Compliance & Regulación

Qué es el GAFI (FATF) y por qué sus listas importan a tu empresa

El GAFI es el organismo internacional que define los estándares globales de lucha contra el blanqueo. Sus listas negra y gris determinan el nivel de riesgo de los países con los que operas.

9 min de lectura

¿Necesitas automatizar este proceso hoy?

CiberGuardIA AML gestiona el KYC, screening y expedientes de forma automatizada.

Probar gratis
GAFI FATF listas países alto riesgo y obligaciones para empresas en España

Si llevas un tiempo trabajando en compliance AML, el GAFI ya forma parte de tu vocabulario. Pero si estás empezando a familiarizarte con el mundo de la prevención del blanqueo, probablemente hayas visto las siglas sin saber muy bien a qué organismo se refieren ni, sobre todo, por qué debería importarte en el día a día de tu empresa.

Y es que el GAFI —o FATF, en sus siglas en inglés— es quizás el organismo internacional que más influye en la normativa AML española, aunque su nombre apenas aparezca en los titulares.


Qué es el GAFI y qué hace exactamente

El Grupo de Acción Financiera Internacional (GAFI), conocido internacionalmente como Financial Action Task Force (FATF), es un organismo intergubernamental creado en 1989 por el G7 durante la cumbre de París. Nació con un objetivo concreto: coordinar una respuesta internacional frente al blanqueo de capitales procedente del tráfico de drogas. Con el tiempo, su mandato se amplió para incluir la financiación del terrorismo y, más recientemente, la proliferación de armas de destrucción masiva.

Hoy, el GAFI agrupa a 39 miembros (37 jurisdicciones más la Comisión Europea y el Consejo de Cooperación del Golfo) y cuenta con una red de organismos regionales —los llamados FATF-Style Regional Bodies (FSRBs)— que extienden sus estándares al resto del mundo. España forma parte del GAFI como miembro pleno desde su fundación, y la influencia del organismo en nuestra legislación AML es directa y profunda.

La función principal del GAFI es doble: por un lado, establece estándares internacionales a través de sus Recomendaciones (40 en total, revisadas de forma periódica). Por otro, evalúa el cumplimiento de esos estándares entre sus miembros a través de revisiones mutuas (mutual evaluations), cuyos resultados son públicos y tienen consecuencias reales en la reputación regulatoria de cada país.

Para España: La última evaluación mutua del GAFI se realizó en 2014. La siguiente, prevista en el marco del quinto ciclo de evaluaciones, traerá un escrutinio renovado sobre el estado de la supervisión AML en el país, particularmente en sectores no financieros.

Las Recomendaciones del GAFI: el esqueleto de tu normativa AML

Cuando en España se habla de la Ley 10/2010 de Prevención del Blanqueo de Capitales, o del Reglamento de desarrollo de 2014, o de los requisitos de diligencia debida, identificación del titular real, formación de empleados y demás obligaciones que pesan sobre los sujetos obligados... toda esa estructura normativa tiene su origen en las Recomendaciones del GAFI.

Las 40 Recomendaciones cubren áreas como:

  • La identificación y verificación de clientes (KYC)
  • La identificación del titular real o beneficiario efectivo (UBO)
  • El seguimiento continuo de relaciones de negocio
  • La comunicación de operaciones sospechosas
  • Los controles específicos para personas políticamente expuestas (PEPs)
  • Las obligaciones respecto a corresponsalía bancaria transfronteriza
  • Los requisitos para los países de alto riesgo

En esencia, si tu empresa está sujeta a la normativa PBC/AML española, es porque España decidió transponer los estándares del GAFI a su ordenamiento jurídico. Así que cuando el GAFI revisa sus Recomendaciones —cosa que hace periódicamente— tarde o temprano el cambio llega a la normativa nacional.


Las listas del GAFI: negra y gris

Aquí está la parte que más directamente afecta a la gestión diaria de riesgos. El GAFI publica —normalmente tres veces al año, tras sus reuniones plenarias de febrero, junio y octubre— dos tipos de listas con jurisdicciones que presentan deficiencias en sus regímenes AML/CFT.

La lista negra: países de alto riesgo sujetos a llamada de acción

La lista negra (formalmente denominada "Jurisdicciones de Alto Riesgo Sujetas a un Llamado a la Acción") identifica a países cuyas deficiencias estratégicas en materia de prevención de blanqueo son tan graves que el GAFI insta a sus miembros a aplicar no solo diligencia debida reforzada, sino contramedidas activas para proteger el sistema financiero internacional.

A febrero de 2026, los únicos países en lista negra son:

  • Corea del Norte
  • Irán
  • Myanmar (Birmania)

Para estas jurisdicciones, la presión no es solo normativa. Hay restricciones financieras adicionales de la ONU y la UE que hacen que operar con contrapartes de estos países sea, en la práctica, inviable para la inmensa mayoría de las empresas españolas.

La lista gris: jurisdicciones bajo mayor monitoreo

La lista gris (oficialmente "Jurisdicciones bajo Mayor Monitoreo") es más dinámica y conceptualmente más interesante desde el punto de vista operativo. Incluye países que, a diferencia de los de la lista negra, han reconocido sus deficiencias AML y se han comprometido con el GAFI a corregirlas, pero están todavía en proceso de hacerlo.

Estar en lista gris no significa automáticamente que no puedas tener clientes o proveedores de ese país — significa que tienes que aplicar diligencia debida reforzada a cualquier relación de negocio con contrapartes de esa jurisdicción.

La lista gris se actualiza en cada ciclo plenario. A febrero de 2026, los países bajo mayor monitoreo incluyen, entre otros:

  • Angola, Argelia, Bolivia, Bulgaria, Camerún
  • Costa de Marfil, Haití, Islas Vírgenes Británicas
  • Kenia, Kuwait, Laos, Líbano, Mónaco, Namibia, Nepal
  • Papúa Nueva Guinea, República Democrática del Congo
  • Siria, Sudán del Sur, Venezuela, Vietnam, Yemen

Los movimientos son frecuentes. En la actualización de octubre de 2025, Burkina Faso, Mozambique, Nigeria y Sudáfrica fueron retirados de la lista. En febrero de 2026, Kuwait y Papúa Nueva Guinea fueron incorporados. Mantenerse al día requiere un proceso activo, no una foto fija.

Nota importante: El Tesoro Público español (tesoro.es) publica y difunde las listas del GAFI y hace seguimiento de las actualizaciones. Los sujetos obligados deben incorporar esta información a sus procedimientos de gestión de riesgos. La responsabilidad de estar actualizado recae sobre la entidad, no sobre el supervisor.

¿Qué obligaciones concretas activan estas listas para tu empresa?

Aquí es donde la teoría se convierte en procedimiento. Si tu empresa es sujeto obligado por la Ley 10/2010 y tienes relaciones de negocio con personas o entidades de países en lista gris o negra del GAFI, se activan obligaciones específicas que van más allá de la diligencia debida ordinaria.

1. Diligencia debida reforzada (DDR)

El artículo 16 de la Ley 10/2010 y el Reglamento de 2014 establecen que la procedencia de una operación o la residencia de un cliente en un país de alto riesgo GAFI activa la diligencia debida reforzada. Esto implica, como mínimo:

  • Obtener información adicional sobre el cliente y el propósito de la relación de negocio
  • Incrementar el nivel de verificación documental
  • Obtener la aprobación de la alta dirección para establecer o continuar la relación de negocio
  • Aumentar la frecuencia del seguimiento de operaciones
  • Verificar el origen de los fondos implicados

2. Análisis de riesgo actualizado

La lista gris del GAFI no es estática. Cada vez que se actualiza — tres veces al año— las empresas deben revisar si algún cliente activo o potencial se ve afectado por los cambios. Si una jurisdicción entra en la lista, cualquier cliente de ese país que ya tengas dado de alta pasa automáticamente a requerir diligencia reforzada. Esto no es opcional ni puede dejarse para la próxima revisión periódica programada.

3. Posibilidad de contramedidas para lista negra

Para los países en lista negra, el GAFI puede exigir medidas que van más allá de la diligencia reforzada: limitar o cortar relaciones de negocio, rechazar transacciones, o incluso aplicar contramedidas financieras coordinadas con las sanciones internacionales de la UE o la ONU. En la práctica, para una empresa española, operar con contrapartes de Corea del Norte, Irán o Myanmar está prohibido o es extremadamente complejo de justificar.


La confusión frecuente: GAFI vs. Sanciones internacionales

Es un error que veo con cierta frecuencia, así que merece un momento de clarificación. Las listas del GAFI y las listas de sanciones internacionales (UE, ONU, OFAC) son cosas distintas, aunque a veces se solapan.

  • Las sanciones internacionales (UE, ONU, OFAC) identifican a personas, empresas y entidades concretas con las que está prohibido operar. Son individuales.
  • Las listas del GAFI identifican jurisdicciones (países) con deficiencias en sus sistemas AML. Afectan al nivel de diligencia que aplicas a tus clientes de esos países, no prohíben directamente operar con ellos (salvo en los casos de lista negra con contramedidas).

Un cliente de Venezuela (que está en lista gris del GAFI) no es un cliente sancionado. Pero sí requiere que apliques un proceso de diligencia reforzada, que documentes el propósito de la relación y que obtengas la aprobación de dirección para operarla. Son cosas distintas con consecuencias distintas.


Cómo integrar las listas del GAFI en tus procesos

Lo más habitual es que las empresas gestionen la exposición a países GAFI de dos formas:

En el onboarding

El formulario de alta de cliente debe capturar el país de residencia/constitución y cruzarlo con la lista GAFI actualizada. Si hay coincidencia con lista gris o negra, el flujo de onboarding debe enrutar automáticamente el expediente a un proceso de diligencia reforzada, con la correspondiente cadena de aprobación de alta dirección antes de confirmar la admisión del cliente.

En la monitorización continua

Cada vez que el GAFI actualiza sus listas (febrero, junio, octubre), la empresa debe cruzar la nueva lista con su base de clientes activos para identificar si alguno se ve afectado por los cambios. Los clientes de jurisdicciones que entran en la lista gris necesitan ser reclasificados y sometidos a diligencia reforzada aunque ya estuvieran dados de alta con el nivel ordinario.

En el análisis de riesgo país

La lista gris GAFI debe ser una de las fuentes que informa tu modelo de riesgo país, junto con otros indicadores como el Índice de Percepción de Corrupción de Transparency International o las evaluaciones mutuas del GAFI de cada jurisdicción. Un perfil de riesgo país construido correctamente integra todas estas señales, no solo una.

Ejemplo práctico: Bulgaria estuvo en la lista gris del GAFI hasta finales de 2025, lo que significa que durante ese período cualquier cliente o transacción vinculada a Bulgaria debía tratarse con diligencia reforzada, pese a ser un Estado miembro de la UE. Este tipo de situaciones, donde hay tensión entre la pertenencia a la UE y el estatus GAFI, son más frecuentes de lo que parece y requieren un criterio claro en los procedimientos internos.

El horizonte regulatorio: AMLA y el futuro de los estándares GAFI

La creación de la Autoridad Europea Anti-Blanqueo (AMLA), cuya sede se ha establecido en Fráncfort y que comenzará a supervisar directamente a entidades de alto riesgo de la UE a partir de 2026, traerá una aplicación más uniforme de los estándares GAFI en todo el mercado europeo. Hasta ahora, la transposición de las Recomendaciones del GAFI en cada país miembro ha sido heterogénea — la AMLA tiene entre sus objetivos eliminar esa fragmentación.

El Reglamento (UE) 2024/1624, que entrará en plena aplicación en julio de 2027, incorpora ya muchos de los estándares actualizados del GAFI, incluyendo la extensión del ámbito de los sujetos obligados, el refuerzo de los requisitos sobre titulares reales y la digitalización de los procesos de cumplimiento.

Para cualquier empresa sujeta a obligaciones PBC en España, entender el GAFI no es solo una cuestión académica. Es entender la fuente de la que emana la normativa que te aplica, anticipar cómo evolucionará y saber interpretar con criterio unas listas que, actualizadas tres veces al año, son una herramienta viva de gestión de riesgo.


En resumen

Si tuvieras que quedarte con tres ideas clave sobre el GAFI:

  1. El GAFI define el marco global. Sus 40 Recomendaciones son el origen de la normativa AML española. Cuando la ley cambia, suele ser porque el GAFI ha actualizado sus estándares.
  2. Sus listas negra y gris son operativas. No son información académica — activan obligaciones concretas de diligencia debida reforzada que afectan directamente a tus procedimientos de onboarding y monitorización.
  3. Se actualizan tres veces al año. Las listas de febrero, junio y octubre requieren una revisión activa de tu base de clientes después de cada actualización. No es un proceso anual, es trimestral.

Si tu empresa todavía gestiona esto de forma manual —cruzando a mano los países de cada cliente con la última versión de la lista GAFI que descargaste hace meses— ya sabes que el riesgo es real. Automatizar ese cruce, con actualizaciones en tiempo real y alertas automáticas cuando un cliente queda afectado por un cambio de lista, es exactamente el tipo de problema que una herramienta AML debería resolver sin que tengas que pensar en ello.

Etiquetas:GAFIFATFLista negra FATFLista gris FATFPaíses alto riesgoPBCCompliance

¿Listo para cumplir sin complicaciones?

CiberGuardIA AML automatiza el KYC, el screening de sanciones, el análisis de riesgo y los expedientes SEPBLAC. Empieza gratis, sin tarjeta de crédito.

Sin tarjeta de crédito · Configuración en minutos · Soporte en español

Este sitio utiliza cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias. Puede aceptar todas las cookies, rechazarlas o configurar sus preferencias. Más información