Políticas y procedimientos contra el blanqueo de capitales: una guía completa de cumplimiento normativo.
Los bancos no son los únicos que deben preocuparse por el lavado de dinero. Plataformas de intercambio de criptomonedas, procesadores de pagos, comercios en línea: si su negocio maneja dinero, tarde o temprano un regulador le preguntará cómo evita que los fondos ilícitos circulen a través de él. Su respuesta debe constar por escrito. Esa es su política contra el lavado de dinero, y si las políticas y los procedimientos contra el lavado de dinero son incorrectos, se enfrentará a multas, cuentas congeladas y un daño a su reputación que perdurará más allá de la infracción que lo originó.
¿Qué incluye realmente uno de estos documentos? Esta guía explica qué contiene una política contra el lavado de dinero, por qué los reguladores la exigen y cómo elaborar un marco que supere una auditoría. No importa si diriges un banco, una startup fintech o un negocio de pagos con criptomonedas: la lógica subyacente es la misma.
¿Cuáles son las políticas y los procedimientos contra el blanqueo de capitales?
Una política contra el lavado de dinero (AML, por sus siglas en inglés) es el reglamento escrito de su organización para detectar, detener y denunciar el lavado de dinero y la financiación del terrorismo. Piense en ella como el "qué" y el "por qué": el nivel de riesgo aceptable, qué tipos de clientes se rechazan directamente y quién en el personal es responsable de qué. Toda esta disciplina se conoce como lucha contra el lavado de dinero (AML, por sus siglas en inglés), y los reguladores utilizan este término como una forma abreviada de referirse a cualquier control destinado a mantener el dinero ilícito fuera del sistema financiero.
Los procedimientos explican el "cómo". Una transacción se marca de alguna manera. Alguien la revisa. Se presenta un informe de actividad sospechosa, siguiendo un proceso específico. Las políticas y los procedimientos, en conjunto, conforman una parte fundamental de lo que se suele denominar un programa de cumplimiento contra el lavado de dinero (AML), que también incluye capacitación, tecnología y auditorías independientes.
La gente suele confundir estos términos, pero los reguladores no. Una política sin procedimientos que la respalden es, básicamente, inaplicable. Los procedimientos sin una política que los sustente carecen de fundamento legal.
He aquí por qué esta distinción es importante en el día a día: un auditor no se limitará a comprobar que un documento de política existe en algún cajón. Analizará transacciones reales y las rastreará a través de sus procedimientos, verificando si la documentación coincide con lo que realmente sucedió. Muchas políticas se ven perfectas en papel, pero se desmoronan en cuanto se comparan con los archivos reales; es una de las deficiencias más comunes que encuentran los auditores en las pequeñas y medianas empresas.
Por qué toda empresa necesita una política contra el blanqueo de capitales.
No estamos hablando de un delito menor. La ONU estima que entre el 2 % y el 5 % del PIB mundial se blanquea cada año, y solo en 2023 se movieron más de 3 billones de dólares en fondos ilícitos a través de la economía mundial. Toda empresa que no controle ese flujo, consciente o inconscientemente, se convierte en parte de esa red.
Los reguladores lo saben, por eso las instituciones financieras, las empresas de servicios monetarios y ahora también las empresas de criptomonedas se enfrentan a obligaciones obligatorias de cumplimiento en materia de prevención del blanqueo de capitales. Las sanciones van desde multas hasta la pérdida total de la licencia de operación. Y, sinceramente, el riesgo legal es solo una pequeña parte del problema: un escándalo de blanqueo de capitales queda grabado en la memoria de clientes y socios durante años.
Los auditores y reguladores solicitan la política documentada antes que nada. Sin una política, no hay forma de demostrar la buena fe, incluso si lo que se hace a diario es perfectamente razonable.
Basta con observar el historial de cumplimiento normativo. Los reguladores de todo el mundo siguen imponiendo multas multimillonarias por fallos en los programas contra el blanqueo de capitales, y a menudo ni siquiera se demostró el blanqueo en sí mismo; la multa se debió a deficiencias en las políticas, la formación o la supervisión que imposibilitaron demostrar la prevención. Una política bien diseñada cuesta mucho menos que ese tipo de riesgo.

Leyes y reglamentos clave contra el blanqueo de capitales que debe conocer.
Los requisitos contra el lavado de dinero varían según la jurisdicción, pero un conjunto de marcos normativos rigen prácticamente todas las políticas actuales. Comprenderlos es la forma más rápida de saber qué debe incluir su documento.
| Regulación | Región | Requisito principal |
|---|---|---|
| Ley de Secreto Bancario (BSA) | Estados Unidos | Requiere llevar registros, informar sobre transacciones sospechosas y contar con un programa escrito contra el lavado de dinero. |
| Ley Patriota de EE. UU., Sección 352 | Estados Unidos | Establece cuatro pilares: responsable de cumplimiento, formación, pruebas y controles internos. |
| Directivas de la UE contra el blanqueo de capitales (AMLD) | unión Europea | Armoniza las normas de diligencia debida del cliente, titularidad real y presentación de informes en todos los estados miembros. |
| Recomendaciones del GAFI | Global | Establece el estándar internacional en torno al cual se construyen las leyes nacionales contra el lavado de dinero. |
Ninguno de estos marcos normativos es opcional. Son la base, y una política que ignore el que corresponda a su región operativa no superará la primera revisión regulatoria. El Grupo de Acción Financiera Internacional (GAFI), en particular, establece el referente en el que se basan la mayoría de las leyes nacionales contra el lavado de dinero y la financiación del terrorismo. Por eso, la terminología del GAFI aparece en políticas redactadas en lugares tan distantes como el océano.
Componentes básicos que toda política contra el lavado de dinero debe incluir
La Sección 352 de la Ley Patriota de EE. UU. establece cuatro pilares obligatorios para un programa escrito de cumplimiento contra el lavado de dinero, y la mayoría de los marcos internacionales los reflejan fielmente. Cualquier política que carezca de alguno de estos pilares se considera incompleta según los estándares regulatorios.
- Un responsable de cumplimiento designado, encargado de la supervisión diaria de la lucha contra el blanqueo de capitales y de la presentación de informes reglamentarios.
- Capacitación continua para empleados que abarca señales de alerta, deberes de reporte y actualizaciones de regulaciones.
- Pruebas o auditorías independientes para confirmar que el programa funciona según lo escrito, no solo según lo diseñado.
- Políticas, procedimientos y controles internos por escrito que abarcan la incorporación de clientes mediante el monitoreo de transacciones.
Las políticas modernas contra el lavado de dinero suelen añadir dos componentes más a los cuatro pilares: una evaluación documentada del riesgo de lavado de dinero y un proceso de control de sanciones. Los reguladores cada vez más dan por sentado que ambos se requieren, incluso cuando la ley no los especifica explícitamente.
Un error frecuente es tratar estos componentes como una lista de verificación que se cumple una sola vez, en lugar de un sistema dinámico. El rol de responsable de cumplimiento, por ejemplo, requiere autoridad y presupuesto reales. Un cargo sin ninguno de los dos será válido si los reguladores preguntan quién tiene realmente la potestad de congelar una cuenta sospechosa. La capacitación que se imparte una sola vez durante la incorporación y nunca más queda rápidamente obsoleta ante las nuevas tipologías y las regulaciones actualizadas.
Debida diligencia del cliente y procedimientos basados en el riesgo
La debida diligencia del cliente (DDC) consiste simplemente en averiguar con quién se está haciendo negocios, tanto al registrarse como posteriormente. Esto implica confirmar la identidad, comprender las actividades del cliente y estar atento a cualquier anomalía. Una evaluación de riesgos de blanqueo de capitales (AML) indica dónde se debe invertir mayor atención: qué cuentas requieren una revisión rápida y cuáles merecen un análisis más exhaustivo.
El riesgo no se distribuye uniformemente entre los clientes, y esa es precisamente la clave de un enfoque basado en el riesgo. Personas políticamente expuestas, clientes que residen en jurisdicciones de alto riesgo, cuentas con movimientos de dinero inusuales: todos estos casos requieren una debida diligencia reforzada. Verificaciones de antecedentes más exhaustivas. Monitoreo más frecuente. La aprobación de un superior antes de que la cuenta se abra. Si se pasa por alto a una persona políticamente expuesta, se atraerá rápidamente la atención de los organismos reguladores, así que no integre esta verificación en el proceso de incorporación genérico; dedíquele un paso específico.
Luego está el control de sanciones, que consiste en verificar a los nuevos clientes (y, sinceramente, también las transacciones) con listas gubernamentales como la de la OFAC antes de que el dinero se mueva a cualquier parte. Si omite este paso, cometerá uno de los errores más costosos que puede evitar una política contra el lavado de dinero.
Nada de esto termina con la incorporación. Un cliente que parecía perfectamente seguro el primer día podría dejar de serlo: mayores volúmenes de transacciones, nuevas contrapartes en lugares riesgosos, actividad que deja de coincidir con lo que declaró sobre su negocio. Las buenas políticas basadas en el riesgo revisan periódicamente la calificación del cliente en lugar de considerar la primera verificación como un control único.
Paso a paso: Cómo construir su marco de políticas contra el lavado de dinero
Redactar una política contra el blanqueo de capitales desde cero es más fácil si se sigue una secuencia fija. Este es el orden que da como resultado un documento sólido y listo para auditorías:
- Realice una evaluación de riesgos : identifique qué productos, clientes y zonas geográficas le exponen al mayor riesgo de blanqueo de capitales.
- Designar a un responsable de cumplimiento normativo o a un responsable de prevención del blanqueo de capitales (MLRO, por sus siglas en inglés) : alguien con la autoridad y los recursos necesarios para gestionar el programa en el día a día.
- Defina el alcance de la política y el nivel de riesgo aceptable : indique claramente qué tipos de clientes y actividades son aceptables, restringidas o prohibidas.
- Configure los desencadenantes de la debida diligencia del cliente y la debida diligencia reforzada : especifique exactamente cuándo las comprobaciones estándar pasan a una revisión más exhaustiva.
- Cree reglas de supervisión de transacciones : defina umbrales y patrones que activen alertas internas.
- Establezca un proceso para la notificación de actividades sospechosas (SAR, por sus siglas en inglés) : documente quién revisa las alertas y cómo se presentan los informes a los organismos reguladores.
- Capacita a todo el personal pertinente , no solo a los equipos de cumplimiento normativo, sino a cualquier persona que tenga contacto directo con los clientes o que participe en transacciones.
- Programe auditorías independientes : incluya una revisión periódica en el calendario antes de que la política entre en vigor, no después de que un organismo regulador la solicite.
Seguir este orden evita un error común: redactar los procedimientos detallados antes de realizar la evaluación de riesgos subyacente. Si se omite este paso, normalmente se acaba reescribiendo la mitad del documento posteriormente.
La mayoría de las empresas pueden completar un borrador de este marco en cuatro a seis semanas, aunque el plazo depende en gran medida de la cantidad de líneas de productos y jurisdicciones que deba abarcar la póliza. Las empresas que intentan comprimir este proceso en pocos días suelen terminar con un lenguaje genérico tomado de plantillas. Si bien este lenguaje parece completo, no refleja su perfil de riesgo real, y eso es precisamente lo primero que notará un auditor.
Supervisión, auditoría y actualización de los procedimientos contra el blanqueo de capitales.
La eficacia de su póliza depende directamente del sistema que supervisa las transacciones. Ya sea manual o automatizado, este sistema debe detectar operaciones fraudulentas, movimientos de fondos inusualmente rápidos o actividades que no se ajusten al perfil habitual del cliente.
El tiempo es crucial cuando algo parece sospechoso. Por lo general, las empresas tienen 30 días, según la Ley de Secreto Bancario, para presentar un informe de actividad sospechosa antes de que se apliquen sanciones por demora. Y no tire la documentación después: los documentos de identidad, los registros de transacciones, los informes de actividad sospechosa, todo debe conservarse durante cinco años según la Ley de Secreto Bancario y la Cuarta Directiva contra el Blanqueo de Capitales de la UE.
La política en sí también necesita revisarse, no solo las transacciones que la rigen. Las regulaciones cambian, los modelos de negocio evolucionan y surgen nuevas tácticas de lavado de dinero. La mayoría de los equipos de cumplimiento revisan su política contra el lavado de dinero al menos una vez al año, además de realizar actualizaciones adicionales cuando las regulaciones o la exposición al riesgo cambian lo suficiente como para ser relevantes.
Consideraciones internacionales sobre el cumplimiento de las normas contra el blanqueo de capitales.
Si te quedas en un solo país, solo tienes que cumplir con un marco regulatorio. Si cruzas fronteras, de repente tu política debe ajustarse a varios marcos regulatorios a la vez, sin que ninguno de ellos se contradiga con los demás.
Lo que hacen la mayoría de los equipos de cumplimiento normativo es redactar una política global básica y añadir anexos locales para cada jurisdicción. La política básica abarca aspectos universales, como el enfoque basado en riesgos, la debida diligencia del cliente y el control de sanciones. Los anexos se ocupan de los formatos de presentación de informes locales, a quién contactar en el organismo regulador y los umbrales que varían según el país.
Las empresas de tecnología financiera y criptomonedas son las que más sufren esta presión, ya que muchas de ellas atienden a clientes en decenas de jurisdicciones incluso antes de cumplir su primer aniversario. Mantenga la política como un único documento global, revisado centralmente y aplicado localmente. Así evitará las deficiencias que surgen cuando las políticas regionales se improvisan a posteriori en lugar de diseñarse así desde el principio.
Esto va más allá del papeleo. Una transacción que no genere ninguna alerta según los umbrales de un país podría dar lugar a una notificación obligatoria en otro. Entonces, ¿quién decide cuando dos marcos regulatorios discrepan? Generalmente, esa responsabilidad recae en una sola persona: el responsable de cumplimiento o el responsable de prevención del blanqueo de capitales, quien debe comprender dónde difieren los umbrales.

Cumplimiento de las normas contra el blanqueo de capitales para empresas de criptomonedas y pagos digitales.
Las criptomonedas están sujetas a un escrutinio contra el lavado de dinero mayor que la mayoría de las fintech tradicionales, y, sinceramente, no es difícil entender por qué. Carteras seudónimas, transferencias que cruzan fronteras en segundos, liquidación en blockchain más rápida que cualquier transferencia bancaria: todo esto aumenta la presión sobre los reguladores que intentan evitar el lavado de dinero y la financiación del terrorismo en los activos digitales. Y ese escrutinio recae directamente sobre quien procesa los pagos con criptomonedas.
Una política AML preparada para criptomonedas necesita algunas cosas que una plantilla estándar de servicios financieros simplemente no cubre:
- Verificación de la dirección de la billetera en bases de datos de actividades ilícitas y sanciones conocidas antes de aceptar fondos.
- Monitoreo de transacciones en cadena que rastrea los flujos de fondos a través de múltiples saltos, no solo del remitente inmediato.
- Vías de escalamiento claras para transacciones que involucren mezcladores, intercambios de alto riesgo o direcciones incluidas en listas negras.
Si gestionas un negocio de comercio electrónico y aceptas criptomonedas, crear toda esa infraestructura por tu cuenta es excesivo. La opción más sencilla es trabajar con un procesador de pagos que ya incorpore controles AML y KYC. Plisio gestiona la verificación de monederos y transacciones como parte de su infraestructura, lo que permite a los comerciantes aceptar criptomonedas sin tener que asumir toda la responsabilidad del cumplimiento normativo.
Esa brecha es mayor de lo que parece a primera vista. Un comerciante que implementa pagos con criptomonedas en una plataforma sin controles contra el lavado de dinero hereda ese riesgo silenciosamente: nadie se da cuenta hasta que un regulador o un socio bancario comienza a hacer preguntas incómodas sobre la exposición a fondos ilícitos. Elija una infraestructura que ya gestione la verificación y tendrá la respuesta lista incluso antes de que alguien pregunte.
Reflexiones finales
Una política sólida contra el lavado de dinero no es un documento que se redacta una vez y se archiva. Es un marco dinámico que requiere monitoreo, auditorías y actualizaciones periódicas a medida que evolucionan las regulaciones y los riesgos. Si se establecen correctamente los fundamentos (una evaluación de riesgos clara, procedimientos de debida diligencia definidos, un responsable de cumplimiento designado), cualquier empresa, desde un banco tradicional hasta una plataforma de pagos con criptomonedas, estará por delante de la mayoría de las revisiones regulatorias.
Las empresas que tienen dificultades para cumplir con las normas contra el lavado de dinero rara vez son las que se enfrentan a riesgos realmente novedosos; son las que trataron su política como un mero trámite burocrático en lugar de un sistema operativo. Elaborar políticas y procedimientos sólidos contra el lavado de dinero desde el principio, con una verdadera responsabilidad y revisiones periódicas integradas, es mucho más económico que rehacerlos después de que una infracción obligue a ello.