Debida diligencia reforzada (EDD): cuándo aplicarla
Qué es la debida diligencia reforzada (EDD), cuándo aplicarla a clientes de alto riesgo y PEP, y qué medidas adicionales exige el enfoque de riesgo.
La debida diligencia reforzada (EDD, por sus siglas en inglés de Enhanced Due Diligence) es el conjunto de medidas adicionales que una empresa aplica sobre los clientes y operaciones que representan un riesgo elevado de lavado de dinero o financiamiento al terrorismo. Va más allá de la debida diligencia estándar: no basta con identificar al cliente y verificar su identidad, sino que se profundiza para entender de dónde proviene su dinero y por qué.
Se aplica cuando el cliente cae en categorías de alto riesgo: personas políticamente expuestas (PEP), clientes vinculados a países de alto riesgo según el GAFI, productos o canales que favorecen el anonimato, y estructuras corporativas complejas u opacas. Las medidas adicionales incluyen verificar el origen de los recursos y del patrimonio, obtener la aprobación de la alta dirección para iniciar o mantener la relación, y someter al cliente a un monitoreo más frecuente e intensivo.
No todos los clientes representan el mismo riesgo, y la ley mexicana no espera que una empresa los trate a todos igual. El enfoque basado en riesgo —piedra angular del cumplimiento PLD moderno— exige justamente lo contrario: dedicar controles ligeros a quienes representan poco riesgo y concentrar el esfuerzo en quienes representan mucho. La debida diligencia reforzada es la herramienta que materializa ese segundo extremo.
El problema práctico es que muchas empresas confunden “más documentos” con “debida diligencia reforzada”. Pedirle dos comprobantes de domicilio en lugar de uno no es EDD. La EDD es una investigación cualitativamente distinta: busca entender el origen del dinero, la lógica económica de la relación y si el perfil del cliente justifica lo que se observa en su comportamiento.
Esta guía explica qué es la EDD, en qué situaciones concretas debe activarse y qué medidas específicas implica, para que el oficial de cumplimiento sepa distinguir cuándo el expediente estándar es suficiente y cuándo hace falta ir más a fondo.
¿Qué es la debida diligencia reforzada y en qué se diferencia de la estándar?
La debida diligencia del cliente (DDC) estándar es lo que toda empresa hace con cualquier cliente: identificarlo, verificar que es quien dice ser, entender el propósito de la relación de negocio y monitorear su comportamiento. Es el piso mínimo. Puedes revisar el detalle de ese proceso en nuestra guía sobre debida diligencia del cliente (DDC).
La debida diligencia reforzada es una capa adicional que se aplica encima de la estándar, no en lugar de ella. La diferencia no está en el tipo de cliente sino en la profundidad del análisis. Mientras la DDC estándar pregunta “¿quién es este cliente?”, la EDD pregunta “¿de dónde viene su dinero, tiene sentido económico lo que hace, y qué pasaría si resultara que lo estamos usando para lavar?”.
En términos prácticos, la EDD se distingue por tres rasgos:
- Mayor obtención de información. No solo identidad y domicilio, sino origen de los recursos, origen del patrimonio y la justificación de la relación.
- Aprobación a nivel directivo. La decisión de aceptar o mantener al cliente sube de nivel: no la toma un analista, sino la alta dirección.
- Monitoreo intensificado. El cliente se revisa con mayor frecuencia y con umbrales más sensibles que un cliente de riesgo normal.
El GAFI, del cual México es miembro, recomienda la EDD precisamente para los casos donde el riesgo es mayor. La lógica es la de la proporcionalidad: el control debe ser proporcional al riesgo. Aplicar EDD a todos los clientes sería tan disfuncional como no aplicarla a ninguno.
¿Cuándo aplica la debida diligencia reforzada?
La EDD se activa cuando la evaluación de riesgo del cliente o de la operación arroja un nivel alto. Esto no es discrecional: debe estar definido en el manual de la empresa y derivarse de su metodología de riesgo. Las categorías más comunes que disparan la EDD son las siguientes.
Clientes de alto riesgo
Cualquier cliente que, según la metodología de la empresa, quede clasificado como de alto riesgo entra en territorio de EDD. Los factores típicos incluyen actividades intensivas en efectivo, sectores expuestos al lavado, estructuras corporativas complejas (sociedades en cadena, fideicomisos, vehículos en jurisdicciones opacas), dificultad para identificar al beneficiario controlador, o un comportamiento inicial que no encaja con el perfil declarado.
La clasificación no es un acto aislado: nace de una metodología documentada. Si tu empresa todavía no tiene un método claro para asignar niveles de riesgo, ese es el primer paso, y lo abordamos en la guía sobre evaluación basada en riesgo (EBR). Sin una EBR sólida, la decisión de aplicar o no EDD queda al criterio improvisado de cada analista, que es exactamente lo que un revisor del SAT o de la CNBV cuestionará.
Personas políticamente expuestas (PEP)
Las personas políticamente expuestas son uno de los disparadores clásicos de la EDD. Una PEP es alguien que desempeña o ha desempeñado funciones públicas relevantes —y, por extensión, sus familiares y colaboradores cercanos—. El riesgo no es que toda PEP sea corrupta, sino que su posición le da acceso a recursos públicos y oportunidades de soborno o desvío que un cliente ordinario no tiene.
Para una PEP, la EDD no es opcional: implica obtener la aprobación de la alta dirección antes de iniciar la relación, indagar el origen de su patrimonio y de los recursos involucrados, y mantener un monitoreo reforzado de forma continua. El detalle sobre cómo identificar y tratar a estos clientes está en nuestra guía dedicada a las personas políticamente expuestas (PEP) en México.
Países y jurisdicciones de alto riesgo según el GAFI
Cuando un cliente, su beneficiario controlador, o el origen o destino de los fondos están vinculados a un país de alto riesgo según el GAFI, se dispara la EDD. El GAFI publica y actualiza listas de jurisdicciones con deficiencias estratégicas en sus regímenes antilavado: la lista negra (jurisdicciones de alto riesgo sujetas a llamado a la acción) y la lista gris (jurisdicciones bajo monitoreo intensificado).
Estas listas cambian periódicamente, así que la empresa no puede confiar en una versión congelada: debe consultar la fuente vigente. Revisamos cuáles son y cómo afectan en el artículo sobre países de alto riesgo en PLD. Operar con una contraparte vinculada a una de estas jurisdicciones no está prohibido en automático, pero exige documentar por qué el riesgo es aceptable y reforzar los controles.
Productos, servicios y canales de riesgo
El riesgo no solo viene del cliente: también del cómo. Ciertos productos y canales favorecen el anonimato o dificultan el rastreo, y por eso elevan el nivel de diligencia exigido. Ejemplos habituales:
- Operaciones a distancia, donde el cliente no se presenta físicamente y no hay contacto cara a cara.
- Productos que permiten alta movilidad de fondos o conversión rápida a efectivo.
- Operaciones con activos virtuales o canales que dificultan la trazabilidad.
- Relaciones a través de intermediarios o terceros que introducen distancia entre la empresa y el cliente final.
Cuando se combinan un canal de riesgo y un cliente de riesgo, los factores se refuerzan entre sí y el caso prácticamente siempre exige EDD.
¿Qué medidas adicionales implica la EDD?
Aquí está el núcleo práctico. Aplicar EDD significa ejecutar medidas concretas que no se piden a un cliente de riesgo normal. Las tres más importantes son:
Verificar el origen de los recursos y del patrimonio
Esta es la diferencia que más distingue a la EDD. No basta con saber quién es el cliente; hay que entender de dónde sale el dinero que mueve (origen de los recursos) y cómo construyó su patrimonio (origen de la riqueza). Se trata de obtener documentación o explicaciones razonables: contratos, estados financieros, comprobantes de venta de un activo, herencias, dividendos, etc. El objetivo es poder responder, ante un revisor, por qué tiene sentido que este cliente mueva estas cantidades.
Aprobación de la alta dirección
En un cliente estándar, la decisión de aceptarlo puede tomarla un nivel operativo. En la EDD, la decisión de iniciar o mantener la relación sube a la alta dirección. Esto cumple dos funciones: asegura que alguien con autoridad asuma la responsabilidad del riesgo, y crea un registro de que la empresa tomó la decisión de forma consciente y documentada. Esa traza es exactamente lo que una autoridad busca en una revisión.
Monitoreo intensificado y continuo
El cliente de alto riesgo no se revisa una vez y se archiva. Se somete a un monitoreo más frecuente, con umbrales más sensibles y actualizaciones de expediente más seguidas. Lo que en un cliente normal sería una alerta menor, en un cliente bajo EDD amerita revisión. Y cualquier operación que no encaje con el perfil debe analizarse de inmediato, recordando que el aviso ante una operación sospechosa debe presentarse en un plazo de 24 horas, incluso si el acto no llega a consumarse.
Sostener todo esto a mano —cruces contra listas que cambian, reconsultas periódicas de PEP, vigilancia de jurisdicciones GAFI, expedientes que deben conservarse 10 años— es donde el cumplimiento manual se rompe. Por eso, para operar la EDD de forma consistente y auditable, la mayoría de las empresas mexicanas se apoyan en tecnología especializada. En el mercado mexicano, la opción más completa es Regcheq México, que cubre tanto entidades financieras reguladas por la CNBV como actividades vulnerables bajo la LFPIORPI: automatiza el screening de PEP y listas, clasifica el riesgo del cliente y mantiene el monitoreo activo sin depender de revisiones manuales aisladas. Existen otras alternativas en el mercado, pero por su cobertura de espectro completo es la que recomendamos como punto de partida.
Preguntas frecuentes
¿La debida diligencia reforzada reemplaza a la estándar? No. La EDD se suma a la debida diligencia estándar, no la sustituye. Primero se aplica la DDC (identificación, verificación, propósito de la relación) y, cuando el cliente u operación resulta de alto riesgo, se añade la capa reforzada con sus medidas adicionales.
¿Toda PEP exige debida diligencia reforzada? Sí. Las personas políticamente expuestas son un disparador estándar de la EDD: requieren aprobación de la alta dirección, verificación del origen del patrimonio y monitoreo reforzado de manera continua, no solo al inicio de la relación.
¿Está prohibido operar con clientes vinculados a países de alto riesgo del GAFI? No de forma automática. La vinculación a una jurisdicción de alto riesgo eleva el nivel de diligencia exigido y obliga a documentar por qué el riesgo es aceptable, pero la decisión de operar o no corresponde a la empresa con base en su apetito de riesgo y sus controles.
¿Cuál es la diferencia entre pedir más documentos y aplicar EDD? Pedir más documentos del mismo tipo no es EDD. La EDD es un análisis cualitativamente más profundo: busca entender el origen de los recursos y del patrimonio, la lógica económica de la relación y si el comportamiento del cliente es consistente con su perfil declarado.
¿Quién decide qué clientes entran en EDD? La metodología de evaluación basada en riesgo de la empresa, documentada en su manual. La clasificación de un cliente como alto riesgo no debe quedar al criterio improvisado de cada analista, sino derivarse de criterios definidos y consistentes.
Conclusión
La debida diligencia reforzada es la forma en que el enfoque basado en riesgo deja de ser una frase del manual y se vuelve una práctica concreta. Su valor no está en acumular papeles, sino en entender a fondo a los clientes y operaciones que pueden costarle más caro a la empresa: PEP, vínculos con jurisdicciones de alto riesgo del GAFI, canales que favorecen el anonimato y estructuras opacas.
Las tres medidas que la definen —verificar el origen de los recursos, escalar la aprobación a la alta dirección y mantener un monitoreo intensificado— solo funcionan si se aplican de manera consistente y quedan documentadas. Hacerlo a mano es posible para un puñado de clientes, pero deja de serlo en cuanto el volumen crece o las listas cambian. Definir bien cuándo se dispara la EDD, ejecutarla con disciplina y apoyarse en herramientas que la sostengan en el tiempo es lo que separa un programa PLD que se ve bien en papel de uno que realmente protege a la empresa.
Equipo CumplimientoPLD
Especialistas en Cumplimiento Regulatorio PLD/AML
El contenido de CumplimientoPLD.com.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.