CumplimientoPLD.mx
Blog →
Artículo KYCIdentificación de ClientesPLD

KYC en México: qué es, por qué importa y cómo implementarlo en tu empresa

El KYC (Know Your Customer) es el corazón del cumplimiento PLD en México. Guía completa sobre qué es, qué exige la ley y cómo automatizarlo.

Si el programa de Prevención de Lavado de Dinero de una empresa fuera un edificio, el KYC sería su cimentación. Sin un proceso robusto de conocimiento del cliente, todo lo demás —el monitoreo de transacciones, los reportes regulatorios, la evaluación de riesgos— descansa sobre una base frágil. No es posible detectar que un cliente está haciendo algo inusual si nunca se supo bien quién era ese cliente para empezar.

KYC es el acrónimo de Know Your Customer (Conoce a Tu Cliente), y en el contexto del cumplimiento PLD en México representa el conjunto de políticas, procedimientos y controles que permiten a una empresa identificar a sus clientes, verificar que son quienes dicen ser, entender el perfil de riesgo que representan y monitorear su comportamiento a lo largo del tiempo.

Esta guía explica qué exige la ley mexicana en materia de KYC, cómo estructurar el proceso, cuándo aplicar un KYC reforzado y cómo la tecnología puede transformar un proceso manual, costoso y propenso a errores en un sistema eficiente y auditable.

Qué es KYC y por qué es la base del cumplimiento PLD

El KYC nació como respuesta al reconocimiento, por parte de los reguladores financieros internacionales, de que las instituciones podían convertirse en vehículos involuntarios para el lavado de dinero si no conocían adecuadamente a quienes les solicitaban servicios. El Grupo de Acción Financiera Internacional (GAFI), del cual México es miembro, estableció la debida diligencia del cliente como uno de los pilares fundamentales de cualquier programa antilavado efectivo.

En términos prácticos, el KYC permite a la empresa responder tres preguntas esenciales antes de establecer y durante toda la relación con un cliente:

  1. ¿Quién es este cliente realmente? No solo el nombre que aparece en el contrato, sino quién está detrás, quién lo controla y si coincide con lo que dice ser.
  2. ¿Cuál es el propósito y la naturaleza de su relación con nosotros? ¿Para qué usará los servicios o productos? ¿El uso esperado es consistente con su perfil?
  3. ¿Sus transacciones son consistentes con lo que esperábamos de él? ¿Hay discrepancias que justifiquen una revisión más profunda?

Sin respuestas a estas preguntas, el monitoreo transaccional pierde efectividad, los reportes de operaciones sospechosas se vuelven reactivos en lugar de preventivos, y la empresa queda expuesta a ser utilizada para fines ilícitos sin saberlo.

Qué exige la ley mexicana en KYC

Para entidades financieras: disposiciones de la CNBV

Las disposiciones de carácter general emitidas por la Comisión Nacional Bancaria y de Valores para cada sector financiero —bancos, SOFOMes reguladas, casas de bolsa, aseguradoras, entre otras— establecen obligaciones detalladas de identificación y conocimiento del cliente. Aunque los requisitos específicos varían por tipo de entidad, los elementos comunes incluyen:

  • Identificación del cliente con documentos oficiales vigentes antes de establecer la relación de negocio.
  • Integración y conservación del expediente del cliente con la documentación que acredite su identidad.
  • Identificación del beneficiario controlador en el caso de personas morales.
  • Clasificación del cliente según su nivel de riesgo (perfil de riesgo) y aplicación de medidas de debida diligencia proporcionales a ese riesgo.
  • Actualización periódica de los expedientes de clientes.
  • Monitoreo continuo de las transacciones y comportamiento del cliente.

El incumplimiento de estas obligaciones es uno de los hallazgos más frecuentes en las inspecciones de la CNBV y puede derivar en sanciones significativas para la institución y para el oficial de cumplimiento responsable.

Para actividades vulnerables: LFPIORPI

La Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita establece para las actividades vulnerables un conjunto de obligaciones de identificación del cliente que, aunque menos detalladas que las de la CNBV, son igualmente vinculantes. El artículo 18 de la LFPIORPI obliga a quienes realizan actividades vulnerables a identificar a sus clientes y usuarios, recabar información sobre el propósito de la operación y conservar la documentación.

El umbral a partir del cual aplica la obligación de identificación varía según el tipo de actividad vulnerable. Por encima de ciertos montos, la identificación es obligatoria para cualquier operación; por debajo de esos umbrales, la obligación puede ser menos estricta. En cualquier caso, la tendencia regulatoria en México va hacia una mayor exigencia, no hacia una menor.

Para una visión completa del marco regulatorio PLD en México, incluyendo los umbrales específicos por actividad, te remitimos a nuestra guía de referencia.

Los 4 componentes del KYC: una visión integrada

Un proceso de KYC robusto no es un solo acto puntual al inicio de la relación con el cliente: es un ciclo continuo compuesto de cuatro componentes que se retroalimentan.

1. Identificación del cliente (Customer Identification Program - CIP)

Es el primer paso y el más básico: saber quién es el cliente. Para personas físicas, esto implica recabar y verificar: nombre completo, fecha de nacimiento, CURP, RFC, domicilio, identificación oficial vigente y, en algunos casos, comprobante de domicilio y fotografía.

Para personas morales, la identificación incluye: datos de constitución (nombre, RFC, domicilio fiscal), poderes de representación legal del firmante, y —crítico— la identificación del beneficiario controlador.

El error más común en este componente es recabar los datos sin verificarlos. La identificación no es solo llenar un formulario; es confirmar que los datos son reales y que la persona es quien dice ser.

2. Verificación de identidad

La verificación transforma la identificación en algo confiable. En el KYC tradicional, esto se hacía mediante la revisión física de documentos. En el KYC digital moderno, la verificación se apoya en tecnología: validación de documentos contra bases de datos, reconocimiento biométrico facial, verificación de vigencia del INE contra el Registro Nacional de Población (RENAPO), y consulta de listas de restricciones (OFAC, ONU, listas negras locales).

La verificación también incluye la consulta de listas de Personas Políticamente Expuestas (PEPs) y de personas sujetas a sanciones o con vínculos conocidos con actividades ilícitas.

3. Due diligence (debida diligencia)

La debida diligencia va más allá de saber quién es el cliente: busca entender qué tan riesgoso es y por qué. Implica analizar el propósito y la naturaleza de la relación de negocio, el origen de los fondos del cliente, el volumen y tipo de operaciones esperadas, y la consistencia entre el perfil del cliente y el uso que hará de los productos o servicios.

La profundidad de la due diligence depende del nivel de riesgo del cliente, lo que nos lleva al siguiente componente.

4. Monitoreo continuo

El KYC no termina cuando el cliente es admitido. El monitoreo continuo implica revisar periódicamente si el perfil del cliente sigue siendo consistente con su comportamiento real, si hay cambios en su situación que afecten su nivel de riesgo, si sus transacciones generan alertas, y si hay nueva información pública (noticias adversas, cambios en listas de sanciones) que justifique una revisión.

La frecuencia y profundidad del monitoreo debe ser proporcional al nivel de riesgo del cliente: más intenso para clientes de alto riesgo, más espaciado para clientes de bajo riesgo con comportamiento estable.

KYC básico vs. KYC reforzado: cuándo aplica cada uno

No todos los clientes representan el mismo nivel de riesgo para la organización. El enfoque basado en riesgo —exigido tanto por el GAFI como por la normativa mexicana— establece que los recursos de cumplimiento deben aplicarse de manera proporcional al riesgo que representa cada cliente.

KYC básico (debida diligencia estándar)

Aplica para clientes con perfil de bajo riesgo: personas físicas con actividades económicas claras, domicilio verificable, sin señales de alerta y con operaciones esperadas de volumen moderado y naturaleza consistente con su perfil. El KYC básico cumple con los requisitos mínimos de identificación y verificación, sin profundizar en aspectos adicionales salvo que surja alguna señal de alerta.

KYC reforzado (debida diligencia ampliada o mejorada)

Es obligatorio para clientes que presentan factores de mayor riesgo. Los principales detonantes del KYC reforzado son:

  • Personas Políticamente Expuestas (PEPs): por definición, requieren siempre KYC reforzado.
  • Clientes de países o territorios de alto riesgo: aquellos con deficiencias en sus sistemas ALD/CFT según el GAFI u otras listas de referencia.
  • Operaciones inusuales o complejas: estructuras societarias complejas, operaciones sin propósito económico aparente claro, o clientes que pagan siempre en efectivo.
  • Sectores de alto riesgo: casinos, bienes raíces en ciertas zonas, comercio de metales preciosos, entre otros.
  • Comportamiento inconsistente con el perfil declarado: por ejemplo, un cliente que declaró ingresos de nivel medio y de repente opera volúmenes muy superiores a lo esperado.

El KYC reforzado implica: mayor profundidad en la verificación de identidad, investigación del origen de los fondos, aprobación por parte de niveles jerárquicos superiores para iniciar la relación, y monitoreo más frecuente e intenso.

Identificación del beneficiario controlador: obligación crítica y frecuentemente omitida

La identificación del beneficiario controlador es uno de los aspectos del KYC que más frecuentemente se omite o se cumple de manera deficiente, y al mismo tiempo uno de los que los reguladores revisan con mayor atención.

¿Qué es el beneficiario controlador? Es la persona física que, en última instancia, posee o controla a una persona moral o estructura jurídica, directamente o a través de una cadena de propiedad o control. También puede ser quien ejerce el control efectivo sobre la toma de decisiones de la entidad, aunque no sea el dueño formal.

¿Por qué es importante identificarlo? Porque el lavado de dinero frecuentemente se realiza a través de estructuras societarias que ocultan al verdadero propietario de los recursos. Una empresa puede tener como accionista a otra empresa, que a su vez tiene como accionista a otra empresa, y así sucesivamente, hasta llegar a una persona física cuya identidad se busca ocultar.

¿Cómo documentarlo? El proceso de identificación del beneficiario controlador requiere:

PasoAcciónDocumentación
1Identificar a todos los accionistas o socios de la persona moral clienteActa constitutiva actualizada, libro de accionistas
2Para cada accionista persona moral, repetir el procesoDocumentación societaria de cada nivel
3Identificar a la(s) persona(s) física(s) que en última instancia poseen más del 25% (umbral de referencia)Identificación oficial de la persona física
4Identificar a quien ejerce control efectivo aunque no llegue al umbral de propiedadDeclaración firmada del representante legal
5Documentar la estructura completaDiagrama de estructura societaria con porcentajes

La Reforma Fiscal de 2022 en México introdujo la obligación de las personas morales de identificar y reportar a sus beneficiarios controladores ante el SAT, lo que refuerza esta obligación también desde el ángulo fiscal.

PEPs: definición, riesgo y tratamiento

Las Personas Políticamente Expuestas (PEPs) son individuos que desempeñan o han desempeñado funciones públicas prominentes, ya sea en México o en el extranjero. La categoría incluye jefes de Estado y de gobierno, ministros y secretarios de gabinete, parlamentarios y legisladores, jueces de altas cortes, altos funcionarios de organismos gubernamentales, ejecutivos de empresas estatales y sus familias directas y colaboradores cercanos.

¿Por qué son alto riesgo? No porque un funcionario público sea necesariamente deshonesto, sino porque su posición les da acceso a recursos públicos y a mecanismos que pueden facilitar el lavado de dinero o la corrupción. Los casos de funcionarios que han usado el sistema financiero para ocultar recursos de procedencia ilícita son abundantes en la historia de México y el mundo.

Cómo identificarlos: La verificación de PEPs debe realizarse contra listas especializadas que se actualizan continuamente: listas de PEPs comerciales (bases de datos de proveedores especializados), listas oficiales de funcionarios públicos, y fuentes abiertas. Ninguna lista única es suficiente; la verificación efectiva requiere consultar múltiples fuentes.

Cómo tratarlos: Todo PEP, sin excepción, debe recibir:

  • KYC reforzado desde el inicio de la relación.
  • Aprobación por parte de la alta dirección o del Comité de Riesgos para establecer o continuar la relación.
  • Investigación del origen de los fondos.
  • Monitoreo más frecuente e intenso durante toda la relación.
  • Revisión periódica de su estatus PEP (un exfuncionario sigue siendo considerado PEP durante un período, generalmente entre 12 y 36 meses después de dejar el cargo).

Cómo automatizar el KYC con tecnología

El KYC manual —con papeles físicos, revisiones visuales y hojas de cálculo— no es escalable ni fiable en el entorno regulatorio actual. La tecnología no es un lujo para las empresas medianas y grandes: es una necesidad. Un buen sistema de KYC automatizado debe poder hacer lo siguiente:

Captura digital de datos e integración de documentos. El onboarding del cliente debe ser digital desde el primer momento: captura de datos, carga de documentos y validación automática de formatos.

Verificación automática de identidad. Validación del INE/pasaporte contra bases de datos oficiales, reconocimiento óptico de caracteres (OCR) para extraer datos de documentos, y verificación biométrica (facial matching) para confirmar que el documento pertenece a quien lo presenta.

Consulta automatizada de listas. El sistema debe consultar automáticamente listas de PEPs, listas de sanciones internacionales (OFAC, ONU, UE), listas negras locales y bases de datos de noticias adversas, y alertar cuando haya coincidencias.

Cálculo automático del perfil de riesgo. Basado en los datos del cliente, el sistema debe calcular automáticamente un score de riesgo y determinar el nivel de due diligence aplicable, sin depender de que un analista tome esa decisión caso por caso.

Gestión de expedientes digitales. Todos los documentos, evidencias de verificación y decisiones deben quedar almacenados en un expediente digital estructurado, accesible para auditoría y con control de versiones.

Alertas de actualización de expedientes. El sistema debe avisar cuando un expediente requiere actualización (por vencimiento de documentos o por tiempo transcurrido desde la última revisión) o cuando hay nueva información que justifica una revisión del perfil de riesgo.

Integración con el monitoreo transaccional. El perfil de riesgo del cliente establecido en el KYC debe alimentar directamente las reglas de monitoreo de sus operaciones, como se explica en el artículo sobre operaciones relevantes, inusuales e internas preocupantes.

Los errores más costosos en KYC

Expedientes incompletos. El expediente existe, pero le faltan documentos: la identificación está vencida, falta el comprobante de domicilio, o la información del beneficiario controlador es superficial. Un expediente incompleto es, para el regulador, equivalente a no tener expediente.

Sin actualización periódica. El KYC no es un evento de admisión: es un proceso continuo. Clientes cuyo expediente lleva tres o cuatro años sin actualizarse pueden haber cambiado radicalmente su situación, y la empresa no lo sabe.

Beneficiario controlador no identificado. La estructura societaria del cliente llega solo hasta la empresa holding, sin identificar a la persona física detrás. Este es uno de los hallazgos más graves en una inspección.

PEP no detectado. El cliente es un funcionario público o ex-funcionario, pero nunca se realizó la consulta de listas de PEPs, o se realizó solo al inicio y no se repitió cuando cambió de cargo. Este error puede tener consecuencias muy serias para la entidad.

Due diligence de escritorio vs. due diligence real. Marcar las casillas del formulario sin hacer una investigación genuina. La due diligence real implica analizar si el propósito declarado del cliente es creíble, si el origen de los fondos es coherente con su actividad, y si no hay inconsistencias que requieran investigación adicional.

KYC en México: conoce a tu cliente

Preguntas frecuentes sobre KYC en México

¿Cuándo debo actualizar el expediente de un cliente?

La frecuencia de actualización depende del nivel de riesgo del cliente. Como regla general: clientes de alto riesgo deben actualizarse al menos anualmente; clientes de riesgo medio, cada dos o tres años; clientes de bajo riesgo, cada tres a cinco años. Adicionalmente, cualquier cambio significativo en la situación del cliente —cambio de actividad económica, cambio en la estructura societaria, operaciones inusuales— debe desencadenar una actualización inmediata, independientemente de cuándo fue la última revisión programada.

¿Qué hago si un cliente se niega a proporcionar la información para el KYC?

La negativa del cliente a proporcionar la información requerida para el KYC es, en sí misma, una señal de alerta. Si el cliente no puede o no quiere identificarse adecuadamente, la recomendación es no establecer la relación de negocio. Si la relación ya existe y el cliente se niega a actualizar su expediente, la entidad debe considerar terminar la relación de negocio, y en algunos casos, puede estar obligada a reportar una operación inusual derivada de la negativa a identificarse.

¿El KYC aplica también a proveedores y socios de negocio?

Estrictamente hablando, las obligaciones de KYC definidas en la normativa PLD se refieren a clientes y usuarios. Sin embargo, desde la perspectiva de un programa de cumplimiento robusto y del enfoque basado en riesgo, es buena práctica extender procesos similares de identificación y verificación a contrapartes significativas: proveedores estratégicos, socios de negocio, intermediarios y distribuidores. Esto protege a la empresa de ser involuntariamente asociada a contrapartes con vínculos ilícitos.

¿Puedo hacer el KYC de forma completamente digital?

Sí. La normativa mexicana permite el KYC digital para la mayoría de los sectores, siempre que se cumplan ciertos requisitos de seguridad y verificación. Algunos sectores tienen disposiciones específicas sobre el proceso de onboarding digital (incluyendo biometría y NIP). Es importante verificar las disposiciones aplicables al sector específico antes de implementar un proceso de KYC completamente digital.

¿Qué diferencia hay entre KYC y KYB?

KYC (Know Your Customer) se refiere al proceso de conocimiento del cliente en general. KYB (Know Your Business) es una variante que se aplica específicamente cuando el cliente es una persona moral, con énfasis en entender la estructura, la propiedad y el control de la empresa, incluyendo la identificación del beneficiario controlador. En la práctica, el KYB es un componente del KYC para personas morales, no un proceso separado.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.