anti-money laundering

Cómo construir un AML Risk Scoring del cliente efectivo

En prevención de blanqueo, la evaluación de riesgos del cliente basada en factores normativos o experiencia acumulada ya no es suficiente. En este post, te mostramos paso a paso cómo implementar un modelo de Risk Scoring sólido y adaptado a la realidad de tu organización.

Cómo construir un AML Risk Scoring del cliente efectivo

Los estándares de PBC/FT para los sujetos obligados no financieros son cada vez más altos y similares a los exigidos en los financieros. Los delitos económicos como el blanqueo de capitales atraviesan cada vez con mayor facilidad los sistemas de defensa de despachos de abogados, asesorías, inmobiliarias y gestoras de inversión, entre otros. Una cuestión preocupante.

Las exigencias en materia de evaluación de riesgos del cliente tienden a igualarse a las aplicadas en el sector bancario. Es ahí donde el Risk Scoring pasa de ser una buena práctica, a ser un activo clave para el cumplimiento y la obstrucción de prácticas criminales. 🛑

Vamos a verlo. Empezaremos definiendo qué es el Risk Scoring del cliente y por qué es cada vez más importante para el compliance de PBC/FT. Enseguida pasaremos al “paso a paso”, al “ABC” para implementar un modelo de Risk Scoring efectivo y en línea con las exigencias del supervisor.

¿Qué es el Risk Scoring del cliente? 🤓

Cuando hablamos de Risk Scoring en el contexto de Prevención del Blanqueo de Capitales y Financiación del Terrorismo (PBC/FT), nos referimos a un sistema estructurado que nos permite asignar un nivel de riesgo a cada cliente en función de múltiples factores: quién es, qué hace, de dónde viene, cómo se relaciona con nosotros, qué productos utiliza y a través de qué canales.

Este modelo de scoring no se basa en intuiciones ni en etiquetas arbitrarias tipo “cliente habitual” o “riesgo medio por defecto”. Todo lo contrario: se trata de cuantificar el riesgo de forma objetiva, trazable y defendible. En lugar de depender de criterios subjetivos o manuales, el Risk Scoring combina datos concretos y criterios normalizados para ofrecer una visión clara y actualizada del nivel de exposición que tenemos frente a cada cliente.

¿Por qué necesitas un modelo de scoring AML ahora? 🎯

Porque el contexto ha cambiado —y rápido. Hasta hace poco, muchos sujetos obligados se limitaban a etiquetar a sus clientes como “riesgo bajo”, “medio” o “alto” de forma más o menos intuitiva, a veces apoyándose en reglas fijas o heredando modelos de evaluación de riesgo poco adaptados a su realidad. Pero esto ya no es suficiente. 😬

Con la entrada en vigor del nuevo Reglamento Europeo de AML, el enfoque basado en riesgo pasa a objetivizarse, y deja de depender del criterio subjetivo del sujeto obligado. Y esto implica que tu entidad debe ser capaz de demostrar cómo llega a evaluar el riesgo de cada cliente a través de datos objetivos y guías de referencia en materia de PBC/FT.

La nueva era del AML exige dejar a un lado los la intuición y los criterios subjetivos para adoptar:

  • Modelos que cuantifiquen el riesgo de forma trazable y justificada.
  • Que se ajusten al perfil y operativa de cada cliente.
  • Que sean dinámicos y actualizables con los cambios del cliente o del entorno.
🎥 Si quieres profundizar aún más, te recomiendo ver este webinar de Javier Garaeta, consultor internacional en AML, y una de nuestras referencias en implementaciones de modelos de Risk Scoring. La sesión no es corta, pero merece la pena cada slide y cada recomendación que Javier comparte.

En el siguiente apartado, repasamos los errores más repetidos al evaluar el riesgo del cliente en PBC, y por qué es tan fácil acabar con un sistema que no funciona.

Los errores más comunes al evaluar el riesgo del cliente 🚦

Muchos sujetos obligados ya tienen “algo” montado para clasificar el riesgo de sus clientes. Pero en la práctica, ese “algo” suele estar muy lejos de un enfoque real basado en riesgo y adaptado a la realidad de la organización. Errores frecuentes:

Modelos semáforo sin fundamento

Uno de los enfoques más extendidos —y más problemáticos— consiste en asignar un color o nivel de riesgo (bajo, medio, alto) de forma fija según ciertos criterios normativos, sin ponderaciones, sin combinaciones de factores, y sin posibilidad de matices.

El resultado: la mayoría de los clientes acaban en el “riesgo medio” por defecto, y se pierde toda la capacidad de priorizar o discriminar de forma útil. 👎

Scorings heredados de proveedores

Otro error habitual es usar el scoring que viene por defecto con el software contratado, sin haberlo adaptado al perfil de negocio, sector, tipo de clientes ni geografía.

Estos modelos genéricos pueden ser válidos como punto de partida, pero si no los personalizas, te será muy difícil justificar su lógica en una inspección… o detectar riesgos reales en tu operativa.

Modelos complejos, pero mal calibrados

También ocurre lo contrario: entidades que montan modelos sofisticados, con escalas, ponderaciones, y cientos de variables… pero que no reflejan la realidad del riesgo.

Si el 95% de tu cartera acaba en riesgo medio, y apenas tienes clientes en bajo o alto, el modelo no está discriminando bien.

Y si no se revisa y se actualiza con el tiempo, acabas con un sistema estático que pierde fiabilidad casi desde el minuto uno.

Recuerda que un scoring mal construido te puede llevar a subestimar el riesgo real (y dejarte expuesto) o a sobrecargar tus recursos si aplicas controles reforzados donde no hace falta.

Cómo diseñar un modelo de Risk Scoring paso a paso 👣

Ahora que sabemos qué errores evitar, vamos a ver cómo construir un modelo de scoring que funcione de verdad: defendible ante el supervisor y útil para el negocio. Lo desglosamos en pasos sencillos:

1. Identifica los factores clave del riesgo

Todo parte de aquí. Para evaluar el riesgo de un cliente, necesitamos tener claro qué variables influyen realmente en su perfil de riesgo. Y para eso, lo primero es mirar dónde están esos datos: normalmente, en el formulario KYC.

Lo ideal es cruzar la información que ya recoges con las fuentes normativas: Reglamento Europeo AML, guías de la EBA, directrices de GAFI, informes de tipologías, etc. 📚

Algunos factores típicos que casi todos los modelos incluyen:

  • Nacionalidad y país de residencia
  • Actividad económica
  • Tipo de cliente (persona física, jurídica, estructura compleja…)
  • Condición de PEP o close associate de PEP
  • Canales de captación (presencial, no presencial)
  • Productos o servicios contratados
  • Jurisdicciones implicadas
  • Medio de pago o forma de financiación
  • Otros indicadores: coincide con blacklist interna, participación de terceros, etc.
Consejo práctico: no empieces por definir el modelo “ideal”, sino por lo que ya puedes medir con los datos que tienes hoy. Luego ya evolucionará.

2. Agrúpalos en categorías estándar

Una vez identificados los factores, el siguiente paso es agruparlos en grandes bloques, para estructurar el modelo y facilitar su mantenimiento.

Las categorías estándar que recomiendan tanto reguladores como guías internacionales suelen ser estas cuatro:

  • Cliente: tipo de cliente, estructura, sector/actividad, condición de PEP, etc.
  • Relación: cliente antiguo/nuevo, relación presencial/digital, grado de conocimiento informal, etc.
  • Productos y servicios: tipo de producto contratado, propósito del cliente, etc.
  • Canales: método de pago, intermediación de terceros, etc.

A veces se añade una quinta categoría: transaccionalidad, especialmente cuando el modelo de scoring se integra con sistemas de monitoreo de transacciones. 💸

Esta categoría permite ajustar dinámicamente el riesgo si, por ejemplo, un cliente con perfil de riesgo bajo empieza a realizar movimientos inusuales, en importe, frecuencia o destino.

Organizar bien estas categorías no solo hace que el modelo sea más claro, sino que te permite asignar pesos distintos a cada una de ellas, según su impacto real en el riesgo.

3. Usa una escala de riesgo objetiva, por ejemplo del 1 al 10

Aquí llega el momento de transformar la información cualitativa en datos cuantificables. Cada factor de riesgo debe convertirse en una puntuación en una escala clara —y la más recomendable por claridad y granularidad es la escala de 1 a 10.

  • 1: riesgo muy bajo 🟢
  • 10: riesgo muy alto 🔴

¿Por qué esta escala? 👉 Porque es intuitiva, fácil de interpretar, y compatible con fuentes externas como el AML Index de Basilea, que ya puntúa los países en esa misma escala.

Informe Basel AML Index 2025
Informe Basel AML Index 2025

Está escala también te da margen suficiente para diferenciar entre matices dentro de un mismo grupo (por ejemplo, no es lo mismo un país con un 4 que con un 7, aunque ambos estén en una categoría de “riesgo medio”).

El objetivo no es puntuar por puntuar, sino tener una base objetiva que te permita interpretar el resultado y tomar decisiones justificadas y basadas en datos.

Importante: cada valor de la escala debe tener un criterio claro detrás. El modelo no puede depender de percepciones, sino de reglas reproducibles.

4. Pondera cada categoría según impacto y contexto

No todos los factores influyen igual en el nivel de riesgo de un cliente. Por eso, una vez que tenemos las puntuaciones individuales, necesitamos asignar un peso diferente a cada categoría o grupo de factores.

Por ejemplo, es habitual que factores relacionados con el cliente (su actividad, nacionalidad, estructura…) tengan más peso que los canales, o que el tipo de producto tenga más relevancia en ciertos sectores que en otros.

Una distribución común de pesos podría ser: ⚖️

  • Cliente → 30 %
  • Productos y servicios → 25 %
  • Relación → 25 %
  • Canales → 20 %
Estos valores son orientativos. Lo importante es que haya un criterio justificable detrás de cada ponderación, según los riesgos a los que se expone tu empresa.

También puedes ir más allá y modificar los pesos según segmentos de cliente. Por ejemplo, podrías darle más peso a la categoría “actividad” en clientes corporativos, y más peso a la categoría “canales” en clientes minoristas. Esto hace el modelo más fino. ✅

En cualquier caso, lo fundamental es evitar un error muy común: asignar el mismo peso a todo. Eso genera un modelo plano, incapaz de reflejar diferencias reales entre clientes.

5. Paso final: calcula el Risk Score del cliente

Con las puntuaciones y los pesos definidos, solo queda probar el modelo. La operación para obtener el Risk Score global de cada cliente, suele ser la siguiente:

Multiplicar la puntuación de cada categoría por su peso (%), y sumar cada resultado para obtener el riesgo global.

Ejemplo simplificado:

Categoría

Puntuación (1–10)

Peso (%)

Resultados

Cliente

7

30 %

2,1

Productos

5

25 %

1,25

Relación

4

25 %

1,0

Canales

6

20 %

1,2

Riesgo Global

5,55

Una vez tienes el score final, solo necesitas definir los umbrales de clasificación. Un ejemplo habitual si trabajas con escala 1–10:

  • Bajo: < 4
  • Medio: 4 – 7
  • Alto: > 7

Como decíamos, lo más importante no es el número en sí, sino que el sistema sea:

  • Coherente con la realidad: por ejemplo, que no todo acabe como riesgo medio.
  • Justificable ante el supervisor: que puedas explicar cómo llegaste a esa clasificación)
  • Accionable: que te permita adaptar las medidas de diligencia y priorizar el monitoreo.

Reglas de oro para un Risk Scoring defendible ante el supervisor 👑

Como decíamos, tener “algo” montado dista mucho de estar haciéndolo bien. El auditor o supervisor de turno requerirá que tu modelo tenga un rigor y nivel de detalle realmente elevado. Estos son algunos imprescindibles que no pueden faltar: 🔑

Utiliza tecnología específica de PBC/FT

Un Excel puede servir en fases muy tempranas o con carteras pequeñas, pero a medida que crece el volumen de clientes, deja de ser viable, por muy sofisticado que se haya vuelto el modelo. Necesitas automatizar.

Volvemos a lo de antes: el riesgo del cliente nunca es es estático. La contratación de un nuevo producto o un cambio en el método de pago deberían disparar automáticamente un recálculo del scoring. Y eso solo lo permite una solución de PBC pensada para cubrir estos escenarios.

Herramientas como Parallel permiten lanzar tu formulario de KYC, mientras se activa el modelo de Risk Scoring de tu manual, y realizas la diligencia debida oportuna.

La plataforma no solo elimina pasos manuales de la operativa, sino que registra evidencias que acreditan tu compliance ante cualquier requerimiento o inspección. 💆

Parallel software de PBC/FT

Usa fuentes objetivas y justificables

Cada puntuación asignada en el modelo debe poder explicarse con criterios objetivos. El modelo no puede depender de percepciones personales bajo ningún caso.

Un ejemplo claro es el riesgo jurisdiccional. Aquí, una de las fuentes más utilizadas internacionalmente son la Lista Gris y la Lista Negra del GAFI (Grupo de Acción Financiera). 🛡️

La inclusión en la Lista Negra implica Riesgo Alto, eso está claro. Pero dentro de la Lista Gris hay mucha letra pequeña, ya que esta inclusión no implica necesariamente Riesgo Medio. Realmente significa que tienes compromisos pendientes en tu marco nacional de PBC/FT y estás trabajando en mejorarlo.

Y lo mismo aplica al resto de factores: actividad económica, producto, canal, etc. Hay guías oficiales e informes públicos del GAFI, EBA, SEPBLAC... muy útiles para apoyar el modelo. Todo debe estar documentado.

Logos GAFI, EBA, Egmont Group, Wolfsberg Group y SEPBLAC
Algunos organismos de referencia en PBC/FT

Claves para elegir las fuentes:

  • Cuanto más actualizado, mejor
  • Cuanto más adaptado y reconocido por tu industria, mejor.
  • Adapta numéricamente las escalas que utilicen estas fuentes a la escala de tu modelo.
  • Documenta el porqué de la elección de cada fuente.

Vigila la coherencia entre scoring y realidad

Un buen modelo de scoring debe estar alineado con lo que ocurre en la práctica. Si los clientes de riesgo alto no generan alertas, o los de riesgo bajo acaban en comunicación por indicio de blanqueo, algo está fallando.

Si el modelo y la realidad no se parecen, el problema no es la realidad. 😅

Otro escenario típico: que el nuevo modelo arroje demasiados perfiles de alto riesgo. ¿Tiene sentido? Si es que sí, ¿los puedes asumir a nivel de recursos?

Prueba el modelo con tu cartera antes de aplicarlo

Antes de lanzar el modelo de scoring en producción, es fundamental probarlo con una muestra representativa de tu cartera de clientes. No solo para validar que técnicamente funciona, sino para ver si los resultados que arroja tienen sentido operativo. 🔬

Este testeo previo te permite:

  • Ver cómo se distribuye la cartera entre riesgo bajo, medio y alto.
  • Detectar desequilibrios claros (por ejemplo, el 95 % de los clientes cae en “riesgo medio”).
  • Ajustar pesos, escalas o factores si el modelo no discrimina lo suficiente.

Además, estas pruebas te permiten anticipar el impacto que tendrá el modelo a nivel de diligencia debida reforzada, revisiones periódicas y monitoreo, para que puedas adaptar recursos si hace falta.

Esta práctica no solo es importante en el primer lanzamiento del modelo, sino en futuras iteraciones y cambios significativos que experimente. Tener al alcance un “cajón de arena” donde probar y simular escenarios es clave para que todo funcione con lógica.

😊 En Parallel podemos ayudarte a implementar tu modelo de Risk Scoring y ajustar los factores y pesos en base a los resultados que se generen en un entorno de prueba.

De hecho, y ya para terminar, puedes ver el vídeo sobre cómo se Evalúa el riesgo geográfico desde Parallel en base a listados oficiales 100% actualizados:

Vídeo: Evalúa el riesgo "país" en Parallel con listas oficiales actualizadas
Vídeo: Evalúa el riesgo "país" en Parallel con listas oficiales actualizadas

Read next