PEP no se circunscribe a la persona que ocupa el cargo. La normativa extiende las obligaciones de diligencia reforzada a dos círculos adicionales:

Familiares directos

  • Cónyuge o pareja de hecho
  • Hijos e hijas, y sus respectivos cónyuges o parejas
  • Padres y madres del PEP

Allegados

Personas con las que el PEP mantiene una relación de negocio o personal estrecha. El reglamento menciona expresamente:

  • Personas que comparten la titularidad real de una entidad jurídica o estructura legal con el PEP
  • Personas que mantienen con el PEP cualquier otra relación de negocios estrecha conocida
  • Personas que son titulares reales exclusivos de entidades o estructuras usadas de facto en beneficio del PEP

En la práctica, esto significa que si el hijo de un ministro quiere comprar un inmueble a través de tu agencia, o si una empresa cuyo socio es la mujer de un diputado regional te contrata, la diligencia reforzada es obligatoria aunque ellos mismos no sean el PEP.

Error típico: Preguntar solo si el cliente es PEP y olvidar preguntar si tiene relación familiar o de negocio con uno. La obligación aplica en ambos sentidos y el SEPBLAC lo sabe. En sus inspecciones revisa sistemáticamente si los formularios de onboarding contemplan esa doble pregunta.

¿Cuánto tiempo dura la condición de PEP?

Esta pregunta tiene una respuesta que sorprende a mucha gente: al menos dos años después de haber dejado el cargo. La normativa española, siguiendo las pautas del GAFI, establece que la condición de PEP no desaparece el día en que alguien deja de ser ministro o deja de ocupar un escaño.

El razonamiento es lógico: las redes de influencia, los activos acumulados durante el ejercicio del cargo y los riesgos de corrupción no se esfuman de un día para otro. Por eso, los sujetos obligados deben mantener la clasificación de PEP —y las medidas reforzadas asociadas— durante ese período de carencia mínimo de 24 meses.

Pasado ese plazo sin indicios adicionales de riesgo, la entidad puede revisar la clasificación y, si procede, reconducir al cliente a diligencia estándar. Pero eso requiere una decisión documentada por parte de la función de cumplimiento, no un simple olvido.


Qué exige la diligencia reforzada en la práctica

Cuando un cliente es PEP, la diligencia debida reforzada (ampliada) entra en modo estricto. No es solo pedir más documentación: el artículo 20 del RD 304/2014 establece medidas concretas que debes aplicar y documentar.

Cuando un cliente es PEP (o familiar o allegado de uno), la diligencia normal no es suficiente. La Ley 10/2010 y el Reglamento 304/2014 exigen aplicar medidas adicionales que van bastante más allá de pedir el DNI:

1. Aprobación de la alta dirección

Antes de establecer o continuar la relación de negocio con un PEP, debe haber una autorización explícita de la dirección o, en función del tamaño de la empresa, del órgano equivalente. No es suficiente con que lo autorice el gestor de cuenta o el agente comercial. Alguien con autoridad real debe decidir, documentar y firmar esa aprobación.

2. Investigación del origen de los fondos y del patrimonio

Esta es la exigencia que más incomoda en la práctica. Debes obtener información razonada sobre de dónde procede el dinero que el cliente va a emplear en la operación. Eso puede significar pedir declaraciones de renta, escrituras de transmisiones anteriores, justificantes de herencias, contratos de trabajo o cualquier otra documentación que explique de forma coherente la capacidad económica del PEP.

3. Seguimiento continuo reforzado

La monitorización de las operaciones de un PEP debe ser más frecuente e intensa que la de un cliente estándar. Cualquier transacción inusual —un cambio brusco de volumen, una operación fuera del perfil habitual, movimientos de fondos a países de alto riesgo— debe generar una alerta y, si no se puede explicar con coherencia, derivar en un análisis especial y, si procede, en una comunicación al SEPBLAC.

4. Documentación de cada decisión

Todo lo anterior debe quedar registrado. La aprobación de la dirección, la investigación del origen de fondos, los resultados del seguimiento. Si en una inspección el SEPBLAC pide el expediente de un cliente PEP y no hay rastro de que se hicieron estas cosas, da igual que las hayas hecho: lo que no está documentado no existe.


Qué listas hay que consultar y cómo

España no tiene un registro público de PEPs nominativo. Pero los sujetos obligados deben tener acceso a fuentes fiables para identificarlos. En la práctica, las herramientas más utilizadas son:

  • Bases de datos comerciales especializadas: World-Check (Refinitiv), Dow Jones Risk & Compliance, LexisNexis Risk Solutions. Son las más completas y actualizadas. Incluyen PEPs nacionales e internacionales, familiares y allegados, y actualizan cuando alguien deja un cargo.
  • Fuentes públicas nacionales: El BOE, el portal del Congreso y del Senado, los boletines oficiales de las comunidades autónomas. Útiles para verificar manualmente, pero no escalables para volúmenes elevados.
  • Diarios oficiales europeos e internacionales: Para PEPs extranjeros.
  • Medios de comunicación y búsqueda en fuentes abiertas (OSINT): Como capa complementaria, no como capa principal.

El Reglamento 304/2014 permite delegar la consulta de estas listas en terceros —proveedores de servicios especializados— siempre que el sujeto obligado mantenga la responsabilidad última y documente adecuadamente esa delegación.

Dato práctico: La Memoria de Actividades del SEPBLAC 2024 señala expresamente como deficiencia recurrente la "identificación y clasificación incorrecta de clientes de alto riesgo" y la "verificación insuficiente de la titularidad real en perfiles de riesgo elevado". Los PEPs son el perfil de alto riesgo por excelencia. Si tu sistema de identificación depende de que el cliente declare voluntariamente su condición, estás un paso por detrás.

PEPs nacionales vs. PEPs extranjeros: ¿hay diferencia en el tratamiento?

La normativa española hace una distinción relevante aquí, aunque con matices. Respecto a personas que ejercen o han ejercido funciones públicas en España, la diligencia reforzada aplica de forma obligatoria cuando la relación de negocio presenta factores adicionales de riesgo —no de forma automática por el mero cargo—. Esto se llama diligencia reforzada graduada.

Sin embargo, para PEPs extranjeros —personas que ejercen o han ejercido funciones en otro país o en una organización internacional—, la aplicación de medidas reforzadas es prácticamente automática. La razón es que la menor transparencia de registros públicos en muchas jurisdicciones hace que el riesgo sea inherentemente más difícil de evaluar.

En la práctica, la mayoría de los sujetos obligados aplican el estándar más exigente a todos los PEPs independientemente de la nacionalidad. Es la postura más segura y la que mejor resiste una inspección.


Qué pasa si no lo haces bien: el precio del incumplimiento

No aplicar diligencia reforzada a un PEP cuando la normativa lo exige es una infracción grave o muy grave bajo la Ley 10/2010. Las sanciones pueden llegar hasta los 10 millones de euros o el 10% de los recursos propios de la entidad —la cuantía mayor de las dos—, además de amonestación pública. Puedes ver ejemplos reales en nuestro análisis de multas del SEPBLAC 2024-2025.

Y no son solo casos teóricos. En 2023, el SEPBLAC impuso 25 sanciones firmes, entre ellas una multa de 347.366,50 € a una entidad de crédito específicamente por incumplimiento de medidas reforzadas de diligencia debida. Las sanciones no firmes de ese año superaron los 38 millones de euros en conjunto —incluyendo la sanción de cerca de 3,9 millones a ING España.

El sector inmobiliario, las gestorías y los asesores financieros son tres de los colectivos donde el SEPBLAC ha detectado más carencias sistemáticas en el control de PEPs. No es casualidad: son sectores donde es relativamente frecuente operar con clientes de perfil elevado, y donde la cultura de cumplimiento ha llegado más tarde que en la banca.


Lo que cambia con la nueva normativa europea (AMLD6 y el Reglamento Único)

El paquete legislativo aprobado en mayo de 2024 por la Unión Europea —la Directiva (UE) 2024/1640 y el Reglamento (UE) 2024/1624— introduce cambios relevantes en el tratamiento de PEPs que España tendrá que incorporar en los próximos años. Los plazos son escalonados: algunas medidas para julio de 2025, otras para julio de 2026, y el Reglamento Único de aplicación directa entrará en vigor el 10 de julio de 2027.

Entre los cambios más relevantes para el ámbito de los PEPs:

  • Definición más granular de qué funciones determinan la condición de PEP, con mayor armonización entre estados miembros
  • Posible ajuste del período de carencia posterior al abandono del cargo
  • Refuerzo de las obligaciones de monitorización continua de PEPs en relaciones de negocio ya establecidas
  • Mayor exigencia documental sobre la justificación del origen del patrimonio

El Ministerio de Economía, Comercio y Empresa ya ha lanzado una consulta pública previa para adaptar la normativa española a estos cambios. Si tienes sujetos obligados en tu empresa o asesoras a alguno, conviene seguir de cerca este proceso de transposición.


Conclusión

El tratamiento de los PEPs no es una formalidad opcional que se activa cuando aparece un nombre famoso. Es una obligación estructural que debe estar integrada en el proceso de onboarding desde el primer formulario hasta la aprobación final, y que se mantiene activa durante toda la relación de negocio —y durante al menos dos años después.

El problema habitual no es que los equipos no quieran cumplir, sino que no tienen herramientas que hagan esa identificación de forma sistemática y sin depender de que el cliente sea honesto al declarar su situación. Si tu proceso actual se basa en fiar de la autodeclaración, tienes una brecha real en tu modelo de cumplimiento. Y el SEPBLAC, cuando llega a revisar, la encontrará antes que tú.

Etiquetas:PEPsPersonas Políticamente ExpuestasDiligencia reforzadaKYCLey 10/2010SEPBLACBlanqueo de capitalesCompliance AML

¿Listo para cumplir sin complicaciones?

CiberGuardIA AML automatiza el KYC, el screening de sanciones, el análisis de riesgo y los expedientes SEPBLAC. Empieza gratis, sin tarjeta de crédito.

Sin tarjeta de crédito · Configuración en minutos · Soporte en español

Este sitio utiliza cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias. Puede aceptar todas las cookies, rechazarlas o configurar sus preferencias. Más información