Skip to content
Caso de clienteTarifasSeguridadComparativaBlog

Europe

Americas

Oceania

Cumplimiento9 min de lectura

Anti Money Laundering: guía completa de cumplimiento AML

Guía completa de anti money laundering para empresas en España: obligaciones Ley 10/2010, SEPBLAC, KYC, Dirección 6AMLD y herramientas de verificación documental.

Carlos Ruiz, Consultor de cumplimiento normativo
Carlos Ruiz, Consultor de cumplimiento normativo·
Illustration for Anti Money Laundering: guía completa de cumplimiento AML — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

El anti money laundering (AML) — o prevención del blanqueo de capitales y la financiación del terrorismo (PBC/FT) — es el conjunto de normas legales que obligan a las entidades financieras, inmobiliarias, jurídicas y contables a identificar, controlar y reportar operaciones sospechosas. El incumplimiento expone a las empresas a sanciones administrativas millonarias y, en casos graves, a responsabilidad penal.

Esta guía recoge los requisitos aplicables en España en febrero de 2026, las autoridades competentes y los pasos concretos para construir un programa de cumplimiento AML sólido.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico, financiero ni regulatorio.

¿Qué es el anti money laundering (AML)?

El anti money laundering es la denominación anglosajona del conjunto de controles destinados a impedir que fondos de origen ilícito se integren en el sistema financiero legal. En España, esta materia se regula bajo el término prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT).

El blanqueo de capitales se desarrolla en tres fases:

  1. Colocación: los fondos ilícitos entran en el sistema financiero (depósitos fraccionados, compra de activos)
  2. Estratificación: operaciones complejas disimulan el origen de los fondos
  3. Integración: el dinero blanqueado vuelve a la economía como renta aparentemente legítima

Según el informe anual de SEPBLAC 2023, las comunicaciones por indicio de blanqueo superaron las 8.200 operaciones, con un importe total declarado que excedió los 3.000 millones de euros (SEPBLAC — Memoria de actividades 2023). Esta cifra refleja la intensificación de los controles en el sector financiero y no financiero.

Marco regulatorio español de PBC/FT

El fundamento legal del sistema español es la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. Esta ley, junto con su Reglamento de desarrollo (Real Decreto 304/2014), transpone las directivas europeas anti-blanqueo y recoge las Recomendaciones del GAFI.

Autoridades competentes

Autoridad Función Ámbito
SEPBLAC Unidad de Inteligencia Financiera (UIF) y supervisor Sectores financiero y no financiero
Banco de España Supervisión prudencial AML Entidades de crédito
CNMV Supervisión AML mercados financieros Empresas de servicios de inversión
Dirección General del Tesoro Coordinación GAFI Política nacional PBC/FT
Consejo de Supervisores Control de sujetos obligados no financieros Notarios, abogados, asesores

SEPBLAC, creado en 1993, ejerce sus funciones supervisoras bajo un enfoque basado en el riesgo (EBR), tal como recomienda el GAFI y exige la Ley 10/2010 en su artículo 28 bis (SEPBLAC — Supervisión basada en el riesgo).

La nueva Autoridad Europea AMLA

El Reglamento (UE) 2024/1620 ha creado la Autoridad Europea de Lucha contra el Blanqueo (AMLA), con sede en Fráncfort. A partir del 1 de julio de 2025, la AMLA ejercerá supervisión directa sobre las entidades financieras de alto riesgo en todos los Estados miembros, incluidas las españolas (EUR-Lex, Reglamento (UE) 2024/1620).

¿Quiénes son los sujetos obligados?

El artículo 2 de la Ley 10/2010 enumera los sujetos obligados, es decir, las entidades y profesionales que deben cumplir con las obligaciones PBC/FT:

  • Entidades de crédito y establecimientos financieros de crédito
  • Empresas de servicios de inversión y gestoras de instituciones de inversión colectiva
  • Entidades aseguradoras (vida y multirriesgo)
  • Promotores inmobiliarios y agentes de la propiedad
  • Notarios, registradores, abogados y asesores fiscales (cuando actúen en operaciones específicas)
  • Proveedores de servicios de criptoactivos (PSAV)
  • Casinos y establecimientos de juego
  • Comerciantes y personas que reciban pagos en efectivo ≥ 10.000 €

En los foros de cumplimiento, los profesionales preguntan con frecuencia: ¿una startup fintech que ofrece monederos digitales está obligada a cumplir con la Ley 10/2010? Sí. Desde la transposición de la 5ª Directiva AML (Ley 4/2021), los proveedores de servicios de criptoactivos quedan expresamente incluidos como sujetos obligados y deben inscribirse en el registro del Banco de España.

Los cinco pilares de un programa AML eficaz

1. Diligencia debida sobre la clientela (DDC/KYC)

La diligencia debida es la obligación central de todo programa PBC/FT. El artículo 3 de la Ley 10/2010 exige identificar y verificar la identidad del cliente antes de iniciar la relación de negocio.

La DDC estándar comprende:

  • Identificación del cliente mediante documento oficial fehaciente
  • Identificación del titular real (beneficiario efectivo) cuando el cliente sea una persona jurídica — umbral del 25 % del capital o derechos de voto
  • Comprensión del propósito y naturaleza de la relación de negocio

La diligencia debida reforzada (DDR) es obligatoria para personas con responsabilidad pública (PRP/PEP), clientes de países con deficiencias en PBC/FT identificados por el GAFI, y operaciones de riesgo elevado (artículo 11 de la Ley 10/2010).

Para automatizar estos procesos, soluciones como CheckFile permiten verificar la autenticidad de los documentos de identidad y extraer datos con precisión, reduciendo el tiempo de validación en un proceso de KYC.

2. Enfoque basado en el riesgo (EBR)

Los sujetos obligados no pueden aplicar procedimientos uniformes a todos los clientes. El artículo 4 de la Ley 10/2010 exige una evaluación individual del riesgo, teniendo en cuenta factores como la naturaleza del cliente, el área geográfica, el tipo de producto o servicio y el canal de distribución.

Las medidas de DDC simplificada se aplican cuando el riesgo sea bajo — por ejemplo, cuentas de funcionarios públicos con actividad limitada. Las medidas reforzadas se aplican cuando se detectan factores de riesgo elevado listados en los anexos I y II de la Ley 10/2010.

3. Comunicación de operaciones sospechosas al SEPBLAC

El artículo 18 de la Ley 10/2010 obliga a comunicar al SEPBLAC, de forma inmediata y por propia iniciativa, cualquier operación sobre la que existan indicios o certeza de que está relacionada con el blanqueo de capitales o la financiación del terrorismo.

El sujeto obligado que haya presentado una comunicación de sospecha no podrá ejecutar la operación hasta transcurridas 48 horas, salvo autorización previa del SEPBLAC. Esta obligación de abstención es de obligado cumplimiento.

4. Conservación de documentación

Los documentos y registros relacionados con la DDC y las transacciones deben conservarse durante diez años desde la terminación de la relación de negocio (artículo 25 de la Ley 10/2010). Este plazo es más exigente que el mínimo de cinco años establecido por la Directiva 4AMLD.

5. Formación de empleados y control interno

El artículo 29 de la Ley 10/2010 obliga a los sujetos obligados a establecer un plan anual de formación específica en PBC/FT para todos los empleados relevantes. Además, deben designar un representante ante el SEPBLAC — equivalente español del MLRO británico.

Cuadro comparativo de obligaciones PBC/FT

Obligación Base legal Plazo/Frecuencia
KYC/DDC antes de la relación Art. 3-10, Ley 10/2010 Antes del inicio
Identificación del titular real Art. 4.2, Ley 10/2010 Umbral 25 %
Comunicación de sospecha Art. 18, Ley 10/2010 Sin demora
Conservación de documentos Art. 25, Ley 10/2010 10 años
Formación de empleados Art. 29, Ley 10/2010 Plan anual
Auditoría interna PBC/FT Art. 28 bis, Ley 10/2010 Periódica
Evaluación de riesgo de cliente Art. 4, Ley 10/2010 Antes del onboarding

Sanciones por incumplimiento

Las infracciones de la Ley 10/2010 se clasifican en muy graves, graves y leves. Las infracciones muy graves pueden conllevar:

  • Multas de hasta 10 millones de euros o el 10 % del volumen de negocios anual (si es superior)
  • Suspensión temporal de la actividad
  • Inhabilitación de administradores y directivos
  • Revocación de la autorización administrativa

En 2023, la Comisión de Prevención del Blanqueo de Capitales impuso sanciones por importe total de 12,4 millones de euros (BOE, Resoluciones de Sanciones PBC/FT 2023), siendo el sector inmobiliario y el de criptoactivos los más afectados.

Automatización del control documental AML

La verificación automatizada de documentos permite industrializar los controles KYC: comprobación de autenticidad de documentos de identidad, lectura por OCR, detección de alteraciones digitales y consulta de listas de sanciones internacionales (UE, ONU, OFAC).

El cumplimiento normativo documentado es especialmente relevante para entidades con grandes volúmenes de onboarding, como neobancos, plataformas de financiación colectiva (crowdfunding) o proveedores de criptoactivos.

Para gestionar el cumplimiento documental de forma eficiente, CheckFile ofrece una plataforma de análisis documental basada en IA, integrable mediante API en los flujos de onboarding existentes.

Preguntas frecuentes

¿Qué es el anti money laundering en términos sencillos?

El AML es el conjunto de normas que obliga a las empresas a verificar quiénes son sus clientes, monitorizar sus transacciones y comunicar actividades sospechosas a las autoridades. El objetivo es impedir que delincuentes conviertan dinero de origen ilícito en fondos aparentemente legales.

¿Cuál es la diferencia entre AML y KYC?

El KYC (Conoce a tu Cliente) es una parte del AML. El KYC se refiere específicamente a los procesos de verificación de identidad del cliente al inicio de la relación de negocio. El AML es más amplio: incluye el KYC, la vigilancia continua de operaciones, la comunicación de sospechas, la formación de empleados y el gobierno corporativo del cumplimiento.

¿Quién supervisa el cumplimiento AML en España?

SEPBLAC es la Unidad de Inteligencia Financiera y principal supervisor de la Ley 10/2010 para la mayoría de sectores. El Banco de España supervisa a las entidades de crédito, la CNMV a las empresas de servicios de inversión, y la Dirección General del Tesoro coordina la política nacional ante el GAFI.

¿Cuánto tiempo deben conservarse los documentos KYC en España?

La Ley 10/2010, artículo 25, establece un plazo mínimo de diez años desde la terminación de la relación de negocio. Este plazo supera el mínimo de cinco años de la Directiva europea y es uno de los más exigentes de la UE.

¿La nueva autoridad AMLA afecta a las empresas españolas?

A partir del 1 de julio de 2025, la AMLA supervisará directamente las entidades financieras de mayor riesgo en toda la UE, incluidas las españolas que operen en sectores de alto riesgo. Para el resto de entidades, SEPBLAC y el Banco de España mantienen la supervisión, aunque los estándares mínimos se armonizarán progresivamente con los criterios AMLA.

Profundizar en el tema

Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.

Artículos relacionados

Cumplimiento10 min

Gestión de riesgos de terceros (TPRM): guía completa 2026

Guía completa de gestión de riesgos de terceros (TPRM): marco DORA, CNMV, evaluación de proveedores, monitoreo continuo y cumplimiento normativo en España 2026.

Leer
Cumplimiento15 min

Evaluación de riesgos de cumplimiento normativo: guía práctica 2026

Cómo identificar, evaluar y mitigar riesgos regulatorios con el marco CNMV y SEPBLAC. Guía completa de compliance risk management para empresas españolas.

Leer
Cumplimiento10 min

GRC: gobernanza, gestión de riesgos y cumplimiento — guía 2026

Qué es el GRC (governance risk management compliance), sus tres pilares, requisitos regulatorios en España bajo CNMV y Sepblac, y cómo implementar un marco eficaz.

Leer