Por: Iván Mastino

Financista

La Superintendencia de Bancos de Panamá (SBP) emitió el 16 de enero de 2026 el Acuerdo No. 1-2026, mediante el cual se regulan las medidas para prevenir el uso indebido de los servicios bancarios y fiduciarios para fines de blanqueo de capitales, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva (BC/FT/FPADM).

Si bien el ámbito de aplicación formal del Acuerdo se circunscribe a los bancos de licencia general, bancos de licencia internacional, empresas fiduciarias y grupos bancarios, su contenido constituye un marco de referencia técnico y regulatorio de primer nivel, que debe ser considerado por entidades de intermediación financiera, como una buena práctica obligatoria de gestión de riesgos.

Enfoque basado en riesgos y continuidad normativa

El Acuerdo 1-2026 deroga expresamente el Acuerdo 10-2015, manteniendo su esencia conceptual, pero elevando sustancialmente el estándar técnico, operativo y de gobernanza. Reitera la obligación de que los sujetos obligados adopten medidas eficaces para impedir que sus operaciones y transacciones se realicen con fondos provenientes o destinados a actividades ilícitas relacionadas con BC/FT/FPADM.

En función de su tamaño, naturaleza, complejidad y perfil de riesgo, las entidades deben diseñar y ejecutar un Enfoque Basado en Riesgos (EBR) que considere las recomendaciones y los lineamientos emitidos por organismos nacionales e internacionales especializados, incluyendo los estándares del GAFI.

Este enfoque exige la implementación de procesos formales para identificar, evaluar, monitorear, administrar y mitigar los riesgos de BC/FT/FPADM.

• En escenarios de riesgo alto, deberán aplicarse medidas reforzadas o ampliadas.
• En escenarios de riesgo bajo, podrán aplicarse medidas simplificadas, debidamente justificadas y documentadas.

Gestión integral del riesgo y énfasis en riesgos digitales

El Acuerdo 1-2026 introduce un desarrollo técnico más profundo del enfoque de gestión integral de riesgos, con un énfasis particular en los riesgos asociados a los canales digitales, remotos y tecnológicos.

El estándar ya no se limita a la existencia formal de políticas y procedimientos, sino que exige evidencia verificable de su efectividad, trazabilidad y capacidad real de mitigación del riesgo. En consecuencia, se eleva el umbral de cumplimiento, pasando de un enfoque documental a uno sustantivo y demostrable, sustentado en políticas, manuales, controles internos robustos y una gobernanza activa.

Manual de Prevención de BC/FT/FPADM

El Manual de Prevención mantiene una estructura general similar a la normativa anterior; sin embargo:

• Incorpora explícamente la gestión del riesgo tecnológico y digital.
• Refuerza el rol del Auditor Interno, quien participa con derecho a voz, pero sin voto, preservando la independencia de funciones.
• Incluye al responsable de TI con derecho a voz y voto.
• Reitera la obligación de aprobación por parte de la Junta Directiva, su actualización continua y difusión interna.

Como novedad relevante, el Manual deja de ser un documento exclusivamente interno y pasa a ser un instrumento supervisable, al establecerse la obligación de remitirlo anualmente a la SBP, incluyendo sus modificaciones. En caso de no existir cambios, deberá enviarse una certificación formal, debidamente aprobada y firmada por el Comité de Cumplimiento.

Este cambio refuerza la responsabilidad de actualización permanente y garantiza una revisión periódica por parte del regulador, elevando la disciplina de cumplimiento.

Comité de Cumplimiento

El régimen del Comité de Cumplimiento se mantiene en términos generales, pero con un mayor nivel de exigencia probatoria. El Acuerdo establece que:

• Las actas, presentaciones y materiales de soporte deben conservarse y estar disponibles para procesos de supervisión.
• El Comité se consolida como un órgano técnico de soporte para la toma de decisiones, y no meramente formal.

Beneficiario Final

Se mantiene el umbral del 10% para la identificación del beneficiario final, pero se robustece el proceso, ampliando el análisis a:

• Participaciones indirectas.
• Derechos de voto.
• Control por otros medios, cuando exista incertidumbre sobre el control real.

El Acuerdo enfatiza el uso de fuentes abiertas, independientes y confiables, así como la aplicación de criterios de prueba razonable, reforzando la trazabilidad y la defensa del análisis realizado.

Onboarding digital y geolocalización inferencial

Una de las innovaciones más relevantes del Acuerdo 1-2026 es la regulación expresa del onboarding digital. El artículo 14 establece que, en la apertura de productos o prestación de servicios mediante canales digitales o remotos, se deberá incorporar obligatoriamente la geolocalización inferencial como fuente primaria de evaluación de riesgo.

Esta evaluación deberá considerar, entre otros elementos:

• Dirección IP.
• Proveedor de servicios de Internet.
• Uso de VPN, proxies o redes de anonimización.
• Zona horaria y configuración regional del dispositivo.

Se establece un plazo de adecuación hasta el 30 de junio de 2027, lo que implica la adopción obligatoria de soluciones RegTech. Para entidades con estrategia de crecimiento digital, este requisito se convierte en un factor crítico e ineludible.

Actualización de información del cliente y operaciones inusuales

Se mantienen los plazos de actualización periódica de la información del cliente en 12, 24 y 48 meses, con la obligación de actualización inmediata ante cambios sustanciales o incrementos en el nivel de riesgo.

En materia de operaciones inusuales, se conserva la obligación de análisis y reporte, pero se exige una mayor profundidad analítica, documentación reforzada y conclusiones técnicamente defendibles, sustentadas en evidencia verificable.

Oficial de Cumplimiento

La figura del Oficial de Cumplimiento se consolida como parte de la segunda línea de defensa, con exigencias claras de lo siguiente:

• Nivel ejecutivo.
• Independencia funcional y jerárquica.
• Prohibición de asumir funciones operativas o comerciales propias de la primera línea.

El Acuerdo refuerza la independencia real del rol, evitando conflictos de interés y fortaleciendo su capacidad de supervisión y control.

Relevancia estratégica para los sujetos obligados

La adopción del Acuerdo 1-2026, como marco interno de referencia resulta estratégica y necesaria, ya que:

• El riesgo de BC/FT/FPADM no depende del regulador, sino de la actividad y de la Ley 23 de 2015.
• Los sujetos obligados captan fondos, otorgan créditos y realizan transacciones, muchas de ellas digitales, lo que implica riesgos inherentes a los del sistema bancario.
• Toda entidad de intermediación financiera expone a sus directivos a riesgos reputacionales, legales y operativos.

Adoptar este estándar:

• Protege a la Junta de Directores y a la Alta Gerencia, al demostrar diligencia debida.
• Reduce riesgos personales, sancionatorios y de hallazgos críticos de auditoría.
• Se convierte en el referente de evaluación para auditores externos, bancos, aseguradoras, proveedores tecnológicos y calificadoras de riesgo.

Conclusión

El Acuerdo 1-2026 representa el estándar moderno de Cumplimiento en Panamá. Su adopción como buena práctica no es opcional desde una perspectiva de sostenibilidad, reputación y crecimiento digital. Actuar de forma proactiva frente a los riesgos de BC/FT/FPADM no solo fortalece el sistema de control interno, sino que asegura la viabilidad institucional en un entorno cada vez más exigente y digitalizado.