El conocimiento del cliente (KYC) y la debida diligencia del cliente (DDC) son los mecanismos centrales del SARLAFT para evitar que las entidades sean usadas como instrumento de LA/FT. Las instrucciones se encuentran en la Circular Básica Jurídica (C.E. 029 de 2014), Parte I, Título IV, Capítulo IV, en su redacción dada por la Circular Externa 027 de 2020 (SARLAFT 4.0), y se apoyan en los mecanismos y reglas de conducta del art. 102 del EOSF (Decreto 663 de 1993). El SARLAFT debe abarcar todas las actividades de la entidad y protegerla frente al uso indebido por parte de accionistas, beneficiarios finales, administradores, empleados, proveedores y vinculados.
Un eje del KYC es la identificación del beneficiario final, definido por la C.E. 027 de 2020 como toda persona natural que, sin ser necesariamente cliente, reúne cualquiera de estas características: (1) es propietaria, directa o indirectamente, de una participación superior al 5% del capital de la persona jurídica cliente; (2) ejerce el control de la persona jurídica en los términos del art. 261 del Código de Comercio; o (3) es aquella por cuenta de quien se realiza una transacción. SARLAFT 4.0 intensificó este deber, en línea con las Recomendaciones 24 y 25 del GAFI (transparencia y propiedad efectiva) y la Recomendación 10 (identificar y verificar al beneficiario final).
La debida diligencia ordinaria o normal es el procedimiento estándar de vinculación: la entidad debe recolectar la información, verificar la identidad y obtener la aprobación correspondiente antes de iniciar la relación. La información mínima incluye identificación, beneficiario final (umbral del 5%), condición de PEP, actividad económica, perfil de operaciones y, cuando proceda, origen de los fondos. SARLAFT 4.0 promueve el uso intensivo de las TIC, de modo que la vinculación y verificación pueden ser presenciales o no presenciales mediante canales digitales (onboarding digital). La C.E. 027 de 2020 fijó además un período de transición de doce (12) meses para adecuar los sistemas.
La debida diligencia simplificada aplica a productos y operaciones de bajo riesgo y bajos montos, con fines de inclusión financiera. En la vinculación simplificada la identificación se basa en validar los datos del documento de identidad, exigiéndose como mínimo tipo de documento, nombre, número y fecha de expedición. Es la respuesta del SARLAFT 4.0 a la necesidad de ampliar el acceso a productos financieros sin elevar indebidamente la fricción de la vinculación.
La debida diligencia intensificada se reserva a clientes y operaciones de mayor riesgo: PEP, beneficiarios finales de riesgo elevado y operaciones con jurisdicciones de mayor riesgo. Implica medidas reforzadas y monitoreo intensificado y continuo. SARLAFT 4.0 obliga a identificar y aplicar contramedidas frente a países de mayor riesgo (listados GAFI) y refuerza la información en transferencias y en la corresponsalía transnacional. Conforme a la Recomendación 12 del GAFI, para PEP la entidad debe contar con sistemas de gestión de riesgo, obtener aprobación de una instancia o empleado de superior jerarquía, establecer el origen de la riqueza y de los fondos y realizar monitoreo continuo intensificado.
El régimen de Personas Expuestas Políticamente (PEP) lo desarrolla el Decreto 830 de 2021, que modificó el Decreto 1081 de 2015. Son PEP quienes desempeñan o han desempeñado funciones públicas destacadas (expedición de normas, dirección general, formulación de políticas o administración de bienes del Estado). La condición de PEP se mantiene durante el ejercicio del cargo y por dos (2) años más tras la dejación. Las obligaciones se extienden a sus familiares —cónyuge o compañero permanente y parientes hasta el segundo grado de consanguinidad, segundo de afinidad y primero civil— y a sus asociados cercanos.
Finalmente, el SARLAFT exige el conocimiento del mercado y de la contraparte: la entidad debe conocer a fondo las actividades económicas de sus clientes y las operaciones que realizan en los distintos mercados, lo que permite detectar cuándo una operación se sale de los parámetros normales del segmento —base para identificar operaciones inusuales—. Este deber se extiende a las contrapartes con las que la entidad se relaciona, de forma coherente con el amplio alcance del SARLAFT 4.0.
1. Según la Circular Externa 027 de 2020 de la SFC (SARLAFT 4.0), ¿qué naturaleza debe tener siempre el beneficiario final de un cliente?
La C.E. 027 de 2020 SFC define al beneficiario final como toda persona natural que, sin ser necesariamente cliente, reúne cualquiera de las características de propiedad o control previstas. Siempre es persona natural.
2. De acuerdo con la C.E. 027 de 2020 SFC, ¿a partir de qué umbral de participación en el capital social una persona natural se considera beneficiario final por propiedad?
La C.E. 027 de 2020 SFC establece como beneficiario final a quien es propietario, individual o conjuntamente, directa o indirectamente, de una participación superior al 5% del capital social, aporte o participación en la persona jurídica cliente.
3. La C.E. 027 de 2020 SFC remite a un artículo del Código de Comercio para identificar a quien ejerce el control de la persona jurídica sin ser propietario mayoritario. ¿Cuál es ese artículo?
La C.E. 027 de 2020 SFC considera beneficiario final a quien ejerce el control de la persona jurídica en los términos del artículo 261 del Código de Comercio (situación de control), aunque no sea propietario de participación mayoritaria.
4. Según la definición de beneficiario final de la C.E. 027 de 2020 SFC, además de la propiedad y el control societario, ¿qué tercera característica permite considerar beneficiario final a una persona natural?
La tercera característica de la definición es ser la persona por cuenta de quien se lleva a cabo una transacción, conforme a la C.E. 027 de 2020 SFC.
5. ¿Las características que definen al beneficiario final en la C.E. 027 de 2020 SFC deben cumplirse de manera concurrente o basta cualquiera de ellas?
La definición señala que es beneficiario final toda persona natural que reúna cualquiera de las características enumeradas; basta con que se configure una de ellas.
6. Una entidad financiera colombiana vincula a la sociedad ABC S.A.S. El señor Pérez posee el 4% de las acciones, pero mediante un acuerdo controla las decisiones de la asamblea en los términos del art. 261 del Código de Comercio. ¿Debe identificarse al señor Pérez como beneficiario final?
Aunque no supera el umbral del 5% de propiedad, el señor Pérez es beneficiario final por ejercer el control de la persona jurídica en los términos del art. 261 del Código de Comercio, conforme a la C.E. 027 de 2020 SFC.
7. En el onboarding de la persona jurídica XY Ltda., la analista detecta que la señora Gómez posee directamente el 7% del capital social. ¿Cómo debe tratarse a la señora Gómez?
Al ser propietaria de una participación superior al 5% (7%) del capital social de la persona jurídica cliente, la señora Gómez es beneficiario final y debe identificarse como tal según la C.E. 027 de 2020 SFC.
8. Según la C.E. 027 de 2020 SFC, la participación que configura beneficiario final puede tenerse de varias formas. ¿Cuáles menciona la definición?
La definición precisa que la propiedad puede ser individual o conjunta, directa o indirecta, sobre una participación superior al 5%.
9. ¿Qué intensifica específicamente la SARLAFT 4.0 (C.E. 027 de 2020 SFC) respecto del beneficiario final?
SARLAFT 4.0 intensifica los deberes de debida diligencia en la identificación del beneficiario final, obligando a las entidades a conocer la estructura de propiedad y control del cliente persona jurídica.
10. Respecto del beneficiario final, ¿qué Recomendación del GAFI dentro de la DDC exige identificar al beneficiario final y verificar su identidad?
La Recomendación 10 del GAFI (DDC) exige, entre otros, identificar al beneficiario final y verificar su identidad, estándar recogido por la C.E. 027 de 2020 SFC.
11. Una entidad vincula a una persona jurídica cuya estructura de propiedad incluye varias capas de sociedades intermedias. Conforme a SARLAFT 4.0, ¿qué debe hacer la entidad?
SARLAFT 4.0 obliga a conocer la estructura de propiedad y control del cliente persona jurídica para identificar a la persona natural que es beneficiario final, incluso a través de capas indirectas.
12. El beneficiario final, según la C.E. 027 de 2020 SFC, ¿necesariamente debe ser el cliente de la entidad?
La definición indica expresamente que el beneficiario final es la persona natural que, sin ser necesariamente cliente, reúne las características señaladas.
13. En una entidad financiera colombiana, un cliente persona natural realiza un giro indicando que lo hace por cuenta de un tercero no vinculado. Conforme a la definición de beneficiario final, ¿qué condición tiene ese tercero?
La definición incluye como beneficiario final a la persona por cuenta de quien se lleva a cabo una transacción; ese tercero debe identificarse como beneficiario final.
14. En una entidad financiera colombiana, la analista de vinculación arma la información mínima de conocimiento de una persona jurídica conforme a la C.E. 029 de 2014 (modif. C.E. 027 de 2020). ¿Con qué umbral debe identificar al beneficiario final?
La información mínima de conocimiento incluye la identificación del beneficiario final con el umbral del 5%, según la C.E. 029 de 2014 (modif. por C.E. 027 de 2020), num. 4.2.2.
15. Una sociedad cliente declara que ninguno de sus socios supera el 5% de participación y que no existe un controlante societario. La analista observa, sin embargo, que todas las operaciones se hacen por cuenta de una persona natural identificada. ¿Hay beneficiario final?
Aunque no se cumpla el criterio de propiedad ni de control societario, la persona por cuenta de quien se realizan las transacciones es beneficiario final según la tercera característica de la definición.
16. El concepto de situación de control al que remite la definición de beneficiario final proviene de la legislación mercantil colombiana. ¿De qué cuerpo normativo?
La situación de control proviene del artículo 261 del Código de Comercio, al que remite la definición de beneficiario final de la C.E. 027 de 2020 SFC.
17. Un fideicomiso constituye un cliente de la entidad. La analista debe determinar la persona natural beneficiario final. ¿Qué Recomendación del GAFI, recogida por la normativa colombiana, cubre la transparencia de otras estructuras jurídicas distintas de las personas jurídicas?
La Recomendación 25 del GAFI cubre la transparencia y el beneficiario final de otras estructuras jurídicas (distintas de las personas jurídicas, cubiertas por la R.24).
18. Según la C.E. 027 de 2020 SFC, ¿para qué tipo de productos y operaciones están previstos los procedimientos simplificados de conocimiento del cliente?
Los procedimientos simplificados de conocimiento del cliente están previstos para productos y operaciones de bajo riesgo y bajos montos, en línea con la inclusión financiera, según la C.E. 027 de 2020 SFC.
19. En la debida diligencia simplificada de la C.E. 027 de 2020 SFC, ¿sobre qué base se realiza la identificación del cliente?
En la diligencia simplificada la identificación se basa en validar los datos del documento de identidad del cliente, conforme a la C.E. 027 de 2020 SFC.
20. Según la C.E. 027 de 2020 SFC, ¿cuáles son los requisitos mínimos de la vinculación simplificada?
La vinculación simplificada exige al menos tipo de documento de identidad, nombre, número de documento y fecha de expedición, datos que se validan al momento de la vinculación, según la C.E. 027 de 2020 SFC.
21. ¿Con qué objetivo de política pública se alinean los procedimientos simplificados de conocimiento del cliente en SARLAFT 4.0?
Los procedimientos simplificados se alinean con los objetivos de inclusión financiera, conforme a la C.E. 027 de 2020 SFC.
22. Una entidad ofrece una cuenta de bajo monto y bajo riesgo dirigida a población no bancarizada. Un cliente se vincula presentando su cédula. ¿Qué tipo de debida diligencia procede y qué se valida?
Para productos de bajo riesgo y bajo monto orientados a inclusión financiera procede la debida diligencia simplificada, cuya identificación se basa en validar los datos del documento de identidad del cliente.
23. ¿Cuál es la finalidad declarada de la vinculación simplificada en SARLAFT 4.0?
La finalidad de la vinculación simplificada es ampliar de forma integrada la oferta de productos, promoviendo la innovación y la inclusión financiera mediante el uso de nuevas tecnologías.
24. En una vinculación simplificada, ¿en qué momento se validan los datos mínimos del cliente (tipo y número de documento, nombre y fecha de expedición)?
La C.E. 027 de 2020 SFC indica que los datos mínimos de la vinculación simplificada se validan en el momento de la vinculación.
25. Un asesor pretende aplicar debida diligencia simplificada a un cliente que será PEP y operará montos elevados con una jurisdicción de mayor riesgo. ¿Es procedente?
La debida diligencia simplificada está prevista solo para productos y operaciones de bajo riesgo y bajos montos. Un perfil de PEP con montos elevados y jurisdicción de mayor riesgo corresponde a debida diligencia intensificada, no simplificada.
26. En la diligencia simplificada, la identificación del cliente NO se basa en cuál de las siguientes acciones?
Establecer el origen de la riqueza y de los fondos es propio de la debida diligencia intensificada (p. ej. PEP), no de la simplificada, que se basa en validar los datos del documento de identidad.
27. Una entidad financiera colombiana diseña un flujo de vinculación simplificada para llegar a clientes no bancarizados. ¿En qué habilitante promovido por SARLAFT 4.0 puede apoyarse para escalar ese onboarding?
La finalidad de la vinculación simplificada se promueve mediante el uso de nuevas tecnologías, en línea con el impulso de las TIC en SARLAFT 4.0.
28. Una fintech vigilada quiere lanzar un monedero de bajo monto con vinculación 100% digital para población no bancarizada, validando solo los datos de la cédula. ¿Encaja en la diligencia simplificada de SARLAFT 4.0?
El supuesto reúne bajo riesgo, bajo monto e inclusión financiera, con identificación basada en validar los datos del documento de identidad; SARLAFT 4.0 admite además la vinculación no presencial por canales digitales.
29. Un cliente se vincula a un producto de bajo monto, pero solo aporta su nombre, sin tipo ni número de documento ni fecha de expedición. ¿Puede completarse la vinculación simplificada?
La vinculación simplificada exige como mínimo tipo de documento, nombre, número de documento y fecha de expedición; faltando esos datos no puede completarse válidamente.
30. ¿Cuál de los siguientes describe correctamente la diligencia simplificada frente a la ordinaria, según SARLAFT 4.0?
La diligencia simplificada es un procedimiento aligerado previsto para productos/operaciones de bajo riesgo y bajos montos, cuya identificación se centra en validar los datos del documento de identidad del cliente.
31. Durante la operación de un producto vinculado por diligencia simplificada, el cliente comienza a mover montos muy elevados e inusuales respecto del perfil de bajo riesgo. ¿Qué implica esto para la entidad?
La diligencia simplificada solo es admisible mientras se conserve el perfil de bajo riesgo y bajo monto; si las operaciones se vuelven inusuales y exceden ese perfil, la entidad debe reaccionar conforme al SARLAFT y no mantener el tratamiento simplificado para ese nivel de riesgo.
32. El conocimiento del cliente (CDC/DDC), del cual hace parte la identificación del beneficiario final, ¿qué papel cumple dentro del SARLAFT?
El conocimiento del cliente (CDC/DDC) es uno de los mecanismos del SARLAFT regulados dentro de la administración del riesgo, conforme a la C.E. 029 de 2014 (modif. por C.E. 027 de 2020), num. 4.2.2.
33. ¿En qué instrumento de la SFC están las instrucciones del conocimiento del cliente que regula la identificación del beneficiario final, en su redacción de SARLAFT 4.0?
Las instrucciones del conocimiento del cliente están en la Circular Básica Jurídica (C.E. 029 de 2014), Parte I, Tít. IV, Cap. IV, en su redacción modificada por la C.E. 027 de 2020 (SARLAFT 4.0).
34. Según la normativa SARLAFT colombiana, ¿qué comprende la debida diligencia ordinaria o conocimiento del cliente (CDC) normal?
La debida diligencia ordinaria (CDC normal) consiste en los procedimientos estándar para establecer la relación: recolectar la información, verificar la identidad del cliente y obtener la aprobación correspondiente antes de establecer la relación contractual o legal (C.E. 029 de 2014, Cap. IV, num. 4.2.2, modif. por C.E. 027 de 2020).
35. Dentro de la información mínima de conocimiento del cliente bajo SARLAFT 4.0, ¿cuál de los siguientes elementos debe recabarse?
La información mínima incluye identificación y verificación de identidad; identificación del beneficiario final (umbral del 5%); determinación de la condición de PEP; actividad económica; características y montos de las operaciones (perfil); y, cuando proceda, origen de los fondos (C.E. 029 de 2014, Cap. IV, num. 4.2.2, modif. por C.E. 027 de 2020).