Explora por temática
Firma electrónicaVerificación de identidadRPA - AutomatizaciónTransformación DigitalOnboarding DigitalGestión del RiesgoMarco RegulatorioX-TechExperiencia de UsuarioEconomíaPrevención del FraudeFactura ElectrónicaCustomer Hub para ventas

CDD: qué es la diligencia debida del cliente, pasos y cómo hacerla

16 enero 2026·Tiempo de lectura: 4 min
esen
Compartir

Índice

    icon newsletter
    El mejor contenido en tu bandeja de entrada

    La diligencia debida del cliente (CDD o DDC) es un proceso obligatorio de identificación, verificación y evaluación del riesgo de los clientes, diseñado para prevenir el blanqueo de capitales (AML) y la financiación del terrorismo (CFT). Aplicado por entidades reguladas en sectores como banca, fintech, criptoactivos, inmobiliarias y seguros, la CDD no es un trámite puntual, sino un proceso continuo que debe actualizarse a lo largo de toda la relación comercial.

    Este artículo profundiza en el concepto de CDD, su marco normativo, sus niveles de aplicación, su alcance sectorial y las sinergias con otras regulaciones europeas. Además, analiza cómo las soluciones tecnológicas de due diligence digital, como las ofrecidas por Tecalis, están transformando la forma en que las organizaciones cumplen con estas obligaciones de forma segura, eficiente y escalable.

    ¿Quieres implementar una solución de CDD digital conforme a SEPBLAC y eIDAS?

    ¿Qué es el CDD (Customer Due Diligence) o Diligencia Debida del Cliente?

    La CDD (Customer Due Diligence), también conocida en español como Diligencia Debida del Cliente (DDC), es el conjunto de procedimientos que obligan a las entidades reguladas a conocer a su cliente, verificar su identidad y evaluar el riesgo que representa en términos de delitos financieros. Detalles técnicos y normativos:

    • Establecida por las 40 Recomendaciones del GAFI.
    • Implementada en la UE mediante la Directiva AMLD6 (2018/843).
    • En España, desarrollada en la Ley 10/2010 de 28 de abril y sus normas de desarrollo.
    • Vigilada por el SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales).

    La CDD debe aplicarse antes, durante y después de la relación comercial, y actualizarse ante cualquier cambio relevante en el perfil del cliente.

    Los tres pilares obligatorios de la CDD

    Para ser efectiva, la CDD se basa en tres elementos técnicos no negociables, diseñados para garantizar la correcta identificación del cliente, comprender su perfil de riesgo y asegurar el cumplimiento normativo. Estos pilares permiten a las organizaciones prevenir el blanqueo de capitales y otros delitos financieros de forma estructurada y verificable.

    Identificación del cliente

    Recopilación de datos como:

    • Nombre completo, número de documento de identidad (DNI, NIE, pasaporte), fecha y lugar de nacimiento, nacionalidad. 
    • En personas jurídicas: nombre de la empresa, CIF/NIF, domicilio social, estructura accionarial, representantes legales y beneficiario real (quien posee  >25% del capital o control efectivo).
    • Para clientes extranjeros, también se requiere la dirección fiscal y el país de residencia.

    Verificación documental o de identidad

    Confirmación de que los datos corresponden a una personal real, mediante:

    • Métodos presenciales (documentos físicos).
    • Verificación remota segura: biometría facial, lectura OCR, validación contra registros oficiales o fuentes confiables (como el Registro Civil o bases de la UE).

    En el entorno digital, sólo son válidos los métodos autorizados por el SEPBLAC o basados en identidades eIDAS cualificadas.

    Evaluación del riesgo del cliente

    Clasificación basada en factores objetivos como:

    • Actividad económica (alta o baja exposición al riesgo).
    • Jurisdicción de residencia (países en listas GAFI= alto riesgo). 
    • Complejidad de la estructura societaria. 
    • Estatus como persona políticamente expuesta (PEP).

    Todo ello influye en la calificación del riesgo. Esta evaluación permite aplicar el nivel adecuado de diligencia (estándar, simplificada o reforzada) y adoptar medidas de seguimiento continuo.

    Los tres niveles de la Diligencia Debida: Estándar, simplificada y reforzada (EDD)

    La normativa AML establece tres niveles de diligencia debida, que deben aplicarse en función del perfil de riesgo del cliente:

    • Diligencia debida estándar: Se aplica en la mayoría de los casos. Incluye los tres pilares mencionados (identificación, verificación y evaluación) y se considera suficiente para clientes de bajo o medio riesgo.
    • Diligencia debida simplificada: Permite aplicar medidas menos estrictas para ciertos clientes o transacciones de bajo riesgo. Ejemplos incluyen entidades públicas, filiales de empresas cotizadas o clientes residentes en jurisdicciones con sistemas AML robustos. Sin embargo, su uso está altamente regulado y sujeto a revisión continua.
    • Diligencia debida reforzada (Enhanced Due Diligence - EDD): Es obligatoria cuando el riesgo es alto. Esto incluye clientes PEP, operaciones con países de alto riesgo, transacciones complejas o estructuras societarias opacas. La EDD exige medidas adicionales como la obtención del origen de fondos, aprobación por parte de la alta dirección, seguimiento continuo intensificado y, en algunos casos, la intervención de unidades de cumplimiento especializadas.

    Este enfoque permite una asignación eficiente de recursos, concentrando esfuerzos donde el riesgo es real.

    Mujer validando con una tarjeta la correcta identificación de cliente.

    ¿CDD y DDC son lo mismo?

    Sí, en la práctica, CDD y DDC (Diligencia Debida del Cliente) son términos equivalentes. "CDD" es la sigla en inglés (Customer Due Diligence) utilizada a nivel internacional, especialmente en documentos del GAFI, la Unión Europea y en la industria financiera global. "DDC" es la traducción al español y se usa comúnmente en regulaciones y comunicaciones en países hispanohablantes, como España.

    A efectos regulatorios, no hay diferencia operativa: ambas hacen referencia al mismo proceso de identificación, verificación y evaluación de riesgos del cliente. La distinción, por tanto, es principalmente lingüística/ terminológica, no operativa.

    ¿Quién supervisa la diligencia debida del cliente (DDC) y quien está obligado a cumplirla?

    Las autoridades supervisoras clave encargadas de garantizar el cumplimiento de la normativa AML son los organismos responsables de supervisar y controlar a las entidades obligadas. Estos son:

    • El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), adscrito al Banco de España. SEPBLAC recibe, analiza y transmite información relacionada con operaciones sospechosas y supervisa a los sujetos obligados para garantizar el cumplimiento de sus obligaciones, incluida la CDD.
    • A nivel europeo, la Autoridad Bancaria Europea (EBA) emite directrices y normas técnicas para armonizar la aplicación de la AMLD6 en todos los Estados miembros. 
    • GAFI (FATF) establece las 40 Recomendaciones que sirven como marco global para la lucha contra el blanqueo de capitales y la financiación del terrorismo.

    La CDD ya no es exclusiva del sector financiero tradicional. Actualmente, los sujetos obligados en España (según Ley 10/2010) son:

    • Banca y finanzas tradicionales.
    • Fintechs (especialmente aquellas con licencia de servicios de pago o de dinero electrónico).
    • Empresas de criptoactivos (VASP registradas ante el SEPBLAC desde 2022).
    • Agentes inmobiliarios (en operaciones superiores a 10.000 €).
    • Compañías de seguros (sobre todo en productos de inversión).
    • Telecomunicaciones (cuando ofrecen servicios de pago móvil o billeteras digitales).
    • Plataformas de inversión colectiva y crowdfunding.
    • Abogados, notarios, auditores y asesores fiscales en operaciones sensibles.
    • Casas de subastas, joyerías y comercio de arte (en transacciones elevadas).

    Cada sector debe adaptar su proceso de CDD a sus riesgos específicos. Estas entidades deben implementar programas de cumplimiento (Compliance AML), designar un Responsable del Cumplimiento (Compliance Officer), y aplicar la CDD antes de establecer cualquier relación comercial.

    ¿Eres un sujeto obligado y necesitas escalar tu CDD?

    Cómo aplicar la CDD en banca: protocolo técnico seguro

    En el sector bancario, la CDD es crítica. Los bancos no solo deben verificar la identidad del cliente al abrir una cuenta, sino también monitorear sus operaciones y actualizaciones periódicas del perfil de riesgo. Algunas buenas prácticas para aplicar CDD de forma segura y eficaz en banca son:

    1. Onboarding riguroso y documentado

      • Verificación de identidad del cliente, mediante documentos oficiales vigentes (DNI/pasaporte para personas físicas; escrituras, registro mercantil, estatutos, poderes y estructura societaria para personas jurídicas).
      • Detección del beneficiario real: identificar quién está detrás de la empresa, quién tiene el control, quién se beneficia.

    2.  Evaluación de riesgo basada en criterios objetivo

      • Análisis de factores como país de residencia o constitución, estructura societaria, actividad económica, perfil transaccional esperado, exposición política (PEP), volumen estimado de operaciones.
      • Clasificación de clientes en bajo/medio/alto riesgo, con asignación de nivel de diligencia debida correspondiente (normal, simplificada o reforzada).

    3. Verificación adicional en casos de riesgo medio-alto o alto

      • Comprobación del origen de fondos o riqueza cuando proceda.
      • Justificación del propósito y naturaleza de las operaciones, junto con la monitorización continua de las transacciones.

    4. Mantenimiento de registros exhaustivos

      • Conservación de documentación, evidencias de verificación, historiales de operaciones, actualizaciones de perfil del cliente. En muchos esquemas normativos se exige conservar esa información por un periodo mínimo (por ejemplo, 10 años tras la finalización de la relación).

    5. Procedimientos seguros para operaciones no presenciales 

      • Uso de métodos autorizados por SEPBLAC para onboarding remoto como videoconferencia, verificación remota de documentos electrónicos y firma electrónica.
      • En su normativa, SEPBLAC define especificaciones mínimas para que la identificación remota sea válida legalmente.

    6. Actualización y seguimiento continuo (monitorización)

      • No basta con verificar al cliente al inicio. Siempre es necesario mantener vigilancia sobre sus operaciones, detectar patrones inusuales, cambios en la estructura societaria, nuevos beneficiarios, datos relevantes actualizados.

    Los bancos deben aplicar due diligence continua: si un cliente que antes realizaba operaciones de bajo volumen comienza a mover grandes sumas sin justificación económica, el sistema debe alertar al equipo de cumplimiento para una revisión adicional.

    La seguridad en la CDD bancaria no solo es regulatoria, sino reputacional: un fallo en la identificación de un cliente de alto riesgo puede derivar en multas millonarias, sanciones e incluso pérdida de licencia operativa.

    Pasos esenciales para implementar una CDD eficaz

    La ejecución de una diligencia debida del cliente robusta quiere la integración de procesos tecnológicos y normativos que aseguren la integridad operativa en todo momento. Un mapa de fases recomendado sería:

      1. Diseñar un marco de riesgo a medida: Definir los criterios para clasificar a los clientes (geografía, sector, perfil, tipo de transacción).
      2. Automatizar el onboarding: Implementar flujos de identificación digital con OCR, biometría y validación contra fuentes confiables.
      3. Integrar screening en tiempo real:  Conexión a listas PEP, sancionados (OFAC, UE, ONU) y territorios de alto riesgo (GAFI).
      4. Aplicar seguimiento continuo: Reglas de negocio y alertas automatizadas para cambios en el comportamiento del cliente.
      5. Capacitar al personal: Formación a empleados en la detección de señales de alerta y en el uso de herramientas de CDD.
      6. Auditar el proceso: Realizar revisiones periódicas del proceso de diligencia debida para garantizar su eficacia.
    Tres hombres hablando cerca de una mesa con papeles sobre la CDD.

    CDD y otras normativas europeas: sinergias y diferencias clave

    La CDD no opera en aislamiento. Se entrelaza con múltiples regulaciones europeas que comparten objetivos de seguridad, privacidad y trazabilidad:

    • RGPD (Reglamento General de Protección de Datos): Ambas normativas requieren el tratamiento de datos personales, pero con fines distintos. La CDD justifica el tratamiento bajo el “interés legítimo” y la “obligación legal”, mientras que el RGPD exige minimización y conservación limitada. Las organizaciones deben equilibrar ambas exigencias.
    • eIDAS 2.0: La nueva normativa europea de identidad digital (en trámite final en 2025) establecerá un marco común para la identificación electrónica cualificada (QES), lo que facilitará la CDD digital mediante identidades verificables a través de proveedores QTSP.
    • NIS2 (Directiva de Seguridad de Redes y Sistemas de Información): Aunque se centra en la ciberseguridad, NIS2 refuerza la necesidad de controles robustos en procesos como la identificación de usuarios y la gestión de accesos, complementando los controles de CDD.
    • AMLD6 y MiCA: La Sexta Directiva AML endurece las sanciones y amplía la definición de delitos subyacentes. MiCA (Reglamento de Mercados de Criptoactivos), por su parte, impone obligaciones específicas de CDD a los proveedores de servicios de criptoactivos, incluyendo la verificación de contrapartes en transferencias.
    • Estándar KYC internacional: “Know Your Customer” es un concepto más amplio que incluye la CDD como componente esencial. KYC abarca también la evaluación de la idoneidad del producto financiero (suitability) y el monitoreo de operaciones.

    Cómo un QTSP transforma la CDD en due diligence digital segura

    Un Proveedor de Servicios de Confianza Cualificado (QTSP), certificado bajo eIDAS, ofrece soluciones con validez legal en toda la UE para cumplir CDD de forma digital:

      • Verificar la identidad del cliente de forma remota mediante video-identificación segura.
      • Generar firmas electrónicas cualificadas (QES) que tienen la misma validez legal que una firma manuscrita.
      • Validar documentos oficiales en tiempo real contra registros gubernamentales.
      • Archivar pruebas de identidad con integridad criptográfica.

    Tecalis, como QTSP europeo, ofrece un conjunto integral de herramientas que potencian la CDD:

    • Tecalis Identity: Solución de identificación digital con biometría facial, detección de spoofing y lectura OCR. 
      • Beneficio: Acelera el onboarding remoto con niveles de seguridad certificados.
    • Tecalis Sign: Firma electrónica cualificada con QSCD (Dispositivo de Creación de Firma Cualificado). 
      • Beneficio: Garantiza la trazabilidad y no repudio de los documentos asociados a la CDD.
    • Tecalis Verify: Motor de verificación contra listas PEP, sancionados y bases de datos oficiales. 
      • Beneficio: Automatiza el screening de riesgos en tiempo real.
    • Tecalis Flow: Motor de automatización de procesos (BPM) para flujos de CDD. 
      • Beneficio: Asigna automáticamente el nivel de diligencia (simplificada, estándar o reforzada) según reglas de riesgo predefinidas.

    Gracias a estas soluciones, las organizaciones pueden implementar una due diligence digital que no solo cumple con la normativa, sino que mejora la experiencia del cliente, reduce costos operativos y minimiza errores humanos.

    Conclusión: La CDD como motor de confianza en la economía digital

    La diligencia debida del cliente (CDD/DDC) ya no es solo una obligación regulatoria, sino un elemento estratégico de confianza en la economía digital. Con la evolución de normativas como eIDAS 2.0, MiCA y AMLD6, la tendencia es hacia una CDD más inteligente, automatizada y basada en riesgos. Proveedores de confianza como Tecalis están en el epicentro de esta transformación, ofreciendo infraestructuras tecnológicas que permiten a las empresas no solo cumplir, sino anticiparse a los desafíos del cumplimiento.

    Implementar una estrategia de CDD digital no es un gasto, sino una inversión en seguridad, reputación y sostenibilidad regulatoria. Y en un entorno donde las multas por incumplimiento superan los cientos de millones de euros, esa inversión es más necesaria que nunca.

    Descubre las herramientas Tecalis para procedimientos de CDD de cualquier índole

     

    Etiquetas
    Verificación de identidadGestión del RiesgoMarco Regulatorio
    Newsletter icon

    El mejor contenido en tu bandeja de entrada

    Ft
    aifintech
    regtech
    etica
    techbehemoths
    finnovating
    ecija

    Servicios de confianza, identidad y automatización

    Tecalis crea producto digital disruptivo para hacer crecer y evolucionar a las empresas más innovadoras. Impulsamos procesos de crecimiento y transformación digital para llevar el futuro a las empresas hoy.
    Identidad

    Las soluciones y servicios KYC (Know Your Customer) de Verificación de Identidad por Vídeo, Onboarding Digital y Autenticación (MFA/2FA) permiten a nuestros clientes proporcionar a sus usuarios una experiencia ágil y segura.

    Nuestro software de automatización RPA (Robot Process Automation) permite crear modelos de negocio sostenibles, escalables, productivos y eficientes a través del BPM (Gestión por Procesos de Negocio) para crecer sin límites.

    Digitalización

    La Firma Electrónica Avanzada y Cualificada y los servicios de Comunicación Certificada (Burofax Electrónico) permiten que los procesos de adquisición de clientes, contratación y aceptación que antes tomaban días o semanas sean finalizados y aprobados en minutos o segundos.

    El Customer Onboarding (eKYC), los servicios de Firma Digital (eSignature) y la Prevención del Fraude Automatizada están haciendo posible a las compañías operar online y sin fronteras.

    Confianza

    Como Tercero de Confianza (Trust Services Provider) certificado por la UE y partner RegTech consolidado, ayudamos a las organizaciones a cumplir con los estándares normativos más exigentes de su sector y región, incluyendo las regulaciones AML (Anti-Money Laundering), eIDAS (Electronic IDentification, Authentication and etrust Services), GDPR (Reglamento General de Protección de Datos), SCA (Strong Customer Authentication) o PSD2 (Payment Services Directive) gracias a Controles Anti-Fraude y Verificación de Documentos Tecalis.

    Union europea
    Union europea