CumplimientoPLD.com.mx
Blog →
Artículo FAQPreguntas FrecuentesPLD

Preguntas frecuentes sobre PLD en México: respuestas del regulador vs la práctica real

Las 30 preguntas más frecuentes sobre PLD en México respondidas de forma clara, práctica y con referencia a la regulación vigente.

El cumplimiento PLD en México genera muchas dudas, y no todas tienen respuestas sencillas. Lo que el regulador establece en la ley y lo que ocurre en la práctica cotidiana a veces tiene matices importantes. Esta guía recopila las 30 preguntas más frecuentes que recibimos de oficiales de cumplimiento, directivos y empresarios, con respuestas claras y referencias a la regulación vigente cuando corresponde.

Obligaciones básicas

¿Cuándo exactamente me convierto en sujeto obligado?

Tu condición de sujeto obligado nace cuando realizas alguna de las actividades listadas en el artículo 17 de la LFPIORPI (para actividades vulnerables) o cuando obtienes una autorización para operar como entidad financiera supervisada por la CNBV, Banxico o la CNSF. No hay un momento de registro o “activación” —las obligaciones existen desde que realizas la actividad. Esto significa que muchas empresas llevan meses o años operando como sujetos obligados sin saberlo. La ignorancia no es causal de exención.

Para entidades financieras, las obligaciones suelen estar ligadas a la obtención de la autorización de operación y se establecen en las Disposiciones de Carácter General que emite el regulador correspondiente.

¿Qué pasa si no cumplo con mis obligaciones PLD?

Las consecuencias van desde multas económicas hasta la suspensión de la actividad. Para actividades vulnerables bajo la LFPIORPI, el artículo 55 establece multas de entre 200 y 65,000 días de salario mínimo (aproximadamente $20,000 a $6.5 millones MXN en valores actuales), dependiendo de la gravedad y reincidencia de la infracción. Para entidades financieras, las sanciones son más severas e incluyen la posibilidad de revocación de autorización. Además de las multas formales, el costo reputacional, los problemas de acceso a servicios bancarios y la pérdida de clientes institucionales pueden ser más impactantes que las multas mismas.

¿Cuándo debo presentar mi primer aviso al SAT?

Para actividades vulnerables, el aviso debe presentarse dentro del mes siguiente al cierre del período en que se realizó la operación (trimestral, en la mayoría de los casos). Si tuviste tu primera operación que supera el umbral en enero, el primer aviso debe presentarse en abril a más tardar. Si en un trimestre no tuviste operaciones que superen el umbral, puedes presentar un aviso en cero o simplemente no presentar, dependiendo de la interpretación de tu sector —consulta con tu oficial de cumplimiento la práctica correcta para tu caso.

¿Hay diferencia entre obligaciones del SAT y de la CNBV?

Sí, son regímenes distintos con reguladores distintos. El SAT administra la LFPIORPI para actividades vulnerables no financieras. La CNBV regula a las entidades del sistema financiero (bancos, SOFOMes reguladas, casas de bolsa, etc.) con sus propias Disposiciones de Carácter General. Una empresa puede estar sujeta a ambos regímenes si realiza ambos tipos de actividad.

¿El programa PLD que construya tiene que ser aprobado por el regulador antes de operar?

Para actividades vulnerables bajo la LFPIORPI, no hay un proceso de aprobación previa del programa. El regulador lo revisa durante las visitas de inspección. Para entidades financieras, algunos reguladores requieren que el programa esté disponible para revisión desde el inicio de operaciones, aunque tampoco hay un proceso formal de “aprobación” en la mayoría de los casos. La excepción pueden ser algunos tipos de instituciones específicas donde el regulador sí hace una revisión previa como parte del proceso de autorización.

KYC y expedientes

¿Qué documentos debo pedir a mis clientes personas físicas?

El mínimo regulatorio para personas físicas incluye: identificación oficial vigente (INE, pasaporte), comprobante de domicilio reciente (no mayor a 3 meses en la mayoría de los regímenes), RFC con homoclave, y CURP. Para clientes de mayor riesgo o que superen ciertos umbrales, puede requerirse información adicional como comprobante de ingresos, declaración de impuestos, o estados de cuenta. El nivel de detalle del KYC debe ser proporcional al riesgo que el cliente representa para tu empresa.

¿Qué documentos debo pedir a mis clientes personas morales?

Para personas morales: acta constitutiva y modificaciones, poder notarial del representante que actúa contigo, identificación oficial del representante, RFC de la persona moral, comprobante de domicilio fiscal, y datos del beneficiario controlador (la persona física que en última instancia controla a la empresa). Si la estructura societaria es compleja, puede ser necesario obtener documentación de las entidades intermedias para llegar al beneficiario final.

¿Cuánto tiempo debo conservar los expedientes de mis clientes?

La LFPIORPI establece un mínimo de 5 años a partir de la fecha de la última operación con el cliente. Las Disposiciones de Carácter General de la CNBV pueden establecer plazos distintos para entidades financieras. El expediente debe conservarse de forma que sea accesible y verificable por el regulador en caso de auditoría.

¿Tengo que actualizar el KYC de mis clientes aunque no haya cambios?

Sí. Los expedientes deben actualizarse periódicamente, aunque el cliente no haya notificado cambios. La frecuencia de actualización depende del nivel de riesgo del cliente: los clientes de alto riesgo deben actualizarse más frecuentemente (algunos marcos sugieren anualmente). Para clientes de bajo riesgo, una actualización cada 2-3 años puede ser suficiente, siempre que no haya señales de cambio en su perfil.

¿Qué hago si un cliente se niega a proporcionar la documentación del KYC?

La negativa a proporcionar la documentación de identificación es en sí misma una señal de alerta. Si el cliente no puede o no quiere identificarse según los requisitos regulatorios, no debes establecer la relación comercial. Esta es una de las pocas situaciones donde la regulación te da cobertura para rechazar a un cliente. Documenta el rechazo y las razones en el expediente.

Operaciones y reportes

¿Qué es exactamente una operación inusual?

Una operación inusual es aquella que, por sus características, monto, frecuencia, naturaleza o circunstancias, no corresponde con los antecedentes, actividad o perfil conocido del cliente. La inusualidad no se define por el monto —puede haber operaciones inusuales por debajo de los umbrales de reporte y operaciones de alto monto que son completamente normales para el perfil del cliente. Lo que determina la inusualidad es la desviación del patrón esperado.

¿Cuándo debo reportar una operación inusual?

Cuando el oficial de cumplimiento, después de investigar una alerta, concluye que la operación no tiene una explicación legítima verificable y que existe una base razonable para sospechar que podría estar vinculada con lavado de dinero o financiamiento al terrorismo. No es necesario tener certeza —el estándar es “sospecha razonable”. El reporte debe presentarse dentro del plazo establecido por tu régimen regulatorio (para actividades vulnerables, dentro del mes siguiente al cierre del período).

¿Qué pasa si reporto demasiadas operaciones? ¿Me puedo meter en problemas?

Reportar operaciones de buena fe, incluso si resultan no ser lavado de dinero, generalmente no genera sanciones para el reportante. La regulación protege a quienes reportan de buena fe. Sin embargo, reportar de forma indiscriminada sin análisis previo, o reportar operaciones que el oficial de cumplimiento claramente sabía que eran legítimas, puede ser visto como incumplimiento del deber de análisis. La clave es tener un proceso documentado de evaluación previo al reporte.

¿Qué es una operación relevante y cómo difiere de una inusual?

Una operación relevante es aquella que supera cierto umbral en efectivo, independientemente de si es sospechosa o no. Se reporta por el monto, no por sospecha. Una operación inusual se reporta por sus características sospechosas, independientemente del monto. Ambos tipos de reporte coexisten y tienen plazos diferentes.

¿La ley me obliga a informar al cliente que lo reporté?

No. La regulación prohíbe expresamente el “tipping off” —informar al cliente que fue objeto de un reporte de operación inusual o que está bajo investigación. Hacerlo puede ser constitutivo de delito. Tampoco debes modificar el comportamiento hacia el cliente de forma que le dé a entender que fue reportado.

Software y tecnología

¿Es obligatorio tener software PLD o puedo hacerlo con una hoja de cálculo?

La regulación no exige un software específico —exige que tengas los procesos implementados y documentados. Sin embargo, en la práctica, el regulador evalúa si tu sistema de monitoreo es suficientemente robusto para cumplir con las obligaciones. Una hoja de cálculo puede ser suficiente para una empresa muy pequeña con pocas operaciones, pero para empresas con más de 50-100 operaciones mensuales, el regulador puede cuestionar si ese sistema permite cumplir con el monitoreo requerido. La tendencia regulatoria es hacia una mayor expectativa de respaldo tecnológico.

¿Puede una hoja de cálculo servir para el expediente del cliente?

Para gestionar los expedientes, una hoja de cálculo puede funcionar como inventario de qué expedientes existen y dónde están. Lo crítico es que los documentos del KYC estén almacenados de forma organizada, accesible y conservada por el plazo requerido. La versión digital de los documentos puede estar en carpetas organizadas; lo importante es que el sistema sea ordenado, trazable y que permita encontrar cualquier expediente en una auditoría.

¿Qué debe poder hacer mi sistema tecnológico de PLD?

Un sistema adecuado debe: (1) gestionar expedientes de clientes con sus documentos de KYC, (2) hacer screening automático contra listas de sanciones, (3) monitorear transacciones y generar alertas cuando se activan los criterios definidos, (4) mantener un registro de auditoría de las decisiones del oficial de cumplimiento, y (5) facilitar la generación de los reportes al regulador. No todos estos componentes tienen que estar en el mismo sistema, pero todos deben estar cubiertos de alguna forma.

¿Con qué frecuencia debo actualizar las listas de sanciones contra las que hago screening?

Las buenas prácticas indican que el screening debe hacerse contra versiones actualizadas de las listas, idealmente en tiempo real o con actualizaciones diarias. Las listas cambian frecuentemente —OFAC, por ejemplo, puede agregar o eliminar entidades en cualquier momento. Un sistema que solo actualiza las listas mensualmente o trimestralmente crea ventanas de riesgo importantes.

Auditorías y sanciones

¿Con qué frecuencia el SAT o la CNBV me pueden auditar?

No hay una frecuencia fija o predecible de auditorías. El regulador puede visitarte en cualquier momento, aunque en la práctica las visitas no son aleatorias —suelen ser desencadenadas por señales de riesgo (inconsistencias en los reportes presentados, quejas, inteligencia de otras fuentes) o por ciclos de supervisión sectorial. Algunos sectores son auditados con más frecuencia que otros. La mejor estrategia es operar siempre como si la auditoría pudiera ocurrir mañana.

¿Qué pasa si el regulador me encuentra incumplimientos durante una auditoría?

El proceso típico es: notificación de los hallazgos, posibilidad de presentar descargos o explicaciones, resolución del procedimiento administrativo y, si corresponde, emisión de la sanción. En muchos casos, si los incumplimientos son menores y hay evidencia de buena fe y disposición a corregir, el regulador puede emitir una advertencia en lugar de una multa, o puede dar un plazo para subsanar antes de sancionar. La actitud cooperativa y la capacidad de demostrar mejoras inmediatas son factores que los auditores consideran.

¿Si me multaron, eso queda en un registro público?

Las resoluciones sancionatorias de la CNBV y del SAT pueden ser publicadas, dependiendo de la gravedad. La CNBV publica en su sitio web las sanciones a entidades financieras. Las sanciones del SAT a actividades vulnerables no siempre son de acceso público de forma individual, pero los datos agregados de cumplimiento sí forman parte de los informes que el gobierno publica. El impacto reputacional de una sanción puede ser más dañino que la multa misma si se hace público.

¿Una multa PLD puede generar responsabilidad penal para el oficial de cumplimiento?

Las multas administrativas son responsabilidad de la entidad regulada, no del oficial de cumplimiento individualmente. Sin embargo, si hay evidencia de que el oficial de cumplimiento facilitó activamente la conducta sancionada, ocultó información al regulador o actuó de mala fe, puede haber consecuencias individuales. En situaciones graves, la LFPIORPI y el Código Penal Federal establecen tipos penales que pueden alcanzar a personas físicas.

Preguntas específicas de actividades vulnerables

¿Mi joyería pequeña con ventas menores a $100,000 mensuales está obligada?

La LFPIORPI no establece una exención por tamaño o volumen de ventas para las joyerías. Si tu actividad incluye la compra o venta de joyas, metales preciosos o piedras preciosas, calificas como actividad vulnerable independientemente de tu volumen. Lo que sí varía por volumen son los umbrales que activan las obligaciones de identificación detallada y de reporte: operaciones individuales menores a ciertos montos (aproximadamente 805 UDIS) tienen requisitos más simplificados.

¿Y si no vendí nada el trimestre? ¿Tengo que presentar un aviso en cero?

Si durante un trimestre no tuviste operaciones que superen los umbrales de reporte, la práctica más segura es presentar un aviso indicando que no hubo operaciones reportables. Sin embargo, la regulación no siempre es explícita sobre si el aviso en cero es obligatorio cuando no hay operaciones. Consulta con tu oficial de cumplimiento o con el SAT directamente para la práctica correcta en tu sector específico. En caso de duda, presentar el aviso en cero es siempre la opción más conservadora y protege frente a interpretaciones de incumplimiento por omisión.

¿Una empresa de servicios profesionales (abogados, contadores) tiene las mismas obligaciones que una inmobiliaria?

No exactamente. Los despachos de abogados y contadores están en el artículo 17 de la LFPIORPI, pero solo cuando realizan actividades específicas descritas en la ley (como la constitución de empresas para clientes, la gestión de fideicomisos, etc.), no por la simple prestación de servicios profesionales generales. El alcance exacto de las obligaciones depende del tipo de servicio específico que presten.

Preguntas específicas de entidades financieras

¿Las SOFOMes no reguladas (ENR) tienen las mismas obligaciones que las reguladas (ER)?

Las SOFOMes Entidades No Reguladas (ENR) —aquellas que no tienen vínculos con entidades financieras reguladas y no captan recursos del público— están sujetas a la LFPIORPI como actividades vulnerables, no a las Disposiciones de Carácter General de la CNBV que aplican a las ER. Esto implica un régimen regulatorio generalmente menos exigente que el de las ER, aunque sí tienen obligaciones sustanciales. Si una SOFOM ENR capta recursos del público o se vincula con grupos financieros, puede migrar a la categoría de regulada.

¿Una fintech que opera bajo IFPE (Institución de Fondos de Pago Electrónico) cómo está regulada en PLD?

Las IFPEs están reguladas por la CNBV bajo la Ley Fintech y sus disposiciones de carácter general. Sus obligaciones PLD son similares en estructura a las del resto del sector financiero regulado, aunque con algunas adaptaciones para el modelo de negocio digital. El desafío principal para las IFPEs es el KYC a distancia (sin presencia física del cliente), para lo cual la regulación ha desarrollado marcos específicos de verificación remota.

¿Un banco corresponsal extranjero puede pedirme información sobre mi programa PLD como condición para la relación de corresponsalía?

Sí, y esto es cada vez más común. Los bancos corresponsales internacionales —especialmente los norteamericanos y europeos— están sujetos a regulación PLD muy estricta en sus países de origen y deben hacer debida diligencia sobre sus contrapartes en otros países. Pueden pedirte copias de tu programa PLD, resultados de tus últimas auditorías internas, información sobre tu base de clientes y el perfil de riesgo de tu cartera. No está en su naturaleza compartir esta información externamente, pero sí debes estar preparado para proporcionarla a tus corresponsales como condición de la relación.

¿Qué son las “disposiciones de carácter general” y cuántas hay?

Las disposiciones de carácter general (DCG) son las regulaciones específicas que cada supervisor del sistema financiero emite para las instituciones que regula. La CNBV tiene DCG para bancos, para casas de bolsa, para SOFOMes ER, etc. Banxico tiene las suyas para las instituciones de crédito en materia cambiaria. Cada tipo de institución debe cumplir las DCG que le corresponden según su naturaleza. No hay un único conjunto de reglas para todo el sistema financiero —el régimen es sectorialmente específico.

Conclusión

El PLD en México es un campo donde las preguntas son muchas y las respuestas a veces dependen del contexto específico. Esta guía cubre las dudas más frecuentes, pero cada empresa tiene particularidades que pueden cambiar la respuesta correcta. Cuando haya duda sobre una situación específica, la recomendación siempre es consultar con el oficial de cumplimiento, con un consultor especializado o directamente con el regulador a través de sus canales de consulta oficiales.

Para un panorama completo del marco regulatorio, consulta nuestra guía PLD México 2026. Para comenzar a construir tu programa, lee cómo construir un programa PLD desde cero.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.com.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.