¿Quién supervisa FATCA y CRS en España?

La Agencia Tributaria (AEAT) actúa como autoridad competente para recibir y transmitir la información FATCA y CRS. Banco de España y CNMV supervisan la organización, el gobierno corporativo y los riesgos de las entidades financieras, mientras que SEPBLAC es la unidad de inteligencia financiera en materia de prevención de blanqueo. Para el régimen QI el principal supervisor y contraparte contractual es el IRS (Estados Unidos).

¿Qué sanciones pueden imponerse en caso de incumplimiento?

Las consecuencias incluyen requerimientos de información, regularizaciones y sanciones tributarias, medidas disciplinarias y sancionadoras por parte de Banco de España, CNMV o SEPBLAC, así como, desde la perspectiva estadounidense, exigencias adicionales de remediación o, en casos graves, restricciones o terminación del estatus QI y la posible aplicación de una retención del 30 % en virtud de FATCA en determinados pagos.

¿Cómo reducir el riesgo de hallazgos negativos en supervisiones?

Es clave contar con un plan anual de cumplimiento FATCA/CRS/QI, controles sólidos de TIN y GIIN, una buena documentación de la data lineage y pruebas de envío, la alineación de los procesos AML/KYC con la clasificación fiscal y un proceso de remediación rápido, documentado y con responsables claros cuando se detectan incidencias.

España — Supervisión y sanciones (FATCA, CRS/AIA & QI)

Última actualización: 21 de noviembre de 2025

España — Supervisión y sanciones

¿Quién supervisa qué? AEAT (FATCA/CRS), Banco de España, CNMV y SEPBLAC (organización, gobierno corporativo, AML/KYC) y IRS (QI). Resumen de ámbitos de supervisión, posibles medidas y hallazgos típicos, incluido el riesgo sancionador en caso de incumplimiento.

1) ¿Quién supervisa qué?

Autoridad/organismo	Enfoque principal	Ejemplos de áreas de control/supervisión
AEAT (Agencia Tributaria)	Declaraciones FATCA y CRS/AEOI	Corrección y exhaustividad de los ficheros XML, países y TIN declarados, datos de GIIN, presentación de declaraciones sustitutivas/correctivas, cumplimiento de plazos y coherencia con otra información fiscal y de terceros.
Banco de España / CNMV	Organización, gobierno corporativo, solvencia y conducta de mercado	Diseño e implantación de procesos de alta de clientes y seguimiento continuo, roles y responsabilidades, control interno y función de cumplimiento, calidad de datos e infraestructuras de TI, reporting regulatorio y la integración de FATCA/CRS/QI en el marco general de gestión de riesgos.
SEPBLAC (unidad de inteligencia financiera)	Prevención de blanqueo de capitales y financiación del terrorismo (AML/CFT)	Medidas de diligencia debida e identificación del titular real, segmentación de riesgos, monitorización de operaciones, calidad de los expedientes KYC y coordinación entre obligaciones AML y requisitos de clasificación FATCA/CRS.
IRS	Régimen QI (retención en la fuente de EE. UU.)	Documentación W-8/W-9 y aplicación del criterio «reason-to-know», determinación del beneficiario efectivo, correcta retención y declaración (formularios 1042/1042-S), QI Periodic Review y seguimiento de hallazgos/certificación.

2) Posibles medidas por parte de las autoridades

AEAT Requerimientos de información, exigencia de declaraciones complementarias/correctivas, regularización de situaciones tributarias y, en su caso, imposición de sanciones administrativas por infracciones formales o materiales en materia de información.
Banco de España / CNMV Requerimientos y recomendaciones de mejora en el ámbito de gobierno corporativo, control interno, reporting y organización; ante deficiencias graves o reiteradas pueden imponerse sanciones, amonestaciones públicas y medidas de supervisión reforzada.
SEPBLAC Exigencia de planes de remediación en materia de PBC/FT, comunicaciones al supervisor sectorial y, en casos graves, propuestas de expediente sancionador por incumplimientos de la normativa de prevención de blanqueo.
IRS (QI/FATCA) Obligación de remediations (mejora de documentación, retención y reporting), revisiones adicionales y, en supuestos más graves, riesgo de restricciones o terminación del status QI; bajo FATCA, en último término, riesgo de retención del 30 % en determinados pagos si la entidad se trata como Nonparticipating FFI.

3) Hallazgos típicos (ejemplos)

Brechas de TIN / US-TIN: TIN o US-TIN ausentes o inválidos sin un proceso de seguimiento documentado y eficaz.
Errores de GIIN: GIIN desactualizados o incorrectos, discrepancias frente a la lista de FFI del IRS o clasificación errónea de entidades.
Inconsistencias de datos entre expedientes KYC/AML, reportes FATCA, reportes CRS y documentación QI.
Gobierno corporativo débil: roles poco claros, escasa implicación del órgano de administración, ausencia de segregación de funciones y gestión de incidencias poco estructurada.
Fallos técnicos: errores de esquema o de business rules, envíos tardíos de correcciones, pruebas insuficientes tras cambios o migraciones de sistemas.

4) Riesgo sancionador (visión general)

Ámbito fiscal y de información: Riesgo de requerimientos intensivos, regularizaciones tributarias, sanciones económicas por incumplimientos en obligaciones de suministro de información FATCA/CRS y mayor nivel de escrutinio en futuras campañas de control.
Ámbito supervisor (Banco de España, CNMV, SEPBLAC): Requerimientos formales, planes de acción obligatorios, sanciones administrativas, posibles amonestaciones públicas y supervisión intensificada cuando las deficiencias en gobernanza, AML/KYC y calidad de datos revelan problemas estructurales.
Perspectiva estadounidense (QI/FATCA): Exigencia de medidas correctoras adicionales, limitaciones o resolución del acuerdo QI en caso de incumplimientos graves o persistentes; además, bajo FATCA, potencial retención del 30 % sobre determinados pagos si la entidad pasa a ser tratada como Nonparticipating FFI.

5) Prevención y medidas correctoras

Prevención

Definir un plan anual de cumplimiento para FATCA/CRS/QI con hitos, responsables y recursos claros.
Documentar la data lineage y el mapeo desde sistemas origen hasta campos reportados; incluir pruebas de envío en el calendario.
Implantar controles sólidos de TIN y GIIN (conciliaciones periódicas, alertas, campañas de datos con clientes).
Alinear los pasos de AML/KYC con los requisitos de clasificación para FATCA/CRS (self-certifications, indicia, «change in circumstances»).
Impartir formación periódica a equipos de negocio, KYC, fiscalidad, compliance y TI/reporting.

Cuando ya hay hallazgos (internos o externos)

Realizar un análisis de causa raíz rápido y documentado, con un plan de remediación concreto y plazos definidos.
Garantizar un rastro de auditoría completo: desde la incidencia detectada hasta su cierre, incluyendo pruebas de re-ejecución y validación.
Conciliar datos entre KYC ↔ FATCA ↔ CRS ↔ QI para corregir inconsistencias sistémicas.
Valorar una interlocución proactiva con AEAT, Banco de España/CNMV, SEPBLAC o IRS en casos especialmente complejos o de criterio.

6) Otras páginas dentro del hub España

Hub España: Página principal España (QI, FATCA, CRS/AIA)
Marco regulatorio: Fuentes normativas y reparto de competencias
Mecanismos de reporte: Envío & aspectos técnicos (AEAT)

Hable con nosotros Volver al hub España

Aviso: Las medidas y sanciones concretas dependerán siempre de los hechos y circunstancias del caso concreto. Resultan determinantes las normas vigentes en cada momento, los criterios y guías de las autoridades españolas competentes y, para el régimen QI, las disposiciones aplicables del IRS.