SEPBLAC y control de sanciones en España
El control de sanciones en España debe tratarse como parte de un marco más amplio de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT), no como una simple búsqueda de nombres. La Ley 10/2010 regula la prevención del blanqueo de capitales y de la financiación del terrorismo, establece obligaciones para los sujetos obligados y da efecto inmediato a determinadas medidas financieras de la Unión Europea y de Naciones Unidas.
Para los equipos de cumplimiento, la pregunta práctica no es solo "qué lista debemos revisar". La cuestión es cómo convertir las obligaciones legales en un modelo operativo repetible: identificar al cliente y al titular real, comprobar las partes relevantes, revisar posibles coincidencias, elevar los positivos confirmados, comunicar cuando corresponda y conservar evidencia que pueda ser revisada por supervisores, auditores y bancos colaboradores.
Por qué importa en España
La memoria de actividades de SEPBLAC de 2024 muestra la presión operativa sobre los controles PBC/FT en España. El informe indica que las comunicaciones por indicio de sujetos obligados pasaron de 13.854 en 2023 a 24.320 en 2024. También destaca incrementos relevantes procedentes de neobancos y proveedores de servicios de activos virtuales.
La memoria de actividades 2024 de SEPBLAC indica que los sujetos obligados remitieron 24.320 comunicaciones por indicio, frente a 13.854 en 2023.
Las comunicaciones procedentes de neobancos aumentaron de 1.152 en 2023 a 7.595 en 2024.
Las comunicaciones de proveedores de servicios de activos virtuales aumentaron de 202 en 2023 a 972 en 2024.
Fuente: SEPBLAC, Memoria de actividades 2024, apartado sobre comunicaciones por indicio analizadas.
El mismo informe señala que, a 31 de diciembre de 2024, un nuevo formato agregado de comunicación de cuentas mula había sido utilizado por 26 sujetos obligados y cubría más de 30.000 cuentas, 1,5 millones de operaciones y más de 700 millones de euros. Es una señal útil para equipos de producto y operaciones: los controles PBC/FT modernos deben funcionar en el alta, durante las transacciones, en revisiones activadas por cambios relevantes y en la monitorización continua.
Qué hace SEPBLAC
SEPBLAC es la Unidad de Inteligencia Financiera de España. Recibe, analiza y difunde inteligencia financiera relacionada con el blanqueo de capitales y la financiación del terrorismo. También es autoridad supervisora en materia de cumplimiento PBC/FT y en la ejecución de determinadas sanciones financieras y contramedidas.
Para una empresa con actividad en España, esto significa que SEPBLAC no es solo el destino de algunas comunicaciones por indicio. Forma parte del entorno supervisor que condiciona cómo los sujetos obligados diseñan la diligencia debida, la monitorización, los controles internos, las comunicaciones y la conservación de evidencia.
SEPBLAC no es la lista de sanciones
No existe una "lista de sanciones de SEPBLAC" separada que sustituya a las fuentes oficiales de la UE, Naciones Unidas u otras autoridades. SEPBLAC supervisa, recibe inteligencia financiera y participa en el marco de control de sanciones financieras y contramedidas, pero las comprobaciones deben apoyarse en las fuentes oficiales que correspondan al riesgo y a la presencia legal de la empresa.
Para controles en España, lo habitual es tratar las medidas restrictivas de la UE y las sanciones financieras relevantes del Consejo de Seguridad de Naciones Unidas como la base legal, y añadir OFAC, la lista de sanciones del Reino Unido u otras fuentes nacionales o regionales cuando la exposición lo justifique. Esta distinción evita dos errores: quedarse corto con una búsqueda local que no existe como lista autónoma, o afirmar de forma demasiado amplia que toda lista extranjera es automáticamente una obligación de derecho español para cualquier empresa.
Quién debe cumplir
El punto de partida es el artículo 2 de la Ley 10/2010, que define la lista de sujetos obligados. Es una lista amplia. Para muchos lectores de Checklynx, las categorías relevantes incluyen entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de servicios de inversión, aseguradoras, gestoras de fondos de pensiones e inversión, negocios de cambio de moneda, intermediarios de crédito y proveedores de cambio entre moneda virtual y moneda fiduciaria y de custodia de monederos electrónicos.
La ley también deja claro que las obligaciones pueden aplicarse a operaciones realizadas a través de agentes, mediadores o intermediarios. Esto importa para finanzas integradas, marketplaces, programas de pago y otros modelos donde el riesgo puede entrar por canales indirectos.
El control de sanciones debe conectarse con el proceso más amplio de diligencia debida:
- identificación formal del cliente;
- identificación y verificación del titular real;
- comprensión del propósito y la naturaleza prevista de la relación;
- seguimiento continuo de la relación;
- examen especial de hechos y operaciones inusuales o injustificados;
- comunicación cuando se alcance el umbral legal;
- conservación de evidencia.
Obligaciones de la Ley 10/2010 que afectan al control de sanciones
El control de sanciones se integra en una secuencia más amplia de obligaciones PBC/FT. Ordenarlo según la propia ley ayuda a equipos de cumplimiento, producto y operaciones a entender el proceso.
| Referencia de la Ley 10/2010 | Qué significa en la práctica | Impacto en el control |
|---|---|---|
| Artículo 2 | Define los sujetos obligados, incluidas muchas actividades financieras, de pago, inversión, seguros, asesoría, inmobiliarias, juego, bienes de alto valor y activos virtuales. | Confirmar si el negocio, sucursal, agente, intermediario o servicio transfronterizo está dentro del ámbito. |
| Artículos 3 y 4 | Exigen identificación formal del cliente e identificación y verificación del titular real. | Comprobar al cliente y a las personas físicas que poseen, controlan o actúan detrás de la relación. |
| Artículos 5 a 7 | Cubren finalidad y naturaleza de la relación, seguimiento continuo y aplicación basada en el riesgo a clientes existentes. | Repetir las comprobaciones cuando cambien la relación, la titularidad, el producto o el riesgo transaccional. |
| Artículos 17 a 19 | Regulan examen especial, comunicación por indicio y abstención de ejecución en casos de PBC/FT. | Tratar alertas no resueltas de alto riesgo como casos de investigación, no como simples resultados de búsqueda. |
| Artículo 24 | Prohíbe revelar al cliente o a terceros la comunicación o el examen. | Mantener controlado el tratamiento y escalado de alertas. |
| Artículo 25 | Exige conservar documentación PBC/FT relevante durante diez años. | Guardar datos comprobados, coincidencias, justificación de revisión, decisiones y acciones. |
| Artículo 42 | Da efecto inmediato a sanciones financieras de la UE y la ONU y a determinadas contramedidas. | Mantener procedimientos actualizados de comprobación y respuesta ante positivos confirmados. |
Esta estructura también ayuda a separar dos deberes que a menudo se mezclan en textos comerciales. Una coincidencia de sanciones confirmada activa el procedimiento de respuesta bajo la medida restrictiva aplicable. Una comunicación por indicio a SEPBLAC deriva de un examen especial cuando existen indicios o certeza de blanqueo de capitales o financiación del terrorismo. Un caso puede activar ambas cosas, pero la base legal y el circuito operativo no son idénticos.
Cómo encaja el control de sanciones en PBC/FT
Los controles de sanciones y los controles PBC/FT se solapan, pero no son lo mismo. PBC/FT es un marco basado en riesgo. Exige entender a los clientes, monitorizar relaciones, identificar comportamientos sospechosos y comunicar cuando existan indicios de blanqueo de capitales o financiación del terrorismo.
Los controles de sanciones son más directos. Si una persona, entidad, buque, monedero u otra parte relevante está sujeta a una medida de sanciones financieras, la empresa puede tener que rechazar, suspender, congelar, bloquear o comunicar actividad, según el régimen aplicable y el procedimiento de la autoridad competente.
El artículo 42 de la Ley 10/2010 es el anclaje específico en España. Establece que las medidas restrictivas de la Unión Europea y las resoluciones relevantes del Consejo de Seguridad de Naciones Unidas que impongan sanciones financieras, incluida la congelación o bloqueo de fondos y la prohibición de poner fondos, activos, recursos económicos o servicios financieros a disposición, son obligatorias con efecto inmediato desde la designación.
Por eso una política de "comprobar una vez en el alta" es débil. Un cliente que no aparecía en listas al inicio puede ser designado más tarde. Un titular real puede cambiar. Un beneficiario de pago puede introducir nueva exposición. Un circuito transaccional puede incluir una jurisdicción o contraparte que cambie el análisis de sanciones.
Qué listas de sanciones revisar
La cobertura adecuada depende de la presencia legal de la empresa, la base de clientes, monedas, canales de pago, relaciones bancarias y exposición geográfica. Para un sujeto obligado en España, la base clara son las sanciones financieras de la UE y las medidas relevantes de Naciones Unidas. Otras listas suelen ser prudentes cuando la exposición lo justifica.
| Fuente | Papel práctico para empresas en España | Cómo enmarcarla |
|---|---|---|
| Fuentes de sanciones financieras de la UE | Base principal para empresas que operan en España y en la UE. | Base legal y operativa. |
| Lista consolidada del Consejo de Seguridad de la ONU | Relevante porque el artículo 42 da efecto inmediato a determinadas medidas financieras de Naciones Unidas. | Base cuando la medida entra en el artículo 42. |
| Listas de sanciones de OFAC | Importante cuando hay nexo con EE. UU., compensación en USD, personas estadounidenses, requisitos bancarios o contrapartes internacionales. | Extensión basada en riesgo, no base española universal. |
| UK Sanctions List | Relevante con clientes, contrapartes, relaciones bancarias, contratos o políticas de grupo del Reino Unido. | Extensión basada en riesgo para exposición británica. |
| Otras listas nacionales o regionales | Pueden importar para empresas con exposición suiza, canadiense, australiana, singapurense u otra exposición específica. | Documentar la justificación de política. |
El punto editorial clave es la precisión. No conviene decir a empresas que solo operan en España que toda lista no europea es automáticamente una obligación legal española. Sí conviene explicar que los servicios financieros internacionales a menudo requieren controles más amplios por corredores bancarios, canales de pago, geografía de clientes, relaciones de corresponsalía, expectativas de inversores y políticas de grupo.
Proceso práctico de comprobación
El control de sanciones es un proceso, no una única consulta a una base de datos.
- 01
Recoger y estructurar los datos
Capturar nombres de clientes, alias, fechas de nacimiento, nacionalidad, direcciones, números de registro, titulares reales, administradores, partes de pago, monederos, buques y otros identificadores relevantes.
- 02
Comprobar y clasificar coincidencias
Contrastar los datos con el conjunto de listas definido, comparar identificadores, usar contexto para reducir coincidencias débiles solo por nombre y priorizar alertas que requieren revisión humana.
- 03
Decidir y conservar evidencia
Cerrar falsos positivos con justificación, elevar coincidencias potenciales, ejecutar la acción requerida para positivos confirmados y conservar un registro de auditoría completo.
En el alta, compruebe al cliente, titular real, administradores, personas de control y otras partes relevantes. Durante la relación, repita las comprobaciones cuando cambien las listas de sanciones, los datos del cliente, los productos contratados, la titularidad o cuando las transacciones introduzcan nuevas contrapartes o circuitos.
Las directrices de la EBA de 2024 sobre medidas restrictivas son útiles para entidades de pago y empresas de criptoactivos. Esperan que la comprobación use información del cliente como nombre y fecha de nacimiento para personas físicas y denominación legal para personas jurídicas, cuando sea relevante para las medidas restrictivas aplicables. La EBA también aclaró que la fecha de nacimiento no debe comprobarse aislada del nombre y los apellidos. En la práctica, mejores identificadores reducen tanto coincidencias no detectadas como falsos positivos innecesarios.
Una política sólida debe definir los supuestos que obligan a revisar, en lugar de depender solo de una revisión periódica fija. Entre esos supuestos están las medidas de sanciones nuevas o modificadas, el alta de cliente, cambios relevantes en datos de diligencia debida, nuevos productos, nuevos titulares reales, operaciones significativas o complejas, nuevos corredores de pago, exposición a monederos o contrapartes y motivos razonables para sospechar elusión de sanciones.
La misma política debe definir qué campos se comprueban para cada tipo de parte. La comprobación de personas físicas no debe limitarse a un único campo de nombre si existen mejores identificadores. En personas jurídicas, deben considerarse denominaciones legales, nombres comerciales, números de registro, vínculos de propiedad y control y direcciones relevantes. En pagos, criptoactivos, buques, aeronaves u otros escenarios ligados a activos, el modelo de datos también puede necesitar direcciones de monedero, partes de pago, identificadores de buque u otros campos específicos del régimen.
Cómo revisar coincidencias
Una alerta no es lo mismo que una coincidencia confirmada. Una similitud de nombre debe abrir una revisión, no activar automáticamente una consecuencia legal.
La revisión debe comparar los identificadores más sólidos disponibles:
- nombre legal completo y alias conocidos;
- transliteraciones y variantes ortográficas;
- fecha y lugar de nacimiento;
- nacionalidad o ciudadanía;
- dirección y datos de país;
- números de registro o identificadores documentales;
- vínculos de propiedad y control;
- papel en el pago y contexto transaccional;
- fuente de lista, régimen y detalles de designación;
- cualquier monedero, buque, aeronave u otro identificador de activo listado.
La decisión debe documentarse como uno de tres resultados amplios:
| Resultado | Significado | Respuesta operativa |
|---|---|---|
| Falso positivo | El cliente o la transacción revisada no es la parte incluida en la lista. | Cerrar con justificación y conservar evidencia. Usar exclusiones controladas solo cuando la política lo permita. |
| Coincidencia potencial | La alerta no puede descartarse con la evidencia disponible. | Escalar para revisión reforzada y recabar información adicional. |
| Positivo confirmado | La parte revisada es la persona, entidad, activo o parte controlada sancionada. | Activar sin demora los procedimientos legales e internos requeridos. |
Falso positivo
Un falso positivo no es un fallo si se revisa correctamente. El expediente debe mostrar por qué el cliente, titular real, contraparte, monedero, buque u otra parte revisada no es el objetivo designado. Una buena gestión de falsos positivos compara identificadores, documenta la justificación y evita notas informales de cierre que no puedan reconstruirse después.
Cuando la política permita listas internas de exclusión o supresión, deben estar controladas. Un nombre descartado debe revisarse de nuevo cuando cambien las listas de sanciones, los datos del cliente o la justificación original deje de ser válida. De lo contrario, la supresión puede convertirse en una excepción obsoleta que oculte futuros positivos reales.
Coincidencia potencial
Una coincidencia potencial es una alerta no resuelta. Debe investigarse sin demora y tratarse como un caso que requiere evidencia, responsable y escalado. La empresa puede necesitar información adicional de sistemas internos, expedientes de alta, metadatos transaccionales, registros mercantiles o el equipo responsable de la relación, teniendo presentes las restricciones de revelación al cliente.
El punto operativo clave es que una coincidencia potencial no debe describirse internamente como "sancionada" antes de confirmarse. Tampoco debe tratarse como actividad ordinaria. El caso debe permanecer abierto hasta que la empresa pueda clasificarlo como falso positivo, positivo confirmado u otro resultado documentado bajo la política.
Positivo confirmado
Un positivo confirmado significa que la parte revisada es la persona, entidad o activo designado, o una parte propiedad o bajo control de un objetivo designado conforme al régimen aplicable. Para positivos confirmados, las directrices de la EBA se refieren a procedimientos de seguimiento que pueden incluir rechazo inmediato, suspensión o congelación y comunicación a la autoridad nacional o supervisora relevante cuando lo exija la normativa aplicable.
En España, el circuito exacto de notificación y actuación puede depender de la medida restrictiva aplicable y de las instrucciones de la autoridad competente. El punto práctico del artículo es más concreto y estable: una vez confirmado, el caso no debe quedarse como una alerta ordinaria. Debe activar controles de respuesta ante sanciones, escalado interno, conservación de evidencia y cualquier comunicación requerida a la autoridad sin demora.
Indicios sospechosos de PBC/FT
El control de sanciones también puede revelar hechos que exigen análisis PBC/FT aunque la coincidencia se descarte. Por ejemplo, un cliente puede operar repetidamente cerca de jurisdicciones sancionadas, usar circuitos de pago que parecen diseñados para ocultar contrapartes o aportar información de titularidad inconsistente durante la revisión. Esos hechos pueden requerir examen especial bajo la Ley 10/2010 incluso si la alerta de nombre no termina siendo un positivo de sanciones.
Cómo comunicar actividad sospechosa a SEPBLAC
La comunicación de actividad sospechosa a SEPBLAC no es una integración API pública. En la documentación oficial pública revisada no hay una API general de SEPBLAC para comunicaciones por indicio, ni un endpoint REST o SOAP público, ni un esquema XML general para comunicaciones ordinarias.
La comunicación ordinaria es una comunicación por indicio. Debe partir de un examen especial estructurado conforme al artículo 17 de la Ley 10/2010. Si, tras ese análisis, el sujeto obligado aprecia indicio o certeza de blanqueo de capitales o financiación del terrorismo, debe comunicarlo a SEPBLAC sin dilación conforme al artículo 18.
Dónde presentar la comunicación
El canal depende del tipo de sujeto obligado.
| Tipo de comunicante | Canal oficial | Nota práctica |
|---|---|---|
| Bancos, cajas de ahorro, cooperativas de crédito, sucursales en España de entidades de crédito extranjeras y determinados OCP | Aplicación CTL 2.3 de SEPBLAC | SEPBLAC distribuye CTL 2.3, las normas aplicables y una guía de usuario a las entidades obligadas a la comunicación telemática. |
| Otros sujetos obligados | Registro electrónico del Banco de España | La comunicación debe estar firmada electrónicamente por el representante ante SEPBLAC o persona autorizada, digitalizada y presentada por el registro. |
| Otros sujetos obligados, solo como vía excepcional | Presentación postal o presencial en SEPBLAC / Banco de España, Calle Alcalá 48, 28014 Madrid | SEPBLAC lo describe como una vía excepcional, no como el canal ordinario. |
El correo electrónico no debe tratarse como canal normal para enviar comunicaciones por indicio. SEPBLAC publica direcciones de correo para pasos de alta y certificados de CTL, pero la comunicación por indicio se presenta por CTL 2.3 o por el registro electrónico del Banco de España, según el tipo de entidad.
Dónde encontrar el formulario
La página de procedimiento de SEPBLAC enlaza la plantilla actual como Formulario F19-1. El documento descargable se titula "Comunicación de operativa sospechosa por indicio (F19-1)":
Algunas páginas y materiales históricos de SEPBLAC se refieren de forma genérica al F19. En documentación práctica conviene citar el título público actual, F19-1, y conservar el enlace oficial de SEPBLAC.
Qué contiene la comunicación
La página de SEPBLAC indica que la comunicación debe incluir, en todo caso, los hechos necesarios para entender la sospecha.
| Bloque del F19-1 | Qué preparar | Ejemplo |
|---|---|---|
| Intervinientes | Personas físicas o jurídicas implicadas y papel de cada una. | Cliente, titular real, ordenante, beneficiario, titular de cuenta, intermediario de pago, titular de monedero, administrador o representante autorizado. |
| Actividad conocida | Qué sabe la empresa sobre esas personas o sociedades y si la operativa encaja con esa actividad. | El cliente declaró actividad local de comercio minorista, pero recibe transferencias de alto volumen de contrapartes extranjeras sin relación aparente. |
| Operaciones vinculadas | Operaciones, fechas, naturaleza, divisa, importe, lugar de ejecución, finalidad e instrumento de pago o cobro. | Tres transferencias en euros en días consecutivos, cada una justo por debajo de un umbral interno de revisión, seguidas de una compra de criptoactivos o de una transferencia internacional saliente. |
| Actuaciones del examen especial | Qué hizo el sujeto obligado durante el análisis. | Revisión del expediente de alta, información sobre origen de fondos, histórico transaccional, comprobación de sanciones y PEP, medios adversos, IP o dispositivo y explicaciones recabadas por el equipo de negocio. |
| Relato de la sospecha | Circunstancias que sustentan los indicios o la certeza de PBC/FT, o que muestran falta de justificación económica, profesional o de negocio. | El patrón transaccional no encaja con el perfil del cliente, utiliza terceros sin relación clara, no tiene soporte documental creíble y parece diseñado para mover fondos con rapidez por la cuenta. |
| Otros datos relevantes | Cualquier otra información útil para el análisis PBC/FT. | ID interno del caso, alertas anteriores, clientes relacionados, contrapartes recurrentes, indicadores de cuenta mula, geografía próxima a sanciones u operaciones intentadas que no llegaron a ejecutarse. |
Para operaciones intentadas, SEPBLAC indica que el sujeto obligado debe consignar la operación como no ejecutada y comunicar la información que haya podido obtener.
Ejemplo de relato listo para una comunicación
Un relato útil debe ser concreto, cronológico y basado en evidencia. No basta con escribir "operación sospechosa" o "posible riesgo de sanciones".
El cliente fue dado de alta como pequeño comercio electrónico nacional, con una facturación mensual prevista de aproximadamente 20.000 euros. Entre el 4 y el 9 de mayo de 2026, la cuenta recibió ocho transferencias entrantes por un total de 186.400 euros procedentes de seis ordenantes sin relación aparente en tres países. Los fondos se transfirieron en menos de 24 horas a dos beneficiarios añadidos recientemente. El cliente no aportó facturas que justificaran los ingresos y la actividad declarada no explica el volumen, las contrapartes ni la rapidez de los movimientos de salida. El examen especial incluyó revisión del expediente de cliente, análisis del histórico transaccional, comprobación de sanciones y PEP, revisión de medios adversos y solicitud de justificación económica a través del equipo responsable de la relación. No se identificó una justificación económica o de negocio suficiente.
La misma estructura puede adaptarse a otras tipologías:
- Patrón de cuenta mula: cuenta abierta recientemente, entrada rápida de fondos vinculados a fraude, transferencias salientes inmediatas, poca actividad ordinaria y explicación débil del titular.
- Actividad próxima a sanciones: pagos repetidos con rutas de alto riesgo, contrapartes con vínculos de titularidad o ubicación cerca de sectores sancionados y descripciones inconsistentes de bienes o servicios.
- Inconsistencia de titularidad: cambios en la información del titular real durante la revisión, datos registrales que no encajan con los documentos de alta y actividad de pago que parece controlada por un tercero no declarado.
¿Hay algún XML?
Para comunicaciones ordinarias por indicio, la vía pública no es una API ni una presentación XML general. La excepción estructurada publicada es el procedimiento específico de cuentas mula.
En comunicaciones de cuentas mula, SEPBLAC indica que la comunicación consta del documento normal de comunicación por indicio más un anexo XML con los datos de cuentas mula. Ese XML se define mediante un XSD publicado y se adjunta a la comunicación ordinaria, que se envía por el canal habitual del sujeto obligado.
Esta distinción importa para equipos de producto. Un sistema puede ayudar a preparar el expediente de examen especial, el relato de la comunicación, los datos de intervinientes, la tabla de operaciones, la evidencia y la constancia de conservación. No debería afirmar que presenta comunicaciones directamente por una API pública de SEPBLAC o por un XML general salvo que esa integración se haya validado por separado con SEPBLAC.
Evidencia y registro de auditoría
El artículo 25 de la Ley 10/2010 exige a los sujetos obligados conservar la documentación relevante durante diez años. Incluye documentación de diligencia debida y documentos o registros que acrediten adecuadamente operaciones, intervinientes y relaciones de negocio.
Para controles de sanciones, el expediente debe ser lo bastante específico para que otro responsable de cumplimiento pueda entender más tarde qué ocurrió.
La evidencia débil es un fallo operativo habitual. Una nota que solo diga "cerrado" no basta. Un expediente defendible debe explicar por qué la coincidencia fue descartada, escalada o confirmada.
Lista de comprobación de control de sanciones en España
Use esta lista para convertir el marco legal y de fuentes en un modelo operativo:
- Confirme si el negocio, sucursal, agente, intermediario o servicio transfronterizo es sujeto obligado conforme al artículo 2.
- Trate las medidas restrictivas de la UE y las sanciones financieras relevantes de Naciones Unidas como la base aplicable en España conforme al artículo 42.
- Decida si debe añadir OFAC, Reino Unido, Suiza, Canadá, Australia, Singapur u otras fuentes por monedas, canales de pago, clientes, contrapartes, bancos colaboradores, política de grupo u obligaciones contractuales.
- Capture identificadores suficientes para resolver alertas: nombre legal, nombre y apellidos, alias, nombres comerciales, fecha de nacimiento, nacionalidad, dirección, número de registro, vínculos de propiedad, direcciones de monedero e identificadores de activos cuando proceda.
- Compruebe clientes, titulares reales, administradores, personas de control, partes de pago, contrapartes y otros terceros relevantes conforme al modelo de riesgo.
- Defina los supuestos que obligan a repetir comprobaciones, incluidas actualizaciones de listas, alta, cambios en datos CDD, nuevos productos, cambios de titularidad, operaciones significativas, nuevos corredores y sospecha de elusión.
- Separe falsos positivos, coincidencias potenciales, positivos confirmados e indicios sospechosos de PBC/FT en la clasificación de casos.
- Mantenga claros los circuitos de escalado para respuesta ante sanciones, examen especial PBC/FT, comunicación, abstención y controles de no revelación.
- Conserve la fuente consultada, versión o marca de actualización, datos de entrada, resultado candidato, justificación, responsable de cumplimiento, decisión y cualquier bloqueo, comunicación o acción de monitorización durante el periodo exigido.
Cómo Checklynx apoya el proceso
Checklynx aborda el control de sanciones como un conjunto de procesos, no como un simple buscador. Los equipos pueden usar comprobaciones API en tiempo real, revisión por lotes, revisión manual, monitorización continua, control transaccional, gestión de casos y evidencia de auditoría según cómo entra el riesgo en la actividad.
Esto importa para empresas en España porque las obligaciones no se concentran en un solo momento. Un evento relevante para sanciones puede aparecer durante el alta, tras una actualización de listas, durante una transacción, después de un cambio de titular real o en una investigación. Un sistema práctico debe conservar el contexto de cada decisión y facilitar demostrar qué se comprobó, cuándo se comprobó, qué coincidió, quién lo revisó y qué ocurrió después.
Construya un proceso de control preparado para auditoría
Use Checklynx para comprobar clientes y contrapartes, gestionar la revisión de alertas, monitorizar actualizaciones de listas y conservar evidencia para equipos de cumplimiento.
Preguntas frecuentes
¿Qué es SEPBLAC?
SEPBLAC es la Unidad de Inteligencia Financiera de España y autoridad supervisora en materia PBC/FT y de determinadas sanciones financieras y contramedidas. Recibe y analiza inteligencia financiera y supervisa controles de cumplimiento.
¿Exige la ley española controles de sanciones?
La ley española da efecto inmediato a determinadas sanciones financieras de la UE y Naciones Unidas bajo el artículo 42 de la Ley 10/2010. La ley también exige diligencia debida, seguimiento continuo, controles internos, examen especial, comunicación y conservación de evidencia. La comprobación contra listas es el control práctico que usan las empresas para cumplir esas obligaciones de forma operativa.
¿Es SEPBLAC la lista de sanciones en España?
No. SEPBLAC es la Unidad de Inteligencia Financiera y una autoridad supervisora. El control de sanciones debe usar las fuentes oficiales de listas que apliquen a la empresa, con sanciones financieras de la UE y Naciones Unidas como base para España y otras listas añadidas según la exposición.
¿Qué listas de sanciones debe revisar una empresa en España?
Las sanciones financieras de la UE y las medidas relevantes del Consejo de Seguridad de Naciones Unidas deben formar la base para España. OFAC, la lista de sanciones del Reino Unido y otras listas nacionales deben añadirse cuando la exposición, relaciones bancarias, monedas, contrapartes o política de grupo lo justifiquen.
¿Deben revisarse los titulares reales?
Sí, cuando la titularidad real sea relevante para la relación u operación. La Ley 10/2010 exige identificar al titular real y adoptar medidas adecuadas para verificar su identidad antes de establecer la relación de negocio o ejecutar operaciones.
¿Con qué frecuencia deben revisarse de nuevo los clientes existentes?
Las comprobaciones deben repetirse cuando cambien las listas de sanciones, los datos del cliente, se abran nuevos productos, cambie la titularidad, se produzcan operaciones significativas o el contexto transaccional introduzca nuevo riesgo. Los clientes de mayor riesgo y los modelos de negocio con más cambios necesitan una monitorización continua más sólida.
¿Qué convierte una coincidencia de nombre en un positivo real?
Un positivo real exige revisar identificadores y contexto, no solo similitud de nombre. La revisión debe comparar nombres, alias, transliteración, fecha de nacimiento, nacionalidad, números de registro, direcciones, vínculos de propiedad e identificadores específicos del régimen cuando estén disponibles.
¿Cuál es la diferencia entre una coincidencia de sanciones y una comunicación a SEPBLAC?
Una coincidencia de sanciones trata de si la parte está sujeta a una medida restrictiva y qué respuesta de sanciones corresponde. Una comunicación por indicio a SEPBLAC trata de indicios o certeza de blanqueo de capitales o financiación del terrorismo tras examen especial. Un caso puede implicar ambas decisiones, pero son decisiones separadas.
¿Existe una API o un XML de SEPBLAC para comunicaciones por indicio?
No hay una API pública general de SEPBLAC ni un esquema XML público general para comunicaciones ordinarias por indicio. Las entidades de crédito y determinados OCP usan CTL 2.3. Los demás sujetos obligados usan el registro electrónico del Banco de España. La excepción XML publicada es el anexo específico de cuentas mula, que se adjunta a la comunicación por indicio y se envía por el canal habitual.
¿Cómo comunica una empresa actividad sospechosa a SEPBLAC?
La empresa realiza primero un examen especial estructurado. Si aprecia indicio o certeza de blanqueo de capitales o financiación del terrorismo, prepara la comunicación por indicio F19-1 y la presenta sin dilación por el canal correspondiente: CTL 2.3 para entidades de crédito y determinados OCP, o registro electrónico del Banco de España para otros sujetos obligados.
¿Durante cuánto tiempo debe conservarse la evidencia en España?
El artículo 25 de la Ley 10/2010 exige conservar documentación PBC/FT relevante durante diez años. La evidencia de controles de sanciones debe conservarse de forma coherente con la política legal y documental de la empresa.
¿OFAC y las sanciones del Reino Unido son obligatorias para todas las empresas en España?
No como base universal si la actividad es solo española. Normalmente son extensiones basadas en la exposición para empresas con nexo estadounidense o británico, expectativas de banca corresponsal, requisitos de grupo, compromisos contractuales, monedas relevantes o contrapartes transfronterizas.
Fuentes oficiales explicadas
- BOE: texto consolidado de la Ley 10/2010: base legal para sujetos obligados, diligencia debida, titularidad real, seguimiento continuo, examen especial, comunicación, no revelación, conservación documental y sanciones financieras del artículo 42.
- Procedimiento de comunicación por indicio de SEPBLAC: procedimiento oficial para comunicaciones por indicio, incluido examen especial, contenido mínimo, presentación por CTL 2.3 para entidades de crédito, presentación por registro electrónico del Banco de España para otros sujetos obligados y plantilla F19-1.
- Registro electrónico del Banco de España: canal usado por sujetos obligados no crediticios para la presentación electrónica de comunicaciones firmadas y digitalizadas.
- Procedimiento de comunicación de cuentas mula de SEPBLAC: procedimiento agregado específico para cuentas mula, incluido el anexo XML y la estructura basada en XSD.
- Memoria de actividades 2024 de SEPBLAC: fuente de las cifras de comunicaciones por indicio de 2024, aumentos de neobancos y proveedores de activos virtuales y datos de comunicación agregada de cuentas mula citados arriba.
- Lista consolidada del Consejo de Seguridad de la ONU: fuente oficial de Naciones Unidas para comprobar medidas relevantes del Consejo de Seguridad.
- OFAC Sanctions List Service: punto oficial de entrega de listas de EE. UU. para empresas que necesitan cobertura OFAC por exposición estadounidense, liquidación en dólares, requisitos bancarios o política de grupo.
- UK Sanctions List: fuente oficial de designaciones del Reino Unido para empresas con exposición, contrapartes, contratos o requisitos de política británicos.
- Informe final de la EBA sobre directrices de medidas restrictivas: guía operativa sobre gobernanza de medidas restrictivas, campos de comprobación, supuestos de revisión, calibración, gestión de alertas y seguimiento de positivos confirmados.
Última revisión: 25 de mayo de 2026.