Articulo 9 Reglamento de prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo

1. Las entidades obligadas aplicarán políticas, procedimientos y controles internos para garantizar el cumplimiento del presente Reglamento, del Reglamento (UE) 2023/1113 y de cualquier acto administrativo dictado por cualquier supervisor y en particular para:

a) reducir y gestionar de forma eficaz los riesgos de blanqueo de capitales y financiación del terrorismo detectados a escala de la Unión, del Estado miembro y de la entidad obligada;

b) además de la obligación de aplicar sanciones financieras específicas, reducir y gestionar los riesgos de no aplicación y elusión de sanciones financieras específicas.

Las políticas, procedimientos y controles a que se refiere el párrafo primero guardarán proporción con la naturaleza de la actividad comercial, teniendo en cuenta sus riesgos y su complejidad, y con el tamaño de la entidad obligada, y abarcará todas las actividades de la entidad obligada que entren en el ámbito de aplicación del presente Reglamento.

2. Las políticas, los procedimientos y los controles a que se refiere el apartado 1 deberán incluir:

a) políticas y procedimientos internos, en particular:

i) la ejecución de la evaluación de riesgos de toda la actividad de negocio y su actualización,

ii) el marco de gestión de riesgos de la entidad obligada,

iii) la diligencia debida con respecto al cliente para aplicar el capítulo III del presente Reglamento, incluidos los procedimientos para determinar si el cliente, el titular real o la persona en cuyo nombre o en beneficio de la cual se lleva a cabo una operación o actividad es una persona del medio político o un familiar o una persona reconocida como allegado,

iv) la notificación de operaciones sospechosas,

v) la externalización y el recurso a la diligencia debida con respecto al cliente realizada por otras entidades obligadas,

vi) la conservación de registros y políticas en relación con el tratamiento de datos personales con arreglo al artículo 76 y 77,

vii) el seguimiento y la gestión del cumplimiento de dichas políticas internas y procedimientos de conformidad con la letra b), del presente apartado, la detección y gestión de las deficiencias y la aplicación de medidas correctoras,

viii) la verificación, de forma proporcionada a los riesgos asociados a las tareas y funciones que deban desempeñarse, al contratar y asignar personal para determinadas tareas y funciones y al nombrar a agentes y distribuidores, de que dichas personas gozan de honorabilidad,

ix) la comunicación interna de las políticas, procedimientos y controles internos de la entidad obligada, también a sus agentes, distribuidores y proveedores de servicios que participen en la aplicación de sus políticas de LBC/LFT,

x) una política sobre la formación de los empleados y, en su caso, de agentes y distribuidores en relación con las medidas vigentes en la entidad obligada para cumplir los requisitos del presente Reglamento, del Reglamento (UE) 2023/1113, y de cualquier acto administrativo dictado por cualquier supervisor;

b) controles internos y una función de auditoría independiente para probar las políticas y procedimientos internos a que se refiere la letra a) del presente apartado y los controles existentes en la entidad obligada; en ausencia de una función de auditoría independiente, las entidades obligadas podrán encargar esta prueba a un experto externo.

Las políticas, los procedimientos y los controles internos establecidos en el párrafo primero se registrarán por escrito. Las políticas internas serán aprobadas por el órgano de dirección en su función de gestión. Los procedimientos internos y los controles serán aprobados como mínimo a nivel del director de cumplimiento normativo.

3. Las entidades obligadas mantendrán las políticas internas, los procedimientos y los controles actualizados, y los reforzarán en caso de que se detecten deficiencias.

4. A más tardar el 10 de julio de 2026, la ALBC emitirá directrices sobre los elementos que las entidades obligadas deben tener en cuenta -a partir de la naturaleza de sus actividades, en particular sus riesgos y su complejidad, y su tamaño- a la hora de decidir sobre el alcance de sus políticas, procedimientos y controles internos, especialmente en lo que se refiere al personal asignado a funciones de cumplimiento. Dichas directrices también indicarán situaciones en las que, debido a la naturaleza y el tamaño de la entidad obligada:

i) los controles internos tengan que organizarse a escala de la función comercial, de la función de cumplimiento y de la función de auditoría;

ii) un experto externo pueda desempeñar la función de auditoría independiente.