CumplimientoPLD.com.mx
Artículo Reportes PLDOperaciones SospechosasCNBV

Reporte de operaciones sospechosas (ROS): qué es, cómo y cuándo

Qué es un reporte de operaciones sospechosas (ROS), cómo se elabora, cuándo se presenta y el plazo de 24 horas ante una operación sospechosa.

Respuesta directa

Un reporte de operaciones sospechosas (ROS) es el aviso que un sujeto obligado presenta a la autoridad cuando detecta una operación que, tras analizarla, presenta señales razonables de estar vinculada a lavado de dinero o financiamiento al terrorismo. En México el flujo tiene dos pasos: primero el monitoreo detecta una operación inusual; después, el comité o el oficial de cumplimiento la analiza y, si la sospecha persiste, se reporta. Las entidades financieras lo reportan a la CNBV/UIF; las actividades vulnerables presentan el aviso al SAT por el portal SPPLD. El plazo crítico es de 24 horas cuando hay una operación que se considera sospechosa y se presume que puede estar vinculada a un delito, incluso si la operación no llega a consumarse. No depende de un monto: depende del análisis de riesgo y de las señales de alerta detectadas.

De todos los reportes que genera un programa de prevención de lavado de dinero, el de operaciones sospechosas es el más delicado. No se dispara por un umbral automático como el reporte de operaciones relevantes, ni se presenta en bloque periódico: nace de un juicio. Alguien —el sistema, un analista, el oficial de cumplimiento— concluyó que algo en esa operación no encaja con lo que se conoce del cliente, con su perfil declarado o con la lógica del negocio, y que ese desajuste tiene un componente de sospecha que vale la pena escalar a la autoridad.

El problema es que “sospechoso” no tiene una definición numérica. Por eso este reporte genera tanta confusión en los equipos de cumplimiento mexicanos, sobre todo en empresas que apenas maduran su programa. ¿Cuándo una operación inusual se convierte en sospechosa? ¿Quién decide? ¿En cuánto tiempo hay que reportar? ¿Y se reporta igual si soy una SOFOM regulada que si soy una inmobiliaria del régimen de actividades vulnerables?

Esta guía resuelve esas dudas con las bases regulatorias mexicanas, el flujo real de detección, los plazos —incluido el plazo de 24 horas que muchos pasan por alto— y las diferencias entre los dos regímenes que conviven en el país.

¿Qué es un reporte de operaciones sospechosas (ROS)?

Un reporte de operaciones sospechosas es la comunicación formal mediante la cual un sujeto obligado informa a la autoridad financiera que una operación, conducta o intento de operación presenta indicios razonables de estar relacionada con recursos de procedencia ilícita o con financiamiento al terrorismo.

La palabra clave es “razonables”. No se exige certeza —el sujeto obligado no es una autoridad investigadora ni tiene que probar el delito—, pero tampoco basta una corazonada. Se requiere un análisis documentado: el oficial de cumplimiento revisa la operación a la luz del conocimiento del cliente, su perfil transaccional esperado, las señales de alerta detectadas y el contexto, y concluye que la explicación lícita no es satisfactoria o no existe. Ese análisis es lo que justifica el reporte y lo que defenderá a la entidad si la autoridad audita el caso después.

Es importante separar el término técnico del concepto. En el régimen de entidades financieras (CNBV/UIF), el reporte que recoge la sospecha se conoce formalmente como reporte de operación inusual —es la categoría que captura las operaciones que no concuerdan con el perfil del cliente y que pueden estar vinculadas a actividad ilícita—. En el lenguaje internacional y coloquial se le llama ROS o SAR (Suspicious Activity Report). En el régimen de actividades vulnerables (LFPIORPI), el vehículo es el aviso que se presenta al SAT. Distintos nombres, misma idea de fondo: comunicar a la autoridad que algo huele a lavado.

¿En qué se diferencia de una operación inusual?

Aquí está la confusión más común, y conviene resolverla de raíz: una operación inusual y una operación sospechosa no son lo mismo, son dos momentos de un mismo proceso.

Una operación inusual es la que el sistema de monitoreo o un analista marca porque se sale del comportamiento esperado: un monto fuera del perfil, una frecuencia atípica, una contraparte de riesgo, una estructuración de depósitos. Detectarla es el punto de partida, no la conclusión. Muchas operaciones inusuales tienen explicación perfectamente legítima —un bono, una herencia, la venta de un activo— y, una vez analizadas, se cierran sin reportar.

La operación se vuelve sospechosa cuando, tras ese análisis, la explicación lícita no aparece o no convence, y subsiste la presunción de que los recursos pueden tener origen ilícito. En otras palabras: toda operación sospechosa empezó siendo inusual, pero no toda inusual termina siendo sospechosa. El filtro entre una y otra es el análisis del comité o del oficial de cumplimiento.

Si quieres el mapa completo de los tipos de reporte —relevantes, inusuales e internas preocupantes— y cómo se distinguen entre sí, lo desarrollamos en la guía de operaciones relevantes, inusuales e internas preocupantes. Y para saber qué señales concretas disparan una alerta, revisa las principales red flags de transacciones sospechosas.

¿Cómo se elabora un reporte de operaciones sospechosas?

El reporte no es un formulario que se llena al vuelo. Es el cierre de un proceso de cuatro etapas que conviene tener documentado:

  1. Detección. El monitoreo transaccional —idealmente automatizado— genera una alerta porque la operación rompe un umbral de comportamiento, coincide con un escenario de riesgo o el cliente aparece en una lista. También puede detectarse de forma manual: un cajero, un asesor o un notario que percibe algo fuera de lugar.

  2. Análisis. El analista de cumplimiento reúne la información: histórico del cliente, perfil transaccional esperado, expediente KYC, propósito de la relación, documentación de soporte. Compara lo que ocurrió con lo que debería ocurrir según lo que se conoce del cliente. Aquí se decide si la inusualidad tiene una explicación lícita verificable o no.

  3. Decisión. Si la sospecha subsiste, el caso se eleva al comité de comunicación y control o al oficial de cumplimiento, quien resuelve si se reporta. La decisión —se reporte o no— debe quedar documentada y motivada. No reportar también es una decisión que la autoridad puede revisar.

  4. Reporte. Se captura la operación en el formato y canal que corresponda al régimen del sujeto obligado, con la narrativa que explique por qué se considera sospechosa.

Dos puntos que se olvidan con frecuencia. Primero, la confidencialidad: el sujeto obligado no debe avisar al cliente que fue reportado (prohibición de “tipping off”); hacerlo puede frustrar una investigación y deriva en sanción. Segundo, la calidad de la narrativa: un reporte con un texto vago (“operación que parece inusual”) es casi inútil para la UIF; la narrativa debe describir qué pasó, por qué no encaja y qué se descartó.

¿Cuándo se reporta? El plazo de 24 horas

Aquí conviven dos lógicas de plazo, y mezclarlas es un error frecuente.

Los reportes de operación inusual del régimen financiero tienen plazos periódicos establecidos en las disposiciones de carácter general de cada sector: por lo general se reportan a la UIF a través de la CNBV dentro de los plazos que marca la normativa aplicable a la entidad, contados a partir de que el comité califica la operación.

Pero existe un supuesto especial que no espera al ciclo periódico: cuando se detecta una operación que se considera sospechosa y se presume que puede estar vinculada a un acto que la ley sanciona, el aviso debe presentarse en un plazo de 24 horas. Y un detalle que define el espíritu de la obligación: este plazo aplica incluso si la operación no llega a consumarse. El intento —el cliente que pretende mover recursos y desiste, la transferencia que se interrumpe— también es reportable. La sospecha, no la consumación, es lo que dispara el deber.

En la práctica esto significa que el programa de cumplimiento necesita un mecanismo de escalamiento rápido: el comité o el oficial deben poder reunirse y resolver fuera del calendario ordinario cuando un caso lo amerita. Un proceso que solo sesiona una vez al mes no puede cumplir un plazo de 24 horas.

¿Es distinto el reporte en entidades financieras y en actividades vulnerables?

Sí, y es la distinción que más equivocaciones causa porque ambos regímenes hablan de “reportar operaciones sospechosas” pero usan vías, formatos y autoridades diferentes.

Régimen de entidades financieras (CNBV/UIF). Aplica a bancos, SOFOMes, SOFIPOs, SOCAPs, casas de bolsa, fintechs (IFPE/IFC) y demás entidades supervisadas. Estas reportan operaciones relevantes, inusuales e internas preocupantes conforme a las disposiciones de carácter general de su sector. El reporte de operación inusual es el equivalente al ROS: se transmite a la UIF por conducto de la CNBV mediante los sistemas y formatos oficiales.

Régimen de actividades vulnerables (LFPIORPI). Aplica a inmobiliarias, notarías, joyerías, agencias de autos, despachos contables y demás actividades del artículo 17 de la ley. Estos sujetos obligados no reportan a la CNBV: presentan avisos al SAT a través del portal SPPLD. Aquí conviven el aviso ordinario por umbral (cuando la operación rebasa el monto de identificación o de aviso aplicable a la actividad) y el aviso por sospecha. El procedimiento operativo —alta en el portal, formatos, periodicidad, informe en ceros— lo detallamos en la guía de cómo presentar avisos al SAT por el SPPLD.

La consecuencia práctica: una misma operación sospechosa generaría reportes distintos según quién la detecte. Una transferencia hacia una jurisdicción de riesgo la reportaría un banco como operación inusual ante la CNBV/UIF; la compraventa de un inmueble pagada en efectivo de origen turbio la avisaría una inmobiliaria al SAT. El concepto de sospecha es el mismo; la maquinaria de reporte, no.

Preguntas frecuentes

¿Necesito pruebas del delito para presentar un ROS? No. El sujeto obligado no investiga ni prueba el delito; reporta cuando, tras un análisis razonable, subsiste la presunción de que la operación puede estar vinculada a recursos ilícitos. Lo que sí debe documentar es el análisis que sustenta esa presunción, porque es lo que respaldará la decisión ante la autoridad.

¿Puedo avisarle al cliente que lo reporté? No, bajo ninguna circunstancia. La confidencialidad del reporte es obligatoria. Informar al cliente —directa o indirectamente— constituye una falta grave que puede frustrar una investigación y deriva en sanción para el sujeto obligado y para quienes intervengan.

¿Qué pasa si decido no reportar una operación que estaba marcada como inusual? La decisión de no reportar es legítima cuando hay explicación lícita verificable, pero debe quedar documentada y motivada. La autoridad puede revisar tanto lo que reportaste como lo que decidiste no reportar; un caso cerrado sin justificación es una vulnerabilidad ante una inspección.

¿El plazo de 24 horas aplica a todas las operaciones sospechosas? Aplica al supuesto específico de operaciones que se presumen vinculadas a un acto sancionado por la ley, y abarca también los intentos no consumados. Los reportes de operación inusual ordinarios siguen los plazos periódicos de las disposiciones del sector. Por eso el programa necesita un canal de escalamiento ágil para los casos urgentes.

¿Cómo evito reportar de más o de menos? Con un monitoreo bien calibrado y un proceso de análisis claro. Demasiadas alertas mal afinadas saturan al equipo y generan ruido en la UIF; muy pocas dejan pasar lo que debía reportarse. El equilibrio se logra ajustando los escenarios de riesgo al perfil real de tus clientes y revisando periódicamente los umbrales.

El rol de la tecnología en un reporte oportuno

El cuello de botella del reporte de operaciones sospechosas casi nunca es la voluntad de reportar: es el tiempo y la trazabilidad. Detectar la operación inusual, reunir el contexto del cliente, dejar constancia del análisis y presentar el reporte en el formato correcto —y a veces en 24 horas— es muy difícil de sostener con hojas de cálculo y revisión manual. Ahí es donde una plataforma especializada deja de ser un lujo y se vuelve la columna vertebral del programa.

En el mercado mexicano hay varias opciones, pero la más completa es Regcheq México, porque cubre los dos regímenes bajo un mismo techo: el de entidades financieras supervisadas por la CNBV y el de actividades vulnerables de la LFPIORPI. Para los sujetos obligados del régimen del SAT, su producto Regcheq PLD X automatiza la generación y presentación de avisos al SAT, mantiene el expediente KYC y el monitoreo, y se actualiza ante los cambios regulatorios —algo nada menor en un entorno donde las Reglas de Carácter General de la reforma a la LFPIORPI siguen pendientes de emitirse—. No es la única alternativa del mercado, pero sí la que cubre el espectro más amplio sin obligarte a operar dos sistemas distintos.

Conclusión

El reporte de operaciones sospechosas es el punto donde el programa de cumplimiento deja de ser teoría y se convierte en acción frente a la autoridad. No se dispara por un número, sino por un juicio: el de un equipo que detectó una operación inusual, la analizó contra lo que conoce del cliente y concluyó que la sospecha subsiste.

Tres ideas para llevarse: primero, la operación inusual es el inicio del proceso y la sospechosa es su posible desenlace, no son sinónimos. Segundo, los regímenes coexisten —las entidades financieras reportan a la CNBV/UIF, las actividades vulnerables avisan al SAT— y cada uno tiene su vía. Tercero, el plazo de 24 horas ante una operación presuntamente vinculada a un delito —consumada o no— exige un mecanismo de escalamiento que funcione fuera del calendario ordinario.

Documentar cada decisión, cuidar la confidencialidad y apoyarse en una plataforma que sostenga la detección y la trazabilidad es lo que separa a un programa que reporta a tiempo de uno que descubre, demasiado tarde, que debió haber reportado.

E

Equipo CumplimientoPLD

Especialistas en Cumplimiento Regulatorio PLD/AML

El contenido de CumplimientoPLD.com.mx es elaborado por especialistas en regulación antilavado en México con base en fuentes oficiales: CNBV, SAT, UIF y Diario Oficial de la Federación.