¿Exige el cumplimiento AML detectar documentos falsificados?

Sí: el cumplimiento AML obliga a detectar documentos falsificados. El artículo 3.1 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo exige que las entidades identifiquen y verifiquen la identidad del cliente mediante documentos "fehacientes". Un documento falsificado carece de esa fehaciencia por definición: su uso durante el proceso de diligencia debida constituye un incumplimiento de la obligación de identificación y, en consecuencia, una infracción de la normativa PBC/FT sancionable por el SEPBLAC.

Esta respuesta no es una interpretación flexible de la ley. Es la lectura directa del texto legal refrendada por la doctrina supervisora del SEPBLAC y por las Recomendaciones 10 y 13 del GAFI. A continuación, se analiza el fundamento jurídico, las implicaciones prácticas y las medidas de detección exigidas.

Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para obtener orientación adaptada a su situación.

Qué dice la Ley 10/2010 sobre la verificación de documentos

La Ley 10/2010 establece la obligación de verificar documentos fehacientes como condición sine qua non de la diligencia debida básica. El artículo 3.1 determina que los sujetos obligados deben identificar a sus clientes "mediante documentos fehacientes" antes de establecer cualquier relación de negocio o ejecutar cualquier operación.

El artículo 3.1 de la Ley 10/2010 (BOE-A-2010-6737) exige la verificación de la identidad del cliente por medio de documentos fehacientes: un documento falsificado no reúne este requisito y convierte cualquier proceso de identificación en que se haya empleado en un incumplimiento de la diligencia debida.

El Real Decreto 304/2014, que reglamenta la Ley 10/2010, desarrolla el contenido mínimo de la diligencia debida e introduce la obligación de actualizar la información del cliente cuando se detecten discrepancias. La Directiva (UE) 2024/1640 — sexta Directiva AML —, en proceso de transposición, refuerza estos requisitos al exigir explícitamente medidas para combatir el fraude documental en la fase de identificación.

Tipos de diligencia debida y exigencia documental

La diligencia debida simplificada no exime de verificar que el documento sea auténtico; únicamente permite posponer la comprobación en casos tasados. En ningún nivel del esquema de diligencia debida es admisible aceptar un documento falsificado como válido.

Por qué un documento falsificado invalida la diligencia debida

Un documento falsificado invalida automáticamente el proceso de identificación porque hace recaer sobre el sujeto obligado la responsabilidad de haber incumplido su deber de comprobación. La cadena causal es directa: si la identidad del cliente no ha podido verificarse con un documento auténtico, la relación de negocio carece de base de diligencia debida válida, y cualquier operación realizada en ese marco puede ser constitutiva de blanqueo facilitado por omisión de control.

El GAFI, en sus Recomendaciones 10 y 13 (FATF Recommendations 2023), señala la verificación de la autenticidad documental como un elemento esencial de la diligencia debida sobre el cliente: los países deben exigir a las entidades financieras que comprueben que los documentos de identificación no han sido alterados ni falsificados.

El GAFI identifica las siguientes tipologías de fraude documental más frecuentes en esquemas de blanqueo:

• Documentos de identidad alterados: modificación de datos como nombre, fecha de nacimiento o fotografía en un documento genuino mediante métodos físicos o digitales.
• Documentos completamente falsificados: réplicas de documentos oficiales producidas con medios externos al organismo emisor.
• Identidades sintéticas: combinación de datos reales e inventados para crear una identidad que supera controles básicos de consistencia pero no existe en registros oficiales.
• Documentos auténticos obtenidos fraudulentamente: documentos emitidos por el organismo oficial pero mediante declaraciones falsas al solicitarlos.

El análisis interno de CheckFile revela que más del 40 % de los intentos de fraude documental implican documentos de identidad con características de seguridad alteradas. Esta tipología es especialmente prevalente en la fase de onboarding remoto, donde la comprobación presencial no es posible.

Qué exige el SEPBLAC en la práctica

El SEPBLAC, como unidad de inteligencia financiera y supervisor de la Ley 10/2010, ha establecido directrices explícitas sobre la verificación de documentos en sus guías de aplicación del enfoque basado en el riesgo. La doctrina supervisora del SEPBLAC deja claro que la mera recepción de una copia de un documento no constituye verificación suficiente cuando existan indicios de alteración.

El SEPBLAC ha sancionado entidades por ausencia de procedimientos de verificación documental adecuados: las infracciones graves en materia de diligencia debida pueden conllevar multas de hasta 10 millones de euros o el 10 % del volumen de negocios anual, conforme al artículo 57 de la Ley 10/2010.

Entre las resoluciones sancionadoras publicadas en el BOE, destacan casos donde la causa principal de la infracción fue la ausencia de controles para detectar documentos de identidad alterados presentados durante el onboarding. Las sanciones impuestas en estos expedientes han oscilado entre 150.000 euros y varios millones, dependiendo del volumen de clientes afectados y de la reiteración de la conducta.

Los supervisores financieros complementarios — Banco de España para entidades de crédito y CNMV para empresas de servicios de inversión — aplican criterios equivalentes dentro de sus respectivos ámbitos de actuación.

El SEPBLAC también ha advertido sobre el riesgo específico del onboarding digital: en la identificación no presencial, la entidad tiene la obligación de adoptar medidas técnicas equivalentes al nivel de seguridad de la identificación presencial, lo que incluye, entre otras, la comprobación de los elementos de seguridad del documento mediante sistemas de análisis de imagen.

Buenas prácticas de detección de documentos falsificados

La detección eficaz de documentos falsificados requiere combinar procedimientos manuales estructurados con herramientas automatizadas. Ninguno de los dos enfoques es suficiente por sí solo a la escala de operaciones de una entidad financiera moderna.

La verificación manual sin apoyos tecnológicos es insuficiente para detectar falsificaciones digitales avanzadas: según el análisis de GAFI 2023, más del 60 % de las falsificaciones detectadas en procesos de KYC digital presentan alteraciones invisibles al ojo humano sin herramientas específicas.

Verificación manual: señales de alarma

Los analistas de cumplimiento deben prestar atención a los siguientes indicadores en la revisión de documentos:

• Inconsistencias entre la fotografía y otros datos biométricos del titular
• Discrepancias en el tipo de fuente, tamaño de letra o alineación de los campos del documento
• Ausencia o deterioro anormal de elementos de seguridad (hologramas, marcas de agua, microimpresión)
• Bordes irregulares o zonas de la imagen con pixelado anómalo, indicativo de edición digital
• Numeración de documento o código MRZ (zona de lectura automática en pasaportes) inconsistente con el formato oficial del país emisor
• Datos de caducidad o fecha de emisión incoherentes con el tipo de documento o la normativa del país

Verificación automatizada: capacidades recomendadas

Los sistemas de verificación documental automatizada deben incorporar:

• Análisis de autenticidad de elementos de seguridad físicos y digitales
• Verificación de coherencia del código MRZ y del chip NFC en documentos compatibles
• Detección de manipulación de metadatos en imágenes de documentos enviados electrónicamente
• Comprobación de la zona de imagen del titular para detectar sustitución de fotografía
• Análisis de nivel de error (ELA, por sus siglas en inglés) para identificar zonas de la imagen editadas digitalmente

La detección por inteligencia artificial actúa como complemento indispensable en los procesos de KYC digital. Las soluciones de detección de deepfakes y documentos manipulados mediante IA permiten escalar los controles de autenticidad documental sin incrementar proporcionalmente los recursos humanos dedicados a la revisión manual. Este tipo de herramientas es especialmente relevante para entidades con alto volumen de onboarding remoto.

Para una visión integral sobre la gestión del cumplimiento documental, consulte la guía de conformidad documental y la guía de cumplimiento AML. Para las obligaciones derivadas de la sexta Directiva AML, véase la guía de cumplimiento AMLD6 para sujetos obligados.

Las soluciones de KYC para entidades financieras permiten integrar la verificación de autenticidad documental en los flujos de onboarding existentes, con trazabilidad completa de los registros de diligencia.

CheckFile ofrece análisis documental basado en IA con soporte para DNI, NIE, pasaporte y documentos de 32 jurisdicciones, con integración mediante API en los sistemas de cumplimiento.

Preguntas frecuentes

¿Está obligada mi entidad a comprobar si un documento de identidad es auténtico?

Sí. El artículo 3.1 de la Ley 10/2010 exige verificar la identidad del cliente mediante documentos "fehacientes". Esta exigencia implica adoptar medidas razonables para comprobar que el documento presentado es auténtico y no ha sido alterado. El nivel de comprobación exigido debe ser proporcional al riesgo del cliente y de la operación, pero en ningún caso puede limitarse a la mera recepción de una copia sin verificación.

¿Qué ocurre si mi entidad acepta un documento falsificado sin saberlo?

La Ley 10/2010 no exige dolo para que se configure una infracción de la obligación de diligencia debida. Si la entidad no tenía procedimientos adecuados para detectar la falsificación, o si los procedimientos existentes no se aplicaron correctamente, puede incurrir en infracción grave o muy grave. Las sanciones pueden alcanzar los 10 millones de euros o el 10 % del volumen de negocios anual. La existencia de un programa de cumplimiento robusto y documentado puede ser considerada como circunstancia atenuante.

¿La verificación no presencial cumple los requisitos de la Ley 10/2010?

Sí, siempre que se adopten medidas técnicas que garanticen un nivel de seguridad equivalente a la identificación presencial. El Real Decreto 304/2014 y las guías del SEPBLAC permiten la identificación no presencial mediante videoconferencia u otros medios tecnológicos que permitan comprobar los elementos de seguridad del documento y la concordancia entre el titular y el documento. El uso de sistemas de detección de deepfakes y análisis de autenticidad documental es una medida técnica adecuada para estos fines.

¿Qué documentos acepta la Ley 10/2010 como válidos para la identificación de personas físicas?

Para personas físicas residentes en España, la Ley 10/2010 y el Real Decreto 304/2014 admiten el Documento Nacional de Identidad (DNI), el pasaporte o el Número de Identidad de Extranjero (NIE). En todos los casos, el documento debe estar en vigor en el momento de la identificación. La verificación debe incluir la comprobación de la vigencia, los datos del titular y la autenticidad de los elementos de seguridad del documento.

¿Qué papel juega la inteligencia artificial en el cumplimiento AML de documentos?

La IA no sustituye la obligación legal de verificar documentos, pero sí permite cumplirla de forma más eficaz y escalable. Los sistemas de verificación documental basados en IA pueden detectar patrones de alteración invisible al ojo humano, analizar metadatos de imágenes y verificar la coherencia del código MRZ en tiempo real. El SEPBLAC considera estas herramientas como medidas técnicas adecuadas para la identificación no presencial, siempre que estén integradas en un programa de cumplimiento documentado y supervisado.

Para situar este riesgo en la oferta CheckFile, consulte nuestro enfoque de detección IA y deepfake.