Si la Ley 10/2010 es el marco legal que obliga a miles de empresas españolas a prevenir el blanqueo de capitales, el Real Decreto 304/2014 es la norma que convierte esas obligaciones en algo concreto y accionable. Sin el Reglamento, la Ley sería una declaración de intenciones. Con él, tienes deberes específicos, plazos concretos y —si no cumples— sanciones que no son simbólicas.
Y sin embargo, es una norma que muy pocas empresas conocen en profundidad. Se habla mucho de la Ley 10/2010, pero el RD 304/2014 es el que te dice exactamente qué tienes que tener documentado cuando el SEPBLAC llame a tu puerta.
¿Qué es el RD 304/2014 y por qué existe?
El Real Decreto 304/2014, de 5 de mayo, aprueba el Reglamento de la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo. Su función principal es desarrollar el "enfoque basado en el riesgo" que la Ley introduce de forma principialista pero sin detallar. El Reglamento baja a tierra las recomendaciones del GAFI (Grupo de Acción Financiera Internacional) y establece cómo deben implementarse en la práctica.
Básicamente, si la Ley te dice "debes conocer a tu cliente", el Reglamento te dice cuándo, cómo, con qué documentación, qué información debes conservar y durante cuánto tiempo.
Dato clave: El RD 304/2014 no es opcional ni complementario. Es parte del marco jurídico obligatorio. Incumplirlo tiene exactamente las mismas consecuencias que incumplir la Ley.
A quién le aplica: los sujetos obligados
El Reglamento aplica a los mismos sujetos obligados que la Ley 10/2010, recogidos en su artículo 2.1. La lista es larga, pero a efectos prácticos incluye a cualquier empresa o profesional que opere en sectores con exposición a flujos económicos significativos:
- Entidades de crédito, aseguradoras (ramo de vida) y empresas de servicios de inversión
- Entidades de dinero electrónico y de pago
- Notarios y registradores de la propiedad y mercantiles
- Promotores inmobiliarios y agencias inmobiliarias
- Auditores de cuentas, asesores fiscales y contables
- Abogados y procuradores (cuando intervengan en operaciones financieras o inmobiliarias)
- Joyerías, anticuarios y galerías de arte
- Casinos y operadores de juego online
- Gestores de fondos y planes de pensiones
Si tu empresa aparece en esta lista —o si tienes dudas sobre si aplica— la respuesta casi siempre es que sí. El Reglamento no distingue por tamaño de empresa: obliga igual a una inmobiliaria con 3 empleados que a un banco con miles.
Las cinco obligaciones concretas que debes tener cubiertas
1. Diligencia debida con los clientes
Esta es la columna vertebral. Antes de iniciar cualquier relación de negocio —o cuando se realice una operación ocasional que supere los 15.000 euros— debes identificar y verificar la identidad del cliente. Para operaciones con transferencias electrónicas, el umbral baja a 1.000 euros.
La identificación no es solo guardar una copia del DNI. Implica verificar que la persona es quien dice ser, entender el propósito de la relación, y asegurarte de que no aparece en ninguna lista de sanciones o PEPs (Personas Políticamente Expuestas).
2. Identificación del Titular Real
Cuando el cliente es una persona jurídica —una sociedad, una fundación— la obligación no termina en la empresa. Hay que llegar hasta la persona física que la controla. El Reglamento entiende que hay control cuando una persona posee, directa o indirectamente, más del 25% del capital o los derechos de voto, o cuando ejerce el control de la gestión por otros medios.
Esta es la obligación que más se incumple en la práctica: se identifica a la empresa pero no se documenta quién está detrás.
3. Manual de Prevención del Blanqueo de Capitales
Todos los sujetos obligados deben elaborar y mantener actualizado un Manual PBC. No es un trámite burocrático: es el documento que demuestra que tienes un sistema de prevención real, no solo la intención de tenerlo.
El Manual debe incluir las políticas y procedimientos de diligencia debida, cómo se comunican las operaciones sospechosas internamente, cómo se conserva la documentación, y qué formación recibe el personal. Si el SEPBLAC viene a inspeccionarte y no tienes el Manual actualizado, ya tienes un problema antes de que empiecen a revisar expedientes.
4. Órgano de Control Interno y Representante ante el SEPBLAC
Los sujetos obligados de cierto tamaño deben constituir un Órgano de Control Interno (OCI) que supervise la implementación del sistema de prevención. Para entidades más pequeñas —menos de 50 empleados y volumen de negocio inferior a 10 millones de euros— la obligación del OCI puede simplificarse, recayendo sus funciones en el representante ante el SEPBLAC.
El representante debe ser una persona residente en España con cargo de administración o dirección, con acceso sin limitaciones a toda la información relevante de la entidad. No puede ser alguien que "firma el papel" pero no tiene acceso real. El SEPBLAC verifica esto.
5. Conservación de documentos
Todo lo que documentes en el proceso de diligencia debida —identificaciones, expedientes de clientes, registros de operaciones— debe conservarse durante diez años desde la fecha del documento o la finalización de la relación de negocio. No cinco. No siete. Diez.
Error habitual: Muchas empresas conservan las identificaciones pero no los registros de las operaciones asociadas. En una inspección, el auditor va a cruzar ambas cosas. Si tienes la ficha del cliente pero no el historial de lo que ha hecho con tu empresa, tienes un expediente incompleto.
El enfoque basado en el riesgo: no todo es igual
Una de las aportaciones más importantes del RD 304/2014 es consolidar el enfoque basado en el riesgo. Esto significa que no todas las situaciones requieren el mismo nivel de diligencia. Hay tres niveles:
- Diligencia simplificada: Para clientes de bajo riesgo (entidades financieras reguladas, organismos públicos). Se mantiene la identificación pero se reducen las comprobaciones adicionales.
- Diligencia normal: El estándar para la mayoría de relaciones comerciales.
- Diligencia reforzada: Obligatoria cuando hay factores de riesgo elevado: clientes de países de alto riesgo según el GAFI, PEPs, relaciones de negocio complejas o no presenciales en ciertos sectores.
En la práctica, muchas empresas aplican el mismo nivel de control a todo el mundo —sea por exceso o por defecto— y eso es también un error. El Reglamento exige que haya un análisis real y diferenciado del riesgo de cada cliente, y que ese análisis quede documentado.
Qué pasa si no cumples: el régimen sancionador
Las sanciones por incumplimiento de la normativa PBC son de las más severas del ordenamiento administrativo español. El régimen está graduado en tres niveles:
Infracciones leves
Retrasos o deficiencias menores en identificación o conservación de documentos. Multa de hasta 60.000 euros o amonestación privada.
Infracciones graves
No implementar procedimientos adecuados, fallos en la formación del personal, incumplimiento de la diligencia debida en casos concretos, o no colaborar con el SEPBLAC. Multa mínima de 60.000 euros, con un máximo que puede alcanzar el 10% del volumen de negocio anual o el importe de la operación más un 50%.
Infracciones muy graves
No comunicar operaciones sospechosas, incumplimiento sistemático de obligaciones, o participar deliberadamente en operaciones vinculadas al blanqueo. Multa mínima de 150.000 euros, con un techo de 10 millones de euros o el 10% del volumen de negocio total —lo que sea mayor—. Más la posibilidad de amonestación pública y, para entidades reguladas, revocación de la autorización para operar.
Lo que muchos no saben: Las sanciones se pueden imponer aunque no haya habido blanqueo efectivo. Basta con no tener los controles adecuados. Y los administradores y directivos pueden ser sancionados personalmente —con importes de hasta 10 millones de euros e inhabilitación de hasta 10 años— de forma independiente a la sanción sobre la empresa.
Examen externo anual: la obligación invisible
Hay una obligación del RD 304/2014 que sorprende a muchos cuando la descubren en plena inspección: las medidas de control interno deben ser objeto de un examen anual por un experto externo, que emite un informe sobre su eficacia y propone mejoras.
No es una auditoría cualquiera. El experto debe analizar si el sistema de prevención funciona en la práctica: si el Manual está actualizado, si el personal recibe formación real, si los expedientes están completos y si el proceso de comunicación de operaciones sospechosas funciona correctamente. El informe queda en el expediente y, en una inspección del SEPBLAC, es uno de los primeros documentos que se solicitan.
Las entidades más pequeñas (menos de 10 empleados y volumen de negocio inferior a 2 millones de euros) pueden estar exentas de esta obligación. Pero si tu empresa supera esos umbrales y no tienes el informe de los últimos años, tienes una laguna importante.
Los errores de implantación más frecuentes
En la práctica, los problemas que se detectan en las inspecciones del SEPBLAC respecto al RD 304/2014 se concentran en unos pocos puntos:
- Manual PBC desactualizado o genérico: Copiar una plantilla de internet no es cumplimiento. El Manual debe reflejar los procesos reales de tu empresa y revisarse periódicamente.
- Sin representante ante el SEPBLAC formalmente designado: O designado pero sin que conste documentalmente ni con acceso real a la información.
- Expedientes de clientes incompletos: Falta la identificación del titular real, o el origen de fondos no está documentado.
- Formación del personal inexistente o no acreditada: El Reglamento exige que el personal conozca las obligaciones y sepa cómo actuar. Esa formación tiene que quedar registrada.
- No aplicar diligencia reforzada donde corresponde: Tratar igual a un cliente residente en España sin cargas especiales que a uno con residencia en un país de riesgo GAFI.
Conclusión
El Real Decreto 304/2014 no es una norma técnica para especialistas. Es el documento que convierte tus obligaciones de prevención del blanqueo en algo concreto y verificable. Ignorarlo porque "ya conocemos la Ley 10/2010" es uno de los errores más comunes —y más caros— que cometen las empresas cuando llega una inspección.
La buena noticia es que cumplir no es tan complicado si tienes los procesos bien montados: un Manual PBC actualizado, los expedientes de clientes completos, el representante ante el SEPBLAC correctamente designado y un registro de formación del personal. La mala noticia es que construir todo eso manualmente, empresa por empresa, es un trabajo que consume tiempo y recursos que la mayoría de pymes no tiene.
Es para eso para lo que existe un sistema AML moderno: automatizar la diligencia debida, mantener los expedientes completos de forma sistemática, y tener todo documentado y listo —no a contrarreloj cuando ya está el inspector delante, sino de forma continua, como parte del flujo habitual de trabajo.