Reporte de operaciones sospechosas a la UAF: cuándo estás obligado y cómo no quedar expuesto

Si manejas una inmobiliaria, una promotora, un casino, una empresa en la Zona Libre o un despacho de agentes residentes, hay una palabra que probablemente te quita el sueño cada vez que entra un cliente nuevo con un perfil raro: reportar. Más concreto, presentar un reporte de operaciones sospechosas, el famoso ROS, a la Unidad de Análisis Financiero. Y la pregunta que casi siempre llega tarde es la misma: ¿en qué momento estoy obligado a hacerlo y qué pasa si me equivoco?

En Panamá esa obligación no es opcional ni es un trámite que puedas dejar para cuando tengas tiempo. Nace de la [Ley 23 de 27 de abril de 2015](https://www.mef.gob.pa/wp-content/uploads/2020/10/Ley-23-de-27-de-abril-de-2015.pdf), la norma que adopta las medidas para prevenir el blanqueo de capitales, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva, y que fue modificada después por la Ley 21 de 2017 y la Ley 70 de 2019. Vamos a aterrizar qué te exige de verdad, dónde se equivoca casi todo el mundo y cómo montar un proceso que no dependa de la memoria de una sola persona.

## Qué es realmente un ROS y por qué no es lo mismo que el RTE

Acá hay una confusión que cuesta multas. Mucha gente mete en el mismo saco el reporte de operaciones sospechosas y el reporte de transacciones en efectivo, y son dos cosas distintas con lógicas opuestas.

El reporte de transacciones en efectivo y cuasi-efectivo, el RTE, es automático y depende de un monto. Según la [UAF](https://www.uaf.gob.pa/Reporte-de-Transacciones-en-Efectivo-y-Cuasi-Efectivo), los sujetos obligados informan las transacciones en efectivo iguales o superiores a B/.10,000 realizadas en o desde Panamá. No tienes que pensar si la operación es buena o mala: si cruza el umbral, se reporta y punto. Es objetivo, mecánico, basado en una cifra.

El ROS funciona al revés. No depende de un monto, depende de tu criterio. Lo disparas cuando una operación, sin importar su tamaño, no calza con el perfil del cliente, con su actividad declarada o con la lógica económica esperable. Un depósito de B/.2,500 puede ameritar un ROS y una transferencia de B/.500,000 perfectamente justificada puede que no. Por eso el RTE se automatiza con una regla y el ROS se construye con análisis. Confundirlos lleva a dos errores caros: reportar como ROS todo lo que pasa de diez mil, que satura tu propio expediente, o creer que mientras nadie supere el umbral no tienes nada que reportar, que es justamente lo que un esquema de lavado bien armado busca aprovechar fraccionando montos.

## Quién está obligado en Panamá

La Ley 23 separa a los sujetos obligados financieros, supervisados por la Superintendencia de Bancos y otros reguladores, de los sujetos obligados no financieros, que caen bajo la órbita de la [Superintendencia de Sujetos No Financieros](https://www.mef.gob.pa/intendencia-de-supervision-y-regulacion-de-sujetos-no-financieros/), la antigua Intendencia adscrita al Ministerio de Economía y Finanzas.

Si tu negocio es no financiero, conviene que revises con calma el [marco normativo de la Superintendencia](https://ssnf.gob.pa/wp-content/uploads/2022/02/Marco-normativo-de-la-Superintendencia-de-Sujetos-no-Financieros_Ver3.pdf), porque la lista es más amplia de lo que la gente asume. Quedan dentro las empresas de la Zona Libre de Colón y de otras zonas francas, los casinos y operadores de juegos de suerte y azar, las promotoras y los corredores de bienes raíces cuando intervienen en la compraventa de inmuebles, las empresas de construcción, las que transportan valores, los comerciantes de metales y piedras preciosas y las actividades profesionales del artículo 24, donde entran abogados y agentes residentes. Si estás en cualquiera de esas categorías, la obligación de detectar y reportar ya es tuya, tengas o no un oficial de cumplimiento con título colgado en la pared.

## El mito del monto mínimo y de "estar seguro"

Este es el malentendido que más sanciones genera, y vale la pena ser tajante. Para presentar un ROS no necesitas un monto mínimo y, sobre todo, no necesitas tener certeza de que hubo un delito.

La propia [UAF](https://www.uaf.gob.pa/Preguntas-Frecuentes) lo deja claro: una vez que el sujeto obligado cataloga la operación de un cliente como sospechosa, no necesita tener la certeza de que se trata de una actividad delictiva, basta con que la operación sea sospechosa conforme a lo que establece la ley. Esa diferencia entre sospecha y certeza es la que paraliza a tantas empresas. El dueño dice "pero yo no sé si está lavando" y por esperar a saberlo nunca reporta. La ley no te pide investigar como fiscal ni probar nada; te pide detectar una señal y trasladarla a la autoridad, que es quien tiene las herramientas para cruzarla con otras piezas. Guardar el reporte hasta estar seguro no es prudencia, es incumplimiento.

Tampoco existe una lógica de "si avisé al cliente le hago un favor". Avisarle que vas a reportarlo, el tipping off, está prohibido y te expone a ti directamente. El ROS es confidencial por diseño y esa confidencialidad te protege.

## Cómo se reporta y por dónde

El canal oficial es la plataforma UAF en Línea, descrita por la [UAF](https://www.uaf.gob.pa/INFORMACION-GENERAL-) como un medio de comunicación segura por el que los sujetos obligados envían tanto los reportes de transacciones en efectivo como los reportes de operaciones sospechosas y las respuestas a las listas de Naciones Unidas. No se reporta por correo, ni por llamada, ni dejándolo anotado en una libreta interna: se carga en la plataforma, con su estructura y su trazabilidad.

Y acá conviene leer la [guía de calidad de ROS](https://www.uaf.gob.pa/tmp/file/485/Guia-de-Calidad-de-ROS-General.pdf) que la propia UAF publica, porque un ROS mal armado, vago o sin sustento es casi tan problemático como no reportar. Un reporte que dice "el cliente nos pareció raro" sin describir la operación, el perfil, lo esperado y la desviación no le sirve a nadie y queda como evidencia de que tu proceso es flojo.

## De la detección al reporte: dónde se cae la mayoría

El reporte es el último eslabón, no el primero. El problema rara vez es que alguien detecte algo sospechoso y decida no reportarlo; el problema es que nunca lo detectó porque no tenía con qué.

Piensa en la cadena completa. Para sospechar de una operación necesitas antes conocer al cliente, haber definido cuál es su perfil esperado, haber verificado contra listas de sanciones y personas expuestas políticamente, y estar monitoreando si su comportamiento se desvía de lo que declaró. Si ese trabajo previo se hace a mano, en una hoja de cálculo que solo entiende quien la creó, lo que ocurre es predecible: las verificaciones se vuelven inconsistentes, el monitoreo no existe en la práctica y cuando llega una inspección no hay manera de demostrar qué se revisó ni cuándo.

### El expediente que sostiene un ROS

Un ROS sólido no se escribe en el momento del reporte; se va construyendo desde el onboarding. Es la diferencia entre poder narrar con fechas y documentos por qué una operación se salió del patrón, o tener que improvisar una justificación bajo presión. Por eso la calidad de tu debida diligencia y de tu monitoreo termina definiendo la calidad de tus reportes, y ambas cosas dependen menos de la buena voluntad del equipo que de tener un proceso que registre cada paso.

## Cómo encaja la tecnología en todo esto

Acá es donde la herramienta correcta cambia el juego, no para reemplazar el criterio del oficial de cumplimiento sino para que ese criterio tenga insumos confiables. En sof-IA construimos [PEP Check](https://sof-ia.net) precisamente para esa parte de la cadena que sostiene al ROS: el tamizaje sistemático de clientes contra listas de sanciones, personas expuestas políticamente y noticias adversas, con cada consulta registrada y fechada para que el expediente exista de verdad cuando lo necesites.

La idea no es que el software decida por ti si algo es sospechoso, porque esa decisión es y debe seguir siendo humana. La idea es que cuando llegue el momento de decidir, tengas delante el perfil del cliente, su historial de verificaciones y las alertas que se levantaron, en lugar de tener que reconstruir todo de memoria. Un buen tamizaje reduce los falsos positivos que agotan a tu equipo y, al mismo tiempo, deja huella de la diligencia que aplicaste, que es exactamente lo que un supervisor te va a pedir demostrar. Detectar bien es lo que hace que reportar sea la consecuencia natural de un proceso, y no un acto de pánico.

## Qué hacer esta semana

Si lees esto y sientes que tu empresa está expuesta, no necesitas un proyecto de seis meses para empezar a corregir. Conviene que confirmes primero si eres sujeto obligado revisando las categorías de la Ley 23, que verifiques que tienes acceso activo a UAF en Línea y que alguien sepa operarla, y que mires con honestidad si hoy podrías reconstruir el expediente de cualquier cliente ante una inspección. Si la respuesta a lo último es que no, ahí está tu prioridad, porque sin ese expediente ni el mejor criterio del mundo te salva en una auditoría.

El ROS no es el enemigo. Es la salida que la ley te da para protegerte cuando algo no calza. El verdadero riesgo no es reportar de más, es haber construido un negocio que no sabe detectar. Si quieres ordenar esa parte, en sof-IA podemos ayudarte a montar el tamizaje y la trazabilidad que tu cumplimiento necesita.