La AMLA pone a consulta proyectos de normas técnicas sobre los requisitos para grupos y de directrices sobre gestión de riesgos

La Autoridad Europea de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (ALBC o AMLA, en siglas inglesas) ha puesto a consulta pública, el 16-4-2026:

• un borrador de normas técnicas de regulación (NTR o RTS, en siglas inglesas) sobre los requisitos mínimos para grupos, incluidas las medidas adicionales para sucursales y filiales situadas en países de fuera de la Unión Europea (UE), y
• un proyecto de directrices sobre evaluación y gestión de los riesgos, adecuadas y proporcionales según la entidad obligada,

que desarrollan aspectos importantes de la normativa europea sobre prevención del blanqueo de capitales y de la financiación del terrorismo (PBCyFT).

Resumimos a continuación lo esencial de estos proyectos normativos.

Normas técnicas sobre requisitos mínimos para grupos y medidas adicionales para filiales y sucursales fuera de la UE

Objeto y finalidad

Este borrador, según su propio contenido, tiene como finalidades:

• desarrollar el Reglamento (UE) 2024/1624¹ en cuanto a cómo deben diseñar, implantar y supervisar los grupos sus sistemas de PBCyFT, incluyendo las políticas y procedimientos;
• lograr su aplicación efectiva en estructuras transfronterizas y entidades del grupo ubicadas fuera de la UE, y
• asegurar una gestión coherente y consolidada de los riesgos en el grupo.

Contenido

El borrador trata los siguientes aspectos principales:

1. Políticas, procedimientos y controles en el grupo:
   • La entidad matriz del grupo debe asegurar que existe una estructura de organización y coordinación del grupo, con poderes suficientes para las funciones de:
     • cumplimiento normativo, informes documentados, información para los órganos de dirección, y
     • control, identificación de conflictos de intereses, evaluación de riesgos del grupo, revisión periódica de la eficacia de políticas y comunicación al personal relevante.
2. Intercambio de información entre las entidades del grupo:
   • Determina la información que debe compartirse entre entidades del grupo: de clientes, de titularidad real, de propósito de la relación; de operaciones, servicios y evaluaciones de riesgo; de personas del medio político, de sanciones, operaciones sospechosas, de clientes rechazados o con los cuales se finaliza la relación de negocio, de auditorías e inspecciones supervisoras, de formación y de externalización.
   • El intercambio debe ser proporcional, trazable, actualizado, en formato comprensible, sobre el principio de necesidad (need to know principle) y respetar la confidencialidad y la protección de datos.
3. Grupos con entidades fuera de la UE:
   • Aborda los casos en que la legislación de un país de fuera de la UE impide o restringe la aplicación de políticas de grupo, el acceso a información, el intercambio de datos o la supervisión efectiva desde la UE.
   • En esos casos prevé medidas adicionales, comunicación al supervisor y, si las medidas son insuficientes, acciones supervisoras adicionales.
   • Fija los criterios para identificar a la entidad matriz en la UE cuando varias entidades dependen de una sede central situada fuera de la UE y no haya relación matriz-filial entre ellas. Para ello, combina preponderancia operativa, volumen de clientes y operaciones, capacidad de control, autoridad decisoria en esta materia y capacidad real para implantar medidas de grupo.
4. Extensión de los requisitos:
   • Estas normas técnicas serán aplicables también a estructuras empresariales distintas de los grupos tradicionales, cuestión especialmente relevante para sectores no financieros en los que se da una casuística más amplia de organizaciones.

Directrices sobre evaluación y gestión de riesgos

El borrador de directrices recoge las expectativas del supervisor sobre las entidades obligadas para identificar, evaluar y gestionar los riesgos en el desempeño de sus actividades, incluyendo la metodología de análisis y las fuentes de información a tener en cuenta. Así, la AMLA:

• se dirige a entidades financieras y no financieras,
• promueve un enfoque basado en el riesgo y proporcional, y
• considera que la autoevaluación de los riesgos asociados a la actividad es la base para definir políticas, controles y medidas adecuadas.

Las entidades tendrán que considerar cuatro requisitos para elaborar su evaluación del riesgo:

1. Visión completa del modelo de negocio:
   • Descripción del modelo de negocio, estructura operativa, grupo, base de clientes, productos y servicios, canales de distribución, exposición geográfica, organización de la función de PBCyFT, externalizaciones y uso de tecnologías nuevas o emergentes.
2. Identificación y clasificación del riesgo inherente:
   • Análisis de cómo pueden materializarse estos riesgos y cómo pueden no aplicarse o eludirse las sanciones financieras específicas.
3. Evaluación de la calidad de controles:
   • Valoración interna sobre si las políticas, procedimientos, sistemas y controles mitigan de forma efectiva los riesgos inherentes.
   • La AMLA propone exigir conectar cada control con el riesgo que mitiga y analizar su diseño e implementación.
4. Evaluación y clasificación del riesgo residual:
   • Determinación del riesgo que permanece tras aplicar los controles definidos y tomar medidas para ello.

El documento pretende asegurar que las medidas de PBCyFT son acordes con los riesgos identificados, para facilitar la aplicación coherente y efectiva de la normativa la UE.

Plazo

Las partes interesadas pueden presentar sus observaciones hasta

• el 20-5-2026, para las normas técnicas de regulación sobre requisitos para los grupo, y
• el 28-5-2026, para las directrices sobre evaluación y gestión de riesgos.