obOpen Banking Lab
GlosarioSTETBlogContacto
Seguridad

Screening sanctions

Cribado de sanciones (sanctions screening)

Verificación sistemática y continua de que un cliente, una contraparte o una transacción no figura en las listas de sanciones internacionales (OFAC, UE, ONU, NCA nacionales). Pilar operativo de la PBC-FT.

Ver también:AML / LCB-FTKYC / KYBPEPTransaction monitoringTRACFIN

Definición

El cribado de sanciones verifica de forma continua que un cliente, un titular real, una contraparte o una transacción no figura en las listas de sanciones internacionales.

Estas listas proceden de la OFAC (EE. UU.), la UE, la ONU, el HM Treasury (Reino Unido), la Direction générale du Trésor (FR) y otras autoridades. Es un pilar operativo de la PBC-FT: todo sujeto obligado debe cribar en el onboarding y monitorizar de forma continua, porque las listas cambian sin cesar.

Las principales listas

  • OFAC SDN (US Treasury) — la lista de referencia mundial, a respetar en cuanto hay vínculos en USD.
  • OFAC SSI — restricciones sectoriales (Rusia, Venezuela).
  • EU Consolidated List — sanciones de la UE, actualizadas con frecuencia.
  • UN Consolidated List — decisiones del Consejo de Seguridad.
  • HMT (Reino Unido) y listas nacionales (DGT, BaFin, FINMA).

En total, varios cientos de miles de personas y entidades.

Cómo funciona

  1. Recopilación de las listas consolidadas (vía World-Check, Dow Jones, ComplyAdvantage, OpenSanctions).
  2. Cotejo de los nombres, fechas de nacimiento, países e identificadores del cliente frente a las entradas.
  3. Fuzzy matching tolerante a las variaciones (transliteración, erratas, apodos): Levenshtein, Soundex, Jaro-Winkler, ML.
  4. Alertas sobre las coincidencias probables.
  5. Revisión humana por un analista de compliance.
  6. Acción si se confirma: congelación de fondos, rechazo, comunicación a TRACFIN, alerta a la DGT.

El reto: los falsos positivos

El fuzzy matching genera muchos falsos positivos (un "Mohammed Ali" coincide con decenas de entradas de la OFAC), de ahí un volumen enorme de alertas, un coste operativo elevado, el riesgo de que los verdaderos positivos queden enterrados y bloqueos de cuentas por error. Los actores modernos (Sardine, ComplyAdvantage, Hawk) invierten en modelos de ML para reducir esos falsos positivos.

Cribado continuo

Una verificación solo en la apertura es insuficiente, porque las listas evolucionan (sobre todo desde 2022 con Rusia). El cribado debe ser periódico (recribado de toda la base en cada actualización), en tiempo real sobre las transacciones (antes de ejecutar una transferencia) y automático (integrado en el backend, al margen de las alertas).

Sanciones sectoriales o geográficas

Más allá de las listas individuales, algunas sanciones se dirigen a un sector o un país: Rusia desde 2022 (bancos, petróleo, bienes), Irán, Corea del Norte, Cuba, Venezuela (embargos parciales) e incluso la cripto (direcciones de Tornado Cash sancionadas por la OFAC en 2022). Un cribado completo cubre individuos, entidades y el país del IBAN/SWIFT del beneficiario.

Lo que el cribado de sanciones no es

  • No es el cribado de PEP: un PEP no está sancionado pero sí sujeto a diligencia reforzada (herramientas comunes, consecuencias distintas).
  • No es un scoring de crédito: no hay evaluación de solvencia.
  • No es opcional: vulnerar las sanciones puede costar miles de millones (BNP, 2014: 8.900 M$ por Irán, Cuba y Sudán).
  • No es estático: una nueva lista aparece casi cada día; el sistema debe estar actualizado en cuasi tiempo real.

En el ecosistema PSD2

El cribado se aplica a todos los PSP (PSD2 + AMLD). Para los PISP, hay que verificar el IBAN del beneficiario y la identidad sin romper la rapidez de la transferencia instantánea. Los AISP criban a sus propios clientes en el onboarding y de forma continua, sin tocar las cuentas vinculadas.

Ejemplos concretos

  • Líderes: Refinitiv World-Check (LSEG), Dow Jones Risk & Compliance, ComplyAdvantage, LexisNexis Bridger, Sayari, OpenSanctions.
  • BNP 2014: multa histórica de 8.900 M$ por parte de las autoridades de EE. UU. por violaciones de sanciones mediante operaciones en USD — un caso de manual.
  • Rusia 2022+: más de 20 paquetes de sanciones de la UE, obligando a los bancos a recribar toda su base en unos días.
  • Tornado Cash 2022: la OFAC sanciona el mixer cripto; cualquier interacción con sus direcciones se vuelve ilegal para los actores de EE. UU.
  • Coste: de 2 a 10 M€/año para un banco mediano, de 10 a 50 k€/año más 0,5 a 2 ETC para una fintech.
  • Volumen de alertas: de 5 a 20 alertas por cada 1.000 clientes cribados, de las cuales menos del 1% se confirman; el ML puede dividir ese volumen por 5 a 10.
  • Evolución: sanciones cada vez más dinámicas, de ahí una presión hacia el tiempo real, el cribado de wallets cripto y la detección de elusiones (holdings, testaferros).

Fuentes

Volver al glosario