Skip to content
Detección IA & DeepfakeNuevo

Señales IA, sintéticos, deepfakes

Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Cumplimiento15 min de lectura

Conformidad KYC/AML para Neobancos y Banca Digital en México 2026

Guía completa de obligaciones KYC y PLD/FT para neobancos, fintechs e instituciones de banca digital en México 2026: Ley Fintech, CNBV, UIF, LFPIORPI, INE/CURP y automatización documental.

El equipo CheckFile
El equipo CheckFile·
Illustration for Conformidad KYC/AML para Neobancos y Banca Digital en México 2026 — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Los neobancos y las instituciones de banca digital que operan en México se rigen en 2026 por un marco de prevención de lavado de dinero y financiamiento al terrorismo (PLD/FT) tan exigente como el de la banca tradicional, con la particularidad de que sus modelos 100% digitales eliminan la posibilidad de recurrir a la verificación presencial como respaldo. La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech, 2018), la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI, 2012) y las disposiciones de la Comisión Nacional Bancaria y de Valores (CNBV) y de la Unidad de Inteligencia Financiera (UIF) forman el núcleo normativo. El incumplimiento ha derivado en sanciones administrativas para diversas fintech supervisadas por la CNBV entre 2023 y 2025.

Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento legal, financiero ni regulatorio. Las obligaciones regulatorias varían según el tipo de entidad y la naturaleza de los servicios prestados. Consulte a un profesional del derecho para un análisis adaptado a su situación.

Los neobancos y fintechs mexicanos operan bajo licencias específicas que determinan el nivel de supervisión regulatoria aplicable:

  • Instituciones de Fondos de Pago Electrónico (IFPE): autorizadas por la CNBV conforme a la Ley Fintech, permiten emitir, administrar y redimir fondos de pago electrónico. Nu Mexico (Nubank), Mercado Pago y Clip operan bajo esta categoría. Las IFPE no pueden captar depósitos, pero sí mantener cuentas de fondos de pago electrónico.
  • Instituciones de Financiamiento Colectivo (IFC): también reguladas por la Ley Fintech, operan plataformas de crowdfunding en modalidades de deuda, capital o copropiedad.
  • Bancos múltiples con operación digital: entidades autorizadas por la CNBV como bancos múltiples que operan predominantemente a través de canales digitales (banca en línea y app móvil), sujetas al marco completo de la Ley de Instituciones de Crédito.

En todos los casos, las obligaciones de PLD/FT previstas en la LFPIORPI y en las disposiciones de carácter general emitidas por la CNBV se aplican sin excepción. La Circular Única de Instituciones de Tecnología Financiera (CUIFE) establece los requisitos KYC específicos para las IFPE e IFC.

Identificación del cliente: INE, CURP, RFC y documentación exigida

Las disposiciones de la CNBV en materia de PLD/FT y la LFPIORPI establecen los requisitos mínimos de identificación del cliente para la apertura de cuenta y el inicio de la relación comercial. La verificación debe ocurrir antes de cualquier movimiento de fondos.

Personas físicas (INE/CURP)

La credencial para votar del INE (Instituto Nacional Electoral), también conocida como IFE, es el documento de identidad primario aceptado por la CNBV para la identificación de personas físicas. A diferencia de otros países, México dispone de un sistema de verificación biométrica integrado en el INE. Además del INE, los neobancos deben recabar y verificar:

  • CURP (Clave Única de Registro de Población): identificador personal de 18 caracteres, obligatorio para todos los ciudadanos y residentes en México; verifica la identidad ante el Registro Nacional de Población (RENAPO);
  • RFC (Registro Federal de Contribuyentes): expedido por el SAT, es el identificador fiscal de la persona física; obligatorio para clientes con actividad económica formal;
  • Comprobante de domicilio con antigüedad no mayor a tres meses;
  • Verificación biométrica facial con detección de vivacidad (liveness detection), requerida para la apertura de cuentas a distancia conforme a las disposiciones de la CNBV.

La CNBV permite la verificación de identidad a distancia mediante la consulta en línea a la base biométrica del INE/RENAPO, lo que facilita la validación sin necesidad de presentación física del documento. Este mecanismo es utilizado por la mayoría de las IFPE para el onboarding digital.

Personas morales (RFC/CNBV)

Para clientes empresariales, los neobancos deben recabar:

  • RFC de la persona moral, con validación ante el SAT (Servicio de Administración Tributaria);
  • Acta constitutiva con registro en el Registro Público de Comercio;
  • Poder notarial vigente de los representantes legales y apoderados, con identificación de cada uno (INE + CURP);
  • Identificación del beneficiario controlador conforme a la reforma al Código Fiscal de la Federación (artículos 32-B Ter al 32-B Quinquies): toda persona física que posea, directa o indirectamente, el 25% o más del capital, o que ejerza control efectivo sobre la persona moral, debe ser identificada y registrada ante el SAT.

El SAT pone a disposición de las entidades financieras mecanismos de consulta para verificar la validez del RFC y los datos del beneficiario controlador, una herramienta clave para el KYC empresarial automatizado.

Obligaciones PLD/FT: lo que exige la Ley Fintech y la LFPIORPI

La LFPIORPI y las disposiciones de la CNBV en materia de PLD/FT para ITF estructuran las obligaciones en cinco pilares que toda fintech o neobanco debe cumplir.

Política PLD/FT y evaluación interna de riesgos

Toda IFPE e IFC debe elaborar y mantener actualizada una Política PLD/FT aprobada por el consejo de administración o su equivalente, que incluya una evaluación interna de riesgos considerando los productos y servicios ofrecidos, los canales de distribución, los perfiles de clientes atendidos y las zonas geográficas de operación. La ausencia de atendimiento presencial es un factor de riesgo que debe estar expresamente identificado en la política y mitigado con controles específicos.

Monitoreo de operaciones y umbrales de reporte

La LFPIORPI establece obligaciones de monitoreo diferenciadas según el tipo de operación:

  • Toda actividad vulnerable que supere $1,605 dólares americanos (equivalente en pesos al tipo de cambio vigente) en operaciones con efectivo debe ser reportada a la UIF;
  • Las Operaciones Relevantes (OR): operaciones en efectivo o equivalentes que superen $10,000 dólares americanos o su equivalente en pesos deben reportarse a la UIF en un plazo de 30 días hábiles;
  • Los Reportes de Operaciones Inusuales (ROI): toda operación en la que existan elementos para sospechar que los recursos provienen de actividades ilícitas debe reportarse en 60 días hábiles a partir de la fecha de la operación o de la detección del indicio.

Los sistemas de monitoreo transacional de los neobancos deben detectar patrones de fraccionamiento de operaciones, lavado a través de múltiples cuentas IFPE y comportamientos inconsistentes con el perfil declarado del cliente.

Reportes a la UIF mediante SITI

La UIF (Unidad de Inteligencia Financiera) es la Unidad de Inteligencia Financiera de México, dependiente de la Secretaría de Hacienda y Crédito Público (SHCP). Las IFPE e IFC deben designar un Oficial de Cumplimiento registrado ante la CNBV, responsable de los reportes a la UIF a través del sistema SITI (Sistema de Interconexión para el Transporte de Información).

El incumplimiento en los reportes a la UIF puede resultar en multas de hasta 100,000 veces la Unidad de Medida y Actualización (UMA) diaria, así como en la suspensión o revocación de la autorización otorgada por la CNBV.

Programa de Autocorrección y Auditoría Interna

Las disposiciones de la CNBV exigen que las ITF cuenten con un Programa Anual de Auditoría en materia de PLD/FT, practicado por un auditor interno o externo independiente. Los resultados deben ser presentados al consejo de administración y estar disponibles para las visitas de inspección de la CNBV. La CNBV ha intensificado las inspecciones a IFPE e IFC desde 2022, con énfasis en la calidad de los expedientes de identificación y en los sistemas de monitoreo transacional.

Conservación de documentos

El artículo 44 de la LFPIORPI establece la obligación de conservar toda la documentación de identificación y los registros de operaciones durante 10 años contados desde la fecha de la operación o del cierre de la cuenta. Este plazo es uno de los más exigentes a nivel regional y supera los estándares de la mayoría de los países latinoamericanos.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

Tabla de requisitos KYC por tipo de cliente y nivel de riesgo

Tipo de cliente Documentos obligatorios Nivel de diligencia Frecuencia de revisión Umbral de reporte UIF
Persona física estándar INE + CURP + RFC + domicilio + biometría Normal (CDD) Cada 3 años OR: $10,000 USD; ROI: cualquier operación inusual
Persona moral (empresa nacional) RFC + acta constitutiva + representantes + beneficiario controlador Normal (CDD) Cada 3 años OR: $10,000 USD; ROI: cualquier operación inusual
Persona Políticamente Expuesta (PPE) Idem + origen del patrimonio/fondos Reforzada (EDD) Anual ROI ante cualquier indicio de inusualidad
Contraparte de país de alto riesgo GAFI Idem + debida diligencia reforzada Reforzada (EDD) Semestral ROI inmediato ante cualquier transacción
Estructura compleja (fideicomiso, SAP, offshore) Identificación beneficiario controlador + organigrama notarial Reforzada (EDD) Anual ROI ante inconsistencias en la estructura
Operación en efectivo > $1,605 USD Verificación de identidad + origen de fondos Monitoreo especial Por operación Reporte obligatorio LFPIORPI

Ley Fintech y licencias CNBV: implicaciones para el KYC

La Ley Fintech (publicada el 9 de marzo de 2018) creó el marco regulatorio específico para las Instituciones de Tecnología Financiera en México. Para los neobancos, las implicaciones más relevantes en materia de KYC son:

  • Verificación de identidad a distancia: la Ley Fintech permite explícitamente la apertura de cuentas y la verificación de identidad por medios digitales, siempre que se cumplan los controles de PLD/FT establecidos por la CNBV;
  • Uso de tecnología biométrica: la CNBV aprobó el uso de reconocimiento facial y verificación del INE por medios electrónicos para el onboarding digital, alineándose con los estándares del GAFI para verificación no presencial;
  • Activos virtuales: las ITF que operen con activos virtuales (criptomonedas) requieren autorización expresa del Banxico conforme al artículo 30 de la Ley Fintech. Las obligaciones de KYC y PLD/FT para activos virtuales son equivalentes a las de los fondos de pago electrónico.

Nu Mexico (Nu Mexico, S.A., IFPE) fue autorizada por la CNBV en 2020 y es uno de los ejemplos más citados de implementación del marco Ley Fintech a escala. Mercado Pago, Kubo Financiero y Clip operan también bajo supervisión de la CNBV con obligaciones PLD/FT plenas.

LFPDPPP e INAI: protección de datos en el proceso KYC

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) regula el tratamiento de datos personales por entidades del sector privado, incluyendo los neobancos y IFPE. El INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) es la autoridad supervisora. El INAI sancionó a diversas empresas por violaciones a la LFPDPPP en 2024 y 2025.

Para los neobancos, los puntos críticos de cumplimiento en el proceso KYC son:

  • Aviso de privacidad: debe informarse al cliente de forma clara qué datos se recopilan, con qué finalidad y cuánto tiempo se conservan, antes de iniciar la recopilación;
  • Datos biométricos: son datos personales sensibles bajo la LFPDPPP y requieren consentimiento expreso para su tratamiento. El KYC regulatorio se apoya en la excepción de obligación legal, pero el aviso de privacidad debe ser explícito;
  • Derechos ARCO: los clientes tienen derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) sobre sus datos personales. Los neobancos deben contar con mecanismos habilitados para atender solicitudes ARCO en los plazos establecidos por la LFPDPPP;
  • Transferencias de datos: la transferencia de datos de identidad a proveedores de tecnología KYC externos requiere cláusulas contractuales que garanticen niveles de protección equivalentes.

La plataforma CheckFile para KYC bancario cumple con los estándares de protección de datos exigidos por la LFPDPPP y las disposiciones de la CNBV. Para más información sobre la arquitectura de seguridad, consulte nuestra página de seguridad.

Beneficiario controlador: reforma al CFF y obligaciones para neobancos

La reforma al Código Fiscal de la Federación (artículos 32-B Ter al 32-B Quinquies, en vigor desde 2022 y reforzada por criterios del SAT en 2024) obliga a todas las personas morales a identificar y reportar al SAT quién es su beneficiario controlador — la persona física que, directa o indirectamente, posea el 25% o más del capital con derecho a voto, o que ejerza control de hecho sobre la entidad.

Para los neobancos, esta reforma tiene dos implicaciones directas:

  1. Clientes persona moral: el neobanco debe recabar la información del beneficiario controlador como parte del expediente KYC y verificar la consistencia con el registro ante el SAT;
  2. El neobanco mismo: la propia institución fintech debe mantener actualizado su registro de beneficiario controlador ante el SAT, lo que es verificado por la CNBV en sus inspecciones.

La verificación del beneficiario controlador mediante la plataforma de consulta del SAT puede integrarse en el flujo de onboarding KYC mediante API, reduciendo el tiempo de verificación de días a minutos.

Sanciones por incumplimiento de las obligaciones PLD/FT

La CNBV dispone de amplias facultades sancionadoras en materia de PLD/FT. Las sanciones aplicables bajo la LFPIORPI y la Ley Fintech incluyen:

  • Amonestación;
  • Multa de hasta 100,000 veces la UMA diaria (aproximadamente $6.5 millones de pesos en 2026);
  • Inhabilitación temporal de directivos;
  • Suspensión o revocación de la autorización CNBV.

Adicionalmente, el INAI puede imponer multas de hasta 320,000 veces el salario mínimo vigente por violaciones a la LFPDPPP relacionadas con el tratamiento indebido de datos personales en el proceso KYC.

Automatización KYC: por qué los neobancos mexicanos adoptan verificación documental automatizada

Los neobancos mexicanos procesan volúmenes de onboarding que hacen inviable la revisión manual sistemática. Una IFPE de tamaño medio con 30,000 nuevos registros mensuales que dependiera del análisis manual de documentos requeriría entre 50 y 100 analistas a tiempo completo — incompatible con los modelos de costos del sector fintech.

La verificación automatizada de documentos que ofrece la plataforma CheckFile permite a los neobancos mexicanos:

  • Extracción de datos por OCR de INE, pasaporte mexicano y CURP con precisión superior al 99%, incluyendo la validación del dígito verificador;
  • Verificación de autenticidad documental: detección de adulteraciones, hologramas inválidos y elementos de seguridad comprometidos en documentos INE;
  • Comparación biométrica facial con detección de vivacidad conforme a los estándares de la CNBV para verificación no presencial;
  • Cruzamiento automatizado con listas de PPE, sanciones de la UIF, OFAC y otras listas internacionales en tiempo real;
  • Generación de expediente digital con el rastro de auditoría completo requerido por las disposiciones de la CNBV para demostrar el cumplimiento PLD/FT en inspecciones.

Consulte nuestra página de precios para conocer los planes disponibles para IFPE, IFC y bancos digitales de distintos tamaños.

Preguntas frecuentes

¿Qué es la Ley Fintech y quiénes deben cumplirla?

La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech), publicada el 9 de marzo de 2018, regula las Instituciones de Fondos de Pago Electrónico (IFPE) y las Instituciones de Financiamiento Colectivo (IFC) en México. Toda entidad que opere fondos de pago electrónico (billeteras digitales, neobancos) o plataformas de financiamiento colectivo debe obtener autorización de la CNBV y cumplir con las obligaciones de PLD/FT establecidas en la ley y en las disposiciones de carácter general de la CNBV. El texto de la ley está disponible en el portal de la CNBV.

¿Cuál es el umbral de reporte obligatorio a la UIF para operaciones en efectivo?

Las operaciones en efectivo o equivalentes superiores a $10,000 dólares americanos (o su equivalente en pesos al tipo de cambio del día) deben reportarse a la UIF como Operaciones Relevantes (OR) dentro de los 30 días hábiles siguientes. Adicionalmente, toda operación en efectivo que supere $1,605 dólares en actividades vulnerables debe reportarse bajo la LFPIORPI. Para las Operaciones Inusuales (ROI), el plazo es de 60 días hábiles desde la detección. Los reportes se realizan a través del sistema SITI de la UIF.

¿Los neobancos deben verificar el beneficiario controlador de sus clientes empresa?

Sí. Las disposiciones de la CNBV en materia de PLD/FT y la reforma al Código Fiscal de la Federación (artículos 32-B Ter al 32-B Quinquies) exigen que los neobancos identifiquen y verifiquen al beneficiario controlador de todos sus clientes persona moral: la persona física con el 25% o más del capital o con control efectivo. Esta información debe recabarse en el onboarding y actualizarse ante cambios societarios, y puede verificarse mediante consulta a la base del SAT.

¿Cómo afecta la LFPDPPP al proceso KYC de un neobanco?

La LFPDPPP exige que el tratamiento de datos personales durante el KYC (INE, CURP, biometría) esté amparado por un aviso de privacidad claro y, en el caso de datos biométricos, por el consentimiento expreso del titular o una excepción legal debidamente documentada. Los clientes tienen derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Los documentos de identificación deben conservarse 10 años conforme a la LFPIORPI, pero no pueden retenerse por plazos mayores sin nueva base legal. El INAI supervisa el cumplimiento y puede sancionar con multas de hasta 320,000 veces el salario mínimo.

¿Qué significa ser IFPE y cuál es la diferencia con un banco tradicional?

Una IFPE (Institución de Fondos de Pago Electrónico) está autorizada por la CNBV bajo la Ley Fintech para emitir, administrar y redimir fondos de pago electrónico (cuentas de dinero electrónico). No puede captar depósitos a la vista como un banco múltiple ni otorgar crédito con recursos propios. Las obligaciones de KYC y PLD/FT son equivalentes a las de un banco, pero el perímetro de actividades es más reducido. Un banco múltiple con operación digital tiene un perímetro más amplio y requisitos prudenciales adicionales. Más detalles en el portal de la CNBV.

¿Cuáles son las principales causas de sanciones CNBV a fintechs en México?

Las inspecciones de la CNBV a IFPE e IFC han identificado como causas recurrentes de sanción: expedientes de identificación incompletos (falta de INE válido, CURP o beneficiario controlador), sistemas de monitoreo transacional insuficientes para detectar operaciones inusuales, retrasos en el envío de reportes a la UIF, y programas de PLD/FT no actualizados o no aprobados formalmente por el consejo. La CNBV publica las resoluciones sancionatorias en su portal oficial.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Cumplimiento10 min

Know Your Supplier (KYS): verificación de proveedores y cumplimiento en México

Guía KYS para empresas mexicanas: LFPIORPI, UIF, CNBV, SAT, EFOS y due diligence de proveedores en el marco regulatorio mexicano de 2026.

Leer
Cumplimiento9 min

Cumplimiento AML para gestores de patrimonio y asesores en México 2026

Guía completa de obligaciones PLD/FT para gestores de patrimonio, asesores de inversión y family offices en México 2026: KYC, UIF, CNBV, LFPIORPI, INE/RFC y automatización documental.

Leer
Cumplimiento8 min

Protección de denunciantes en México: cumplimiento y documentación 2026

Obligaciones documentales para programas de integridad y protección de denunciantes en México: Sistema Nacional Anticorrupción, LFPIORPI, UIF y SESNA. Guía para empresas mexicanas.

Leer