Lista Gris FATF Junio 2026: Irak, Bosnia y el KYC
El FATF añadió Irak y Bosnia-Herzegovina a su lista gris en junio de 2026. Esto es lo que los equipos de compliance deben actualizar en sus programas KYC y flujos de DDA.

El Grupo de Acción Financiera Internacional (FATF, también conocido como GAFI) celebró su sesión plenaria de junio de 2026 en París del 17 al 19 de junio. Cuando se publicaron los resultados el 19 de junio, el mensaje fue claro: Irak y Bosnia-Herzegovina han sido añadidos a la lista gris del FATF. Argelia y Namibia han sido eliminados. El número total de jurisdicciones bajo seguimiento reforzado asciende ahora a 22.
Para muchos equipos de cumplimiento, una actualización de la lista gris se percibe como un trámite regulatorio. No debería ser así. Dos jurisdicciones de peso estratégico se incorporaron en el mismo ciclo. La nueva Presidencia del FATF bajo el Reino Unido hizo del fraude su prioridad principal. Y se abrió una consulta pública sobre transparencia en pagos —con implicaciones directas para la supervisión de transacciones transfronterizas— en la misma semana.
Esta actualización merece acción antes de que acabe el verano.
Qué Significa Realmente la Lista Gris del FATF
La lista gris del FATF —formalmente, "Jurisdicciones Bajo Seguimiento Reforzado"— no conlleva sanciones legales. No es una lista de bloqueo y no prohíbe hacer negocios. Identifica a países que se han comprometido a subsanar deficiencias identificadas en sus marcos de lucha contra el blanqueo de capitales, la financiación del terrorismo y la proliferación.
El efecto práctico es que las entidades reguladas deben incorporar las jurisdicciones de la lista gris en sus evaluaciones de riesgo por país y, cuando la evaluación lo justifique, aplicar una diligencia debida reforzada (DDA) o un seguimiento continuo mejorado.
Esta distinción es fundamental. La DDA no es automática por el mero hecho de figurar en la lista gris. La lista es un insumo para una evaluación basada en el riesgo, no un activador automático. La desvinculación indiscriminada —rechazar operaciones con cualquier cliente vinculado a un país de la lista gris sin una fundamentación documentada— es en sí misma un incumplimiento regulatorio. Las autoridades, especialmente bajo el marco en evolución de la AMLA, han sido explícitas al respecto.
Lo que los equipos de cumplimiento deben hacer es actualizar sus marcos:
- Modelos de puntuación de riesgo por país
- Evaluaciones de riesgo institucional (EWRA)
- Umbrales de activación para diligencia debida y DDA
- Parámetros de riesgo geográfico en el monitoreo de transacciones
- Calendarios de revisión de seguimiento continuo para clientes existentes con exposición
Las directrices de la AMLA sobre monitoreo continuo establecen que los cambios en el riesgo jurisdiccional deben trasladarse a las evaluaciones de riesgo a nivel de cliente —no como un evento puntual, sino como parte de un ciclo de supervisión continua.
Irak: Por Qué Esta Incorporación Es Significativa
Irak es una de las jurisdicciones más grandes en incorporarse a la lista gris del FATF en los últimos años, con una población de aproximadamente 48 millones de habitantes y una presencia económica regional impulsada por las exportaciones de petróleo, las remesas y un sector bancario formal en expansión.
La decisión del FATF refleja deficiencias estratégicas identificadas en varios ámbitos de riesgo. Las instituciones financieras con exposición a clientes iraquíes, relaciones de corresponsalía con bancos iraques o flujos de transacciones a través de centros financieros del Golfo que canalizan negocios iraquíes deben considerar esta incorporación como material.
| Sector | Factor de Riesgo Principal |
|---|---|
| Pagos de petróleo y gas | Estructurados a través de cadenas de corresponsalía; el seguimiento del beneficiario es complejo |
| Remesas | Canales informales de alto volumen; las redes hawala siguen siendo relevantes |
| Inmobiliario | Estructuras de tenencia offshore habituales; la verificación de la propiedad real es compleja |
| Activos virtuales | Adopción cripto en crecimiento; la Regla de Viaje de la UE aplica a todas las transferencias vinculadas a Irak |
Para los proveedores de servicios de criptoactivos, esta incorporación se cruza directamente con las obligaciones de la Regla de Viaje. El marco de la Regla de Viaje MiCA exige datos verificados del ordenante y el beneficiario en cada transferencia, independientemente del importe. Una jurisdicción en la lista gris eleva el riesgo del cliente a nivel de cuenta, lo que debe repercutir en los umbrales de supervisión a nivel de transacción.
Bosnia-Herzegovina: La Complejidad Europea
Bosnia-Herzegovina presenta un perfil de riesgo diferente. Es un país candidato a la adhesión a la UE y tiene una profunda integración económica con Europa —dos factores que hacen que su incorporación a la lista gris sea políticamente delicada y operativamente compleja para las instituciones financieras europeas.
Las deficiencias identificadas por el FATF se refieren a debilidades en el marco institucional de lucha contra el blanqueo de capitales del país, no a volúmenes documentados de altos flujos ilícitos. Aun así, la incorporación requiere acción por parte de las entidades reguladas con exposición a la región, especialmente en:
- Flujos de financiación comercial a través de los Balcanes Occidentales
- Transacciones inmobiliarias con beneficiarios reales bosnios
- Relaciones de corresponsalía con instituciones financieras bosnias
- Estructuras de inversión vinculadas a los corredores económicos UE-Bosnia
Las entidades reguladas en la UE se enfrentan a una obligación de cumplimiento en múltiples capas. Las directrices sobre factores de riesgo de la AMLA —parte del paquete de 23 medidas de Nivel 2/3 previstas para el 10 de julio de 2026— abordan específicamente los factores de riesgo geográfico y exigen que las evaluaciones de riesgo por país se actualicen cuando cambie el panorama de riesgo.
Argelia y Namibia: Qué Significa la Eliminación para los Programas KYC
La eliminación de Argelia y Namibia de la lista gris es la otra cara del mismo evento de cumplimiento. Ambos países completaron visitas in situ satisfactorias que demostraron un avance significativo en sus planes de acción. Para las entidades que aplicaron medidas reforzadas a estas jurisdicciones específicamente como respuesta a su inclusión en la lista gris, la eliminación activa un proceso de revisión.
El proceso correcto no consiste en desescalar automáticamente:
- Documentar la eliminación y actualizar el modelo de riesgo por país
- Revisar los clientes individuales para los que se aplicó DDA específicamente por el estatus de la lista gris
- Determinar si las medidas reforzadas siguen justificadas por otros factores de riesgo
- Actualizar la EWRA y los estados de apetito de riesgo correspondientes
- Registrar cada paso para fines de auditoría
Eliminar una jurisdicción del seguimiento reforzado sin una revisión documentada de los clientes individuales es tan problemático como no haber aplicado la DDA en primer lugar.
La Nueva Presidencia del FATF bajo el Reino Unido: Señales para el KYC
La sesión plenaria de junio de 2026 fue la última bajo la Presidencia de México. Giles Thomson, del Reino Unido, asume el cargo desde el 1 de julio de 2026, con un mandato de dos años hasta junio de 2028. Las prioridades declaradas de la Presidencia del Reino Unido tienen implicaciones directas para las entidades reguladas.
Fraude, incluyendo los centros de estafa
El fraude es la prioridad principal. La Presidencia del Reino Unido se centrará en fortalecer la respuesta internacional a la delincuencia financiera vinculada a los centros de estafa —operaciones organizadas a gran escala que combinan ingeniería social, identidad sintética y blanqueo a través de canales informales. Para los programas KYC, esto señala un mayor escrutinio regulatorio de los controles de incorporación que detectan flujos financieros vinculados al fraude.
La conexión entre el fraude de identidad sintética y el blanqueo de capitales no ha hecho más que crecer. El fraude de identidad sintética ya cuesta 3.100 millones de dólares anuales solo en Estados Unidos, y ahora ocupa un lugar central en la agenda de la próxima Presidencia del FATF.
Fortalecer el enfoque basado en el riesgo
El enfoque basado en el riesgo es el principio fundamental del FATF y también el que se aplica de forma más desigual. El énfasis de la Presidencia del Reino Unido aquí señala un rechazo continuado a dos fallos: el exceso de cumplimiento (desvinculación indiscriminada sin evaluación documentada) y el incumplimiento nominal (marcos de riesgo no calibrados con el comportamiento real de los clientes).
Intercambio de información y colaboración público-privada
El intercambio de inteligencia más profundo entre instituciones financieras y fuerzas del orden es una prioridad declarada. Esto aumenta el valor de los datos KYC estructurados y mantenidos de forma continua. Las entidades con registros de identidad bien organizados y actualizados estarán mejor posicionadas a medida que se amplíen las obligaciones de intercambio.
La Consulta sobre Transparencia en Pagos (Recomendación 16)
El plenario aprobó una consulta pública sobre la orientación actualizada de la Recomendación 16 del FATF —el estándar de transparencia en transferencias de fondos y pagos electrónicos. La consulta se abrió la semana del 22 de junio de 2026.
La Recomendación 16 exige que determinada información de identificación acompañe a las transferencias internacionales. La orientación actualizada aborda la infraestructura de pagos moderna, con el fraude como preocupación principal.
Para los equipos de cumplimiento, esta es una señal temprana de hacia dónde se dirigen las normas de transparencia en pagos:
- Banca corresponsal: es probable que se exijan requisitos de verificación del beneficiario más detallados
- Regla de Viaje cripto: presión de alineación entre el estándar del FATF y las jurisdicciones que mantienen umbrales mínimos
- Sistemas de pagos instantáneos: evaluación de si los controles existentes se aplican adecuadamente a los nuevos carriles de pago rápido
La dirección es clara: más datos de identidad verificados viajando con los pagos, no menos. Los Agentes IA de Joinble están diseñados para esta arquitectura —manteniendo registros de identidad verificados y estructurados que siempre están disponibles para acompañar las transacciones.
Lista de Verificación de Cumplimiento
En las próximas dos semanas:
- Actualizar la puntuación de riesgo por país para Irak y Bosnia-Herzegovina
- Documentar la eliminación de Argelia y Namibia en la EWRA
- Identificar las carteras de clientes existentes con exposición a las cuatro jurisdicciones afectadas
En los próximos 30 días:
- Completar las reevaluaciones de riesgo a nivel de cliente para las relaciones con mayor exposición
- Actualizar los parámetros de riesgo geográfico en el monitoreo de transacciones
- Informar a los gestores de relaciones sobre los cambios en la lista gris y sus implicaciones
En los próximos 90 días:
- Incorporar las prioridades de fraude de la Presidencia del Reino Unido en la revisión anual de la política AML
- Registrarse en la consulta de la Recomendación 16 si resulta relevante para las operaciones
- Actualizar la documentación de procedimientos de DDA para reflejar la lista gris actual de 22 jurisdicciones
Preguntas Frecuentes
¿Implica la lista gris del FATF una diligencia debida reforzada automática? No. La lista gris es un insumo para una evaluación basada en el riesgo, no un activador automático de DDA. Las entidades deben actualizar sus modelos de riesgo por país y aplicar medidas reforzadas solo cuando la evaluación documentada lo justifique. La desvinculación indiscriminada basada únicamente en el estatus de la lista gris es en sí misma un problema de cumplimiento.
¿Qué sectores se ven más afectados por la inclusión de Irak? Las áreas de mayor riesgo son la banca corresponsal con bancos iraquíes, los flujos de remesas, el sector inmobiliario con beneficiarios reales iraquíes y las transferencias de activos virtuales vinculadas a Irak. Las cadenas de pago de petróleo y gas con intermediarios de corresponsalía del Golfo también merecen una revisión reforzada.
¿Qué deben hacer las entidades con clientes existentes de Argelia y Namibia? Documentar la eliminación y revisar los perfiles de riesgo de cada cliente. La DDA aplicada específicamente por el estatus de lista gris debe reevaluarse formalmente. Si otros factores de riesgo justifican mantener medidas reforzadas, deben mantenerse con la fundamentación documentada.
¿Cómo afecta la lista gris a los proveedores de servicios de criptoactivos? Para los CASPs sujetos a la Regla de Viaje, las jurisdicciones de la lista gris elevan las puntuaciones de riesgo de los clientes, lo que debe repercutir en los umbrales de monitoreo de transacciones. En el marco del TFR de MiCA, las transferencias vinculadas a contrapartes de mayor riesgo pueden requerir pasos adicionales de verificación más allá de la transmisión estándar de datos.
¿Qué importancia tiene la priorización del fraude por la Presidencia del Reino Unido? El mandato de dos años del Reino Unido dirige los programas de investigación, evaluaciones mutuas y orientaciones del FATF. Una agenda centrada en el fraude significa que los próximos informes de tipologías y documentos de orientación abordarán cada vez más la intersección del fraude, el blanqueo y la delincuencia financiera basada en la identidad.
¿Qué implica la consulta de la Recomendación 16 para los equipos de cumplimiento de pagos? Indica que el FATF prevé actualizar su estándar de transferencia de fondos para adaptarlo a los sistemas de pago modernos, con el fraude como preocupación principal. Los equipos deben monitorear los resultados y evaluar si los controles actuales de identificación de pagos cumplirán con las expectativas actualizadas una vez que se publique la orientación definitiva.
Artículos relacionados

KYC Perpetuo: La Verificación Única Ha Muerto
El KYC perpetuo reemplaza las revisiones anuales con vigilancia continua. Las directrices de AMLA de julio 2026 lo convierten en obligación legal — el caso operativo.

Multa AML a Ikano Bank: Los Fallos de DDR Que Todo KYC Debe Corregir
Finansinspektionen multó a Ikano Bank con SEK 140M en junio de 2026. Estos cuatro fallos de diligencia debida reforzada marcan lo que los reguladores europeos ya están buscando.

GENIUS Act: Lo Que los Emisores de Stablecoin Deben Hacer
La norma propuesta por FinCEN en junio de 2026 obliga a los emisores de stablecoins a implementar programas KYC de grado bancario. Esto es lo que cambia.