Por qué importa lo que decide el GAFI

El Grupo de Acción Financiera Internacional no tiene poder normativo directo. No puede multar a ninguna empresa ni imponer sanciones a ningún Estado. Sus recomendaciones son, técnicamente, soft law: estándares internacionales de referencia que los países miembros se comprometen a implementar en su legislación interna. Y sin embargo, pocas instituciones internacionales tienen un impacto práctico tan directo sobre las obligaciones concretas de las entidades financieras y no financieras en materia de prevención del blanqueo de capitales y la financiación del terrorismo.

La razón es sencilla: los países que no implementan los estándares del GAFI con suficiente rigor acaban en las listas de jurisdicciones bajo monitorización reforzada —la llamada "lista gris"— o, en los casos más graves, en la lista negra de jurisdicciones de alto riesgo. Y esas listas tienen consecuencias económicas inmediatas: mayor coste de acceso al sistema financiero internacional, dificultades en el acceso a divisas, y en algunos casos restricciones directas al acceso a mercados de capitales. El incentivo para cumplir con los estándares del GAFI es, en última instancia, económico.

Cuando el GAFI actualiza sus recomendaciones, el ciclo es predecible: las jurisdicciones miembros transponen los cambios a su normativa interna en plazos que oscilan entre los dieciocho meses y los tres años, y las entidades obligadas se encuentran ante nuevos requisitos que exigen adaptar sus políticas, sus procedimientos y, en muchos casos, sus sistemas tecnológicos. Conocer los cambios antes de que lleguen a la normativa nacional no es un lujo: es la diferencia entre adaptarse con tiempo y hacerlo bajo presión.

Los cambios más relevantes de 2024

Activos virtuales: el cierre de las lagunas de supervisión

El tratamiento de los activos virtuales ha sido el área donde el GAFI ha mostrado mayor urgencia en los últimos años, y 2024 no ha sido la excepción. La actualización de la Recomendación 15 y su Nota Interpretativa consolida la obligación de que todos los Proveedores de Servicios de Activos Virtuales (PSAV) —exchanges, custodios, plataformas de DeFi con suficiente centralización— estén registrados y supervisados en todas las jurisdicciones donde operen, con independencia de su modelo de negocio y su estructura tecnológica.

El debate sobre si los protocolos de finanzas descentralizadas genuinamente autónomos están o no dentro del ámbito de aplicación del GAFI continúa sin resolución definitiva, pero la dirección es clara: el GAFI está cerrando activamente todas las vías de interpretación que permitían a los operadores del sector eludir la supervisión AML bajo el argumento de la descentralización. Para cualquier entidad que opere en el espacio de activos digitales, la cuestión ya no es si se está dentro del ámbito del GAFI, sino cuándo llegará la supervisión efectiva.

La regla de viaje: de recomendación a exigencia operativa

La llamada Travel Rule —la Recomendación 16 del GAFI aplicada a transferencias de activos virtuales— exige que los PSAV transmitan información identificativa del originador y el beneficiario en todas las transferencias de activos virtuales por encima de un umbral de 1.000 dólares o euros. No es una novedad de 2024: el GAFI la introdujo en 2019. Lo que ha cambiado es la presión supervisora para su implementación efectiva.

En 2024 el GAFI publicó una evaluación detallada del estado de implementación de la Travel Rule en sus jurisdicciones miembro. El diagnóstico es preocupante: la mayoría de los países tiene legislación que la exige en papel, pero la implementación técnica por parte de los operadores es heterogénea y, en muchos casos, insuficiente. Los supervisores nacionales han recibido una señal clara: la Travel Rule dejará de ser un ítem de cumplimiento formal para convertirse en un objeto de supervisión activa con consecuencias sancionadoras.

La evaluación del GAFI de 2024 concluye que solo el 40% de las jurisdicciones miembro tiene una implementación técnica de la Travel Rule que puede considerarse efectiva. El resto presenta deficiencias que van desde la falta de sistemas de intercambio hasta la ausencia de supervisión de su cumplimiento.

FATF — Report on the State of Effectiveness and Compliance, 2024

Beneficiario real: más transparencia, menos excepciones

La actualización de las Recomendaciones 24 y 25, que regulan la transparencia sobre el beneficiario real de personas jurídicas y estructuras fiduciarias, consolida una tendencia que lleva varios años desarrollándose: el GAFI está cerrando sistemáticamente las excepciones y los resquicios que permitían mantener la opacidad en la titularidad real de las entidades.

Los cambios más relevantes afectan a tres áreas. Primera, la exigencia de que la información sobre beneficiario real esté disponible no solo en los registros internos de las entidades obligadas sino en registros públicos o accesibles para las autoridades con la mayor celeridad posible. Segunda, el endurecimiento de los criterios para determinar quién es beneficiario real cuando la cadena de control es compleja —estructuras multinivel, trusts, fundaciones—. Tercera, la extensión de las obligaciones de verificación de beneficiario real a sectores no financieros que históricamente habían quedado fuera del radar: abogados, notarios, contables, agentes inmobiliarios y proveedores de servicios de empresa.

Enfoque basado en riesgo: de principio a práctica exigible

El enfoque basado en riesgo no es nuevo en la arquitectura del GAFI: es uno de sus principios fundacionales desde la revisión de 2012. Lo que está cambiando es la expectativa supervisora sobre cómo ese enfoque se implementa en la práctica. Ya no es suficiente que una entidad declare que aplica un enfoque basado en riesgo. El GAFI espera —y los supervisores nacionales empiezan a exigir— que esa declaración esté respaldada por evidencia: metodologías documentadas, evaluaciones actualizadas, decisiones de calibración de controles que puedan ser justificadas ante el regulador.

Esto tiene implicaciones directas para los programas AML: las evaluaciones de riesgo estáticas, realizadas cada tres o cinco años y consultadas raramente, dejan de ser suficientes. El GAFI está empujando hacia modelos de evaluación continua, sensibles a los cambios en el entorno de riesgo —tipologías emergentes, nuevos productos, cambios en la base de clientes— y capaces de traducirse en ajustes oportunos de los controles.

Qué implica para los programas AML existentes

Las actualizaciones del GAFI no requieren necesariamente reconstruir el programa AML desde cero. Pero sí exigen una revisión crítica de varios de sus elementos fundamentales para identificar dónde hay brechas entre los estándares actuales y lo que el supervisor espera encontrar cuando llegue una inspección.

Revisión de la evaluación de riesgos institucional

El primer elemento a revisar es la evaluación de riesgos de la entidad. ¿Cuándo fue la última actualización? ¿Incorpora el riesgo de activos virtuales si la entidad tiene exposición directa o indirecta al sector? ¿Refleja los cambios en la base de clientes, los productos y los canales de distribución desde la última revisión? ¿Está documentada la metodología de forma que un inspector pueda entender cómo se llega a las conclusiones?

Una evaluación de riesgos que no puede responderse positivamente a esas preguntas no cumple con las expectativas actuales del GAFI, con independencia de lo sofisticado que sea el programa de controles que supuestamente descansa sobre ella.

Actualización de los procedimientos de due diligence

Los procedimientos de debida diligencia deben reflejar los cambios en los criterios de determinación del beneficiario real. Para entidades con clientes que incluyen personas jurídicas complejas, el momento es adecuado para revisar si los procedimientos vigentes son suficientes para cumplir con los estándares actualizados, o si requieren ajustes en los umbrales de identificación, en los documentos exigidos o en las condiciones en las que se activa la diligencia reforzada.

Formación específica sobre tipologías emergentes

El GAFI publica periódicamente informes de tipologías que documentan los mecanismos que utilizan los actores ilícitos para lavar dinero o financiar el terrorismo. Los informes de 2024 incluyen tipologías relacionadas con activos virtuales, el uso de estructuras societarias multinacionales para eludir controles de beneficiario real, y la explotación de las zonas grises de la economía del efectivo digital. Esas tipologías deberían estar integradas en los programas de formación de los equipos de cumplimiento y de las primeras líneas de defensa.

El GAFI identifica en su informe de 2024 que el uso de estructuras jurídicas opacas combinadas con activos virtuales se ha convertido en la tipología de blanqueo de mayor crecimiento en los últimos tres años, representando ya el 23% de los casos analizados en sus evaluaciones mutuas más recientes.

FATF — Money Laundering and Terrorist Financing Through VASP, 2024

El cumplimiento AML no es un estado: es un proceso continuo

Una de las trampas más frecuentes en la gestión de programas AML es tratarlos como un proyecto que se completa. Se diseña el programa, se aprueban las políticas, se forma al personal, se instala el software de monitorización de transacciones. Y entonces, la organización considera que está en cumplimiento y pasa a otras prioridades. Hasta que el regulador viene a comprobar que eso sigue siendo así, o hasta que ocurre un incidente que pone de manifiesto que el programa dejó de reflejar la realidad hace tiempo.

Los estándares del GAFI, como todos los estándares regulatorios en materia financiera, evolucionan. Y lo hacen porque el blanqueo de capitales y la financiación del terrorismo evolucionan: los actores ilícitos adaptan sus métodos a los controles existentes con una velocidad que frecuentemente supera la de la respuesta regulatoria. Mantenerse al día no es burocracia. Es la condición mínima para que un programa AML sea algo más que una respuesta ceremonial a una obligación legal.

Adrián Merah Núñez

Abogado especializado en Compliance Internacional, Prevención del Blanqueo de Capitales y Riesgos IA

Conectar en LinkedIn