Resumen
A 14 de junio de 2026, el GAFI no había publicado una nueva versión 2026 de sus Recomendaciones. El texto vigente seguía siendo el de octubre de 2025. Para los equipos AML, la prioridad de 2026 es implementar esos cambios: actualizar controles basados en riesgo, prepararse para la transparencia en pagos de la Recomendación 16, revisar la exposición a stablecoins y monederos sin custodia, reforzar las comprobaciones de titularidad real y conservar evidencia de decisiones proporcionales.
Última revisión: 14 de junio de 2026 Última actualización del GAFI cubierta: 13 de febrero de 2026 Siguiente pleno del GAFI indicado por el propio GAFI: 17-19 de junio de 2026, con resultados previstos después de la reunión
Esta guía no constituye asesoramiento legal. Traduce materiales actuales del GAFI en preguntas operativas para bancos, entidades de pago, fintechs, VASPs y DNFBPs.
FATF 2025 vs FATF 2026
La diferencia práctica es sencilla: 2025 cambió estándares importantes; 2026 se centra en la ejecución.
| Área | Señal de 2025 | Implicación en 2026 |
|---|---|---|
| Recomendación 1 | El GAFI reforzó el enfoque basado en riesgo y la proporcionalidad. | Las firmas deben demostrar que los controles son proporcionales al riesgo real, no más estrictos por defecto. |
| Recomendación 16 | El GAFI actualizó la transparencia en pagos y marcó una ruta hacia 2030. | Bancos, pagos, fintechs y VASPs deben iniciar ya la remediación de datos de pago y cribado. |
| Activos virtuales | El GAFI mantuvo la presión sobre Travel Rule y supervisión de VASPs. | Los controles deben cubrir VASPs offshore, stablecoins, flujos P2P y exposición a monederos sin custodia. |
| Fraude y PF | El GAFI puso más foco en fraude cibernético y evasión de sanciones por PF. | AML, fraude, sanciones y PF necesitan mejores vínculos de evidencia y escalado. |
| Evaluaciones | La nueva ronda de evaluaciones del GAFI valora más la efectividad. | Los equipos deben aportar evidencia de decisiones, pruebas, remediación y resultados. |
Recomendación 1: controles proporcionales basados en riesgo
Los cambios de 2025 en la Recomendación 1 refuerzan una idea clave: el enfoque basado en riesgo debe ser proporcional, no automáticamente máximo. Los riesgos más altos deben recibir controles más sólidos, mientras que los casos de menor riesgo pueden admitir medidas simplificadas cuando la ley y la política lo permitan.
Para los equipos AML, esto significa que los modelos de riesgo deben ser explicables. La empresa debe poder demostrar por qué un cliente, producto, exposición geográfica, canal o patrón transaccional recibió un nivel concreto de control.
- Actualizar los supuestos de la evaluación global de riesgo AML.
- Volver a probar los factores de scoring de clientes por país, producto, canal, sector y relación.
- Documentar cuándo aplican medidas simplificadas, estándar o reforzadas.
- Evitar el de-risking masivo cuando un control más focalizado sea proporcional.
- Conservar notas del revisor y evidencia de por qué se eligió un tratamiento de riesgo concreto.
Flujos internos útiles:
- Monitorización continua AML para cambios tras el alta.
- Gestión de casos para decisiones documentadas.
- Evidencia de auditoría para registros de revisión.
Recomendación 16: transparencia en pagos y preparación para 2030
El GAFI revisó la Recomendación 16 en 2025 para modernizar la transparencia en pagos. El GAFI indicó que las firmas deberán cumplir antes de final de 2030. El plazo parece lejano, pero el trabajo no es pequeño: datos del mensaje de pago, información del ordenante y del beneficiario, controles de fraude y error, cribado de sanciones, gestión de excepciones y trazabilidad suelen tocar varios sistemas.
Para 2026, la respuesta correcta es iniciar ya el análisis de brechas.
- Mapear dónde se capturan, validan, transmiten y almacenan los datos del ordenante y del beneficiario.
- Identificar los flujos transfronterizos por encima del umbral de USD/EUR 1.000.
- Comprobar si el cribado de las partes de pago usa nombres, identificadores y contexto de contraparte fiables.
- Conectar sanciones, fraude, transaction screening y gestión de excepciones.
- Preservar solicitud, respuesta, enrutado, notas del revisor y resultado final para auditoría.
Flujos de Checklynx relevantes:
- API de cribado AML para eventos de producto y pago.
- Transaction screening para revisión de partes de pago y contexto transaccional.
- Cribado de sanciones para exposición a sanciones y partes restringidas.
Stablecoins, monederos sin custodia y VASPs
Los materiales de 2025 y 2026 del GAFI sobre activos virtuales mantienen el foco en la implementación de Travel Rule, licencias, VASPs offshore, stablecoins y actividad P2P mediante monederos sin custodia. El GAFI informó de que 99 jurisdicciones habían aprobado o estaban en proceso de aprobar legislación Travel Rule, pero persistían brechas de implementación.
Para VASPs y empresas con exposición cripto, la cuestión ya no es solo si existe una herramienta Travel Rule. La pregunta difícil es si los controles permiten identificar y evidenciar flujos de mayor riesgo.
| Área de riesgo | Pregunta de control práctica |
|---|---|
| VASPs offshore | ¿Puede la firma identificar al VASP contraparte, su licencia y el riesgo de jurisdicción? |
| Stablecoins | ¿Se entienden los riesgos del emisor, intermediario, monedero y transacción en todo el ciclo de vida? |
| Monederos sin custodia | ¿Se evalúan depósitos, retiradas y exposición P2P según el contexto del cliente y la transacción? |
| Sanciones y PF | ¿Pueden los indicios de sanciones, financiación de la proliferación y riesgo de monedero escalar a revisión? |
| Evidencia | ¿Puede la firma mostrar qué se revisó, por qué y qué decisión siguió? |
Fraude, sanciones, financiación de la proliferación y titularidad real
El trabajo del GAFI en 2026 conecta más estrechamente fraude, AML, sanciones, financiación de la proliferación y titularidad real. El fraude no es solo una tipología aparte: puede generar fondos ilícitos, actividad de mulas, abuso de pagos y dificultades de recuperación transfronteriza. Las debilidades en titularidad real también pueden ocultar evasión de sanciones, corrupción y estructuras de control complejas.
Eso significa que los equipos AML deben evitar tratar los controles como silos separados.
Un stack de control preparado para 2026 debe conectar riesgo del cliente, titularidad real, sanciones, PEP, medios adversos, señales de fraude, contexto transaccional, revisión de casos y evidencia de auditoría.
Flujos relevantes de Checklynx:
- Cribado PEP para contexto de cargo público y RCA.
- Cribado de medios adversos para noticias negativas y señales de enforcement.
- Cribado de sanciones para revisión de sanciones y partes restringidas.
- Referencia de la lista gris del GAFI para el riesgo país actual.
Checklist práctico por sector
Bancos
Los bancos deben centrarse en transparencia de pagos, relaciones de corresponsalía, titularidad real, escalado por sanciones, riesgo país y evidencia de auditoría. La preparación para la Recomendación 16 debe tratarse como un programa de datos y flujos de trabajo, no como una tarea de último año.
Pagos y fintechs
Los equipos de pagos y fintech deben conectar alta de clientes, cribado de partes de pago, revisión de desembolsos, controles de fraude, transaction screening y refresco de cliente. El objetivo es evitar que el riesgo entre en el flujo del producto sin crear reglas de rechazo masivo no justificadas.
VASPs y negocios de stablecoins
Los VASPs deben probar cobertura de Travel Rule, exposición a contrapartes offshore, riesgos del ciclo de vida de stablecoins, controles sobre monederos sin custodia, escalado por sanciones y evidencia sobre depósitos y retiradas.
DNFBPs
Las DNFBPs deben tratar riesgo país, titularidad real, origen de fondos, patrimonio, sanciones, PEP y medios adversos como entradas conectadas de revisión. La clave es documentar por qué el control final fue proporcional.
Cómo ayuda el software AML a implementar FATF 2026
El software no sustituye la política AML ni el juicio de compliance. Ayuda a aplicar la política de forma consistente, conservar evidencia y demostrar por qué una decisión fue proporcional.
| Necesidad de control | Soporte de software |
|---|---|
| Actualización de riesgo país | Seguir la lista gris del GAFI y los cambios de llamada a la acción en los flujos de revisión del cliente. |
| Cribado | Comprobar sanciones, PEP, medios adversos, listas de vigilancia y partes relacionadas. |
| Eventos de pago | Usar API y transaction screening para revisar partes de pago antes de que la operación avance. |
| Revisión continua | Volver a cribar clientes aprobados cuando cambien los datos, el riesgo país o el contexto del cliente. |
| Evidencia de caso | Conservar notas, registros fuente, decisiones, escalados y resultados finales en un único lugar. |
Preguntas frecuentes
¿FATF publicó nuevas Recomendaciones en 2026?
A 14 de junio de 2026, la página de Recomendaciones del GAFI seguía mostrando el texto consolidado con las modificaciones de octubre de 2025. La tarea principal de 2026 es implementar los cambios de 2025 y las prioridades temáticas relacionadas.
¿Cuál es el tema más importante de FATF 2026 para los equipos AML?
El tema más fuerte es la implementación efectiva y proporcional. El GAFI está pidiendo a firmas y supervisores que demuestren que los controles funcionan en la práctica, no solo que existen políticas.
¿Qué significa la Recomendación 16 para las empresas de pagos?
La Recomendación 16 afecta la transparencia en pagos, la información del ordenante y del beneficiario, los controles de fraude y error, y la cadena de responsabilidad en los pagos. El GAFI ha señalado 2030 como horizonte de cumplimiento, pero las firmas deben iniciar ya el análisis de brechas y la remediación.
¿Cómo afecta FATF 2026 a los VASPs?
Los VASPs deben esperar un escrutinio continuado sobre la implementación de Travel Rule, VASPs offshore, stablecoins, monederos sin custodia, flujos P2P, riesgo de sanciones y evidencia transaccional.
¿FATF 2026 implica controles más estrictos para todos los clientes?
No. El enfoque basado en riesgo del GAFI apunta a controles proporcionales. Los riesgos más altos deben recibir controles más sólidos, pero los casos de menor riesgo pueden justificar un tratamiento estándar o simplificado cuando esté permitido.
¿Cómo deben tratarse las actualizaciones de riesgo país del GAFI?
Las actualizaciones de la lista gris y de llamada a la acción del GAFI deben activar la revisión de los ajustes de riesgo país y de la exposición del cliente, del beneficiario último, de la contraparte o del corredor transaccional afectado. No deben llevar automáticamente a un rechazo masivo.
Fuentes oficiales del GAFI
- The FATF Recommendations
- Referencia de la lista gris del GAFI
- Jurisdictions under Increased Monitoring - 13 February 2026
- High-Risk Jurisdictions subject to a Call for Action - 13 February 2026
- FATF Week June 2026
- Update on Recommendation 16/payment transparency
- FATF targeted update on virtual assets and VASPs
- FATF targeted report on stablecoins and unhosted wallets
- Understanding and mitigating risks from offshore VASPs
- Cyber-enabled fraud and digitalisation risks
- Beneficial ownership guidance for legal persons
- Beneficial ownership guidance for legal arrangements