Siglas EDD en el sector bancario: Guía de diligencia debida reforzada
¿Qué significa EDD? Sus siglas significan Diligencia Debida Mejorada (Enhanced Due Diligence ), el proceso de verificación que realizan los bancos cuando un nombre, una dirección y una foto del pasaporte no son suficientes para tener la certeza de con quién están tratando.
No todos los clientes lo necesitan. Que un empleado asalariado abra una cuenta de ahorros en su país de origen rara vez genera sospechas. Pero, ¿que una empresa extranjera con una estructura de propiedad compleja transfiera grandes sumas desde una jurisdicción incluida en la lista de vigilancia del GAFI? Eso es otra historia. La EDD es el mecanismo para documentar esa conversación.
Las consecuencias de incumplir estas normas son bien conocidas. Binance pagó 4300 millones de dólares en 2023 para resolver infracciones relacionadas con el blanqueo de capitales y el conocimiento del cliente. HSBC se enfrentó a una multa de 1900 millones de dólares en 2012. Deutsche Bank llegó a un acuerdo de 630 millones de dólares en 2017. Si analizamos cada caso en detalle, la historia se repite: alguien que necesitaba un escrutinio más riguroso no lo recibió. La debida diligencia reforzada existe precisamente para evitar esto.
¿Qué es EDD en el sector bancario y qué significan sus siglas?
En el sector bancario, las siglas EDD significan Diligencia Debida Mejorada . Ocupan el nivel más alto del marco de diligencia debida del cliente que las instituciones financieras utilizan para evaluar y gestionar el riesgo.
El marco tiene tres niveles:
- Diligencia debida simplificada (SDD) : para clientes de bajo riesgo con actividad predecible y de bajo valor, como cuentas de ahorro básicas.
- Diligencia debida del cliente (CDD) : la verificación estándar que se aplica a la mayoría de los clientes: identidad, dirección, calificación de riesgo básica.
- Debida diligencia reforzada (DDR) : reservada para clientes o transacciones que conllevan un riesgo elevado de blanqueo de capitales, financiación del terrorismo u otros delitos financieros.
EDD no es un producto. Es un conjunto de procedimientos de cumplimiento obligatorios por ley. Su fundamento legal abarca varios marcos principales:
- Recomendación 10 del GAFI : exige a las instituciones financieras que apliquen medidas reforzadas a las relaciones comerciales de alto riesgo.
- Directivas 4.ª, 5.ª y 6.ª de la UE contra el blanqueo de capitales (AMLD) : la 6.ª AMLD entró en vigor en 2021 y endureció progresivamente los requisitos de diligencia debida reforzada en todos los Estados miembros de la UE.
- La Ley de Secreto Bancario de EE. UU. (BSA) y la Ley Patriota de EE. UU. exigen un mayor escrutinio para la banca corresponsal, las personas políticamente expuestas (PEP) y las jurisdicciones de alto riesgo.
- Directiva maestra del RBI sobre KYC (India) : exige la debida diligencia reforzada (EDD) para los clientes clasificados como de alto riesgo según sus normas de categorización de riesgos.
Una vez que una institución identifica a un cliente o transacción que cumple con el umbral de riesgo, aplicar la debida diligencia reforzada (EDD) no es una cuestión de criterio. Es una obligación regulatoria, y documentar el proceso es tan importante como llevarlo a cabo.
Fecha de Droga Temporal (EDD) vs. Fecha de Droga Condicional (CDD): Entendiendo las Diferencias Clave
La debida diligencia del cliente y la debida diligencia reforzada suelen mencionarse indistintamente, pero cumplen funciones diferentes y se aplican en distintos niveles de riesgo. La debida diligencia reforzada no sustituye a la debida diligencia del cliente; la complementa cuando la situación requiere un análisis más exhaustivo.
| Aspecto | CDD | Fecha de parto |
|---|---|---|
| Cuando se aplica | Todos los clientes nuevos | Solo para clientes de alto riesgo |
| controles de identidad | Documento de identidad emitido por el gobierno, dirección | Identificación mejorada + verificación de identidad presencial o por video |
| controles financieros | Propósito básico de la cuenta | Fuente de fondos + fuente de riqueza |
| Cribado | Verificación de sanciones estándar | Listas de personas políticamente expuestas (PEP), cobertura mediática negativa, sanciones (OFAC, ONU, UE, Tesoro de Su Majestad) |
| Propiedad | No siempre es necesario | Mapeo de beneficiarios reales (UBO superiores al 25%) |
| Seguimiento continuo | Revisiones periódicas | Monitorización continua o de alta frecuencia |
| Documentación | Archivo KYC estándar | Expediente ampliado con historial de aprobación |
| Cerrar sesión | Automatizado o a nivel de equipo | Se requiere un responsable de cumplimiento normativo de alto nivel. |
| Mandato regulatorio | Siempre requerido | Disparador basado en el riesgo |
La transición de la debida diligencia del cliente (CDD) a la debida diligencia exhaustiva (EDD) se realiza tras una evaluación de riesgos. Si el perfil del cliente, su comportamiento transaccional o su exposición geográfica superan el umbral de riesgo de la institución, el proceso de CDD se integra directamente en una revisión de EDD. La CDD se puede considerar como la fase inicial de admisión, mientras que la EDD es la investigación detallada que se lleva a cabo tras detectar una señal de alerta.
¿Cuándo se requiere una debida diligencia reforzada?
La debida diligencia reforzada no se activa aleatoriamente. Se activa cuando aparecen factores de riesgo específicos. La Recomendación 10 del GAFI y la mayoría de las leyes nacionales contra el blanqueo de capitales establecen claramente las circunstancias. A partir de 2024, el GAFI tiene registradas más de 23 jurisdicciones bajo mayor vigilancia o sujetas a una solicitud de medidas; cualquier cliente con vínculos significativos con esos países suele activar la debida diligencia reforzada.
Los desencadenantes más comunes:
- Personas Políticamente Expuestas (PEP, por sus siglas en inglés) : funcionarios gubernamentales de alto rango, actuales o anteriores, jefes de Estado, comandantes militares y sus familiares directos o allegados. Las PEP conllevan un riesgo elevado debido a su acceso a fondos públicos y su potencial de corrupción, no por una presunción de culpabilidad.
- Clientes procedentes de jurisdicciones de alto riesgo : países incluidos en la lista gris o negra del GAFI, o lugares con controles débiles contra el blanqueo de capitales, altos índices de corrupción o regímenes de sanciones activos.
- Transacciones inusuales o inexplicables : grandes depósitos en efectivo, movimientos rápidos de fondos entre cuentas, transferencias que no coinciden con los ingresos o la actividad comercial declarados por el cliente.
- Empresas fantasma y estructuras de propiedad complejas : entidades con múltiples niveles de participación, accionistas nominales o propietarios finales poco claros.
- Relaciones de banca corresponsal : cuando un banco presta servicios a otro banco en una jurisdicción extranjera, la exposición indirecta a la base de clientes de esa institución amplifica significativamente el riesgo.
- Industrias de alto riesgo : criptomonedas, juegos de azar, armamento y defensa, metales preciosos, bienes raíces y negocios que manejan grandes cantidades de efectivo, como concesionarios de automóviles y el sector hotelero.
- Apariciones negativas en los medios : cobertura desfavorable que vincula a un cliente con fraude, soborno, narcotráfico o actividad delictiva detectada durante el control de seguridad.
- Propósito comercial incoherente : cuando lo que un cliente dice que está haciendo no coincide con la forma en que realmente mueve el dinero.
Un solo desencadenante es suficiente para iniciar el proceso de EDD. En la práctica, la combinación de varios indicadores aumenta rápidamente la urgencia.
¿Quiénes son los clientes de alto riesgo en materia de cumplimiento de la normativa contra el blanqueo de capitales?
En el contexto de la lucha contra el blanqueo de capitales, el término «cliente de alto riesgo» se refiere a cualquier persona física o jurídica cuyo perfil, comportamiento o relaciones aumenten la probabilidad de cometer un delito financiero por encima del umbral habitual. Estas categorías ayudan a los equipos de cumplimiento normativo a desarrollar marcos eficaces de evaluación de riesgos.
- Personas Políticamente Expuestas (PEP): Este grupo incluye a políticos de alto rango, jueces, oficiales militares, ejecutivos de empresas estatales, sus familias y allegados. El riesgo radica en su acceso a recursos públicos y poder de decisión, no en ninguna suposición de mala conducta. La debida diligencia reforzada (DDR) para las PEP generalmente abarca la verificación del origen de los fondos, un seguimiento continuo reforzado y la aprobación de la relación por parte de la alta dirección.
- Clientes no residentes y transfronterizos: Las personas que abren cuentas en jurisdicciones donde no residen, especialmente las provenientes de países de alto riesgo, son objeto de un escrutinio más riguroso. Los flujos de dinero transfronterizos son más difíciles de controlar y ofrecen más margen para ocultar el origen real de los fondos.
- Entidades corporativas con propiedad opaca: Los fideicomisos, las sociedades holding extraterritoriales y las estructuras corporativas multinivel suelen utilizarse como vehículos para ocultar fondos ilícitos. La debida diligencia reforzada (EDD, por sus siglas en inglés) identifica al beneficiario final (UBO, por sus siglas en inglés), es decir, la persona física que controla realmente la entidad; generalmente, cualquier persona con más del 25 % de propiedad o control efectivo.
- Usuarios de criptomonedas de alto volumen: Las carteras que mueven grandes volúmenes o de forma irregular sin una justificación comercial clara, las direcciones conectadas a mezcladores o criptomonedas centradas en la privacidad, y los usuarios que realizan transferencias rápidas entre pares, todos ellos cumplen los requisitos para ser considerados candidatos a la debida diligencia en cualquier proveedor de servicios de activos virtuales o plataforma de intercambio de criptomonedas.
- Negocios con alto volumen de efectivo: Restaurantes, lavaderos de autos, estacionamientos y tiendas minoristas que manejan grandes cantidades de efectivo son ejemplos clásicos de actividades de lavado de dinero. Rastrear el efectivo es más difícil, por lo que verificar el origen de los fondos es fundamental.
En todas las categorías, la verificación de la titularidad real es fundamental para cualquier revisión exhaustiva de la debida diligencia. Sin saber quién controla finalmente una entidad, la evaluación de riesgos es incompleta.
Cómo llevar a cabo una debida diligencia reforzada: paso a paso
Un proceso de debida diligencia reforzada (EDD) adecuado debe estar documentado y ser repetible. Omitir pasos o no registrar la justificación de las decisiones constituye en sí mismo un riesgo de cumplimiento. Así es como suelen implementarlo los bancos y las plataformas fintech reguladas:
- Identificación de factores desencadenantes : marque al cliente o la transacción utilizando reglas basadas en el riesgo: exposición geográfica, condición de Persona Políticamente Expuesta (PEP), tamaño de la transacción, sector o alerta de medios adversos. Anote el motivo específico por el que se inició la debida diligencia reforzada (EDD).
- Verificación de identidad reforzada : Recopile más pruebas de identidad que las que exige el proceso KYC estándar. Esto puede incluir una copia certificada del pasaporte, una segunda identificación oficial, verificación biométrica o una videollamada. En el caso de las empresas, solicite los documentos de constitución, los registros de accionistas y los registros de directores.
- Verificación del origen de los fondos : Determine con exactitud de dónde provienen los fondos de la transacción específica. Los extractos bancarios, los registros de nómina, los contratos de compraventa de propiedades o los estados de cuenta de inversiones son válidos. El objetivo es tener un registro documental claro desde la fuente de ingresos hasta los fondos transferidos.
- Verificación del origen del patrimonio : Determinar cómo el cliente acumuló su patrimonio total a lo largo del tiempo. Esta es una cuestión más amplia que la del origen de los fondos. Para clientes con un alto patrimonio neto, suele implicar revisar el historial de propiedad de negocios, los registros de herencia o las declaraciones de impuestos anteriores.
- Análisis de noticias negativas en los medios : Busque en bases de datos de noticias, registros de cumplimiento normativo y documentos legales información negativa. Verifique si existen vínculos con fraude, soborno, corrupción, narcotráfico o trata de personas. Registre los hallazgos, incluso si no se encuentra nada relevante.
- Verificación de PEP y listas de sanciones : coteje al cliente con la lista SDN de la OFAC, la lista consolidada del Consejo de Seguridad de la ONU, las listas de sanciones de la UE, la lista OFSI del Tesoro de Su Majestad y cualquier equivalente local. En el caso de las PEP, también se deben verificar sus asociados directos.
- Mapeo de beneficiarios finales : para clientes corporativos, cree un cuadro de propiedad que identifique a todos los beneficiarios finales que superen el umbral y verifique cada uno de ellos siguiendo los pasos 2 al 6.
- Aprobación de la alta dirección : Obtenga la aprobación documentada de un responsable de cumplimiento normativo antes de incorporar o aprobar la transacción. Esto genera responsabilidad y un registro de auditoría.
- Seguimiento continuo : cambie la cuenta a un perfil de seguimiento de alta frecuencia. Revísela cada 6 a 12 meses para detectar relaciones de alto riesgo, o inmediatamente cuando ocurra algún cambio: nuevos medios de comunicación adversos, una transferencia inusual, un cambio de propietario.
La debida diligencia reforzada (EDD) no es una autorización que se obtiene una sola vez. Un cliente cuyo perfil de riesgo cambia (una nueva asociación con una persona políticamente expuesta, una transferencia importante e inesperada, un cambio en la titularidad real) necesita una nueva revisión, incluso si superó la EDD sin problemas durante el proceso de incorporación.
Requisitos y lista de verificación de diligencia debida reforzada
Los inspectores regulatorios buscan evidencia de que la debida diligencia reforzada (EDD, por sus siglas en inglés) se realizó, documentó y aprobó. Un expediente completo de EDD debe mostrar prueba de cada verificación, no solo una conclusión final. A continuación se detallan los requisitos mínimos de la mayoría de los principales marcos de lucha contra el lavado de dinero:
- [ ] Identidad del cliente verificada con documentación mejorada
- [ ] Copias certificadas de documentos de identidad obtenidas y almacenadas
- [ ] Origen de los fondos documentado con pruebas que lo respalden
- [ ] Fuente de riqueza evaluada y documentada
- [ ] Se completó la prueba de detección de PEP y se registraron los resultados.
- [ ] Se ha completado el control de sanciones (OFAC, ONU, UE, Tesoro de Su Majestad).
- [ ] Se completó y documentó el análisis de noticias negativas.
- [ ] Estructura de propiedad real mapeada y beneficiarios finales identificados
- [ ] Identidades de UBO verificadas
- [ ] Propósito comercial y justificación de la transacción documentados
- [ ] Se obtuvo y registró la aprobación del oficial superior de cumplimiento.
- [ ] Calificación de riesgo asignada y justificada
- [ ] Frecuencia de monitoreo elevada a perfil de alto riesgo
- [ ] Calendario de revisión confirmado (6-12 meses o en función de eventos)
Omitir información o documentarla sin fundamento conlleva consecuencias reales. Las multas regulatorias por incumplimientos en materia de prevención del blanqueo de capitales y diligencia debida reforzada han alcanzado niveles récord.
| Institución | Bien | Año | Fallo de llave |
|---|---|---|---|
| Binance | 4.300 millones de dólares | 2023 | Controles AML/KYC, deficiencias en la diligencia debida reforzada para usuarios de alto riesgo |
| Goldman Sachs | 2.900 millones de dólares | 2020 | Diligencia debida insuficiente en transacciones vinculadas a 1MDB |
| Westpac (Australia) | 1.300 millones de dólares | 2020 | 23 millones de infracciones en materia de prevención del blanqueo de capitales y la financiación del terrorismo, incluidas deficiencias en la debida diligencia reforzada. |
| HSBC | 1.900 millones de dólares | 2012 | Controles débiles contra el lavado de dinero, fallas en el monitoreo de clientes de alto riesgo. |
| Banco Alemán | 630 millones de dólares | 2017 | Esquema de comercio espejo, CDD/EDD inadecuados |
El patrón es consistente: el costo de ejecutar EDD correctamente siempre es menor que el costo de omitirlo.
La debida diligencia en criptomonedas se aplica a los activos digitales.
Las criptomonedas solían quedar fuera de la mayoría de los marcos tradicionales de lucha contra el blanqueo de capitales. Eso cambió cuando el GAFI actualizó sus directrices sobre activos virtuales y la Regla de Viaje comenzó a implementarse a nivel mundial.
En resumen: sí, la debida diligencia reforzada se aplica íntegramente a las empresas de criptomonedas y a sus usuarios de alto riesgo.
Según la Recomendación 16 del GAFI, conocida como la Regla de Viaje, los proveedores de servicios de activos virtuales (VASP, por sus siglas en inglés), incluidos los exchanges de criptomonedas, los procesadores de pagos y los proveedores de monederos de custodia, deben recopilar y transmitir información del remitente y del beneficiario para las transacciones que superen el umbral establecido. Cualquier VASP que opere con un perfil de cliente de alto riesgo debe aplicar la debida diligencia reforzada (EDD, por sus siglas en inglés), y no solo la verificación estándar.
Factores desencadenantes específicos para la debida diligencia reforzada (EDD) en criptomonedas:
- Transferencias en cadena grandes o rápidas : volúmenes significativamente superiores a lo normal para el perfil de ese cliente.
- Uso de servicios de mezcla o volteo : canalizar fondos a través de protocolos como Tornado Cash que ocultan el historial de transacciones.
- Interacción con direcciones de monederos marcadas : monederos vinculados por empresas de análisis de blockchain (Chainalysis, Elliptic, TRM Labs) a mercados de la dark web, ransomware o entidades sancionadas.
- Transferencias de monederos no alojados : mover fondos hacia o desde monederos fuera de un custodio regulado, eludiendo la supervisión estándar entre VASP.
- Patrones de transacciones inconsistentes : transferencias pequeñas de alta frecuencia o depósitos grandes sin una razón comercial clara.
El Reglamento de la UE sobre los Mercados de Criptoactivos (MiCA), que entró en vigor en 2024, refuerza estos requisitos para las plataformas que operan en Europa. Existen marcos regulatorios similares, o están en desarrollo, en el Reino Unido, los Emiratos Árabes Unidos, Singapur y Estados Unidos.
Para los comerciantes y operadores de comercio electrónico que aceptan pagos con criptomonedas, la configuración de cumplimiento de su pasarela de pago es fundamental. Plisio integra procesos de detección de blanqueo de capitales y cumplimiento basados en riesgos directamente en su infraestructura, lo que reduce significativamente la carga de cumplimiento de la debida diligencia reforzada para los comerciantes de su plataforma.
La EDD es el mecanismo que utiliza el sistema financiero para detectar lo que la verificación estándar no detecta. Para los equipos de cumplimiento normativo de bancos, fintechs y plataformas de criptomonedas, la denominación completa de EDD en el sector bancario, Enhanced Due Diligence (Debida Diligencia Mejorada), describe con precisión lo que exige: más documentación, una verificación más exhaustiva y una supervisión continua más rigurosa que la que proporciona la debida diligencia del cliente por sí sola. Si se documenta correctamente, el registro de auditoría protege a la institución. Si no se cumple, las multas que se muestran en la tabla anterior ilustran las consecuencias.
