CumplimientoPLD.mx
Blog →
Artículo Listas de SancionesOFACONU

Listas de sanciones internacionales en PLD: OFAC, ONU, GAFI y cómo consultarlas

El screening contra listas de sanciones internacionales es obligatorio en el PLD mexicano. Guía sobre OFAC, ONU, GAFI y cómo implementar la consulta.

Consultar listas de sanciones no es una práctica voluntaria ni un diferenciador competitivo: es una obligación legal que toda entidad sujeta al régimen PLD en México debe cumplir de forma sistemática, documentada y verificable. Un cliente que aparece en la lista SDN de OFAC, en la lista consolidada de sanciones de Naciones Unidas o en la lista de personas bloqueadas de la UIF representa un riesgo jurídico y reputacional de primer orden, y el silencio regulatorio nunca ha sido una defensa válida.

Esta guía explica qué listas existen, qué contienen, cómo acceder a ellas y cómo estructurar un proceso de screening que resista una auditoría regulatoria.

El fundamento normativo del screening en México proviene de múltiples fuentes que se refuerzan mutuamente:

La Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) establece, en su artículo 18, la obligación de identificar a los clientes y verificar que no estén vinculados con actividades ilícitas. Las disposiciones de la CNBV para entidades financieras van más lejos: exigen expresamente la consulta de listas de personas bloqueadas y la verificación de clientes contra bases de datos de sanciones como condición previa y continua de la relación de negocio.

Adicionalmente, México adoptó los estándares del Grupo de Acción Financiera Internacional (GAFI), cuya Recomendación 6 exige que los países implementen sanciones financieras dirigidas relacionadas con el financiamiento del terrorismo. El cumplimiento de esta recomendación requiere, por definición, que las empresas consulten las listas correspondientes y congelen activos o rechacen operaciones cuando haya coincidencias.

En la práctica, no consultar estas listas antes de iniciar una relación de negocio —o no hacerlo de forma continua— expone a la empresa a sanciones administrativas, multas y, en casos graves, responsabilidad penal por colaboración con el financiamiento del terrorismo o el lavado de dinero.

Las principales listas que debes consultar

Lista SDN de OFAC (Office of Foreign Assets Control)

OFAC es la oficina del Departamento del Tesoro de los Estados Unidos responsable de administrar y aplicar sanciones económicas y comerciales. Su Specially Designated Nationals and Blocked Persons List (SDN) es la más relevante a nivel global y, para empresas mexicanas con cualquier vínculo con el sistema financiero internacional, prácticamente obligatoria de consultar.

La lista SDN contiene individuos, empresas, organizaciones y embarcaciones que están sujetos a sanciones de Estados Unidos. Incluye narcotraficantes, terroristas, regímenes extranjeros sancionados, proliferadores de armas y otras categorías de riesgo. Cualquier transacción con alguien en esta lista —incluida la simple prestación de servicios— puede tener consecuencias legales para la empresa, incluso si es mexicana, si existe cualquier nexo con el sistema financiero estadounidense (pagos en dólares, corresponsalía bancaria, etc.).

Acceso gratuito: ofac.treasury.gov/sanctions/programs publica la lista en varios formatos descargables, incluyendo XML estructurado, CSV y PDF. Se actualiza con frecuencia variable: puede haber actualizaciones varias veces a la semana.

Lista consolidada de sanciones de las Naciones Unidas

El Consejo de Seguridad de la ONU emite resoluciones que establecen sanciones contra individuos y entidades vinculados con el terrorismo, la proliferación nuclear y conflictos específicos. Los comités más relevantes son el Comité 1267 (relacionado con Al-Qaida y el Estado Islámico) y el Comité 1988 (relacionado con los talibanes).

La lista consolidada de la ONU tiene relevancia directa para México porque el Estado mexicano, como miembro de la ONU, está obligado a implementar estas sanciones en su legislación interna. Las disposiciones de la CNBV hacen referencia expresa a las listas de organismos internacionales como fuente de verificación obligatoria.

Acceso gratuito: El Comité de Sanciones de la ONU publica la lista consolidada en formato XML y PDF, con actualización continua.

Lista de personas bloqueadas de la UIF México

La Unidad de Inteligencia Financiera (UIF), dependiente de la Secretaría de Hacienda y Crédito Público, publica su propia lista de personas y empresas bloqueadas conforme al artículo 115 de la Ley de Instituciones de Crédito y disposiciones complementarias. Esta lista tiene particular relevancia para entidades financieras mexicanas porque su consulta es expresamente obligatoria bajo las disposiciones de la CNBV.

A diferencia de las listas internacionales, la lista UIF contiene personas vinculadas a investigaciones por lavado de dinero o financiamiento al terrorismo en México específicamente. Su consulta es, en muchos sentidos, la más directamente exigida por el marco regulatorio mexicano.

Acceso gratuito: La lista se publica en el portal de la UIF en la SHCP y se actualiza con menor frecuencia que las listas internacionales, aunque puede haber adiciones en cualquier momento.

Lista negra del SAT (69-B del CFF)

El Servicio de Administración Tributaria publica, conforme al artículo 69-B del Código Fiscal de la Federación, una lista de contribuyentes que presuntamente emiten comprobantes fiscales sin contar con los activos, personal o capacidad para prestar los servicios que facturan. En el contexto PLD, esta lista es relevante porque operar con un EFOS (Empresa que Factura Operaciones Simuladas) puede ser una señal de alerta de estructuración o lavado de dinero a través de facturas apócrifas.

Acceso gratuito: La lista se consulta en el portal del SAT en la sección de listas negras del 69-B.

Listas de PEPs (Personas Políticamente Expuestas)

Las PEPs no son, estrictamente, una lista de sancionados: son personas que, por su cargo público actual o reciente, presentan un perfil de riesgo elevado que exige debida diligencia reforzada. La obligación de identificar a los PEPs está establecida en las disposiciones de la CNBV y en la LFPIORPI.

No existe una lista oficial única de PEPs en México, aunque hay bases de datos comerciales que compilan información de fuentes públicas: declaraciones patrimoniales, listados de funcionarios, registros de congresos estatales y federales, entre otras. El Sistema de Declaraciones PatrimonIales y de Intereses (DeclaraNet) de la Secretaría de la Función Pública es una fuente pública relevante, aunque incompleta para los propósitos de un programa PLD robusto.

Cuándo y con qué frecuencia hacer el screening

El screening no es una acción de una sola vez. Un programa de cumplimiento efectivo requiere verificaciones en tres momentos distintos:

En el onboarding: Antes de establecer cualquier relación de negocio, toda persona física o moral debe ser verificada contra las listas aplicables. Este es el control mínimo exigido por la regulación. La verificación debe documentarse en el expediente del cliente y debe ocurrir antes de ejecutar cualquier transacción.

En operaciones de alto valor: Cuando se realizan operaciones que superan los umbrales de reporte o que presentan características inusuales, es buena práctica realizar una verificación puntual, incluso si el cliente ya fue verificado en el onboarding. Las listas se actualizan constantemente; alguien que estaba limpio hace seis meses puede no estarlo hoy.

Monitoreo continuo: Las disposiciones de la CNBV exigen monitoreo continuo de la relación de negocio. Esto implica que el screening no puede ser un evento único: debe existir un mecanismo para repasar la cartera de clientes activos contra las listas actualizadas de forma periódica. La frecuencia depende del sector y del perfil de riesgo, pero una revisión mensual o al menos trimestral es lo mínimo razonable para una cartera de riesgo medio.

Falsos positivos: qué hacer cuando hay una coincidencia de nombre

El mayor dolor operativo del screening de listas es la gestión de falsos positivos. Un sistema que alerta sobre “Juan García López” encontrará docenas de personas con ese nombre; la mayoría no tendrán nada que ver con la persona sancionada.

El proceso para resolver un falso positivo debe seguir una lógica clara:

  1. Documentar la alerta inmediatamente: Fecha, lista consultada, término de búsqueda y resultado obtenido.
  2. Comparar atributos adicionales: Fecha de nacimiento, nacionalidad, país de residencia, número de identificación, alias conocidos. Cuantos más atributos coincidan, mayor la preocupación.
  3. Consultar la entrada completa en la lista: Las listas de OFAC y ONU incluyen información detallada sobre la persona sancionada, incluyendo alias, fechas de nacimiento y documentos de identidad asociados.
  4. Tomar una decisión documentada: Si se concluye que es un falso positivo, registrar el análisis que llevó a esa conclusión y quién lo autorizó. Si hay duda razonable, escalar al oficial de cumplimiento.
  5. Nunca eliminar el registro: La evidencia de que se realizó la verificación y se analizó la alerta es tan importante como la verificación misma.

Un buen proceso de resolución de falsos positivos protege a la empresa ante una auditoría: demuestra que el sistema funciona, que las alertas se atienden y que las decisiones se documentan.

Documentación de las búsquedas: cómo demostrar que hiciste el screening

Ante una visita de inspección, la pregunta del regulador no será solo “¿realizas screening?” sino “¿puedes demostrarme cuándo, contra qué listas y con qué resultado verificaste a este cliente específico?”. Sin documentación, el screening no ocurrió desde el punto de vista regulatorio.

La documentación mínima de cada búsqueda debe incluir:

  • Nombre completo del sujeto verificado y otros datos identificativos usados.
  • Fecha y hora de la búsqueda.
  • Listas consultadas (SDN, ONU, UIF, SAT, etc.).
  • Resultado: sin coincidencias, o coincidencia analizada y resuelta como falso positivo / verdadero positivo.
  • Nombre o identificación del analista que realizó la búsqueda.
  • En caso de alerta: documentación del análisis de resolución y la autorización correspondiente.

Esta documentación debe conservarse conforme a los plazos establecidos por la regulación aplicable —generalmente diez años para entidades financieras— y debe ser recuperable por nombre de cliente, por fecha y por resultado.

Consulta manual vs. automatizada: por qué el volumen importa

Cuando una empresa tiene menos de 50 clientes nuevos al mes, la consulta manual —acceder al portal de OFAC, buscar el nombre, documentar el resultado— puede ser viable, aunque siempre riesgosa por el error humano. Cuando el volumen supera ese umbral, la consulta manual se convierte en un cuello de botella operativo y en un riesgo de cumplimiento real.

Las fallas más comunes de la consulta manual son:

  • Omisión: El analista no verificó contra todas las listas requeridas, solo contra una.
  • Error tipográfico: Se buscó “Juan Garcia” en lugar de “Juan García” y no se encontró la coincidencia.
  • Falta de documentación: La verificación se hizo pero no se registró.
  • Retraso en la actualización: Se usó una versión descargada de la lista que ya no estaba vigente.
  • Sin monitoreo continuo: El cliente fue verificado en el onboarding pero nunca más.

Un sistema automatizado de screening elimina estos riesgos al estandarizar el proceso, forzar la cobertura de todas las listas configuradas, registrar automáticamente cada búsqueda y alertar en tiempo real cuando hay coincidencias.

Qué debe hacer un buen sistema de screening

Al evaluar una solución tecnológica para el screening de listas, los criterios técnicos que deben guiar la decisión son:

Cobertura de listas: El sistema debe conectarse y actualizarse automáticamente con las listas relevantes —SDN, ONU, UIF, SAT 69-B, listas de PEPs— sin requerir descargas manuales. La cobertura debe ser auditable: debe ser posible saber exactamente qué versión de cada lista se usó en cada búsqueda.

Algoritmos de coincidencia difusa: Un buen sistema no busca solo coincidencias exactas. Debe aplicar algoritmos de coincidencia aproximada (fuzzy matching) que detecten variaciones de nombre, transliteraciones, alias y errores de escritura, mientras mantiene controlada la tasa de falsos positivos.

Velocidad y escalabilidad: El screening no debe ser un cuello de botella en el onboarding. Un sistema eficiente devuelve resultados en segundos, incluso cuando consulta múltiples listas simultáneamente.

Trazabilidad completa: Cada búsqueda debe quedar registrada de forma inmutable con todos los datos necesarios para una auditoría. El log debe ser exportable en los formatos que exigen los reguladores.

Gestión de alertas: El sistema debe tener un flujo de trabajo para resolver alertas: asignación, análisis, decisión y autorización, todo documentado y con fechas.

Regcheq incluye un módulo de screening de listas que cubre estos requisitos: integración con SDN, listas ONU, UIF y SAT 69-B con actualización automática, fuzzy matching configurable por sector y trazabilidad completa de cada búsqueda. Para equipos de compliance que manejan volúmenes medianos y altos, la diferencia entre un proceso manual y uno automatizado no es solo de eficiencia: es de confiabilidad regulatoria.

Preguntas frecuentes

¿Estoy obligado como empresa no financiera a consultar la lista SDN de OFAC? Depende de si tienes operaciones con contrapartes o transacciones que involucren el sistema financiero estadounidense. Cualquier transacción en dólares o con corresponsales bancarios en EE.UU. puede exponer a tu empresa a la jurisdicción de OFAC. Si tienes esa exposición, consultar la SDN es una práctica de gestión de riesgo indispensable, aunque no siempre esté expresamente mandatada por la regulación mexicana.

¿Con qué frecuencia debo actualizar las listas que uso para screening? Las listas de OFAC pueden actualizarse varias veces por semana. En un sistema manual, es prácticamente imposible mantener el ritmo. En un sistema automatizado, la actualización debe ser diaria como mínimo, e idealmente en tiempo real mediante conexión directa a las fuentes oficiales.

¿Qué hago si un cliente ya activo aparece en una lista de sanciones? Debes detener inmediatamente cualquier transacción en curso, notificar al oficial de cumplimiento y, dependiendo de la lista y el tipo de sanción, puede ser necesario congelar activos y reportar a la autoridad competente. Este escenario debe estar contemplado en tu política de cumplimiento con un protocolo de respuesta documentado.

¿La consulta de la lista del SAT 69-B es obligatoria en PLD? No existe una disposición PLD que lo exija expresamente de forma universal, pero operar con EFOSs es una señal de alerta de lavado de dinero. En sectores con alta exposición a facturas, incluirla en el screening es una medida de debida diligencia razonable que los reguladores verán favorablemente.

¿Es suficiente con la consulta en onboarding si el cliente lleva años conmigo? No. Las listas se actualizan constantemente. Un cliente limpio en el onboarding puede ser sancionado después. El monitoreo continuo —revisión periódica de la cartera activa contra listas actualizadas— es una obligación de la debida diligencia continua que exigen las disposiciones de la CNBV.

El screening de listas de sanciones es uno de los controles más verificables del programa PLD: o se hizo o no se hizo, y la evidencia documental lo demuestra de forma inequívoca. Construir un proceso robusto, automatizado y documentado en esta área no solo protege a la empresa del riesgo regulatorio, sino que es, fundamentalmente, la forma de cumplir con la obligación que el legislador y el regulador han establecido de manera explícita.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.