Las medidas de debida diligencia y evaluación del riesgo individualizada para la prevención del lavado de activos

La nueva Ley Especial para la Prevención, Control y Sanción del Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva (en adelante la “Ley”) en vigencia desde el 17 de octubre de 2025, representa una actualización integral y necesaria frente a la ley derogada de 1998.

Uno de los cambios más significativos de esta nueva ley es la redefinición y reducción de los Sujetos Obligados, lo que ha permitido disminuir considerablemente la carga regulatoria para la mayoría de las empresas en El Salvador, concentrando los esfuerzos de supervisión en aquellos sectores con mayor exposición al riesgo. 

En ese contexto, en el núcleo de los deberes con los que deben cumplir los Sujetos Obligados bajo la nueva Ley se encuentran las medidas de debida diligencia y realizar una evaluación de riesgos individualizada, aspectos a los que se hará referencia en este artículo.

Sobre las medidas de debida diligencia en el conocimiento de clientes y usuarios.

Desde una óptica de Cumplimiento, la debida diligencia no es un proceso estático, sino un conjunto de medidas razonables para identificar fehacientemente a clientes y usuarios. El objetivo primordial de estas medidas es que los Sujetos Obligados conozcan no solo con quién mantendrán una relación comercial, sino también quién es el controlador o beneficiario final de sus clientes.

En línea con ello, y en contraste con la ley derogada, la nueva Ley define claramente una estructura de tres niveles de debida diligencia, permitiendo que la intensidad de la revisión sea congruente con el nivel de riesgo identificado por el Sujeto Obligado. Los niveles definidos en el artículo 15 de la Ley son los siguientes:

Debida Diligencia Simplificada: Se aplicará a clientes de riesgo bajo o en productos y servicios de bajo riesgo. Aunque en este nivel los requisitos son menores, la Ley es enfática en que siempre se deberá verificar la identidad del cliente o de la persona que actúa en su nombre o representación.

Debida Diligencia Estándar: Es el nivel aplicado inicialmente a la generalidad de los clientes. Incluye la identificación del cliente y del beneficiario final, así como el entendimiento de la naturaleza y propósito de la relación comercial y la determinación del origen de los fondos.

Debida Diligencia Intensificada: Reservada para clientes de alto riesgo o exposición, este nivel exige la recopilación y verificación exhaustiva de la fuente de riqueza y la fuente de fondos.

Un aspecto técnico fundamental para destacar en este punto es la nueva definición del beneficiario final. La Ley establece que, en el caso de personas jurídicas, se debe identificar a la persona natural que posea o controle, directa o indirectamente, al menos el veinticinco por ciento (25%) del capital o de los derechos de voto quien será considerado beneficiario final. Este es un cambio sustancial respecto a lo establecido en el Instructivo para la Prevención, Detección y Control del Lavado de Dinero y de Activos, Financiación del Terrorismo y la Financiación de la Proliferación de Armas de Destrucción Masiva de la Unidad de Investigación Financiera (UIF) de la Fiscalía General de la República, que establecía el porcentaje de participación de los beneficiarios finales en diez por ciento (10%).

Por otra parte, ahora con rango de ley, el marco normativo salvadoreño establece los momentos en que se deben aplicar las medidas de debida diligencia en el conocimiento de clientes y usuarios, estos momentos son: al establecer relaciones comerciales, al realizar transacciones ocasionales que superen los umbrales establecidos para el reporte de operaciones en efectivo (umbrales que serán desarrollados por el reglamento de la Ley), cuando exista sospecha de lavado de activos o cuando existan dudas sobre la veracidad de los datos obtenidos previamente.

Es imperativo mencionar que la Ley restringe el mantenimiento de registros de clientes y usuarios anónimos o cifrados; todos los registros deben ser nominativos. Por otra parte, el artículo 15 de la Ley también establece que, si un cliente se niega a proporcionar la documentación requerida, el Sujeto Obligado está facultado para abstenerse de iniciar la relación, pudiendo incluso generar un reporte de tentativa de operación sospechosa si el análisis así lo sugiere.

Finalmente, la Ley delega en la UIF el desarrollo de los parámetros mínimos para la implementación de cada unos de los niveles de debida diligencia estipulados en el artículo 15, los cuales serán fundamentales para un correcto cumplimiento de este deber por parte de los Sujetos Obligados. Por ello, se deberá estar atentos al nuevo Instructivo que pueda emitir la UIF al respecto, mientras esto ocurra el Instructivo emitido en 2021 se encuentra vigente de manera transitoria, según lo dispone el artículo 61 de la Ley.

Sobre la evaluación de riesgo individualizada

Mientras el artículo 15 define los parámetros generales para la identificación de los clientes, el artículo 16 de la Ley establece la guía para la toma de decisiones de los Sujetos Obligados respecto a sus clientes y la respectiva gestión de riesgos, estipulando una salvaguarda contra la discriminación y la exclusión injustificada, particularmente en materia financiera. Este artículo es una de las mayores innovaciones de la ley, ya que materializa el principio de proporcionalidad en la evaluación del riesgo de clientes y usuarios.

A partir de la referida disposición, se instaura un sistema en el que las medidas de debida diligencia no pueden ser una excusa para imponer requisitos desproporcionados para iniciar una relación comercial, a menos que exista una evaluación individualizada del riesgo debidamente justificada y documentada. Esto significa que los Sujetos Obligados no pueden aplicar políticas o estándares de “bloqueo general” a ciertos sectores basándose en preocupaciones injustificadas o categorías amplias.

Particularmente en materia financiera, el artículo 16 prohíbe explícitamente negar o restringir servicios basándose exclusivamente en condiciones personales, sociales o económicas. De manera específica, la ley señala que no son causales suficientes por sí solas para negar el acceso a servicios financieros las siguientes:

• La condición migratoria del potencial cliente.
• El ejercicio de actividades económicas informales o la ausencia de un empleo formal.

Para que un Sujeto Obligado pueda negar un servicio, debe realizar un análisis individual de riesgo que fundamente la decisión, el cual debe quedar debidamente resguardado en el expediente del cliente. Este enfoque garantiza que la lucha contra el lavado de activos y riesgos relacionados no se convierta en una barrera para la inclusión financiera, permitiendo que personas en el sector informal puedan acceder al sistema financiero si su perfil de riesgo individual es aceptable.

Para que la sinergia entre las medidas de debida diligencia y la evaluación de riesgo individualizada funcione correctamente, la Ley delega un deber particular a los Oficiales de Cumplimiento. Según el artículo 20, los Oficiales de Cumplimiento deberán velar por que no se apliquen bloqueos automáticos ni restricciones preventivas generalizadas sin el respaldo de un análisis de riesgo individualizado, lo cual los vuelve agentes que salvaguardan ante potenciales restricciones de acceso a servicios.

Consecuencias de una incorrecta aplicación de medidas de debida diligencia

La relevancia de aplicar correctamente las medidas de debida diligencia en el conocimiento de clientes y usuarios se refleja en el severo régimen sancionatorio de la Ley. El artículo 31 clasifica como una infracción grave el no aplicar las medidas de debida diligencia bajo los parámetros establecidos en la Ley y demás normas que se emita. Estas infracciones pueden acarrear multas significativas de hasta quinientos salarios mínimos mensuales (SMM) del sector comercio para personas jurídicas y hasta doscientos SMM para personas naturales, equivalentes a US $204,400 y US $40,880 respectivamente, considerando el SMM vigente.

Al establecer parámetros para las medidas de debida diligencia y evaluación de riesgo individualizada, la nueva Ley permite que el sector empresarial salvadoreño sea más dinámico. Además, la Ley fomenta la cooperación sectorial, permitiendo que los Sujetos Obligados compartan información y coordinen medidas para prevenir el uso indebido de sus servicios, siempre bajo un marco de confidencialidad y respeto a las demás normativas que pudieran resultar aplicables (tales como normativa de protección de datos personales o de competencia).

En conclusión, la nueva Ley Especial para la Prevención, Control y Sanción del Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva ha sido un instrumento oportuno que transforma la prevención del lavado de activos en El Salvador a un sistema acorde a los estándares internacionales y procurando una actividad económica más dinámica. Los artículos 15 y 16 funcionan como un mecanismo de equilibrio entre intereses, mientras el primero proporciona las herramientas para conocer al cliente con profundidad proporcional a su riesgo, el segundo actúa como una salvaguarda, asegurando que nadie sea excluido de acceso a servicios, particularmente financieros, por razones de origen, estatus migratorio o actividad informal sin una prueba objetiva de riesgo.