¿Cómo detectar actividad financiera sospechosa? Señales de alerta clave (ES-1)

Nueve depósitos justo por debajo del umbral de notificación. Días diferentes, cuentas diferentes. Todo parece normal en el libro mayor, excepto el patrón. Eso es estructuración. Ese es un informe de actividad sospechosa (SAR) que ya debería haberse presentado.

Reconocer la actividad financiera sospechosa implica construir una lectura sistemática de los patrones de transacción, el comportamiento del cliente y las señales geográficas, y saber cuándo se activa la obligación de informar. Esta publicación analiza las principales señales de alerta en cada dimensión, explica la obligación de presentar SAR y cubre cómo los módulos de monitoreo de transacciones, detección AML y análisis de dispositivos e IP de Didit admiten la detección en tiempo real.

Conclusiones clave

• La estructuración, que consiste en dividir las transferencias en cantidades más pequeñas para evitar los umbrales de notificación, es en sí misma un delito en la mayoría de las jurisdicciones, independientemente del delito que generó los fondos.
• El movimiento rápido de fondos y los picos de velocidad son las señales más claras de estratificación en una cadena de lavado de dinero.
• Las señales de comportamiento del cliente y geográficas se suman a las banderas de transacción: una IP no coincidente, un cliente reacio, una cuenta abierta recientemente con actividad de alto valor inmediata; cada una por sí sola es débil; juntas construyen un caso.
• Los Informes de Actividad Sospechosa (SAR) son una obligación legal en la mayoría de las jurisdicciones reguladas. El umbral es la sospecha, no la prueba.

Señales de alerta en patrones de transacción

Estructuración y pitufeo

La estructuración es dividir las transacciones en cantidades más pequeñas para evitar los umbrales de notificación de divisas (el umbral de la Ley de Secreto Bancario en EE. UU. es de $10,000; umbrales similares se aplican en la UE, el Reino Unido y otros lugares). El pitufeo es el mismo patrón distribuido entre varias personas o cuentas.

Los indicadores:

• Múltiples depósitos justo por debajo del umbral de notificación — $9,900, $9,700, $9,500 — en un corto período de tiempo
• Muchos depósitos pequeños que se agregan a una gran suma
• Un cliente que pregunta sobre los umbrales de notificación o solicita que las transacciones se dividan
• Patrones que se repiten durante semanas o meses sin una razón clara

La estructuración es en sí misma un delito en la mayoría de las jurisdicciones, independientemente del delito que generó los fondos.

Movimiento rápido de fondos

El lavado de dinero sigue el proceso de colocación → estratificación → integración. La estratificación significa mover fondos rápidamente para ocultar la pista de auditoría:

• Fondos que entran y salen en cuestión de horas: la cuenta es un conducto
• Transferencias bancarias en una moneda, convertidas y enviadas en otra poco después
• Transferencias rápidas a terceros no relacionados sin un propósito comercial claro
• Patrones de ida y vuelta donde los fondos regresan a la cuenta o entidad de origen

Picos de velocidad

Tres transacciones al mes, luego treinta en una semana, incluso si cada una es pequeña. Las agregaciones de velocidad miden el recuento y el volumen por cliente, contraparte y ventana de tiempo. Los picos no explicados por un evento comercial conocido justifican una revisión.

Señales de alerta en el comportamiento del cliente

Retrasos en la provisión de información

Las señales de alerta aparecen cuando un cliente:

• Proporciona respuestas vagas o inconsistentes sobre el origen de los fondos o el propósito comercial
• Abandona las sesiones cuando se le piden documentos adicionales
• Envía documentos de una jurisdicción que no coincide con su dirección o nacionalidad declarada
• Se vuelve evasivo cuando las preguntas se refieren a la propiedad beneficiaria o a las contrapartes

Perfiles no coincidentes

Patrones comunes:

• Ingresos declarados inconsistentes con el volumen o valor de la transacción
• Una cuenta comercial que procesa transacciones con patrón de consumidor
• Una cuenta nueva que inmediatamente comienza una actividad de alta frecuencia o alto valor sin un período de adaptación
• Estructuras de propiedad excesivamente complejas en relación con el propósito comercial aparente

Personas expuestas políticamente y medios adversos

Las personas expuestas políticamente (PEP, por sus siglas en inglés) —funcionarios gubernamentales, asociados cercanos y familiares— conllevan un riesgo elevado de corrupción en virtud de su acceso a fondos públicos. Su presencia no hace que una transacción sea sospechosa, pero activa una debida diligencia mejorada. Los golpes de medios adversos —sanciones, procedimientos penales, acciones de ejecución— son una señal más fuerte.

Señales de alerta geográficas

Jurisdicciones de alto riesgo

El Grupo de Acción Financiera Internacional (GAFI) mantiene listas de jurisdicciones con deficiencias estratégicas en sus regímenes de lucha contra el lavado de dinero (AML) y la financiación del terrorismo. Las transacciones hacia o desde esas jurisdicciones, los beneficiarios finales registrados allí o las relaciones bancarias corresponsales con entidades en esas jurisdicciones conllevan un riesgo de referencia elevado.

IP no coincidente con el país del documento

Un cliente presenta una identificación de Alemania y completa la sesión desde un nodo de salida VPN en una jurisdicción de alto riesgo. Cualquier desajuste único puede tener una explicación inocente; el país del documento, la dirección declarada y el país de la IP que apuntan a diferentes lugares es un patrón.

Esta señal requiere correlacionar los datos de la capa de identidad (qué documento se presentó) con los datos de la capa de sesión (donde se originó la conexión, si está enmascarada). El análisis de dispositivos e IP de Didit marca automáticamente COUNTRY_FROM_DOCUMENT_DOES_NOT_MATCH_COUNTRY_FROM_IP cuando esas dos señales divergen.

La obligación de presentar Informes de Actividad Sospechosa

Un Informe de Actividad Sospechosa (SAR) es un informe confidencial presentado ante una unidad de inteligencia financiera —FinCEN en EE. UU., la Agencia Nacional contra el Crimen en el Reino Unido, SEPBLAC en España. La mayoría de las instituciones reguladas tienen la obligación legal de presentar un informe cuando tienen motivos razonables para sospechar que una transacción implica ganancias del crimen.

Cuatro cosas que todo equipo de cumplimiento debe saber:

• El umbral es la sospecha, no la prueba.
• La "alerta" —informar al cliente de que se ha presentado un SAR— es en sí misma un delito penal en la mayoría de las jurisdicciones.
• La falta de presentación cuando existe una base razonable expone a la institución y a los oficiales de cumplimiento individuales a acciones de ejecución.
• Los SAR son confidenciales. Van a la unidad de inteligencia financiera y no activan automáticamente una investigación policial.

La narrativa del SAR debe resistir el escrutinio, lo que significa que el expediente del caso debe ser estructurado, completo y auditable.

Cómo ayuda Didit

Monitoreo de transacciones — $0.02 por transacción

El motor de reglas en tiempo real de Didit incluye 11 paquetes de reglas predefinidas —detección de estructuración, agregaciones de velocidad, alertas de movimiento rápido— tanto para fiat como para criptomonedas. Las reglas son configurables: ajuste umbrales, combine condiciones, añada reglas personalizadas.

Cuando una regla se activa, la transacción entra en la gestión de casos con el historial completo del cliente y todas las coincidencias de reglas. El flujo de trabajo de SAR está integrado: los analistas de cumplimiento redactan y presentan sin cambiar de herramienta. El ciclo AWAITING_USER maneja automáticamente los casos de solicitud de información: cuando un cliente necesita proporcionar documentación sobre el origen de los fondos, el ciclo pausa la transacción y dirige la solicitud sin una clasificación manual.

Detección AML — $0.20 por detección

Didit verifica a individuos y entidades contra más de 1,300 listas globales: OFAC, consolidada de la UE, ONU, listas de vigilancia nacionales, registros PEP y medios adversos. La detección se ejecuta en la incorporación; el monitoreo AML continuo ($0.07 por usuario por año) vuelve a escanear su base de usuarios continuamente a medida que se actualizan las listas, detectando al individuo sancionado o PEP que no fue marcado en el registro.

Análisis de dispositivos e IP — $0.03 por verificación

Las señales de alerta geográficas son más sólidas cuando se correlacionan las señales de identidad y las señales de sesión. El Análisis de Dispositivos e IP se ejecuta automáticamente en cada sesión de verificación, devolviendo la geolocalización IP, el estado de VPN/proxy/Tor y la huella digital del dispositivo junto con el país del documento de la identificación presentada. Cuando esas señales divergen, se activa la advertencia COUNTRY_FROM_DOCUMENT_DOES_NOT_MATCH_COUNTRY_FROM_IP, configurable para aprobar, revisar o rechazar.

Preguntas frecuentes

¿Cuál es la diferencia entre una señal de estructuración y una obligación de SAR?

La estructuración es en sí misma un delito en la mayoría de las jurisdicciones. La obligación de SAR es más amplia: debe presentar un informe cuando tenga motivos razonables para sospechar que cualquier transacción implica ganancias del crimen; la estructuración es un patrón que crea esa sospecha, no el único. Una alerta de monitoreo es evidencia que respalda un SAR; no reemplaza el juicio de cumplimiento sobre si presentar o no.

¿Con cuántos paquetes de reglas viene el monitoreo de transacciones de Didit?

11 paquetes de reglas predefinidas que cubren las categorías más comunes de AML y patrones de fraude, todos configurables: ajuste umbrales y agregue reglas personalizadas sin construir desde cero.

¿La detección AML de Didit cubre PEP y medios adversos, o solo listas de sanciones?

Los tres. Las más de 1,300 listas incluyen OFAC, la consolidada de la UE, el Consejo de Seguridad de la ONU, listas de vigilancia nacionales, registros PEP y fuentes de medios adversos. El monitoreo AML continuo vuelve a escanear su base de usuarios a medida que se actualizan las listas.

¿Qué es el ciclo de auto-remediación AWAITING_USER?

Cuando una regla se activa en un caso que puede ser resuelto por el cliente proporcionando información adicional —prueba de origen de fondos, por ejemplo— el ciclo pausa la transacción y dirige la solicitud directamente al cliente, sin que un analista de cumplimiento tenga que intervenir en cada caso de baja complejidad.

¿Puede Didit presentar SAR en mi nombre?

No. La obligación de presentar SAR recae en la institución regulada. Didit proporciona la gestión de casos y las herramientas de flujo de trabajo de SAR —el expediente estructurado, la evidencia de la transacción, la pista de auditoría— que su equipo de cumplimiento utiliza para preparar y presentar ante la unidad de inteligencia financiera pertinente.

¿Listo para comenzar?

La detección de actividad sospechosa es un problema de múltiples capas. Las reglas de transacción por sí solas omiten el contexto de comportamiento; las verificaciones de identidad por sí solas omiten lo que sucede después de la incorporación. Didit conecta esas capas en una API componible.

• Aprenda el módulo → Documentación de Monitoreo de Transacciones
• Vea la plataforma → didit.me/products/transaction-monitoring
• Consulte el precio → didit.me/pricing
• Comience gratis → business.didit.me — 500 verificaciones KYC gratuitas/mes