PSD3 y PSR: La nueva realidad para la supervisión AML y la detección de sanciones
1. Introducción: La convergencia de velocidad y seguridad
A noviembre de 2025, el sector de servicios financieros europeo afronta un momento definitorio, navegando la turbulencia de una reestructuración regulatoria fundamental. Para el oficial de cumplimiento, este período representa no simplemente una actualización de protocolos, sino una reimaginación completa del papel de la función de cumplimiento dentro del ecosistema de pagos. La maduración simultánea de la Tercera Directiva de Servicios de Pago (PSD3) y el Reglamento de Servicios de Pago (PSR), junto con la aplicación activa del Reglamento de Pagos Instantáneos (IPR), ha generado una matriz compleja de obligaciones que exige atención inmediata.
2. La arquitectura legislativa: PSD3 y PSR
2.1 La evolución de la directiva al reglamento
Para comprender las obligaciones específicas que enfrentan las entidades a finales de 2025, primero hay que apreciar el cambio estructural en la forma en la que la Unión Europea redacta las leyes de pagos. La transición de la Segunda Directiva de Servicios de Pago (PSD2) a un marco dual formado por una Directiva (PSD3) y un Reglamento (PSR) es una maniobra calculada para eliminar el arbitraje regulatorio. Bajo PSD2, la transposición de directivas en la legislación nacional provocó una fragmentación significativa; un fenómeno de “orfebrería legislativa” en el que Estados miembros como Francia, Alemania y Países Bajos aplicaban estándares divergentes sobre Autenticación Reforzada del Cliente (SCA) y licencias.
Al trasladar las reglas sustantivas de conducta empresarial —incluyendo transparencia, responsabilidad y estándares de banca abierta— al PSR, la UE se asegura de que estas reglas apliquen de forma directa y uniforme en los 27 Estados miembros sin necesidad de transposición nacional. Para el oficial de cumplimiento, esto significa que la era de navegar 27 “interpretaciones” distintas de la misma norma está llegando a su fin. Sin embargo, PSD3 sigue siendo una Directiva, centrada en la autorización y supervisión de las Entidades de Pago (EP). Esta bifurcación implica que, mientras que las “normas de circulación” (PSR) son estrictas y armonizadas, la “licencia de conducir” (PSD3) sigue dependiendo de las autoridades nacionales competentes (ANC).
2.2 Unificación del régimen de autorización
Un desarrollo crítico para los equipos de cumplimiento en instituciones financieras no bancarias es la fusión de la Directiva de Dinero Electrónico (EMD2) dentro de PSD3. Históricamente, las Entidades de Dinero Electrónico (EMI) y las Entidades de Pago (PI) operaban bajo regímenes separados con requisitos distintos de capital y protección. PSD3 elimina esta distinción, creando una sola categoría de Proveedores de Servicios de Pago (PSP). Esta consolidación simplifica el panorama regulatorio, pero genera una enorme carga de reautorización. Las EMI y PI existentes afrontan actualmente un período de “grandfathering” en el que deben demostrar el cumplimiento con los nuevos estándares unificados para conservar sus licencias. Para los oficiales de cumplimiento en estas entidades, 2025 está dominado por análisis de brechas para garantizar que su adecuación de capital y estructuras de gobernanza cumplan con los mejores estándares PSD3.
2.3 El cambio de responsabilidad y la prevención del fraude
Quizá el cambio operacional más significativo dentro del paquete PSD3/PSR es el marco de responsabilidad reforzado para el fraude. El regulador ha adoptado una postura punitiva frente al “spoofing” (suplantación de identidad), trasladando la responsabilidad del consumidor al PSP en los casos en los que el PSP no proporciona mecanismos adecuados de prevención del fraude. Esto exige directamente la implementación de sistemas de Verificación del Beneficiario (VoP) y requiere que los equipos de cumplimiento trabajen más estrechamente que nunca con las operaciones antifraude. El umbral de “negligencia grave” para los consumidores se ha elevado, lo que significa que los bancos absorberán más pérdidas a menos que puedan demostrar que existía una detección sofisticada de fraude y que el usuario la ignoró.
Tabla 1: Comparación estructural de los marcos regulatorios
| Característica | PSD2 (2015) | PSD3 y PSR (Situación 2025) |
|---|---|---|
| Instrumento legal | Directiva (requiere transposición nacional) | Directiva (Licencias) + Reglamento (Normas de conducta) |
| Alcance | PIs e instituciones de crédito | PIs, instituciones de crédito y EMIs (fusionadas) |
| Banca abierta | Acceso básico a cuentas (XS2A) | Interfaces mejoradas y paneles dedicados de acceso a datos |
| Responsabilidad por fraude | Protección limitada al consumidor | Responsabilidad ampliada por suplantación/impersonificación |
| Acceso no bancario | Acceso indirecto a liquidación | Acceso directo a sistemas de pago permitido |
3. El Reglamento de Pagos Instantáneos (IPR): La realidad operativa
Mientras PSD3 y PSR representan el horizonte a medio plazo (con plena aplicación prevista para 2027), el Reglamento de Pagos Instantáneos (IPR) (Reglamento (UE) 2024/886) es la plataforma inmediata y urgente para los oficiales de cumplimiento en noviembre de 2025. Este reglamento altera fundamentalmente la mecánica del Área Única de Pagos en Euros (SEPA), estableciendo que las transferencias instantáneas de crédito (SCT Inst) no son una característica premium, sino la nueva normalidad.
El IPR dicta que los PSP de la zona euro deben ser capaces de recibir pagos instantáneos desde el 9 de enero de 2025 y enviarlos desde el 9 de octubre de 2025. Por tanto, a noviembre de 2025, la transición está teóricamente completa para las instituciones de la zona euro. Los puntos de fricción actuales no son teóricos; son problemas operativos reales que surgen del requisito de liquidar los pagos en diez segundos, las veinticuatro horas del día, todos los días del año.
Este requisito de velocidad es el arquitecto del nuevo paradigma de cribado de sanciones. El regulador identificó correctamente que el principal cuello de botella en la velocidad de procesamiento no era el libro mayor bancario, sino la capa de cumplimiento de delitos financieros —específicamente, los sistemas de filtrado de transacciones que detienen los pagos para comprobar coincidencias en listas de sanciones. Para resolver esto, el IPR introduce una prohibición legal que obliga a rediseñar completamente los flujos de trabajo de AML.
4. La revolución del cribado de sanciones
La consulta del usuario identifica con acierto el cribado de sanciones como el área más crítica de incertidumbre. El modelo tradicional de “detener y escanear”—en el que cada transacción se detiene para comprobar al emisor, receptor e información de remesas frente a listas de sanciones—es fundamentalmente incompatible con el requisito del IPR de liquidar pagos en 10 segundos.
4.1 La prohibición del cribado basado en transacciones
El elemento más disruptivo del nuevo régimen es el artículo 5d del IPR. Para garantizar que los pagos instantáneos no se retrasen por falsos positivos, el reglamento prohíbe a los PSP realizar cribados basados en transacciones para listas de sanciones de la UE sobre cada transferencia instantánea de crédito.
La lógica regulatoria postula que si el Banco A (el banco del pagador) examina su base de clientes diariamente y el Banco B (el banco del beneficiario) hace lo mismo, entonces ambos extremos de la transacción están teóricamente “limpios”. Por tanto, detener la transacción en el medio para examinarla de nuevo es redundante y genera fricción innecesaria. Esto prohíbe la práctica de examinar el mensaje de pago en busca de coincidencias con sanciones de la UE en pagos instantáneos intraeuropeos.
Insight para el oficial de cumplimiento: Esta prohibición es específica. Se aplica a transferencias instantáneas de crédito y a listas de sanciones de la UE. No prohíbe explícitamente el cribado por patrones de blanqueo de capitales o fraude (que se fomenta), ni prohíbe legalmente el cribado para listas no europeas (como la OFAC). Sin embargo, las limitaciones operativas del plazo de diez segundos hacen que cualquier cribado de transacciones resulte altamente arriesgado.
4.2 El nuevo mandato: cribado periódico diario
En lugar del cribado de transacciones, el regulador exige un régimen riguroso de verificación periódica. El cambio es de “cribar el flujo” a “cribar el stock”.
Frecuencia: Los PSP deben verificar toda su base de Usuarios de Servicios de Pago (PSU) contra las listas de sanciones de la UE al menos una vez cada día natural.
Eventos desencadenantes: El cribado también debe realizarse de inmediato después de la entrada en vigor de cualquier medida restrictiva nueva o modificada.
La definición de “inmediato” es una métrica operativa crítica. Implica que los equipos de cumplimiento deben contar con tuberías de ingestión de datos capaces de recibir una actualización del Diario Oficial de la UE, analizarla y ejecutar un escaneo completo de bases de datos en cuestión de horas, si no minutos. El requisito “diario” es un suelo, no un techo. En la práctica, las instituciones más sofisticadas en noviembre de 2025 ejecutan estos escaneos por lotes varias veces al día para minimizar la ventana de exposición.
4.3 Respuestas a las consultas del usuario sobre sanciones
Pregunta: “¿Hay algo nuevo allí [Lista Consolidada de la UE]?”
Análisis: La lista sigue siendo la fuente de la verdad, pero el método para aplicarla se ha invertido. Ya no se aplica esta lista al flujo de pagos; se aplica a la base de datos de clientes. Lo “nuevo” es la prohibición legal de usar esta lista para detener pagos instantáneos.
Pregunta: “¿Tienen que cribar con frecuencia?”
Análisis: Sí, la frecuencia ha aumentado y se ha rigidizado. Antes, las entidades podían cribar su base de datos semanal o mensualmente, confiando en los filtros de transacción para capturar lo demás. Ahora, el cribado diario de toda la base de clientes es un requisito legal firme. Además, el mandato de cribar “inmediatamente” tras nuevas designaciones exige una capacidad operativa 24/7 para gestionar datos.
Pregunta: “¿Tengo que cribar nombres en cada transacción?”
Análisis:
• Para sanciones de la UE: No. De hecho, no debes cribar nombres en la transacción para las listas de la UE si ello provoca que el pago sea retrasado o rechazado erróneamente. El reglamento lo prohíbe explícitamente para evitar que los falsos positivos rompan la promesa de pagos instantáneos.
• Para sanciones fuera de la UE (OFAC/Reino Unido): Este es el área gris. El reglamento de la UE no regula el cumplimiento OFAC. Sin embargo, si decides cribar nombres de la OFAC en cada transacción y este cribado provoca un retraso superior a los 10 segundos, incumples las reglas de tiempo del IPR. Por consiguiente, la mayoría de los bancos europeos a finales de 2025 han desactivado el cribado de transacciones para flujos intra-UE, confiando en que un pago intraeuropeo tiene bajo riesgo de violaciones OFAC o aceptando el riesgo residual.
Pregunta: “¿Es útil el cribado por API o por lotes?”
Análisis: Esta pregunta apunta al corazón del cambio arquitectónico.
• El cribado por lotes es esencial: Para el requisito del IPR (artículo 5d), el cribado por lotes es la herramienta principal. Debes tomar millones de registros de clientes y compararlos en lotes contra la lista de la UE cada 24 horas. El cribado por API es ineficiente para este volumen.
• El cribado por API es crítico para el onboarding: Como ya no puedes atrapar a una persona sancionada durante la transacción, debes captarla en la puerta. El cribado en tiempo real vía API permite una comprobación antes de que el cliente se incorpore o antes de añadir un nuevo beneficiario a una plantilla. Si esperas al lote nocturno, podrías permitir que una entidad sancionada opere durante 12 horas. Por tanto, el cribado por API es “útil” y prácticamente necesario en las etapas de onboarding y gestión de beneficiarios, aunque el mantenimiento diario se haga por lotes.
Pregunta: “¿Durante el onboarding?”
Análisis: Sí. El onboarding es ahora el punto de control más crítico. Bajo el modelo anterior, si una entidad sancionada se infiltraba en el onboarding, el filtro de transacciones probablemente atrapaba su primer pago. Bajo el modelo del IPR, no existe filtro de transacciones para las listas de la UE. Si una entidad sancionada se incorpora, puede enviar y recibir pagos instantáneos libremente hasta que el siguiente lote diario la detecte. Por tanto, la rigurosidad del cribado en onboarding debe ser absoluta.
4.4 Preguntas aclaratorias de la Comisión (Actualización de noviembre de 2025)
Para clarificar aún más los límites operativos del IPR, las siguientes preguntas y respuestas se han sintetizado directamente de la guía de implementación de la Comisión Europea (DG FISMA). Estas abordan casos límite frecuentes para los oficiales de cumplimiento.
P1: ¿La prohibición del cribado de transacciones se aplica a los pagos “no urgentes” (NTC) o a archivos por lotes?
Aclaración: Si un pago no cumple la definición de “transferencia instantánea de crédito” (por ejemplo, una transferencia SEPA estándar o un archivo por lotes procesado durante la noche), la prohibición del artículo 5d(2) no se aplica. Puedes seguir cribando estas transacciones como de costumbre. Sin embargo, si tu institución ofrece pagos instantáneos, debes seguir realizando el cribado diario de la base de clientes, independientemente de las vías de pago utilizadas.
P2: ¿Qué significa exactamente “inmediatamente” respecto al requisito de verificación diaria?
Aclaración: La Comisión ha aclarado que “realizado inmediatamente” implica tanto el inicio como la finalización del procedimiento de verificación. No puedes lanzar un cribado por lotes en un día y terminar la revisión manual de alertas al día siguiente. Todo el proceso —cribado y resolución de alertas— debe concluirse para garantizar que la base de datos esté limpia.
P3: ¿Podemos cribar transacciones para listas nacionales (por ejemplo, francesa o alemana)?
Aclaración: Sí. El artículo 5d(2) solo prohíbe el cribado de transacciones para la lista consolidada de la UE. No prohíbe el cribado para listas nacionales establecidas por Estados miembros (por ejemplo, listas de entidades propiedad o controladas por personas designadas). Si una autoridad nacional competente te exige cribar para una lista local, puedes hacerlo siempre que sigas cumpliendo el requisito de liquidación en 10 segundos.
P4: ¿Los Proveedores de Servicios de Iniciación de Pagos (PISP) tienen que realizar este cribado diario?
Aclaración: No. Los PISP que no manejan fondos (es decir, solo inician el pago pero no lo ejecutan) no están sujetos al artículo 5d. Deben seguir cumpliendo con las medidas generales de sanciones y AML/CFT de la UE, pero no están vinculados al mandato específico del IPR para el “cribado diario”, porque no son la entidad que ejecuta la transferencia.
P5: Si utilizamos la lista de sanciones de la ONU, ¿cuenta como una “lista de la UE”?
Aclaración: Sí. Las sanciones del Consejo de Seguridad de la ONU se implementan en la UE mediante Reglamentos del Consejo. Una vez que una designación de la ONU se transpone al marco de la UE, forma parte de la “lista de alcance europeo”. Por ende, el cribado de transacciones para estas entidades de la ONU queda prohibido bajo el artículo 5d una vez que aparecen en la lista de la UE.
Tabla 2: El cambio de metodologías de cribado de sanciones
| Metodología | Modelo estándar pre-2025 | Modelo IPR post-2025 (noviembre 2025) |
|---|---|---|
| Control primario | Filtrado de transacciones (tiempo real) | Cribado de la base de clientes (periódico) |
| Disparador del cribado | Cada instrucción de pago | Calendario diario / actualización de listas |
| Manejo de falsos positivos | Revisión manual (pago retenido) | Investigación de alertas (cuenta congelada tras coincidencia) |
| Restricción temporal | Flexible (horas/días) | Ninguna (el cribado se realiza fuera de línea) |
| Tecnología | Integración con el motor de pagos | Lagunas de datos / procesamiento por lotes |
| Enfoque de riesgo | “Detener el dinero” | “Identificar la entidad” |
5. El dilema operacional: listas de sanciones de la UE frente al mundo
Un desafío profundo para el oficial de cumplimiento en noviembre de 2025 es la situación de “entre la espada y la pared” creada por la divergencia entre el derecho de la UE y los regímenes globales de sanciones (EE. UU./Reino Unido). La prohibición del IPR sobre el cribado de transacciones se aplica exclusivamente a las listas de sanciones de la UE. No prohíbe legalmente el cribado para las listas OFAC (EE. UU.) o del Reino Unido. Sin embargo, la realidad operativa del mandato de liquidación en diez segundos convierte esta situación en una prohibición de hecho. Si un banco europeo procesa una transacción que involucra a una entidad sancionada por EE. UU. (que no está sancionada por la UE) y no la criba porque ha desactivado sus filtros para cumplir con el IPR, corre el riesgo de violar sanciones secundarias estadounidenses. Por el contrario, si mantiene el filtro activado y genera un falso positivo que retrasa el pago más de 10 segundos, infringe el IPR de la UE. En noviembre de 2025, el consenso de la industria se ha desplazado en gran medida hacia un enfoque basado en riesgos (RBA). Para los pagos puramente domésticos o intra-EEE, muchas instituciones han eliminado por completo los filtros de transacción, aceptando el riesgo teórico de una violación de la OFAC para garantizar el cumplimiento del IPR. Lo justifican apoyándose en el cribado diario riguroso tanto de sus propios clientes como de los clientes del banco contraparte (que también están sujetos al IPR). No obstante, para pagos transfronterizos fuera de la zona SEPA o para transacciones que involucren jurisdicciones de alto riesgo, el cribado en tiempo real sigue activo, a menudo utilizando llamadas API de alta velocidad para minimizar la latencia.
6. Personas políticamente expuestas (PEP) y el libro de reglas único
Mientras el cribado de sanciones ha experimentado una revolución mecánica, la gestión de las Personas Políticamente Expuestas (PEP) vive una evolución definicional impulsada por el “libro de reglas único” —la combinación de la Sexta Directiva contra el Blanqueo de Capitales (AMLD6) y el Reglamento contra el Blanqueo de Capitales (AMLR).
6.1 La armonización de las definiciones de PEP
A noviembre de 2025, la nueva Autoridad de la UE contra el Blanqueo de Capitales (AMLA) está operativa, impulsando una interpretación armonizada del estatus PEP en toda la UE. Anteriormente, las definiciones de “asociados cercanos” o “funciones públicas prominentes” variaban ligeramente entre Estados miembros. El AMLR ahora proporciona una definición unificada, reduciendo la complejidad del cumplimiento transfronterizo.
6.2 El matiz del alto directivo sénior (SMO)
Un área específica de enfoque regulatorio en 2025 es el tratamiento de los altos directivos sénior (SMO) en entidades corporativas donde no se puede identificar un titular beneficiario. La aclaración: Las guías recientes han aclarado que, si bien los SMO deben identificarse con fines de Diligencia Debida del Cliente (CDD), no se les trata automáticamente como titulares beneficiarios a efectos del cribado PEP. Impacto operacional: Los oficiales de cumplimiento no necesitan aplicar una Diligencia Debida Reforzada (EDD) completa ni el cribado PEP a cada director ejecutivo de un cliente corporativo salvo que exista un factor de riesgo específico. Esta distinción es crucial para reducir el “ruido” en los programas de cribado de PEP.
6.3 La lista funcional de PEP de la UE
Para ayudar a los oficiales de cumplimiento, la Comisión Europea publica ahora una Lista Funcional Consolidada de PEP. Naturaleza de la lista: Es importante entender que no se trata de una lista de nombres. No enumera “Olaf Scholz” o “Emmanuel Macron”. En su lugar, enumera las funciones (por ejemplo, “Canciller”, “Ministro de Finanzas”, “Juez del Tribunal Supremo”) que califican como puestos PEP en cada Estado miembro. Requisito operacional: Los oficiales de cumplimiento no pueden simplemente “descargar la lista de la UE” y cribar con ella. Deben seguir trabajando con proveedores comerciales de datos (p. ej., LSEG World-Check, Dow Jones, Moody’s) que asignen estos títulos funcionales a las personas reales que ocupan dichos cargos. La lista de la UE sirve como capa de validación legal para estas bases de datos comerciales.
7. Verificación del Beneficiario (VoP): el nuevo control antifraude
Estríctamente, la Verificación del Beneficiario (VoP) es un mecanismo de prevención del fraude, exigido por el IPR para combatir el fraude por pagos PUSH autorizados (APP). No obstante, su implementación tiene importantes beneficios colaterales para la detección de sanciones y la calidad de datos de cumplimiento.
7.1 El mecanismo
VoP exige que el PSP del pagador verifique la consistencia entre el nombre del beneficiario y el identificador de cuenta (IBAN) antes de que el pagador autorice la transacción. Si hay una discrepancia (por ejemplo, el usuario escribe “Tesla Motors” pero el IBAN pertenece a “John Doe”), el sistema debe alertar al pagador.
7.2 Integración con cumplimiento
Para el oficial de cumplimiento, VoP es una herramienta poderosa de higiene de datos. Reducción de falsos positivos: Al asegurar que el nombre en la instrucción de pago coincide con el nombre legal de la cuenta antes de enviar el pago, VoP reduce la incidencia de datos “basura” en el sistema de pagos. Datos más limpios implican menos falsos positivos si alguna vez se aplica un cribado de sanciones (ej. para flujos transfronterizos). Evasión de sanciones: VoP dificulta que actores maliciosos soliciten pagos bajo pretensiones falsas (p. ej., facilitando el IBAN de una entidad sancionada y pidiendo al pagador que escriba un nombre genérico). El control VoP detectaría la discrepancia, impidiendo potencialmente el flujo de fondos hacia la cuenta sancionada.
8. Impacto en el negocio: quién se ve afectado
El alcance de PSD3, PSR e IPR es exhaustivo, afectando a toda la cadena de valor financiera.
8.1 Instituciones de crédito (bancos)
Los bancos soportan la carga más pesada. Deben actualizar sus mainframes legacy para soportar procesamiento instantáneo 24/7. La eliminación del cribado de transacciones requiere una reingeniería fundamental de sus controles de delitos financieros. Son los principales destinatarios de los mandatos de “envío y recepción” del IPR.
8.2 Entidades de pago (PI) y entidades de dinero electrónico (EMI)
Estas entidades están profundamente afectadas por dos fuerzas:
Reautorización: PSD3 les exige volver a solicitar o validar sus licencias bajo el nuevo régimen fusionado.
Cumplimiento del IPR: Las PI y EMI entran plenamente en el ámbito del Reglamento de Pagos Instantáneos. Deben ofrecer pagos instantáneos a sus usuarios y adherirse a las mismas prohibiciones de cribado que los bancos. Este salto tecnológico es significativo para muchas fintech pequeñas que dependían del procesamiento por lotes o de socios bancarios externos.
8.3 Proveedores terceros (TPP)
Los Proveedores de Servicios de Iniciación de Pagos (PISP) y los Proveedores de Servicios de Información de Cuentas (AISP) se benefician de las interfaces mejoradas de Open Banking (APIs) que trae PSD3, pero deben cumplir reglas más estrictas de reporte de fraude y responsabilidad. Los PISP, en particular, deben integrarse con los sistemas VoP de los bancos desde los que inician pagos.
8.4 Corporaciones y comercios
A pesar de no estar regulados directamente como PSP, las grandes corporaciones están afectadas operativamente. Sus Sistemas de Gestión de Tesorería (TMS) y sus ERP deben actualizarse para manejar los formatos de pagos instantáneos (ISO 20022) y responder a las comprobaciones VoP. Se benefician de flujos de efectivo optimizados, pero enfrentan requisitos más estrictos de precisión de datos en sus archivos de pagos.
9. Conclusión: el oficial de cumplimiento como guardián de datos
La transición que culmina en noviembre de 2025 marca el fin del “cumplimiento como portero” y el inicio del “cumplimiento como guardián de datos”. El marco regulatorio de PSD3, PSR e IPR ha emitido un juicio de valor claro: la velocidad y la liquidez son primordiales, y la fricción del monitoreo transaccional tradicional ya no es un coste aceptable dentro del eurozona. Para el oficial de cumplimiento, esto exige un giro estratégico. La red de seguridad del filtro de transacciones ha sido eliminada para los pagos instantáneos. La seguridad depende por completo de la integridad de la base de datos de clientes. Si la base incluye una entidad sancionada, el sistema no impedirá sus transacciones; solo el cribado diario por lotes la detectará, potencialmente horas después. Por tanto, la rigurosidad del onboarding (mediante cribado API en tiempo real) y la higiene de datos de clientes (cribado diario por lotes) son las nuevas líneas de defensa. La era del “detener y escanear” ha terminado; ha comenzado la era de “conocer tus datos”.
Checklist detallado de cumplimiento para noviembre de 2025
| Área | Acción | Estado/Plazo |
|---|---|---|
| Sanciones | Desactivar el cribado de transacciones para flujos SCT Inst intra-UE para cumplir con el artículo 5d del IPR. | Inmediato (debe estar activo ya) |
| Sanciones | Implementar cribado diario por lotes de toda la base de clientes contra las listas de la UE. | Activo (requisito diario) |
| Sanciones | Establecer la capacidad de re-cribado “inmediato” tras actualizaciones de listas (Diario Oficial). | Activo |
| PEPs | Actualizar las políticas de cribado PEP para reflejar las guías de SMO (enfoque basado en riesgos vs. obligatorio). | Continuo |
| Onboarding | Implementar cribado API en tiempo real para todos los nuevos clientes (sanciones + PEP). | Crítico (control principal) |
| Fraude | Asegurar que la Verificación del Beneficiario (VoP) esté activa para los pagos salientes. | Activo (plazo octubre de 2025 cumplido) |
| Gobernanza | Realizar análisis de brechas PSD3 sobre reautorizaciones (para PI/EMI). | Prioridad Q4 2025 |
| Operaciones | Verificar que los sistemas TI manejan liquidaciones en 10 segundos 24/7/365 sin timeouts. | Activo |
Continue reading AML batch screening