CumplimientoPLD.com.mx
Blog →
Artículo CriptomonedasExchangesITF

PLD y criptomonedas en México: regulación actual y obligaciones para exchanges

Los exchanges de criptomonedas en México son ITFs reguladas con obligaciones PLD estrictas. Guía sobre el marco regulatorio y cómo cumplir.

El ecosistema de criptomonedas en México ha madurado lo suficiente para tener su propio marco regulatorio de PLD, y ese marco es más exigente de lo que muchos exchanges y sus equipos de compliance anticiparon. La narrativa del “activo descentralizado sin regulación” es incompatible con operar legalmente en México — los exchanges que operan aquí como Instituciones de Tecnología Financiera (ITFs) tienen obligaciones de cumplimiento PLD/FT tan rigurosas como las de un banco, en algunos aspectos más complejas.

Esta guía está dirigida a equipos de compliance de exchanges y fintechs crypto que necesitan entender el marco regulatorio vigente, sus obligaciones específicas y cómo construir un programa de cumplimiento que funcione en la práctica.

Marco regulatorio de activos virtuales en México

La Ley Fintech (2018)

La Ley para Regular las Instituciones de Tecnología Financiera — comúnmente llamada Ley Fintech — fue publicada en el DOF el 9 de marzo de 2018 y es el primer marco regulatorio en México que reconoce formalmente a los activos virtuales como un objeto de actividad financiera regulada.

La Ley Fintech establece dos tipos de ITF:

  • Instituciones de Fondos de Pago Electrónico (IFPE): procesan pagos electrónicos, incluyendo en activos virtuales
  • Instituciones de Financiamiento Colectivo (IFC): crowdfunding de deuda, capital o copropiedad, incluyendo con activos virtuales

Ambos tipos requieren autorización expresa de la CNBV y están sujetos a sus disposiciones de PLD.

Las circulares de BANXICO

El Banco de México emitió la Circular 4/2019 sobre las condiciones en que las ITF pueden operar con activos virtuales. Esta circular estableció que los activos virtuales que las ITF pueden usar internamente son determinados por el propio BANXICO (a través de publicaciones en el DOF), y que el uso de activos virtuales para el público en general requiere autorización expresa adicional.

Hasta la fecha de este artículo, BANXICO no ha autorizado a ninguna ITF a ofrecer activos virtuales directamente al público. Esto significa que los exchanges que operan con el público en México lo hacen en un estatus regulatorio que merece revisión cuidadosa.

El estatus regulatorio actual: zonas grises que importan

Exchanges autorizados como ITF: son los que pasaron el proceso de autorización de la CNBV bajo la Ley Fintech. Están sujetos a supervisión continua, obligaciones de PLD de la CNBV y los marcos de BANXICO.

Exchanges sin autorización ITF: operan en México sin estar registrados como ITF. Esto no necesariamente significa que sean ilegales — pueden operar bajo otros regímenes — pero sí significa que no tienen las protecciones ni las obligaciones formales de una ITF. La CNBV ha emitido advertencias al público sobre exchanges no autorizados.

Obligaciones LFPIORPI para prestadores de servicios de activos virtuales: independientemente del estatus ITF, cualquier empresa que compra o vende activos virtuales como actividad habitual puede calificar como sujeto obligado bajo la LFPIORPI. Este es un punto que muchos exchanges ignoran: incluso sin autorización CNBV, pueden tener obligaciones de reporte al SAT.

Obligaciones PLD específicas para exchanges autorizados

Las ITF con autorización están sujetas a las Disposiciones de Carácter General en materia de PLD/FT emitidas por la CNBV, que incluyen:

Identificación y conocimiento del cliente (KYC)

El KYC para exchanges tiene particularidades importantes:

  • Verificación de identidad robusta: no es suficiente un selfie y una identificación. La CNBV exige procesos de verificación que incluyan validación biométrica, verificación de liveness y cruce con bases de datos autorizadas.
  • Verificación de PEPs: obligatoria para todos los clientes, no solo los de alto valor.
  • Verificación en listas de sanciones: OFAC, ONU, listas de GAFI y listas nacionales. Para exchanges, esto debe hacerse en tiempo real antes de procesar cada transacción significativa, no solo en el onboarding. Consulta nuestra guía sobre listas de sanciones internacionales.
  • Beneficiario controlador: para clientes persona moral, la identificación del beneficiario controlador es obligatoria.
  • Fuente de fondos: para transacciones que superen umbrales, la declaración de origen de los activos virtuales o de los fondos fiat utilizados para comprarlos.

Perfiles transaccionales y monitoreo

Los exchanges deben establecer perfiles transaccionales para cada cliente: volumen habitual, tipos de activos operados, frecuencia, contrapartes típicas. Las desviaciones de ese perfil deben generar alertas que se investiguen. Consulta nuestro artículo sobre monitoreo transaccional en PLD para el marco general.

El reto del anonimato: KYC en blockchain

Las criptomonedas nacieron con una promesa de pseudoanonimato. El cumplimiento regulatorio moderno va exactamente en dirección contraria. La tensión entre ambas realidades es el desafío técnico central del compliance crypto.

Direcciones de blockchain y KYC

El KYC de un exchange cubre la identidad del usuario de la plataforma — la persona física o moral que tiene una cuenta. Pero en blockchain, ese usuario puede enviar y recibir activos desde y hacia direcciones que no pertenecen al exchange, y que pueden ser anónimas.

Las preguntas que todo equipo de compliance de un exchange debe poder responder:

  • ¿A qué dirección de blockchain está enviando este cliente sus activos cuando los retira?
  • ¿De qué dirección provienen los activos que este cliente deposita?
  • ¿Esas direcciones tienen historial de riesgo?

Blockchain analytics

Las herramientas de análisis de blockchain permiten analizar el historial de transacciones de cualquier dirección pública en redes como Bitcoin o Ethereum. Empresas como Chainalysis, Elliptic y TRM Labs ofrecen bases de datos de riesgo para direcciones: si una dirección ha tenido interacción con mezcladoras, mercados darknet, exchanges sancionados o wallets de grupos terroristas identificados, eso aparece en el análisis.

Para un exchange en México con obligaciones de PLD, integrar blockchain analytics no es opcional si quieres tener un monitoreo transaccional efectivo. La CNBV y los estándares GAFI están convergiendo hacia la expectativa de que los exchanges usen estas herramientas.

Señales de alerta específicas del sector crypto

El GAFI ha publicado orientaciones específicas sobre señales de alerta en activos virtuales. Las más relevantes para el contexto mexicano incluyen:

Señales relacionadas con el comportamiento del cliente

  • Clientes que muestran conocimiento inusual sobre técnicas de evasión de controles
  • Clientes que se niegan a proporcionar información sobre el origen de los fondos sin una justificación razonable
  • Múltiples cuentas con diferentes nombres que operan de manera coordinada
  • Usuarios que intentan verificar si una transacción específica será reportada antes de realizarla

Señales relacionadas con las transacciones

  • Estructuración: múltiples transacciones justo por debajo de los umbrales de reporte
  • Interacción con mezcladoras (mixers/tumblers): herramientas diseñadas para oscurecer el origen de los activos
  • Uso de privacidad coins (Monero, Zcash, Dash) sin justificación comercial clara
  • Flujos hacia exchanges de alto riesgo: plataformas en jurisdicciones sin regulación AML o que han sido sancionadas por OFAC
  • Depósitos inmediatamente seguidos de retiros hacia billeteras externas — sin actividad intermedia en la plataforma
  • Transacciones de activos virtuales vinculadas a direcciones asociadas con ransomware identificado

Señales geográficas

  • Transacciones con contrapartes en jurisdicciones en lista gris o negra del GAFI
  • Direcciones IP de acceso desde países de alto riesgo que no corresponden con el domicilio declarado del cliente
  • Uso de VPNs o redes Tor para acceder a la plataforma

El Travel Rule: qué es y cuándo aplica en México

El Travel Rule es una de las recomendaciones del GAFI (Recomendación 16) que mayor impacto tiene en los exchanges. En términos simples: cuando un exchange envía activos virtuales a otro exchange (o proveedor de servicios de activos virtuales — PSAV), debe transmitir información de identificación del remitente y del destinatario junto con la transacción.

Esto replica el principio que ya existe en las transferencias bancarias internacionales (el wire transfer standard), aplicado al ecosistema de activos virtuales.

Estado del Travel Rule en México

A la fecha de este artículo, México no ha emitido regulación específica que obligue formalmente a los exchanges a implementar el Travel Rule de manera expresa. Sin embargo:

  • Las Disposiciones de PLD/FT de la CNBV para ITF ya contienen obligaciones de identificación y transmisión de información que son compatibles con el espíritu del Travel Rule.
  • Los exchanges que operan internacionalmente — especialmente con contrapartes en jurisdicciones que ya lo implementaron (EU, UE, Singapur, entre otros) — ya deben cumplirlo para esas contrapartes.
  • La tendencia regulatoria es clara: el Travel Rule llegará a México en su forma explícita en los próximos años.

Lo que los exchanges deben hacer hoy: implementar la infraestructura técnica para el Travel Rule aunque no sea aún formalmente obligatorio en México. Las soluciones como Sygna Bridge, Notabene o TRP (Travel Rule Protocol) permiten el intercambio de información entre PSAVs. Ser proactivo en este punto es mucho más fácil que tener que hacerlo reactivamente cuando la regulación lo exija.

¿Cómo integrar cumplimiento con operaciones del exchange?

El mayor error que cometen los equipos de compliance de exchanges es ver el cumplimiento como una función separada de las operaciones. En un exchange, el cumplimiento está embebido en cada transacción:

  • Onboarding: el KYC completo antes de que el usuario pueda operar
  • Depósitos: screening de la dirección de origen antes de acreditar
  • Retiros: screening de la dirección de destino antes de procesar
  • Conversiones: monitoreo del perfil transaccional y alertas por comportamiento inusual
  • P2P trading: verificación adicional cuando hay contrapartes fuera de la plataforma

Cada uno de esos puntos de contacto es un punto de control de cumplimiento. Los equipos de tecnología y los de compliance deben trabajar juntos desde el diseño del sistema, no con el compliance revisando después lo que tecnología ya construyó.

Preguntas frecuentes

¿Los exchanges peer-to-peer (P2P) tienen las mismas obligaciones que los exchanges centralizados? En principio, si facilitan transacciones de activos virtuales como actividad habitual, están sujetos a las mismas obligaciones regulatorias. La naturaleza P2P de la plataforma no exime de las obligaciones de KYC y monitoreo — aunque la implementación técnica es más compleja.

¿Qué pasa si un exchange opera en México pero está registrado en otro país? Si presta servicios a usuarios en México, la CNBV puede considerar que tiene presencia regulatoria en el país y requerir el cumplimiento de la normativa mexicana. Esta es un área en evolución, pero la tendencia internacional es hacia mayor extraterritorialidad en la regulación de activos virtuales.

¿Las DeFi (finanzas descentralizadas) tienen obligaciones PLD en México? Este es uno de los puntos más complejos de la regulación actual. Los protocolos DeFi completamente descentralizados (sin un operador central) presentan un desafío conceptual para la regulación tradicional. Sin embargo, los frontends de DeFi, los proveedores de liquidez y cualquier entidad que tenga control sobre fondos o sobre la plataforma pueden ser considerados sujetos regulados. En México, la posición de la autoridad sobre DeFi no está completamente definida aún. Este es un punto que está en consulta regulatoria y puede cambiar.

¿Es obligatorio usar blockchain analytics en México? No existe una obligación expresa de usar herramientas específicas de blockchain analytics. Sin embargo, la obligación de monitoreo transaccional efectivo y de detectar operaciones inusuales es real — y en la práctica, sin herramientas de análisis de blockchain, es muy difícil cumplir esa obligación de manera efectiva para un exchange.

¿Cómo reporto una operación inusual vinculada a crypto al SAT o la CNBV? El proceso es el mismo que para cualquier operación inusual: el reporte se presenta a través del SPPLD (para actividades vulnerables) o a través de los mecanismos de la CNBV (para ITF). El reporte debe incluir la descripción de la operación, los datos del cliente y la justificación de por qué se considera inusual. Incluir la dirección de blockchain asociada es una buena práctica aunque no siempre esté expresamente requerida.

¿Existen exchanges completamente autorizados por CNBV operando en México hoy? El proceso de autorización de la Ley Fintech ha sido largo. A la fecha, solo un número reducido de empresas han obtenido autorización formal como ITF. Antes de operar con un exchange, verificar su estatus regulatorio en el Registro de ITF de la CNBV es una práctica de diligencia básica.

El cumplimiento PLD en el sector cripto no es más difícil que en la banca tradicional — es diferente. Requiere entender la tecnología de blockchain, las herramientas de análisis on-chain y los riesgos específicos del sector. Pero el marco conceptual es el mismo: conoce a tu cliente, monitorea sus operaciones, detecta lo inusual y repórtalo.

Los exchanges que inviertan ahora en construir programas de cumplimiento robustos tendrán una ventaja competitiva significativa cuando la regulación se endurezca — y la dirección regulatoria en México y globalmente no deja dudas sobre hacia dónde va.

Para el contexto general de PLD en México, consulta nuestra guía PLD México 2026. Para las tendencias que están moldeando el cumplimiento, revisa el artículo sobre tendencias PLD en México 2026.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.com.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.