AML Law

Cumplimiento de PBC en Espana: guia completa de prevencion de blanqueo

SS

Sadat Mahmood Saurov

AML compliance in Spain — a compliance officer reviewing anti-money laundering data in a modern corporate office

La prevención de blanqueo de capitales (PBC) en España se articula a través de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo y su reglamento de desarrollo, el Real Decreto 304/2014, de 5 de mayo. El régimen es supervisado por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) y exige a los sujetos obligados aplicar medidas de diligencia debida, evaluar riesgos, monitorizar operaciones y comunicar actividades sospechosas.

¿Qué significa la prevención de blanqueo de capitales (PBC) en España?

Conclusión clave: La PBC es el régimen integral contra el blanqueo de capitales en España, que transpone las directivas europeas al ordenamiento interno y obliga a entidades designadas a identificar, prevenir y comunicar operaciones vinculadas al blanqueo y a la financiación del terrorismo.

El marco de PBC español constituye la transposición nacional de las Directivas europeas contra el blanqueo de capitales. El concepto abarca el conjunto completo de obligaciones legales impuestas a entidades del sector privado para que actúen como primera línea de defensa frente a los flujos financieros ilícitos.

El régimen de PBC se sustenta en tres pilares operativos:

  1. Prevención — identificar y verificar la identidad de los clientes antes de establecer una relación de negocios.
  2. Detección — monitorizar de forma continua las operaciones y señalar anomalías.
  3. Comunicación — remitir comunicaciones de operaciones sospechosas al SEPBLAC cuando se detecten indicios de blanqueo o financiación del terrorismo.

A diferencia de los estándares voluntarios de gobierno corporativo, las obligaciones de PBC son imperativas y su incumplimiento conlleva sanciones administrativas y penales de considerable gravedad. Todo sujeto obligado —desde una entidad de crédito hasta una agencia inmobiliaria— debe integrar estos pilares en su actividad cotidiana.

Ejemplo práctico: Una promotora inmobiliaria de Madrid recibe una oferta de pago en efectivo de 480 000 € por parte de un comprador no residente sin origen de fondos verificable. Conforme al régimen de PBC, el área de cumplimiento de la promotora debe aplicar medidas reforzadas de diligencia debida, documentar su análisis de riesgos y, si la sospecha no queda resuelta, comunicar la operación al SEPBLAC antes de formalizar la transacción.

Para una visión más amplia sobre las estructuras de cumplimiento interno, consulte nuestra guía pilar sobre gobierno corporativo y controles internos en España.

Diagrama que muestra la jerarquía normativa de PBC en España desde las Directivas europeas hasta la Ley 10/2010, el RD 304/2014 y las guías del SEPBLAC

¿Cuál es el marco legal de la PBC en España según la Ley 10/2010 y el RD 304/2014?

Conclusión clave: La Ley 10/2010 establece las obligaciones principales de prevención de blanqueo, mientras que el RD 304/2014 desarrolla la mecánica de cumplimiento — juntos constituyen la columna vertebral del régimen de PBC español.

Ley 10/2010 — La norma de cabecera

La Ley 10/2010, de 28 de abril, transpuso inicialmente la Tercera Directiva europea contra el blanqueo de capitales y ha sido actualizada progresivamente para incorporar la Cuarta (Directiva (UE) 2015/849) y la Quinta (Directiva (UE) 2018/843) Directivas. Disposiciones fundamentales:

  • Artículos 2–3: Definen los sujetos obligados y el ámbito de actividades reguladas.
  • Artículos 3–6: Establecen los requisitos de diligencia debida: identificación formal, verificación, titularidad real y propósito de la relación de negocios.
  • Artículos 7–11: Regulan las medidas de diligencia debida simplificada y reforzada.
  • Artículos 17–18: Exigen medidas de control interno, incluyendo políticas escritas, un órgano de control interno (OCI) y formación del personal.
  • Artículos 52–57: Configuran el régimen sancionador.

RD 304/2014 — El reglamento de desarrollo

El Real Decreto 304/2014, de 5 de mayo, detalla los aspectos operativos:

  • Documentos de identificación admitidos para personas físicas y jurídicas.
  • Metodología de análisis de riesgos.
  • Plazos de conservación de documentación (mínimo de diez años, conforme al artículo 25 de la Ley 10/2010).
  • Procedimientos del órgano de control interno y del informe del experto externo.

Instrumentos clave de la UE

El marco español se inscribe en una arquitectura europea más amplia. Los profesionales deben conocer:

Instrumento Relevancia
Directiva (UE) 2015/849 (4.ª Directiva) Marco armonizado de diligencia debida y evaluación de riesgos
Directiva (UE) 2018/843 (5.ª Directiva) Extensión del ámbito a proveedores de servicios de criptoactivos y al mercado del arte
Reglamento (UE) 2024/1624 (Reglamento AML de la UE) Futuro cuerpo normativo único — aplicabilidad directa prevista a partir de 2027
Reglamento (UE) 2024/1620 (AMLA) Crea la Autoridad Europea de Lucha contra el Blanqueo de Capitales

Nota: El futuro Reglamento europeo contra el blanqueo será directamente aplicable en los Estados miembros, reduciendo la necesidad de transposición nacional. Los sujetos obligados españoles deben comenzar a mapear sus programas de cumplimiento tanto frente al régimen de PBC vigente como frente a la nueva normativa europea.

Para las obligaciones de protección de datos que se solapan con la conservación de documentación de PBC, consulte nuestra guía sobre cumplimiento del RGPD y la LOPDGDD en España.

¿Quiénes están obligados a cumplir la normativa de PBC en España?

Conclusión clave: La Ley 10/2010 impone obligaciones de PBC a un amplio espectro de «sujetos obligados» que abarca entidades financieras, profesionales y operadores no financieros.

Los artículos 2 y 3 de la Ley 10/2010 definen los sujetos obligados. El ámbito es deliberadamente extenso:

Sector financiero

  • Entidades de crédito (bancos, cajas de ahorros, cooperativas de crédito)
  • Entidades de pago y de dinero electrónico
  • Aseguradoras y reaseguradoras que comercialicen productos de vida
  • Empresas de servicios de inversión y sociedades gestoras de instituciones de inversión colectiva
  • Proveedores de servicios de criptoactivos (incorporados tras la transposición de la 5.ª Directiva)

Actividades profesionales y no financieras

  • Agentes y promotores inmobiliarios
  • Auditores de cuentas, contables y asesores fiscales externos
  • Notarios y registradores de la propiedad
  • Abogados y procuradores, cuando participen en operaciones financieras o inmobiliarias
  • Comerciantes de bienes de alto valor cuando los pagos en efectivo superen los 10 000 €
  • Casinos y operadores de juego

Otras entidades designadas

  • Fundaciones y asociaciones que cumplan determinados umbrales
  • Personas que comercien con bienes cuando los pagos en efectivo excedan los 10 000 €
  • Intermediarios del mercado del arte en transacciones superiores a 10 000 €
Sector Ejemplos Áreas de riesgo clave
Banca y finanzas Bancos minoristas, fintech, procesadores de pagos Transferencias transfronterizas, cuentas de sociedades pantalla
Inmobiliario Agentes, promotores, fondos de inversión inmobiliaria Compras en efectivo, compradores no residentes, estructuras de propiedad opacas
Servicios profesionales Abogados, notarios, contables Constitución de fideicomisos, estructuración societaria, testaferros
Bienes de alto valor Joyeros, concesionarios de vehículos de lujo, galerías de arte Operaciones en efectivo por encima de 10 000 €

Caso práctico: Un despacho de abogados de Barcelona que asesora a un cliente extranjero en la adquisición de un local comercial debe aplicar diligencia debida conforme a la Ley 10/2010, al estar participando en una operación inmobiliaria. Esta obligación se aplica aunque la actividad principal del despacho sea la asesoría jurídica y no la intermediación inmobiliaria.

Para orientación sectorial específica, consulte nuestros artículos sobre obligaciones de PBC para profesionales inmobiliarios en España, requisitos de PBC para entidades financieras en España y cumplimiento de PBC para abogados y profesionales contables.

¿Qué función desempeña el SEPBLAC en la supervisión de PBC?

Conclusión clave: El SEPBLAC es la unidad de inteligencia financiera (UIF) de España y el principal organismo supervisor encargado de recibir, analizar y difundir comunicaciones de operaciones sospechosas, así como de inspeccionar los programas de cumplimiento de los sujetos obligados.

El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) opera bajo la supervisión de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, presidida por la persona titular de la Secretaría de Estado de Economía.

Funciones esenciales

  1. Inteligencia financiera — el SEPBLAC recibe las comunicaciones de operaciones sospechosas de los sujetos obligados, analiza patrones y remite inteligencia operativa a las autoridades policiales y judiciales.
  2. Inspección supervisora — realiza tanto inspecciones de rutina como actuaciones específicas para verificar el cumplimiento de la Ley 10/2010 y el RD 304/2014.
  3. Orientación y difusión — publica guías sectoriales, tipologías e indicadores de riesgo para ayudar a los sujetos obligados a calibrar sus programas de cumplimiento.
  4. Cooperación internacional — como miembro del Grupo Egmont de Unidades de Inteligencia Financiera y de la red europea de UIFs, el SEPBLAC intercambia información con sus homólogos extranjeros.

Otros organismos supervisores

El SEPBLAC no es el único organismo con competencias en materia de PBC:

Autoridad Función supervisora
SEPBLAC UIF principal; recibe comunicaciones de operaciones sospechosas; inspecciona a todos los sujetos obligados
Banco de España Supervisión prudencial de entidades de crédito; supervisión de PBC en el sector bancario
Comisión Nacional del Mercado de Valores (CNMV) Supervisión de PBC de empresas de servicios de inversión e instituciones de inversión colectiva
Dirección General de Seguros y Fondos de Pensiones (DGSFP) Supervisión de PBC de entidades aseguradoras
Consejo General del Notariado Supervisión autorreguladora de PBC del colectivo notarial

Aspecto práctico: Durante una inspección del SEPBLAC, el responsable de cumplimiento debe poder acreditar que el órgano de control interno (OCI) está formalmente constituido, que el análisis de riesgos está actualizado y que el plan de formación alcanza a todo el personal relevante. La imposibilidad de presentar documentación constituye en sí misma una infracción.

Diagrama de flujo que muestra el ciclo de seis pasos del enfoque basado en el riesgo en el régimen de PBC español

¿Cuáles son las obligaciones de diligencia debida y «conoce a tu cliente» (KYC)?

Conclusión clave: La diligencia debida (due diligence) es la piedra angular del régimen de PBC: exige a los sujetos obligados identificar, verificar y comprender el perfil de riesgo de cada cliente antes de establecer una relación de negocios.

Medidas de diligencia debida estándar (artículos 3–6, Ley 10/2010)

Todo sujeto obligado debe, como mínimo:

  1. Identificar formalmente al cliente — obtener el nombre completo y un documento de identificación fiable (DNI, NIE, pasaporte o equivalente).
  2. Verificar la identidad — confirmar la identidad del cliente mediante una fuente fiable e independiente, con carácter previo o, en supuestos limitados, inmediatamente después de establecer la relación.
  3. Identificar al titular real — determinar quién posee o controla en última instancia la entidad cliente (véase la sección de titularidad real más adelante).
  4. Conocer el propósito y la naturaleza de la relación de negocios — recabar información suficiente para construir un perfil de riesgo.
  5. Aplicar un seguimiento continuo — revisar de forma permanente las operaciones en contraste con el perfil conocido del cliente.

Diligencia debida simplificada (artículo 9, Ley 10/2010)

Las medidas simplificadas pueden aplicarse cuando el riesgo de blanqueo o de financiación del terrorismo sea demostrablemente bajo —por ejemplo, cuando el cliente sea una entidad financiera regulada en la UE o un organismo público español—. Incluso con diligencia simplificada, el sujeto obligado debe identificar y verificar al cliente.

Diligencia debida reforzada (artículos 11–16, Ley 10/2010)

Las medidas reforzadas son obligatorias en situaciones de mayor riesgo, entre otras:

  • Personas con responsabilidad pública (PRP/PEP) — personas que desempeñan o han desempeñado funciones públicas destacadas, sus familiares y allegados conocidos (artículo 14).
  • Relaciones de negocio no presenciales — cuando el cliente no está físicamente presente para la identificación.
  • Relaciones de corresponsalía bancaria — relaciones transfronterizas entre entidades de crédito.
  • Operaciones complejas o inusuales — operaciones sin propósito económico o lícito aparente.
  • Países de alto riesgo — clientes vinculados a jurisdicciones identificadas por la UE o el GAFI como deficientes en materia de PBC.

Caso práctico: Un banco con sede en Bilbao incorpora como cliente a una sociedad cuyo titular real es un antiguo alto cargo de un gobierno extranjero. El cliente tiene la condición de persona con responsabilidad pública. El banco debe aplicar diligencia debida reforzada, obtener la autorización de la alta dirección para la relación, adoptar medidas adecuadas para determinar el origen del patrimonio y de los fondos, y mantener un seguimiento reforzado durante toda la vigencia de la relación.

Para una guía detallada sobre la construcción de los procedimientos «conoce a tu cliente», consulte nuestro artículo sobre requisitos de diligencia debida y KYC en España.

¿Cómo funciona en la práctica el enfoque basado en el riesgo?

Conclusión clave: La Ley 10/2010 y el RD 304/2014 exigen a todo sujeto obligado adoptar un enfoque basado en el riesgo, calibrando la intensidad de sus controles de PBC en función de los riesgos específicos de blanqueo y financiación del terrorismo a los que está expuesto.

El enfoque basado en el riesgo no es discrecional — es una exigencia legal contenida en el artículo 32 del RD 304/2014. Todo sujeto obligado debe:

  1. Realizar un análisis de riesgos formal — identificando y evaluando los riesgos de blanqueo y financiación del terrorismo relevantes para su sector, base de clientes, productos, exposición geográfica y canales de distribución.
  2. Documentar el análisis — el análisis de riesgos debe constar por escrito, ser aprobado por el órgano de control interno (OCI) y actualizarse ante cambios materiales.
  3. Asignar recursos de forma proporcionada — las áreas de mayor riesgo deben recibir controles reforzados, monitorización más frecuente y formación adicional del personal.
  4. Revisar periódicamente — el RD 304/2014 exige la revisión del análisis de riesgos al menos con carácter anual y siempre que se produzca un cambio significativo en el perfil de riesgo.

Factores de riesgo a considerar

Categoría Ejemplos
Riesgo del cliente PRP/PEP, clientes no residentes, estructuras de propiedad complejas, negocios intensivos en efectivo
Riesgo del producto/servicio Banca privada, corresponsalía bancaria, financiación del comercio exterior, servicios de criptoactivos
Riesgo geográfico Jurisdicciones en las listas de alto riesgo de la UE o del GAFI, paraísos fiscales, zonas de conflicto
Riesgo del canal Incorporación no presencial de clientes, relaciones introducidas por intermediarios

Construcción de la matriz de riesgos

Una matriz de riesgos práctica cruza cada factor con su probabilidad e impacto, generando una puntuación de riesgo compuesta para cada relación de negocios. El OCI debe definir:

  • Categorías de riesgo (por ejemplo: bajo, medio, alto, muy alto).
  • Intensidad de diligencia debida requerida para cada categoría.
  • Umbrales de escalado — eventos o circunstancias que exigen reevaluar la categoría de riesgo.
  • Frecuencia de revisión para cada nivel de riesgo.

Consejo práctico: Las guías sectoriales publicadas por el SEPBLAC contienen indicadores de riesgo adaptados a industrias específicas. Los sujetos obligados deben utilizarlas como punto de partida y complementarlas con su propia experiencia operativa.

Para una guía de implementación paso a paso, consulte nuestro artículo sobre metodología de análisis de riesgos de PBC para empresas españolas.


Curso destacado

Marco práctico de PBC para España

Refuerce su programa de cumplimiento de PBC en España. Aprenda la Ley 10/2010, el RD 304/2014, las obligaciones ante el SEPBLAC, KYC, el análisis de riesgos, la comunicación de operaciones sospechosas y los controles prácticos de PBC.

Explorar curso →

¿Cómo se comunican las operaciones sospechosas al SEPBLAC?

Conclusión clave: Los sujetos obligados deben comunicar al SEPBLAC toda operación o actividad que presente indicios de blanqueo o financiación del terrorismo, sin revelar al cliente la existencia de dicha comunicación.

La obligación de comunicación (artículos 18–19, Ley 10/2010)

La obligación de efectuar una comunicación por indicio surge cuando un sujeto obligado detecta, en el ejercicio de su actividad, cualquier hecho u operación que presente indicios —aunque sean meramente de sospecha— de estar relacionado con el blanqueo de capitales o la financiación del terrorismo. No existe un umbral monetario mínimo.

Requisitos procedimentales clave

  • Deber de secreto — los sujetos obligados y sus empleados no pueden revelar al cliente ni a terceros que se ha efectuado una comunicación ni que se está realizando un análisis (artículo 24, Ley 10/2010). La vulneración de este deber constituye una infracción grave.
  • Comunicación sin demora — las comunicaciones deben remitirse con prontitud. Cuando la sospecha afecte a una operación inminente, el sujeto obligado debe intentar abstenerse de ejecutarla hasta haber informado al SEPBLAC.
  • Conservación de documentación — todas las comunicaciones y la documentación de soporte deben conservarse durante un mínimo de diez años (artículo 25, Ley 10/2010).
  • Protección frente a la responsabilidad — la comunicación de buena fe al SEPBLAC no supone vulneración del deber de confidencialidad ni de la normativa de protección de datos, y otorga al comunicante protección frente a la responsabilidad civil (artículo 23, Ley 10/2010).

Procedimiento de comunicación

Las comunicaciones se transmiten electrónicamente a través de la plataforma segura del SEPBLAC. El informe debe incluir:

  1. Datos de identificación de las personas implicadas.
  2. Descripción de la actividad u operación sospechosa.
  3. Motivos de la sospecha, con referencia a indicadores de riesgo concretos.
  4. Documentación de soporte (registros de operaciones, expedientes de diligencia debida, correspondencia).

Caso práctico: El responsable de cumplimiento de una oficina de cambio de moneda de Sevilla detecta un patrón de ingresos fraccionados justo por debajo del umbral de identificación de 1 000 €, realizados por distintas personas en la misma cuenta beneficiaria. El patrón de fraccionamiento activa la obligación de comunicar al SEPBLAC, con independencia de que ningún ingreso individual resulte sospechoso de forma aislada.

Para orientación sobre escalado interno y redacción de comunicaciones, consulte nuestro artículo sobre procedimientos de comunicación de operaciones sospechosas en España.

¿Cuáles son las obligaciones de identificación de la titularidad real?

Conclusión clave: Los sujetos obligados deben identificar y verificar al titular real de toda persona jurídica o estructura jurídica antes de establecer una relación de negocios, y España mantiene un registro central de titularidades reales para reforzar la transparencia.

Definición (artículo 4, Ley 10/2010)

El titular real es la persona física que posee o controla en última instancia a una persona jurídica, o en cuyo nombre se realiza una operación. Para entidades mercantiles, el umbral por defecto es cualquier persona física que posea —directa o indirectamente— más del 25 % del capital social o de los derechos de voto.

Registro Central de Titularidades Reales

España ha creado el Registro Central de Titularidades Reales en cumplimiento de las Directivas europeas contra el blanqueo. Las personas jurídicas deben declarar y mantener actualizada la información sobre su titularidad real. Los sujetos obligados deben consultar este registro como parte de su proceso de diligencia debida, si bien la consulta no sustituye a la verificación independiente.

Retos prácticos

  • Estructuras multinivel: La identificación del titular real a través de cadenas de sociedades holding o fideicomisos exige prueba documental en cada eslabón.
  • Relaciones de testaferro: Cuando la titularidad formal la ostenta un testaferro, el sujeto obligado debe traspasar esa capa para identificar a la persona física que ejerce el control efectivo.
  • Fideicomisos y estructuras análogas: Deben identificarse el fideicomitente, el fiduciario o fiduciarios, el protector, los beneficiarios y cualquier persona que ejerza control efectivo.

Para una guía detallada, consulte nuestro artículo sobre identificación de la titularidad real en España.

Matriz de sanciones que muestra las infracciones leves, graves y muy graves en materia de PBC conforme a la Ley 10/2010

¿Qué sanciones se aplican por incumplimiento de la normativa de PBC en España?

Conclusión clave: La Ley 10/2010 establece un régimen sancionador de tres niveles — infracciones leves, graves y muy graves — con multas que pueden alcanzar los 10 millones de euros o el 10 % de la facturación anual en los supuestos más graves, además de responsabilidad personal de administradores y responsables de cumplimiento.

Régimen sancionador (artículos 52–57, Ley 10/2010)

Gravedad Ejemplos de infracción Multa máxima
Muy grave Incumplimiento sistemático de la diligencia debida; omisión de comunicaciones al SEPBLAC; vulneración del deber de secreto; obstrucción de inspecciones del SEPBLAC Hasta 10 000 000 €, o el 10 % de la facturación anual, o hasta cinco veces el beneficio económico obtenido
Grave Incumplimientos aislados de diligencia debida; medidas de control interno inadecuadas; deficiencias en la conservación de documentación; falta de constitución del OCI Hasta 5 000 000 €, o el 5 % de la facturación anual
Leve Omisiones administrativas; incumplimientos procedimentales aislados Hasta 60 000 €

Consecuencias adicionales

Más allá de las sanciones pecuniarias, las infracciones muy graves y graves pueden comportar:

  • Amonestación pública — publicación de la sanción con identificación de la entidad o persona responsable.
  • Inhabilitación para el ejercicio de cargos directivos — los administradores o responsables de cumplimiento pueden ser inhabilitados hasta diez años para ejercer funciones de dirección en sujetos obligados.
  • Revocación de la autorización — en los casos más graves, puede retirarse la licencia de actividad.
  • Responsabilidad penal — el propio blanqueo de capitales es un delito tipificado en los artículos 298–304 del Código Penal, con penas de prisión de hasta seis años y agravantes para los profesionales que faciliten el blanqueo.

Nota práctica: Las sanciones por infracciones muy graves las impone el Consejo de Ministros; las sanciones por infracciones graves, la persona titular del Ministerio de Economía; y las sanciones por infracciones leves, la Secretaría de Estado de Economía. El SEPBLAC propone la sanción, pero la decisión definitiva corresponde al Gobierno.

Para un análisis más detallado, consulte nuestro artículo sobre sanciones y actuaciones de cumplimiento en materia de PBC en España.

¿Cómo construir un programa eficaz de prevención de blanqueo?

Conclusión clave: Un programa eficaz de PBC integra gobernanza, análisis de riesgos, políticas, formación y revisión independiente en un ciclo continuo de cumplimiento — desde la evaluación formal de riesgos hasta el informe periódico del experto externo.

Hoja de ruta del programa de PBC

Paso 1: Designar el Órgano de Control Interno (OCI)
Conforme al artículo 26 del RD 304/2014, todo sujeto obligado debe designar un representante ante el SEPBLAC y constituir un OCI adecuado a su tamaño y perfil de riesgo.

Paso 2: Realizar el análisis de riesgos
Documentar todos los riesgos de blanqueo y financiación del terrorismo relevantes para la actividad, siguiendo la metodología prescrita en el RD 304/2014. Utilizar las guías sectoriales del SEPBLAC como punto de partida.

Paso 3: Redactar las políticas y procedimientos internos
Las políticas escritas deben cubrir, como mínimo:

  • Procedimientos de aceptación de clientes y diligencia debida
  • Reglas de monitorización de operaciones y protocolos de gestión de alertas
  • Procedimientos de escalado y comunicación de operaciones sospechosas
  • Prácticas de conservación de documentación y retención de datos
  • Procedimientos de cribado de listas de sanciones

Paso 4: Implementar la monitorización de operaciones
Desplegar sistemas de monitorización —manuales, basados en reglas o automatizados— capaces de detectar patrones operativos inusuales, desviaciones respecto al perfil del cliente y coincidencias con listas de sanciones.

Paso 5: Impartir formación
Todo el personal relevante debe recibir formación en materia de PBC en el momento de su incorporación y a intervalos regulares. La formación debe adaptarse al puesto del empleado y quedar documentada.

Paso 6: Encargar el informe del experto externo
El artículo 28 del RD 304/2014 exige a los sujetos obligados encargar a un experto externo independiente la revisión de su programa de PBC. El informe debe remitirse al OCI y estar a disposición del SEPBLAC cuando lo requiera.

Paso 7: Revisar, actualizar e iterar
El análisis de riesgos, las políticas y las medidas de control deben revisarse al menos con carácter anual, y actualizarse ante cualquier cambio material en el perfil de riesgo, los requisitos normativos o el modelo de negocio.

Lista de verificación del programa de PBC

  • OCI formalmente constituido e inscrito ante el SEPBLAC
  • Análisis de riesgos documentado y aprobado por el OCI
  • Políticas y procedimientos de diligencia debida documentados y operativos
  • Sistema de monitorización de operaciones desplegado y probado
  • Procedimiento de escalado y comunicación de operaciones sospechosas implantado
  • Cribado de listas de sanciones integrado en la incorporación de clientes y el seguimiento continuo
  • Programa de formación impartido y documentado para todo el personal relevante
  • Sistema de conservación de documentación conforme al plazo de diez años
  • Informe del experto externo encargado dentro del plazo establecido
  • Ciclo de revisión anual establecido

Para instrucciones detalladas de implementación, consulte nuestros artículos sobre controles internos y políticas de PBC y requisitos de formación en PBC para empresas españolas.

Refuerce hoy su programa de prevención de blanqueo

Conclusión clave: El mejor momento para revisar su programa de PBC es antes de una inspección del SEPBLAC, no después.

Si su organización es un sujeto obligado conforme a la Ley 10/2010, contar con un programa sólido de PBC no es un lujo: es una exigencia legal. Tanto si está construyendo un programa desde cero como si necesita someter a prueba uno existente, los siguientes recursos pueden ayudarle:

  • Descargue nuestra plantilla gratuita de análisis de riesgos de PBC — un cuaderno de trabajo estructurado para documentar su análisis de riesgos conforme a los requisitos del RD 304/2014.
  • Inscríbase en el curso de PBC y delitos financieros — un programa integral y acreditado que cubre la Ley 10/2010, las obligaciones ante el SEPBLAC, los procedimientos de diligencia debida y las tendencias en materia de cumplimiento, desarrollado por profesionales en ejercicio.

Lista de verificación del programa de PBC para sujetos obligados en España conforme a la Ley 10/2010


Curso destacado

Marco práctico de PBC para España

Refuerce su programa de cumplimiento de PBC en España. Aprenda la Ley 10/2010, el RD 304/2014, las obligaciones ante el SEPBLAC, KYC, el análisis de riesgos, la comunicación de operaciones sospechosas y los controles prácticos de PBC.

Explorar curso →

Frequently Asked Questions

01 What is PBC in Spain? +

PBC stands for prevención de blanqueo de capitales — Spain's anti-money laundering framework. It is the set of legal obligations requiring designated businesses and professionals to identify customers, assess risks, monitor transactions, and report suspicious activity to SEPBLAC. The core legislation is Law 10/2010, supplemented by RD 304/2014.

02 Who must comply with AML law? +

All "obliged subjects" (sujetos obligados) listed in Articles 2 and 3 of Law 10/2010 must comply. This includes banks, payment institutions, insurers, real estate agents, lawyers, notaries, accountants, tax advisers, dealers in high-value goods, casinos, and crypto-asset service providers. The list is broad and sector-specific thresholds apply.

03 What is SEPBLAC? +

SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) is Spain's financial intelligence unit (FIU). It receives and analyses suspicious transaction reports from obliged subjects, conducts compliance inspections, and refers intelligence to law enforcement. SEPBLAC also publishes guidance to help entities calibrate their AML programmes.

04 What are the AML penalties? +

Penalties under Law 10/2010 range from fines of up to €60,000 for minor infractions to up to €10 million — or 10% of annual turnover — for very serious infractions such as systematic CDD failures or failure to file STRs. Very serious and serious infractions can also result in public reprimand, director disqualification, and licence revocation. Criminal liability for money laundering itself is separate and carries prison sentences under the Spanish Criminal Code.

Artículos relacionados

Is Your Company's Equality Plan About to Hit Its 4-Year Expiry?Learning and development

¿Tu Plan de Igualdad está a punto de caducar? Guía de renovación 2026

Un Plan de Igualdad tiene una vigencia máxima de cuatro años y ese plazo no es prorrogable. Cuando expira, si no se ha negociado y...

Alexandre Lorenzo

June 04, 2026
8 mins read
Food handling in 2026 guide for Spain and EU food safety trainingFood Hygiene

Manipulación de alimentos en 2026: guía completa

La manipulación de alimentos en 2026 ya no consiste únicamente en lavarse las manos, usar guantes y separar los alimentos crudos de los cocinados. Esas...

Marcus Delfield

June 02, 2026
33 mins read
NIS2 Compliance for SMEs in Spain: A Practical 2026 GuideCompliance

Cumplimiento NIS2 para pymes en España: guía práctica 2026

Alejandro Cortés

June 02, 2026
15 mins read