23. julio 2025

    #PLD #EBR Enfoque Basado en Riesgo

    ENFOQUE BASADO EN RIESGO (EBR)

     

    La adopción del enfoque basado en riesgo (EBR) en la lucha contra el Lavado de Dinero (LD) y el Financiamiento al Terrorismo (FT) no es algo nuevo en México, y su relevancia ha ido creciendo con el tiempo.

    Aunque la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) fue publicada en el Diario Oficial de la Federación el 17 de octubre de 2012, la implementación y el énfasis en el EBR se han ido fortaleciendo progresivamente.

    La Recomendación 1 del Grupo de Acción Financiera Internacional (GAFI), que es el organismo internacional que establece los estándares en esta materia, se denomina "Evaluación de riesgos y aplicación de un enfoque basado en riesgo". Esta recomendación señala que las medidas implementadas por quienes realizan Actividades Vulnerables deben estar basadas en el riesgo que representen cada una de las partes que intervienen en los actos u operaciones.

    México ha trabajado en la implementación de esta recomendación. La Evaluación Nacional de Riesgos (ENR) de LD/FT es un proceso que busca identificar, analizar y entender los riesgos de LD/FT en el país, sirviendo como un primer paso para abordarlos.

    En el contexto de las "Actividades Vulnerables" reguladas por la LFPIORPI, la obligación de aplicar una Evaluación Basada en Riesgo (EBR) ha sido un componente clave desde hace varios años, aunque las reglas específicas y el nivel de detalle requerido han evolucionado.

    En resumen, la EBR como principio rector en PLD/FT tiene sus raíces en las recomendaciones del GAFI, y su aplicación en la normativa mexicana, incluyendo la LFPIORPI, ha sido un proceso continuo desde la promulgación de la ley, con actualizaciones y un reforzamiento constante de su obligatoriedad y especificidad.

     

     

    La EBR es un proceso sistemático mediante el cual una entidad identifica, evalúa y comprende sus riesgos de Lavado de Dinero (LD) y Financiamiento al Terrorismo (FT), para luego aplicar medidas proporcionales para mitigar esos riesgos. Es el pilar de un enfoque eficaz en la prevención de estos delitos.

    Ejemplo de una Evaluación Basada en Riesgo (EBR) en una Empresa Inmobiliaria:

    Imaginemos una empresa inmobiliaria mediana que se dedica al desarrollo y venta de propiedades residenciales y comerciales en México.

    Fase 1: Identificación de los Riesgos

    La empresa inmobiliaria primero identificaría los factores de riesgo inherentes a su negocio. Algunos de estos podrían ser:

    • Clientes:
      • Clientes extranjeros (mayor riesgo por jurisdicciones de alto riesgo).
      • Clientes Personas Políticamente Expuestas (PEP) (riesgo de posible influencia o fondos ilícitos).
      • Clientes que insisten en transacciones en efectivo (riesgo de opacidad y lavado).
      • Clientes que son personas morales con estructuras complejas o fideicomisos (dificultad para identificar al Beneficiario Controlador ).
    • Productos/Servicios:
      • Venta de propiedades de lujo (mayor valor, atractivo para lavado).
      • Venta de propiedades a través de figuras fiduciarias (opacidad).
      • Transacciones que involucran activos virtuales como forma de pago (mayor riesgo por volatilidad y menor regulación).
    • Canales de Distribución:
      • Uso de intermediarios o terceros (mayor riesgo de falta de conocimiento del cliente final).
      • Ventas a distancia o en línea sin contacto físico.
    • Ubicación Geográfica:
      • Propiedades en zonas con alta incidencia delictiva o cercanas a fronteras.
      • Operaciones con clientes de países con deficiencias en sus sistemas de PLD.

     

    Fase 2: Evaluación de los Riesgos (Cuantificación/Calificación)

    Una vez identificados los riesgos, la empresa los evaluaría en términos de su probabilidad de ocurrencia y el impacto que tendrían si se materializaran. Se asignarían niveles (ej. bajo, medio, alto) o incluso puntuaciones.

    • Ejemplo:
      • Riesgo 1: Clientes PEP. Probabilidad: Media (la empresa ha tenido algunos casos). Impacto: Alto (daño reputacional, multas elevadas). Riesgo Neto: Alto.
      • Riesgo 2: Transacciones en efectivo. Probabilidad: Baja (la empresa ya tiene políticas que prohíben la recepción de pagos en efectivo ). Impacto: Alto.

    Riesgo Neto: Bajo. (Gracias a los controles existentes).

    • Riesgo 3: Dificultad para identificar al Beneficiario Controlador en estructuras complejas. Probabilidad: Media (es común en ciertos tipos de clientes). Impacto: Medio.

    Riesgo Neto: Medio.

     

    Fase 3: Mitigación de los Riesgos (Implementación de Controles)

    Basado en la evaluación, la empresa diseñaría e implementaría controles y medidas para reducir los riesgos.

    • Para el Riesgo 1 (Clientes PEP):
      • Reforzar los procedimientos de debida diligencia ampliada para PEP, incluyendo la aprobación de la alta gerencia para establecer la relación de negocios.
      • Monitoreo continuo y reforzado de las operaciones de PEP.
      • Capacitación específica para el personal que interactúa con PEP.
      •  
    • Para el Riesgo 2 (Transacciones en efectivo):
      • Mantener y reforzar las políticas de prohibición o limitación estricta de pagos en efectivo.
      • Capacitación al personal de ventas sobre cómo manejar solicitudes de pagos en efectivo.
      •  
    • Para el Riesgo 3 (Identificación del Beneficiario Controlador):
      • Implementar un procedimiento documentado para la identificación del BC bajo el nuevo umbral del 25%.
      • Utilizar herramientas tecnológicas o software especializado para el análisis de estructuras corporativas complejas.
      • Capacitar al personal encargado de la apertura de cuentas sobre técnicas avanzadas de identificación del BC.
      • Asegurarse de que se conserven los documentos soporte para comprobar la identificación del BC.

     

     

     

     

    Fase 4: Monitoreo y Revisión Continua

    La EBR no es un proceso de una sola vez. La empresa debe monitorear la efectividad de sus controles y revisar periódicamente su EBR para ajustarla a nuevos riesgos, cambios regulatorios (como las reformas de la LFPIORPI de julio 2025), o cambios en su modelo de negocio.

    • Ejemplo: La empresa realizaría auditorías de cumplimiento anuales , utilizaría sistemas automatizados para el monitoreo de transacciones inusuales y se aseguraría de que su manual de políticas internas refleje las nuevas disposiciones y umbrales de aviso.

     

    En resumen, la EBR permite a la empresa inmobiliaria asignar sus recursos de manera eficiente, enfocándose en los riesgos más significativos, en lugar de aplicar el mismo nivel de control a todas las operaciones por igual. Esto se alinea con las mejores prácticas internacionales en materia de PLD/FT.

     

    LA SUPLANTACIÓN DE IDENTIDAD Y LOS TESTAFERROS

     

    Es un punto absolutamente crítico y válido. Este problema subraya una de las mayores debilidades en los sistemas de Prevención de Lavado de Dinero (PLD), incluso cuando se aplican robustas Evaluaciones Basadas en Riesgo (EBR) y políticas de Beneficiario Controlador (BC).

    Efectivamente, de poco sirven las mejores políticas y procedimientos si los datos sobre los que se basan son fraudulentos o engañosos. La suplantación de identidad y el uso de prestanombres son técnicas comunes empleadas por los lavadores de dinero precisamente para eludir la detección.

     

     

     

     

    1. Suplantación de Identidad:
      • Impacto en la EBR: Si un cliente ha suplantado la identidad de otra persona, la EBR que se realice sobre ese "cliente" (ficticio o fraudulento) estará viciada desde su origen. Los factores de riesgo asociados a la persona suplantada podrían ser bajos, llevando a una debida diligencia estándar, cuando en realidad se debería haber aplicado una debida diligencia reforzada o incluso rechazado la operación.
      • Impacto en BC: La suplantación de identidad dificulta enormemente la identificación real del BC, ya que la cadena de propiedad o control podría estar basada en documentos falsos o identidades robadas.
      • Razón del Problema: Generalmente, la detección de suplantación de identidad recae en la eficacia de los procesos de conocimiento del cliente (KYC), la verificación de identidad (cotejo de documentos, biometría) y la capacitación del personal para identificar anomalías.

     

    1. Prestanombres (Testaferros):

     

    • Impacto en la EBR: Cuando se utiliza un prestanombres, la persona que figura como cliente o propietario es legalmente real, pero no es el verdadero beneficiario ni la persona que ejerce el control final. La EBR se aplicará sobre el perfil de riesgo del prestanombres, que podría ser bajo o moderado, ocultando el alto riesgo del verdadero orquestador de la operación.
    • Impacto en BC: Este es el desafío directo a la política de Beneficiario Controlador. Aunque se documente al "BC" legal (el prestanombres), no se está identificando al BC real que toma las decisiones y se beneficia de la operación. El problema no es la falta de un procedimiento para identificar al BC, sino la dificultad de penetrar la fachada creada por el prestanombres.
    • Razón del Problema: Para detectar prestanombres se requiere:
      • Análisis de comportamiento y patrones inusuales: ¿La actividad económica del cliente no concuerda con la operación que realiza? ¿Parece estar actuando bajo la dirección de alguien más?
      • Debida diligencia ampliada: Investigar la fuente de los fondos, el propósito de la relación de negocios, y la lógica económica detrás de la operación.
      • Análisis de redes y relaciones: Identificar vínculos inusuales entre clientes, empleados, familiares, o apoderados.
      • Capacitación específica: Entrenar al personal para reconocer señales de alerta que sugieran el uso de prestanombres.
      • Uso de información pública y privada: Consulta de bases de datos, noticias, o información sobre investigaciones previas.

     

    Conclusión:

    La EBR y las políticas de BC son marcos esenciales, pero su efectividad depende directamente de la calidad de los datos de entrada y de la capacidad de la entidad para verificar la autenticidad de la identidad y la veracidad del control.

    Un sistema de PLD verdaderamente eficaz debe integrar:

    • Robustas políticas de EBR.
    • Procedimientos claros para la identificación del BC.
    • Mecanismos efectivos de KYC y verificación de identidad.
    • Monitoreo transaccional inteligente que detecte patrones atípicos más allá de los umbrales.
    • Capacitación continua y avanzada del personal para detectar señales de alerta (red flags) relacionadas con suplantación y prestanombres.
    • Una cultura de cumplimiento donde el personal entienda la importancia de ir más allá de la "casilla de verificación" y realmente comprenda el riesgo.

     

     

    La debida diligencia no es solo un proceso de recopilación de documentos, sino una actividad de investigación y análisis continuo. Es la diferencia entre cumplir formalmente y cumplir efectivamente.