Gobernanza de agentes de prevención de blanqueo y pagos: supervisión, registros de auditoría y los tres regímenes que ya resultan de aplicación

La pregunta que se hacen los equipos de prevención de blanqueo sobre los agentes de IA, y por qué es la pregunta equivocada¶

Entre en cualquier función de prevención del delito financiero en 2026 y escuchará dos preguntas sobre la IA agéntica. ¿Es nuestra IA de prevención de blanqueo de "alto riesgo" conforme a la Ley de IA de la UE? ¿Y tenemos hasta agosto de 2026 para resolverlo? Ambas son razonables, y ambas son el punto de partida equivocado.

Son el punto de partida equivocado porque la clasificación de alto riesgo de la Ley de IA de la UE, para la mayoría de los casos de uso de prevención de blanqueo y pagos, no está ni resuelta ni es decisiva, y porque las obligaciones que verdaderamente afectan a su agente ya están en vigor bajo un régimen completamente distinto. Un Head of Financial Crime que dedique el segundo trimestre de 2026 a montar un programa de alto riesgo de la Ley de IA para la monitorización de transacciones puede descubrir que la clasificación no resulta de aplicación, que el plazo se ha movido y que, entretanto, las obligaciones de DORA, vigentes desde enero de 2025, quedaron sin atender.

El planteamiento honesto es este. Su agente de prevención de blanqueo o pagos normalmente no es de alto riesgo por sí mismo, pero está gobernado de todos modos. La sustancia de lo que significa "gobernado" no procede del debate clasificatorio de la Ley de IA. Procede de la normativa de resiliencia operativa a la que ya está sujeto, de la normativa de prevención del blanqueo que llega en 2027 y de los estándares que sus supervisores y el Grupo Wolfsberg ya esperan. Si quiere comprobar la clasificación de sus propios sistemas, nuestro clasificador de riesgo de la Ley de IA de la UE recorre la lógica del Anexo III paso a paso, pero aquí la clasificación es la nota a pie de página, no el titular.

Qué hace en realidad un agente de prevención de blanqueo y pagos en 2026¶

Para gobernar un agente hay que ser preciso sobre lo que hace. Un agente de prevención de blanqueo o pagos en 2026 no es un chatbot acoplado a un gestor de casos. Lee, razona y actúa a lo largo de todo el ciclo de vida del delito financiero, y cada vez más actúa con una autonomía significativa.

El mercado se mueve deprisa y a la vista de todos. El 4 de mayo de 2026, FIS anunció un Financial Crimes AI Agent desarrollado con Anthropic, descrito como capaz de comprimir las investigaciones de prevención de blanqueo "de horas a minutos" al reunir evidencia entre los sistemas centrales, evaluar la actividad frente a tipologías conocidas y poner en primer plano los casos de mayor riesgo para su revisión por el investigador. FIS mencionó a BMO y a Amalgamated Bank entre las primeras entidades, con disponibilidad general prevista para la segunda mitad de 2026. Toda una nómina de proveedores especializados comercializa también sus propias capacidades agénticas de delito financiero: Unit21, Sardine, ComplyAdvantage y Lucinity en el ámbito de la investigación, con Sumsub más centrado en la verificación de identidad y el KYC, además del cribado de prevención de blanqueo. La decisión de desarrollar o comprar es real, y la mayoría de las grandes entidades harán ambas cosas.

En todos estos productos, la labor del agente abarca un conjunto reconocible de acciones, cada una con un radio de impacto distinto cuando algo sale mal.

• Revisiones de alta de KYC y KYB: recopilación y evaluación de la información del cliente y de la contraparte en el momento de la aceptación.
• Cribado de sanciones y PEP: generación y resolución de coincidencias frente a listas de vigilancia y listas de personas del medio político.
• Investigación de medios adversos y de entidades: síntesis de inteligencia de fuentes abiertas y sobre contrapartes en una visión de riesgo.
• Clasificación de alertas de monitorización de transacciones: el despliegue de mayor impacto hoy en día, donde la inmensa mayoría de las alertas son falsos positivos y solo una pequeña fracción justifica una escalada o un SAR.
• Investigación de titularidad real: desentrañar estructuras de propiedad para las determinaciones de UBO.
• Resumen de alertas y generación de la narrativa de SAR/STR: redacción de la narrativa de actividad sospechosa que, una vez presentada, se convierte en registro legal.
• Liberación y bloqueo de pagos: la acción más sensible al tiempo de todas, donde una decisión se ejecuta en tiempo real y no puede deshacerse con una entrada de registro posterior.

Tres regímenes ya convergen en la gobernanza de los agentes de prevención de blanqueo y pagos: DORA, el AMLR y la Ley de IA¶

La razón por la que "¿es de alto riesgo?" es la pregunta equivocada es que tres regímenes europeos distintos ya convergen en el mismo requisito operativo para los agentes de prevención de blanqueo y pagos, y solo uno de ellos es la Ley de IA. Aquí está cada uno, con fechas precisas.

DORA: en vigor ahora, y este es el régimen principal. La Ley de Resiliencia Operativa Digital, Reglamento (UE) 2022/2554, se adoptó el 14 de diciembre de 2022, entró en vigor el 16 de enero de 2023 y es de aplicación desde el 17 de enero de 2025 conforme al Article 64. Vincula a las entidades de crédito, las entidades de pago y de dinero electrónico, las empresas de servicios de inversión, las aseguradoras, los proveedores de servicios de criptoactivos y otras entidades financieras, y alcanza a sus proveedores terceros de servicios de TIC. Los proveedores de nube y de IA (OpenAI, Anthropic, Microsoft Azure OpenAI, Google) suelen quedar comprendidos en la amplia definición de proveedor tercero de servicios de TIC del Article 3 de DORA. Las obligaciones, no obstante, recaen sobre usted, la entidad financiera: la diligencia debida precontractual y la evaluación del riesgo de concentración, el mantenimiento del registro de información sobre todos los acuerdos contractuales de TIC (Article 28) y la notificación de los incidentes graves relacionados con las TIC (Article 19). Conviene señalar que, en la primera designación por las AES de proveedores terceros críticos de servicios de TIC, el 18 de noviembre de 2025, no se nombró a ningún proveedor autónomo de modelos de IA generativa (OpenAI, Anthropic, Mistral, Cohere), de modo que el régimen de supervisión directa aún no les afecta; solo se les alcanza de forma indirecta a través de sus deberes contractuales y de gestión de riesgos. La observación conectora que convierte a DORA en un asunto de prevención de blanqueo es esta: un sistema de monitorización de transacciones, de cribado o de presentación de SAR puede calificarse como "función crítica o importante" conforme al Article 3(22), una función cuya interrupción menoscabaría de forma sustancial su desempeño financiero, la solidez de sus servicios o el mantenimiento del cumplimiento de las condiciones de su autorización. DORA no asigna esa etiqueta de forma automática; es una autoevaluación documentada y específica de cada entidad. Pero, como la prevención de blanqueo y las sanciones son deberes legales, los sistemas que las sustentan superan con frecuencia esa prueba. Así que su agente de prevención de blanqueo ya puede ser una función crítica de TIC bajo un régimen que está en vigor hoy.

El paquete de prevención de blanqueo de la UE: vinculante desde 2027, y la sustancia dentro de la cual opera el agente. El AMLR (Reglamento (UE) 2024/1624), adoptado el 31 de mayo de 2024, es el código normativo único directamente aplicable que abarca la diligencia debida con respecto al cliente, las personas del medio político, la transparencia de la titularidad real y un límite a escala de la Unión de EUR 10,000 a los grandes pagos en efectivo conforme al Article 80 (los Estados miembros pueden fijar límites inferiores), y se aplica desde el 10 de julio de 2027. La AMLD6 (Directiva (UE) 2024/1640) mantiene el mismo plazo general de transposición del 10 de julio de 2027, con fechas escalonadas, anteriores y posteriores, para determinadas disposiciones. La nueva Autoridad de la UE de Lucha contra el Blanqueo de Capitales, AMLA (Reglamento (UE) 2024/1620), tiene su sede en Fráncfort, inició su actividad el 1 de julio de 2025 y comenzará la supervisión directa de hasta unas 40 de las entidades transfronterizas de mayor riesgo en su primera oleada en 2028, tras una selección en 2027. AMLA elabora proyectos de normas técnicas de regulación y de ejecución (que solo pasan a ser vinculantes una vez adoptadas por la Comisión) y emite directrices sobre la base de cumplir o explicar. Una disposición del AMLR agudiza la cuestión para los agentes: el Article 69(1) exige a las entidades obligadas responder a la solicitud de información de una unidad de inteligencia financiera en un plazo de cinco días hábiles, y las FIU pueden acortarlo a menos de 24 horas en casos urgentes (y pueden ampliarlo cuando esté justificado). Un plazo de cinco días hábiles, comprimible a un día, presupone que usted puede reconstruir exactamente qué hicieron sus sistemas, y por qué.

La Ley de IA de la UE: el matiz, no el pánico. El Reglamento (UE) 2024/1689 importa, pero para la prevención de blanqueo es una nota a pie de página con salvedades, que la siguiente sección desgrana. Trátela como el lugar para ser preciso, no como el lugar para tener miedo.

Por qué el debate sobre el alto riesgo en la Ley de IA de la UE es una distracción para la monitorización de transacciones de prevención de blanqueo¶

El relato del alto riesgo de la Ley de IA para la prevención de blanqueo pisa un terreno realmente inestable en junio de 2026, por dos razones independientes: la clasificación en sí y el plazo.

En cuanto a la clasificación, el desarrollo clave es reciente y todavía está en proyecto. En un proyecto de directrices publicado el 19 de mayo de 2026, abierto a consulta de las partes interesadas hasta el 23 de junio de 2026 y aún no adoptado, la Comisión Europea expuso cómo interpreta las categorías de alto riesgo del Anexo III conforme al Article 6 de la Ley de IA. Dos puntos importan para el delito financiero, y ambos deben leerse como la interpretación en proyecto de la Comisión, y no como derecho consolidado (las directrices señalan que solo el Tribunal de Justicia de la UE puede dar una interpretación auténtica de la Ley). Primero, el texto legal del Annex III point 5(b) excluye la detección del fraude de la categoría de solvencia ("salvo cuando se utilicen con el fin de detectar fraude financiero"); la lectura en proyecto de la Comisión de ese texto, en el paragraph 309, es que los sistemas de AML/CFT quedan fuera de la excepción de detección del fraude por dos razones expresas: la prevención de blanqueo y la financiación del terrorismo están reguladas por otra normativa de la UE, y no guardan relación con el fraude financiero. Segundo, y más relevante, el mismo apartado considera que los sistemas de AML/CFT quedan fuera del ámbito del point 5(b) siempre que su finalidad prevista no comprenda la evaluación de la solvencia.

Esta es la prueba que importa, expresada con claridad: conforme al proyecto de orientación, un sistema de prevención de blanqueo pasa a ser de alto riesgo bajo el point 5(b) únicamente cuando está funcionalmente vinculado a la evaluación de la solvencia o al establecimiento de una calificación crediticia y, a la vez, está destinado a ese uso. Lea con atención esa prueba conjuntiva, porque tiene consecuencias arquitectónicas. Si su entidad comparte infraestructura de modelos entre la monitorización de prevención de blanqueo y la toma de decisiones crediticias, puede arrastrar de forma inadvertida su capacidad de prevención de blanqueo al ámbito de alto riesgo. Una separación arquitectónica limpia entre las funciones de delito financiero y las de solvencia es la mitigación práctica. Esto no es razón para declarar que la IA de prevención de blanqueo "nunca" es de alto riesgo: el vínculo con la solvencia es real, otras vías del Anexo III (como los contextos de aplicación de la ley conforme al point 6) se debaten en otros foros aunque no se adopten en este proyecto de directrices de la Comisión, y la prueba es genuinamente caso por caso. Dado que solo el TJUE puede interpretar de forma auténtica la Ley, trate su propia clasificación como un juicio documentado y no como un hecho consolidado.

El mismo proyecto de directrices cierra dos vías de escape que los equipos de prevención de blanqueo a veces dan por sentado que les protegen. Sobre los sistemas agénticos, el paragraph 75 confirma una evaluación holística: cuando varios sistemas de IA forman parte de un sistema más complejo de modo que su finalidad prevista combinada o sus resultados conjuntos influyen de forma sustancial en una decisión individual, la configuración combinada se trata como un único sistema de IA, y las arquitecturas fragmentadas se evalúan en su conjunto, principio que la orientación extiende expresamente a las configuraciones agénticas que se coordinan mediante acciones vinculadas. El paragraph 90 añade que incluso un componente procedimental limitado puede seguir siendo de alto riesgo cuando forma parte de un sistema interconectado y agéntico de ese tipo. Sobre la supervisión humana, los paragraphs 70 y 71 son tajantes: la intervención humana no tiene efecto alguno en la clasificación de alto riesgo conforme al Article 6(2), y un proveedor no puede convertir un sistema en "de bajo riesgo" por el mero hecho de añadir una persona en el bucle. La intervención humana solo puede importar de forma muy acotada, para sustentar una exención del Article 6(3) referida a una tarea procedimental o preparatoria genuinamente limitada, y nunca cuando intervenga la elaboración de perfiles.

En cuanto al plazo, el terreno se mueve bajo los pies de todos. Conforme a la Ley de IA tal como se promulgó originalmente, el Article 113 fija el 2 de agosto de 2026 como fecha de aplicación para los sistemas de alto riesgo del Anexo III (basados en el caso de uso), con el 2 de agosto de 2027 para la IA de alto riesgo integrada en productos del Anexo I. Pero el Digital Omnibus sobre IA de la Comisión, propuesto el 19 de noviembre de 2025, alcanzó un acuerdo político provisional entre el Parlamento y el Consejo a principios de mayo de 2026 (anunciado el 7 de mayo según la nota de prensa del Consejo, refrendado por los embajadores de los Estados miembros el 13 de mayo de 2026). Ese acuerdo aplazaría las obligaciones de alto riesgo del Anexo III autónomo al 2 de diciembre de 2027 y las obligaciones de alto riesgo integradas en productos al 2 de agosto de 2028. A fecha de 8 de junio de 2026 se trata de un acuerdo provisional, todavía no adoptado formalmente por el pleno del Parlamento y el Consejo y no publicado en el Diario Oficial, de modo que aún no es derecho, y la fecha original del 2 de agosto de 2026 sigue legalmente en vigor hasta su adopción. La posición honesta: para la prevención de blanqueo, el planteamiento de agosto de 2026 está en plena evolución tanto porque la propia fecha está llamada a aplazarse como porque, en primer lugar, si un sistema concreto está dentro del ámbito es una cuestión del Anexo III que se decide caso por caso.

En resumen de todo esto: no construya su programa de gobernanza de prevención de blanqueo en torno a un plazo de la Ley de IA que está moviéndose y que, para la mayoría de los casos de uso de prevención de blanqueo, es en el mejor de los casos caso por caso. Constrúyalo en torno a lo que ya es vinculante. Si quiere el andamiaje de documentación técnica para los casos en que la clasificación sí recaiga, nuestra plantilla del Anexo IV para KYC/AML y nuestro manual de supervisión humana del Article 14 son los puntos de partida adecuados.

Qué exige la obligación: supervisión humana, explicabilidad y ejecución auditable para los agentes de prevención de blanqueo¶

Despójese del detalle régimen por régimen y verá recurrir un pequeño conjunto de requisitos operativos a lo largo de DORA, el AMLR que llega, las expectativas de los supervisores y los principios de Wolfsberg. Esto es lo que "gobernado" significa de verdad para un agente de prevención de blanqueo o pagos.

El ancla ajena a los proveedores en la que confía este público es Wolfsberg. El 1 de diciembre de 2022, el Grupo Wolfsberg publicó sus Principles for Using Artificial Intelligence and Machine Learning in Financial Crime Compliance, construidos sobre cinco elementos: Legitimate Purpose; Proportionate Use; Design and Technical Expertise; Accountability and Oversight; y Openness and Transparency. La redacción exacta importa, porque este lector la comprobará. Bajo Accountability and Oversight, los Principios afirman que "FIs are responsible for their use of AI/ML, including for decisions that rely on AI/ML analysis, regardless of whether the AI/ML systems are developed in-house or sourced externally" (las entidades financieras son responsables del uso que hacen de la IA/ML, incluidas las decisiones que se apoyan en el análisis de la IA/ML, con independencia de que los sistemas de IA/ML se desarrollen internamente o se adquieran de un tercero), una afirmación notablemente directa de que comprar el modelo de un proveedor no traslada la responsabilidad. Bajo Design and Technical Expertise, el diseño debe garantizar que los resultados puedan explicarse o demostrarse adecuadamente a partir de los datos de entrada, y la Introducción reclama resultados justos, eficaces y explicables que se supervisen para lograr un rendimiento coherente y estable tras el despliegue. Téngase en cuenta que el propio Wolfsberg no emplea la palabra "robust" ni exige un derecho literal a intervenir y anular las decisiones automatizadas; ese deber de anulación reside en el Article 14 de la Ley de IA de la UE, y ambas cosas no deben confundirse. Más allá de Wolfsberg, FATF, en su informe de 2021 Opportunities and Challenges of New Technologies for AML/CFT, trata la explicabilidad, la supervisión humana y la responsabilidad de la entidad como expectativas de buenas prácticas, señalando que la aportación humana sigue siendo importante para detectar el riesgo residual.

Reúna las fuentes y los requisitos encajan.

• Responsabilidad de la entidad, con intervención cuando resulte de aplicación la Ley de IA. La responsabilidad permanece en la entidad conforme al elemento Accountability and Oversight de Wolfsberg, tanto si el sistema se desarrolla internamente como si se adquiere de un tercero, y esto se aplica siempre. Por separado, cuando un sistema está dentro del ámbito de alto riesgo de la Ley de IA, el Article 14 exige una supervisión humana efectiva que incluya la capacidad de intervenir y anular. Una persona en el bucle que no pueda detener o revertir realmente una acción es decoración, no supervisión.
• Explicabilidad y decisiones trazables. Los resultados deben ser explicables a partir de sus datos de entrada (Wolfsberg), y las exigencias prácticas de la supervisión del AMLR, en particular el plazo de respuesta a la FIU del Article 69, apuntan a procesos trazables y auditables. Una alerta autocerrada sin razonamiento recogido no es un proceso auditable.
• Ejecución auditable y reconstruible. Los deberes de notificación de incidentes y de resiliencia de DORA, y el plazo de respuesta a la FIU de cinco días hábiles del AMLR conforme al Article 69, presuponen ambos que usted puede reconstruir con precisión qué hizo un sistema y por qué, mucho tiempo después de los hechos, conforme al estándar de un examinador.
• Riesgo del modelo de terceros. Como la responsabilidad no se transfiere al proveedor (Wolfsberg) y los proveedores de IA son proveedores terceros de servicios de TIC conforme a DORA, usted debe gobernar los agentes adquiridos (FIS+Anthropic o cualquier otro) con el mismo estándar que los que desarrolla.

Dónde van las puertas de control de sanciones, SAR y pagos: un mapa del ciclo de vida a la evidencia del agente de prevención de blanqueo¶

Este es el centro operativo del argumento. El requisito no es "añadir gobernanza"; es situar puertas de control concretas en puntos concretos del ciclo de vida del agente, y producir evidencia concreta en cada uno. La tabla siguiente mapea las cinco acciones de mayor envergadura de un agente de prevención de blanqueo y pagos al anclaje regulatorio, la puerta de control en tiempo de ejecución que lo satisface y la evidencia que la puerta debe sellar.

El patrón en cada fila es el mismo. El control es un punto de comprobación dentro de la ruta de ejecución, política como código que decide qué puede hacer el agente de forma autónoma frente a qué requiere a una persona designada, y la evidencia es un registro sellado producido en el momento de la decisión, no reconstruido a posteriori. Para los dos casos de mayor volumen hemos publicado planos de flujo de trabajo gobernado: clasificación de alertas de monitorización de transacciones de prevención de blanqueo y resolución de coincidencias del cribado de sanciones.

Lea primero la fila de sanciones, porque es la ilustración más clara de por qué la monitorización no basta. Una autoexoneración falsa de una coincidencia de sanciones verdadera es un incumplimiento de sanciones; un autobloqueo falso congela un pago legítimo. Ninguna de las dos puede corregirse con un cuadro de mando a la mañana siguiente. La puerta tiene que situarse antes de la acción, con la aprobación de un revisor designado exigida por encima de un umbral de confianza o de riesgo.

Los cuadros de mando y los registros no son un registro de auditoría del agente de prevención de blanqueo: qué necesita un examinador de la FIU o de AMLA¶

Aquí es donde la mayoría de los despliegues agénticos de prevención de blanqueo fracasarán en su primera inspección seria. Un cuadro de mando le muestra el presente. Un fichero de registro le muestra lo que un sistema anotó sobre sí mismo. Ninguno es evidencia en el sentido que entienden una FIU, un supervisor de DORA o un examinador de AMLA.

La evidencia tiene tres propiedades de las que carece un cuadro de mando. Es contemporánea, producida en el momento de la decisión, no ensamblada después de que llegue una solicitud. Es completa, ya que recoge los datos de entrada, la política aplicada, la decisión y la persona que la aprobó, como una unidad sellada única. Y es a prueba de manipulaciones: un examinador puede verificar que no se alteró a posteriori, sin tener que creerle bajo palabra. Un plazo de cinco días hábiles de la FIU conforme al Article 69 del AMLR, comprimible a menos de 24 horas en casos urgentes, no es una funcionalidad de notificación; es una prueba de si su trazabilidad de ejecución quedó sellada en el momento en que ocurrió.

Aquí es exactamente donde el posicionamiento de los proveedores se adelanta a lo que puede demostrar. FIS, por ejemplo, describe su agente como operando en un "agent-first governed environment" (entorno gobernado centrado en el agente) en el que "every agent decision is traceable and auditable" (toda decisión del agente es trazable y auditable). Tómelo como un objetivo de diseño. La limitación estructural es que esa traza es autocertificada dentro de la propia plataforma del proveedor: se pide a un auditor que confíe en el registro que el proveedor hace de su propio agente. Eso es un aseguramiento sustancialmente más débil que uno verificable de forma independiente, y no resuelve el problema real del comprador. Un banco real opera un proveedor central de delito financiero, un proveedor puntual aparte para el cribado y agentes propios en otros puntos. Tres registros de auditoría autocertificados en tres formatos no son una estrategia de evidencia. Lo que un examinador quiere es una única capa neutral de control y evidencia que abarque a todos ellos. Consulte nuestra exportación de evidencia de muestra, la lista de comprobación del paquete de evidencia de lo que los auditores piden en realidad, y la metodología de evidencia a prueba de manipulaciones sobre cómo se logra la verificabilidad independiente en la práctica. Aquí es también donde las herramientas de gobernanza se diferencian de las suites de automatización del cumplimiento concebidas para cuestionarios en lugar de para el tiempo de ejecución, una distinción que detallamos en nuestras comparativas con Vanta y OneTrust.

Un agente de prevención de blanqueo y pagos gobernado en la práctica, y un piloto de cuatro semanas¶

Entonces, ¿qué aspecto tiene gobernar por la ejecución como patrón, con independencia de cualquier proveedor concreto? Es un plano de control en tiempo de ejecución que envuelve al agente que desarrolla o compra, en cuatro movimientos.

Gobernar. Usted expresa su política como código (qué tipos de alerta puede autocerrar el agente, el umbral de confianza por encima del cual una coincidencia de sanciones necesita un revisor designado, la regla maker-checker para la presentación de SAR) y esa política reside en el punto de comprobación, no en una carpeta. Operar. El agente se ejecuta y, en cada puerta, el plano de control aplica la política en línea: deja pasar las acciones rutinarias y deriva las relevantes a una cola de aprobación de revisor designado antes de que nada se ejecute. Asegurar. Cada decisión, autónoma o aprobada por una persona, se sella en el momento en que ocurre en un registro de trazabilidad de ejecución con los datos de entrada, la política y la persona aprobadora. Demostrar. Cuando la FIU, su supervisor de DORA o un examinador de AMLA lo pidan, usted produce un paquete de trazabilidad verificable de forma independiente, no una captura de pantalla de un cuadro de mando ni la autocertificación del proveedor. La propiedad decisiva es que esta capa es neutral respecto al proveedor: un único plano de control y evidencia que abarca el agente de FIS+Anthropic, el proveedor puntual de cribado y sus agentes propios, mapeado a DORA, al AMLR y, cuando resulte de aplicación, a la Ley de IA. Puede ver cómo esos controles se mapean a cada marco en nuestra página de mapeo de controles, y el panorama más amplio en nuestra solución para servicios financieros y en el centro de planos de delito financiero.

Si este es el año en que pone un agente de prevención de blanqueo o pagos en producción, no empiece con un memorándum de clasificación. Empiece con un flujo de trabajo real. Nuestro piloto gobernado de cuatro semanas instrumenta un único flujo de trabajo de prevención de blanqueo en vivo, clasificación de alertas o resolución de sanciones, y devuelve métricas de ejecución gobernada más un paquete de trazabilidad firmado que puede poner ante un examinador. Esa es la prueba de si está gobernando por la ejecución o solo por el papeleo. A fecha de junio de 2026, con DORA ya en vivo y el AMLR a dos años vista, las entidades que ganan su próxima conversación supervisora son aquellas cuya evidencia quedó sellada a velocidad de máquina, en la ruta de ejecución, desde el primer día.