AML en la UE: de la fragmentación a la armonización total en 2027
Hay regulaciones que llegan y verdaderamente transforman, algo a lo que nos tiene acostumbrados la Unión Europea. El Reglamento (UE) 2024/1624, conocido como el Anti-Money Laundering Regulation es una de ellas. No es una directiva que los Estados miembros interpretan como les conviene, adaptando sus transposiciones con la creatividad propia de cada jurisdicción, se trata de un reglamento de aplicación directa. Eso, en el lenguaje del cumplimiento normativo europeo, significa que el margen para la improvisación se acaba.
Y 2027, la fecha de aplicación plena para la mayoría de los sectores está más cerca de lo que muchas organizaciones quieren reconocer.
El problema creciente del lavado de dinero
El marco AML europeo ha sido, hasta ahora, un mosaico. Cada Estado miembro trasponía las Directivas AML/CFT a su manera, con sus matices, sus plazos y sus propias interpretaciones de conceptos tan clave como ‘debida diligencia’, ‘beneficiario efectivo’ o ‘riesgo elevado’. El resultado era un ecosistema de cumplimiento fragmentado donde la misma operación podía ser tratada de forma radicalmente distinta en Madrid, Ámsterdam o Varsovia.
Esa fragmentación no era solo un problema técnico-jurídico. Era y aún es una vulnerabilidad sistémica. Los actores del crimen financiero no tienen ningún problema con las fronteras, por el contrario las entidades reguladas sí los tienen, y muchos.
«El arbitraje regulatorio no es solo un problema de compliance: es un negocio para quien lava dinero.»
El nuevo reglamento no elimina toda la complejidad, pero sí introduce un umbral común y directamente aplicable. Se pretende acabar con el “aquí somos más laxos y allí más estracitos”.
Una de las novedades con mayor impacto práctico es la ampliación del perímetro de sujetos obligados. Si antes el debate se centraba en bancos, aseguradoras y entidades de pago, ahora se suman de forma expresa los proveedores de servicios de criptoactivos al completo, los operadores de bienes de lujo, los agentes inmobiliarios con determinadas estructuras de comisión, y también el fútbol que cobra relevancia de cara al próximo Mundial.
¿El fútbol profesional? Exacto. Ahí está. Porque resulta que el blanqueo de capitales no distingue entre equipos, diversión o sectores menos glamurosos o aburridos.
La corrupción deportiva, según un informe de la Europol, blanquea activos con un valor de 1,69 billones de euros anuales, el sector y el fraude como servicio también se ve en estos casos de blanqueo. A modo de ejemplo, hace un par de años, en una operación conjunta entre autoridades de Italia, Letonia y Lituania, desmantelaron un negocio que ofrecía lavado de dinero en línea como servicio a otros delincuentes en toda la UE realizando transacciones financieras ficticias mediante testaferros y una red de empresas, llegando a blanquear aproximadamente 2.000 millones de euros que se saldó con 18 detenidos.
El Enfoque Basado en Riesgo, Diligencia Debida Simplificada y el coste de las sanciones
El Enfoque Basado en Riesgo (EBR) no es nuevo. Lleva años en el vocabulario del compliance. Lo que cambia con este reglamento es su exigibilidad real. Ya no basta con declarar en el manual interno que ‘se aplica un enfoque proporcional al riesgo’. Hay que demostrarlo, documentarlo y auditarlo.
Esto tiene implicaciones operativas concretas. El EBR exige tres cosas que muchas organizaciones aún gestionan de forma poco sistemática:
- Evaluación: identificar y categorizar los riesgos reales de la entidad, no los que quedan bien en el paper.
- Priorización: asignar recursos de forma proporcional. Los clientes de bajo riesgo documentado no requieren el mismo nivel de escrutinio que una estructura societaria compleja en un tercer país de riesgo elevado.
- Trazabilidad: cada decisión de categorización de riesgo, cada aplicación o modulación de medidas, tiene que poder justificarse ante el supervisor. La evidencia no es opcional.
En Facephi trabajamos precisamente en esta intersección: la que conecta la obligación regulatoria con la capacidad operativa de ejecutarla de forma eficiente. Verificar identidades en el onboarding, monitorizar señales de riesgo en revisiones periódicas o generar trazas auditables de cada decisión son capacidades que el nuevo marco no sugiere: las exige.
Aquí hay que ser muy claros, porque hay una confusión que puede costar muy caro: la Diligencia Debida Simplificada (DDS) no es la ausencia de diligencia debida. No es un régimen de exención ni una puerta de salida para reducir costes de compliance a costa de reducir controles. Es, como su nombre indica un régimen de intensidad reducida que solo aplica cuando el riesgo del cliente y la operación lo justifica, y cuando esa justificación está documentada. Lo que el reglamento permite en contextos de riesgo genuinamente bajo es ajustar la frecuencia y profundidad de las revisiones, no eliminarlas.
Las organizaciones que interpreten la DDS como una forma de hacer menos compliance van a tener un problema serio cuando llegue la primera inspección supervisora. El marco no discrimina entre quienes aplicaron mal la DDS por desconocimiento y quienes lo hicieron por conveniencia. Las sanciones tampoco.
El régimen sancionador del nuevo marco AML no es cosmético. Las sanciones pecuniarias pueden alcanzar porcentajes significativos del volumen de negocio anual. Pero el coste económico es, paradójicamente, el más manejable. Los siguientes costes impactarán más en el sancionado.
- El coste operativo: una sanción grave suele venir acompañada de requerimientos de mejora con plazos, supervisión reforzada y, en casos extremos, suspensión de actividades. Recuperar la normalidad operativa después de una sanción de calado puede llevar años y recursos desproporcionados.
- El coste reputacional: en un sector donde la confianza es el activo fundamental, una sanción AML pública tiene un impacto que ninguna campaña de comunicación puede neutralizar completamente. Los clientes institucionales, los inversores y los reguladores de otros mercados lo ven, lo registran y lo recuerdan.
El cumplimiento normativo no es un coste de compliance. Es una inversión en continuidad del negocio.
Lo que traerá 2027
La pregunta que las organizaciones deberían hacerse hoy es ‘¿estamos en condiciones de cumplirlo operativamente el día que entre en aplicación?’
La diferencia entre ambas preguntas es la diferencia entre leer la norma y estar preparado para ejecutarla. Y prepararse implica revisar procesos de onboarding y revisión de clientes bajo el nuevo estándar; actualizar los sistemas de evaluación y categorización de riesgo; garantizar que la evidencia documental es suficiente para una auditoría supervisora; y esto es clave formar a los equipos que van a tomar decisiones en el día a día.
Las organizaciones que lleguen a 2027 sin haber hecho ese trabajo van a enfrentarse a una doble presión: adaptarse en caliente mientras el supervisor ya está activo, y hacerlo compitiendo por los mismos recursos externos con todo el sector.
La solución tecnológica existe. Las plataformas con verificación de identidad y onboarding digital como las que desarrollamos en Facephi permiten integrar el EBR en el proceso operativo desde el primer contacto con el cliente, generando automáticamente la evidencia que el marco exige. Pero ninguna tecnología sustituye la decisión estratégica de empezar.
El Reglamento (UE) 2024/1624 va a nivelar el campo de juego en toda la UE. Eso es una amenaza para quien ha construido su ventaja competitiva en la opacidad o en la interpretación creativa de las normas. Y es una oportunidad para quien ha invertido en hacer bien el compliance.
Las organizaciones con procesos robustos, trazabilidad real y un EBR genuino van a competir en mejores condiciones. Las que lleguen tarde van a pagar en fricción, en costes de adaptación acelerada y, en los casos más extremos, en sanciones.
2027 no es un horizonte lejano. Es la próxima parada.
