La Ley 10/2010 lleva años siendo el elefante en la habitación para muchas empresas españolas. Todo el mundo ha oído hablar de ella, pero pocos saben exactamente qué les exige y si realmente les aplica.
Spoiler: aplica a más sectores de los que imaginas. Y el SEPBLAC —el organismo que la supervisa— lleva varios años endureciendo las inspecciones y el ritmo de sanciones.
En este artículo vamos a explicar qué es esta ley, a quién obliga y qué tienes que hacer si tu empresa entra en su ámbito. Sin rodeos.
¿De qué trata la Ley 10/2010?
La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo es la norma principal en España que obliga a empresas y profesionales a actuar como un primer filtro frente al lavado de dinero.
Surgió para transponer la Tercera Directiva Europea en materia de AML y ha tenido varias modificaciones desde entonces. Las últimas actualizaciones relevantes se publicaron en diciembre de 2024 y enero de 2025, adaptando el texto a las nuevas realidades del mercado —especialmente las cripto y los intermediarios digitales.
Su reglamento de desarrollo es el Real Decreto 304/2014, que concreta cómo se aplica cada obligación en la práctica.
En resumen: la ley te obliga a conocer a tus clientes, vigilar sus operaciones y comunicar al SEPBLAC cualquier indicio razonable de blanqueo. No es negociable y no entiende de tamaño de empresa.
¿Quién está obligado? La lista que deberías leer despacio
El error más común es pensar que esto es cosa de bancos. El artículo 2 de la Ley 10/2010 define los sujetos obligados con una amplitud que sorprende a muchos:
Sector financiero y asegurador
- Bancos, cajas de ahorro y cooperativas de crédito
- Aseguradoras del ramo de vida
- Empresas de servicios de inversión (ESIs) y gestoras de fondos
- Entidades de pago y de dinero electrónico
- Casas de cambio de moneda
- Proveedores de servicios sobre criptomonedas (incorporados en la reforma de 2025)
Sector inmobiliario
- Promotores inmobiliarios
- Agentes y mediadores en compraventa o alquiler de inmuebles
- Gestorías y administradores de fincas que participen en operaciones inmobiliarias
Profesionales jurídicos y contables
- Notarios y registradores de la propiedad, mercantiles y de bienes muebles
- Abogados en determinadas operaciones: compraventa de inmuebles, gestión de sociedades, administración de fondos...
- Auditores, contables externos y asesores fiscales
Otros sectores que sorprenden
- Casinos (presenciales y online)
- Joyerías, anticuarios y comercios de metales preciosos u objetos de arte
- Fundaciones y asociaciones
- Servicios postales con capacidad de giro o transferencia
- Intermediarios digitales que faciliten transacciones financieras internacionales (novedad 2025)
Si tu empresa encaja en alguna de estas categorías, eres sujeto obligado. Lo que viene a continuación es obligatorio para ti, no opcional.
Las 8 obligaciones concretas que tienes que cumplir
Cumplir la Ley 10/2010 no es firmar un papel una vez. Es un sistema continuo de controles. Estas son las obligaciones principales:
1. Diligencia debida del cliente (KYC)
Antes de formalizar cualquier relación comercial, tienes que identificar y verificar a tu cliente. No basta con ver el DNI: necesitas entender a qué se dedica, de dónde vienen sus fondos y cuál es el propósito real de la relación.
Dependiendo del riesgo que represente el cliente, aplicarás:
- Diligencia simplificada → clientes de bajo riesgo con perfil claro y predecible
- Diligencia estándar → la mayoría de casos habituales
- Diligencia reforzada → clientes de alto riesgo, PEPs, países FATF, operaciones en efectivo elevadas
2. Identificación del titular real (UBO)
Si tu cliente es una sociedad, no puedes quedarte en la superficie. La ley te obliga a identificar al titular real — la persona física que hay detrás, que posea o controle más del 25% del capital o los derechos de voto.
Este es, de lejos, el punto que más falla en las inspecciones del SEPBLAC. La cadena de participaciones puede ser larga, pero tienes que llegar hasta el final.
3. Seguimiento continuo de las operaciones
El onboarding es solo el inicio. Tienes que mantener un sistema activo de monitorización de operaciones. Si un cliente que normalmente factura 50.000 € al año empieza a mover 500.000 €, eso es una señal de alerta que no puedes ignorar.
4. Comunicación de operaciones sospechosas (COS)
Si detectas algo que no encaja, tienes que comunicarlo al SEPBLAC. Dos cosas importantes que conviene tener muy claras:
- No necesitas certeza de que es blanqueo; basta con que exista indicio razonable
- Está prohibido avisar al cliente de que le has comunicado al SEPBLAC (tipping off). Hacerlo puede ser considerado una infracción grave
5. Manual interno de prevención
Debes contar con un Manual de Prevención del Blanqueo de Capitales aprobado por la dirección de la empresa. No es un trámite burocrático: el SEPBLAC lo revisa durante las inspecciones y evalúa si está adaptado a la realidad de tu negocio.
Un manual genérico descargado de internet no sirve. Tiene que reflejar tus procesos reales.
6. Representante ante el SEPBLAC
Tienes que nombrar formalmente a una persona responsable de la comunicación con el SEPBLAC. En empresas pequeñas suele ser el propio gerente; en empresas más grandes puede ser un Oficial de Cumplimiento o Compliance Officer dedicado.
7. Formación continua del personal
Los empleados que interactúen con clientes o manejen operaciones tienen que recibir formación periódica en materia de PBC. El SEPBLAC revisa el registro de formaciones: fechas, contenidos, asistentes. Una sola sesión de hace tres años no es suficiente.
8. Conservación de documentación durante 10 años
Toda la documentación de diligencia debida, los registros de operaciones y las comunicaciones con el SEPBLAC deben conservarse durante un mínimo de diez años.
Diez años. No cinco. No siete. Diez. Y en formato que permita recuperarla ágilmente si el SEPBLAC la solicita durante una inspección.
El enfoque basado en riesgo: la clave que cambia todo
Uno de los conceptos que más cuesta interiorizar es el enfoque basado en riesgo (Risk-Based Approach). La ley no te pide que apliques exactamente las mismas medidas a todos tus clientes. Te pide que las medidas sean proporcionales al riesgo real de cada relación.
No tratas igual a un notario que formaliza hipotecas estándar que a una sociedad instrumental radicada en las Islas Vírgenes Británicas que quiere comprarte un edificio en efectivo. La ley lo reconoce y te da margen para calibrar.
Los factores que aumentan el nivel de riesgo de un cliente incluyen:
- Ser PEP (Persona Políticamente Expuesta) o tener vínculos con una
- Residir en o llevar fondos de países listados por el FATF como de alto riesgo
- Operaciones frecuentes o elevadas en efectivo
- Estructuras societarias opacas con múltiples capas de holding
- Actividades de alto riesgo intrínseco: envío de remesas, cambio de moneda, juego
¿Qué pasa si no cumples?
El régimen sancionador de la Ley 10/2010 no se anda con chiquitas. Las infracciones se clasifican en leves, graves y muy graves, y las multas correspondientes van desde unos pocos miles de euros hasta varios millones.
Las infracciones más graves pueden acarrear también:
- Publicación de la sanción en el BOE y en la web del SEPBLAC (con nombre y apellidos, o razón social)
- Revocación de licencias para operar
- Inhabilitación temporal de administradores
Y no es teoría. El SEPBLAC lleva años publicando resoluciones sancionadoras contra agencias inmobiliarias, gestorías, asesores financieros y entidades financieras de todos los tamaños. El sector inmobiliario, en particular, es uno de los que más expedientes acumula.
Lo que viene: el paquete regulatorio europeo de 2027
Si hay algo que tienes que apuntar en el calendario, es el año 2027. La Unión Europea aprobó en mayo de 2024 dos normas que van a transformar el panorama de la prevención del blanqueo en España:
- Reglamento (UE) 2024/1624 — Un reglamento de PBC unificado para toda la UE, de aplicación directa, sin necesidad de transposición nacional. Obligaciones más estrictas para todos los sujetos obligados.
- Reglamento (UE) 2024/1620 — Crea la AMLA (Anti-Money Laundering Authority), la nueva autoridad supervisora europea con sede en Frankfurt. Tendrá competencia directa sobre las entidades de mayor riesgo.
Las empresas que lleguen a 2027 con sus procedimientos bien rodados tendrán la adaptación hecha. Las que lo hayan dejado para el último momento van a sufrir. El tiempo que tienes ahora es valioso: úsalo.
Conclusión
La Ley 10/2010 puede parecer una carga burocrática más, pero en el fondo es una herramienta de protección: protege el sistema económico y, si la cumples bien, protege también a tu empresa de ser usada sin saberlo como vehículo de lavado de dinero.
El cumplimiento real no consiste en tener papeles firmados en un cajón. Consiste en tener procesos vivos, actualizados y proporcionales al riesgo de tu negocio.
Si tu empresa es sujeto obligado y todavía gestionas el KYC con hojas de cálculo o carpetas físicas, es momento de darle una vuelta seria. Las herramientas modernas de compliance automatizan buena parte de la carga operativa y dejan un rastro documental impecable para cuando llegue una inspección.