Resumen

El nuevo paquete legislativo europeo de Prevención del Blanqueo de Capitales y Financiación del Terrorismo (PBC/FT) y el establecimiento de la autoridad supervisora AMLA marcan el fin de la fragmentación regulatoria interna en la Unión Europea. No obstante, la aplicación de este marco único de aplicación directa genera complejos desafíos operativos. Por un lado, surgen fricciones en los sujetos obligados derivadas de un modelo de supervisión dual que exige armonizar los estrictos criterios supranacionales con las normativas locales. Por otro lado, la fortaleza regulatoria europea se enfrenta a asimetrías globales frente a flujos de capitales transfronterizos. Vulnerabilidades como la aplicación dispar de la Travel Rule a los proveedores de criptoactivos (VASPs) o la opacidad en la identificación de la titularidad real en jurisdicciones offshore limitan el alcance de la norma. Ante el riesgo de consolidar un sistema de cumplimiento meramente defensivo y burocrático impulsado por el miedo sancionador, se plantea la necesidad de transicionar hacia un enfoque basado en el riesgo real. Para ello, resulta indispensable la integración de herramientas de Inteligencia Artificial, el fomento de la colaboración público-privada y la articulación de puertos seguros que brinden verdadera certidumbre jurídica al ecosistema financiero.

Aviso legal

Las opiniones contenidas en este artículo son exclusivamente las opiniones personales del autor y no reflejan necesariamente los puntos de vista de su empleador, ni de ninguna de las asociaciones o corporaciones profesionales a las que pueda pertenecer.

Artículo

Indudablemente estamos viviendo un momento de cambio en el paradigma regulatorio en materia de prevención del blanqueo de capitales y financiación del terrorismo (PBC/FT). Tras años de negociaciones, transposiciones asimétricas y escándalos financieros que sacudieron los cimientos regulatorios de la Unión Europea, el nuevo paquete legislativo europeo de PBC/FT es una realidad tangible que entrará en aplicación en julio de 2027. Con la Autoridad Bancaria Europea cediendo el testigo y la nueva AMLA (Anti-Money Laundering Authority) estableciendo su centro de mando en Frankfurt, Europa ha lanzado un mensaje claro al mundo: la fragmentación regulatoria de la que tanto partido sacaban los criminales ha terminado.

Sin embargo, para quienes diseñamos y ejecutamos estrategias de cumplimiento, la euforia política debe dejar paso a un más reposado análisis jurídico-regulatorio. La creación de un Reglamento[i] único de aplicación directa y de una autoridad supervisora supranacional plantea una paradoja digna de estudio. Europa está construyendo una fortaleza regulatoria, con reglas claras y una supervisión implacable, pero, ¿es esta fortaleza un ecosistema hermético o estamos ante un caso de vulnerabilidad sistémica frente a flujos de terceros países que no cumplen estándares tan rigurosos? Es decir, un sistema transparente y robusto en su interior, pero frágil frente a las dinámicas de un crimen financiero que, por definición, opera en un tablero global.

Si analizamos la historia de la que venimos, durante décadas, el modelo europeo se basó en directivas. Las últimas publicadas establecían estándares ambiciosos, pero su naturaleza exigía una transposición al derecho nacional. Este margen de discrecionalidad provocó cierto arbitraje regulatorio. La sofisticación corporativa de las redes de criminalidad financiera permitía que los criminales identificasen rápidamente qué jurisdicciones europeas contaban con supervisores menos dotados o con interpretaciones más laxas de la norma, concentrando allí sus operaciones de entrada al sistema financiero formal.

El nuevo Reglamento cambia las reglas del juego. Al ser de aplicación directa, elimina el filtro de la discrecionalidad local. Un cliente de alto riesgo debe ser tratado con el mismo nivel de diligencia debida en Madrid, París o Roma. Esto es indudablemente una gran noticia para la prevención del crimen financiero, no obstante, estamos ante un reto monumental en materia de implementación.

Y es que las entidades no solo deben adaptar sus sistemas al nuevo Reglamento, sino que deben lidiar con la inercia de los supervisores locales, que mantendrán competencias sobre las entidades no seleccionadas para la supervisión directa de la AMLA.

Este modelo dual exige a los grupos internacionales aplicar un estándar único europeo mientras gestionan las legítimas expectativas de los reguladores nacionales, lo que en la práctica amenaza con generar fricciones operativas. Imaginemos una entidad transfronteriza sujeta a la supervisión directa de la AMLA. Desde Frankfurt, se exigirá, por ejemplo, la implementación de un modelo de monitorización transaccional centralizado, calibrado según la evaluación supranacional de riesgos que realicen para garantizar la homogeneidad y eficiencia global del grupo.

Sin embargo, las filiales seguirán rindiendo cuentas a sus respectivas autoridades locales. Apoyándose en sus propios análisis nacionales de riesgos, estos supervisores podrían determinar que los umbrales estandarizados europeos resultan insuficientes para mitigar tipologías delictivas de carácter puramente doméstico. En este escenario, los sujetos obligados quedan atrapados en fuego cruzado en el que puede no resultar del todo claro qué hacer, en la medida en que priorizar la unificación estricta bajo el estándar de la AMLA puede derivar en requerimientos por desatender las sensibilidades del supervisor nacional. No obstante, mantener una amalgama de reglas locales ad hoc expone a los grupos financieros internacionales a penalizaciones desde Europa por falta de integración corporativa. La gestión de esta doble ventanilla será, sin duda, un reto en los próximos años.

Pese a ello el principal reto no es lo que pasa dentro de nuestras fronteras europeas, sino lo que pasa en el resto del mundo. Mientras Europa perfecciona y refuerza su mercado interior, el dinero ilícito fluye a través de fronteras y ecosistemas descentralizados. Aun así, cabe recordar que la regulación europea nace de los estándares globales dictados por el Grupo de Acción Financiera Internacional (GAFI/FATF) por lo que se puede presuponer cierta uniformidad.

Sin embargo, analicemos, por ejemplo, el caso de los proveedores de servicios de criptoactivos (VASPs) para ver un ejemplo práctico de esto. La integración de la Travel Rule en el Reglamento de Transferencias de Fondos[ii] de la UE obliga a que las transferencias de criptoactivos viajen acompañadas de cierta información sobre el ordenante y el beneficiario para garantizar la trazabilidad de los fondos. Es una medida lógica y muy adecuada para garantizar el origen de los fondos.

Pero, desde una perspectiva operativa, tenemos un claro ángulo ciego. El ecosistema cripto es inherentemente global. Las recomendaciones actualizadas del GAFI instan a todos los países a regular los VASPs, pero la realidad, confirmada en los últimos plenarios del organismo, es que la adopción global es dramáticamente asimétrica. Los flujos ilícitos pueden sortear el marco regulatorio europeo, utilizando puentes financieros en jurisdicciones no cooperativas para convertir el dinero fiat o cripto en activos legítimos antes de intentar reingresar al sistema europeo a través de estructuras corporativas opacas.

De esta manera, cuando una entidad financiera global europea interactúa con un VASP radicado en una jurisdicción offshore que no aplica la Travel Rule, se produce un conflicto. ¿Qué debe hacer? La entidad europea, bajo la mirada del supervisor, se puede ver abocada hasta cierto punto hacia un de-risking preventivo, pudiendo contravenir incluso las propias directrices de la EBA sobre inclusión financiera.

Otro ejemplo del desafío de aplicar soluciones regionales a un problema intrínsecamente global es el impulso de la titularidad real. Si bien el legislador europeo busca desmantelar las estructuras corporativas opacas mediante el nuevo paquete legislativo, esta ambición choca con una realidad jurídica estrictamente acotada a nuestras fronteras. A nivel interno, tras la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de noviembre de 2022[iii], que limitó severamente el acceso a los registros europeos por motivos de privacidad, los sujetos obligados operan ya con las manos atadas.

Sin embargo, la verdadera brecha de seguridad reside en el contraste con el escenario internacional. Las redes de criminalidad financiera rara vez confinan sus estructuras al espacio económico europeo. Por el contrario, diluyen el control a través de estructuras fideicomisarias bajo ordenamientos jurídicos anglosajones (trusts) y esquemas corporativos en jurisdicciones offshore donde la transparencia es nula y los estándares del GAFI son meras sugerencias. Al exigir a la banca europea que identifique y verifique exhaustivamente al titular real de estas mallas transfronterizas, la normativa impone una obligación de alcance global. En la práctica, esto condena a los sujetos obligados a asumir una carga probatoria asimétrica.

Llegamos así al núcleo del debate. El riesgo del nuevo paquete AML y de la autoridad de la AMLA es consolidar un sistema basado en el miedo sancionador.

Movidos por el temor a sanciones regulatorias severas, los sujetos obligados pueden llegar a inundar a las Unidades de Inteligencia Financiera con alertas sistémicas que arrastren tasas de falsos positivos abrumadoras. Este exceso de celo generaría un «ruido» masivo que colapsaría a los supervisores e impediría destilar verdadera inteligencia táctica. La consecuencia de esta ineficiencia operativa podría llegar a ser letal. Mientras los sujetos obligados asumirían costes de cumplimiento asfixiantes procesando burocracia, el sistema fracasaría a nivel macroeconómico, manteniendo la tasa global de interceptación y confiscación de flujos financieros ilícitos estancada en un exiguo 1-2%, según los estándares históricos de la UNODC y Europol.

Por tanto, el verdadero salto cualitativo requiere pasar del cumplimiento formal a un compliance con un enfoque basado en el riesgo real.

En la era del Reglamento de Inteligencia Artificial de la UE, las entidades financieras globales tienen la capacidad tecnológica para identificar patrones de comportamiento criminal que un análisis manual jamás detectaría. El uso de algoritmos para la monitorización transaccional o el análisis de grafos para desentrañar redes corporativas es algo que va a pasar a ser necesario.

Sin embargo, para que las entidades desplieguen todo este potencial sin miedo a violar normativas de privacidad (GDPR[iv]) o a ser penalizadas por los sesgos algorítmicos (IA Act[v]), necesitamos que reguladores como la AMLA actúen como socios estratégicos y no solo a nivel europeo, sino a nivel internacional. Es necesario apostar por sandbox regulatorios compartidos y vías seguras de colaboración público-privada para el intercambio de información táctica entre entidades financieras.

Por tanto, la consolidación del nuevo ecosistema europeo de PBC/FT no debería medirse por la capacidad punitiva y el volumen sancionador de la AMLA, sino por su habilidad para dotar al mercado de verdadera seguridad jurídica. Resulta ineludible abrir el debate sobre la articulación de puertos seguros regulatorios. Es decir, explorar marcos de coordinación institucional donde, si una entidad despliega modelos algorítmicos validados y alineados con los estándares de la AMLA, cuente con un perímetro de certidumbre legal frente a posibles interpretaciones dispares por parte de las autoridades de protección de datos. Solo resolviendo esta fricción estructural, Europa logrará que su sector financiero pase de un cumplimiento defensivo basado en el miedo a una prevención verdaderamente eficaz.

Bibliografía

[i] Reglamento (UE) 2024/1624 del Parlamento Europeo y del Consejo, de 31 de mayo de 2024, relativo a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo

[ii] Reglamento (UE) 2023/1113 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a la información que acompaña a las transferencias de fondos y de determinados criptoactivos y por el que se modifica la Directiva (UE) 2015/849

[iii] Sentencia del Tribunal de Justicia (Gran Sala) 22 de noviembre de 2022 «Procedimiento prejudicial — Prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo — Directiva (UE) 2018/843 por la que se modifica la Directiva (UE) 2015/849 — Modificación introducida en el artículo 30, apartado 5, párrafo primero, letra c), de esta última Directiva — Acceso de cualquier miembro del público en general a la información sobre la titularidad real — Validez — Artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea — Respeto de la vida privada y familiar — Protección de datos personales»

[iv] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

[v] Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial)