KYC para proveedores de servicios de pago en México: CNBV, UIF y LFPIORPI 2026

Los proveedores de servicios de pago (PSP) en México están sujetos a un marco regulatorio de prevención de lavado de dinero y financiamiento al terrorismo (PLD-FT) definido por la Comisión Nacional Bancaria y de Valores (CNBV), la Unidad de Inteligencia Financiera (UIF) del SAT (Servicio de Administración Tributaria) y el Banco de México (Banxico). La Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) y la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech, 2018) constituyen el eje normativo. En 2026, el ecosistema fintech mexicano continúa madurando con la plena implementación del sistema de pagos CoDi/SPEI y la regulación específica de las Instituciones de Fondos de Pago Electrónico (IFPE).

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico, financiero ni regulatorio. Consulte con un profesional cualificado para su situación específica.

¿Qué PSP están sujetos a obligaciones KYC en México?

La Ley Fintech y las circulares de la CNBV definen las categorías de PSP regulados en México:

Las IFPE, definidas en el artículo 22 de la Ley Fintech, están explícitamente sujetas a la LFPIORPI y a las disposiciones de la CNBV en materia de PLD-FT. Deben obtener autorización de la CNBV antes de operar y cumplir con las Disposiciones de Carácter General aplicables a las Instituciones de Tecnología Financiera en materia de PLD/CFT.

Los transmisores de dinero y centros cambiarios que no son intermediarios financieros regulados por la CNBV quedan bajo la supervisión directa del SAT/UIF a través de la LFPIORPI.

Marco regulatorio mexicano: Ley Fintech, LFPIORPI y disposiciones CNBV

Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech, 2018) Esta ley, promulgada el 9 de marzo de 2018, creó el marco regulatorio para las instituciones de tecnología financiera en México. El Capítulo IV regula las IFPE y establece la obligación de contar con mecanismos de identificación de clientes (KYC), monitoreo de operaciones y comunicación de operaciones inusuales a la UIF. Las disposiciones secundarias de la CNBV desarrollan los requisitos específicos. Fuente: Ley Fintech, Diario Oficial de la Federación

LFPIORPI (Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita) Publicada el 17 de octubre de 2012, la LFPIORPI establece obligaciones PLD-FT para actividades no financieras y los denominados "sujetos obligados no financieros", entre los que se incluyen transmisores de dinero, casas de cambio, y plataformas de financiamiento. Define las "actividades vulnerables" que deben registrarse ante el SAT y presentar avisos cuando superen ciertos umbrales. Fuente: LFPIORPI, DOF

Disposiciones PLD/CFT de la CNBV La CNBV ha emitido Disposiciones de Carácter General aplicables a las IFPE en materia de PLD/CFT, actualizadas en 2023-2024. Exigen: programa formal de PLD-FT, política de identificación de clientes, procedimientos de diligencia debida, monitoreo de operaciones y sistema de alertas, y comunicación de operaciones inusuales y preocupantes a la UIF. Fuente: CNBV, regulación PLD/CFT

Para una visión completa del cumplimiento KYC/AML, consulte nuestra guía de cumplimiento AMLD6 para sujetos obligados.

Obligaciones KYC concretas para PSP en México

Identificación y verificación de clientes: documentos aceptados

Las disposiciones CNBV para IFPE exigen la identificación y verificación de la identidad de todos los clientes antes del inicio de la relación de negocio, con base en una evaluación de riesgos proporcional. Para personas físicas:

Para personas morales, la identificación incluye:

• Acta constitutiva y últimas reformas
• RFC de la empresa
• Identificación del representante legal (INE + poderes notariales)
• Identificación de los beneficiarios controladores — personas físicas que controlan directa o indirectamente más del 25 % del capital o ejercen control efectivo, conforme al artículo 32-B Ter del CFF (Código Fiscal de la Federación)

Desde enero de 2022, la Resolución Miscelánea Fiscal obliga a las personas morales a identificar y registrar ante el SAT a sus beneficiarios controladores, en línea con los estándares internacionales del GAFI.

Diligencia debida reforzada: cuándo y cómo

Las disposiciones CNBV y la LFPIORPI identifican situaciones de riesgo elevado que requieren medidas reforzadas:

• Personas Políticamente Expuestas (PEP) mexicanas: funcionarios de alto nivel del gobierno federal, estatales y municipales; magistrados, ministros de la Suprema Corte, militares de alta graduación, gobernadores
• Clientes con vínculos en países de alto riesgo GAFI: jurisdicciones en las listas negra o gris del GAFI
• Operaciones en efectivo ≥ 10 000 USD (o su equivalente en pesos): la LFPIORPI define umbrales en USD para operaciones vulnerables
• Clientes no presenciales o con dirección en el extranjero
• Operaciones complejas sin finalidad económica aparente

La identificación de PEP en México debe abarcar también a ex-funcionarios en los 12 meses posteriores a su cese, y a sus cónyuges, concubinas/concubinos, hijos y ascendientes.

Monitoreo continuo de operaciones

Los PSP deben mantener vigilancia permanente sobre sus clientes conforme a las disposiciones CNBV:

Umbrales regulatorios para PSP en México

Los umbrales bajo la LFPIORPI se expresan en SMVDF (Salarios Mínimos Vigentes en el Distrito Federal) o en USD, dependiendo de la actividad:

Los avisos al SAT/UIF deben presentarse a más tardar el día 17 del mes siguiente al mes en que se realizaron las operaciones.

Comunicaciones a la UIF: obligaciones de reporte

La Unidad de Inteligencia Financiera (UIF), adscrita al SAT, es el organismo receptor y analizador de los reportes de operaciones inusuales y preocupantes en México. Los PSP bajo la CNBV reportan directamente a la UIF, mientras que los sujetos obligados no financieros bajo la LFPIORPI lo hacen mediante el portal del SAT.

Obligaciones clave:

• Reportes de Operaciones Inusuales (ROI): cuando el PSP detecta operaciones que no tienen justificación económica aparente o que generan sospechas de lavado de dinero
• Reportes de Operaciones Preocupantes (ROP): cuando existen indicios de que el cliente intenta utilizar al PSP para actividades ilícitas
• Confidencialidad: el cliente no debe ser informado de la existencia del reporte (prohibición de "tipping off")
• Plazo: el reporte debe presentarse dentro de los tres días hábiles siguientes a la determinación de la operación como inusual

Fuente: UIF México, obligaciones de reporte

Sanciones: CNBV y SAT

La CNBV puede imponer sanciones a las IFPE y demás PSP regulados:

• Multas: de 1 000 a 150 000 UDIS (Unidades de Inversión) por infracción, aproximadamente entre MXN $9 000 y MXN $1 350 000 (2026)
• Suspensión de operaciones específicas o de toda la actividad
• Inhabilitación de directivos responsables
• Revocación de la autorización de funcionamiento

Para las actividades bajo LFPIORPI supervisadas por el SAT, las multas pueden ascender hasta el equivalente al valor del acto reportado o no reportado, con un máximo de hasta el 10 % del valor de los activos del sujeto obligado.

Automatizar el KYC para PSP en México

La verificación automatizada de documentos es esencial para los PSP mexicanos que procesan altos volúmenes de incorporación de clientes. CheckFile ofrece:

• Verificación de INE/IFE (credencial para votar) con validación de elementos de seguridad
• Extracción automática del CURP integrado en la INE y validación contra el RENAPO
• Validación de RFC mediante integración con el portal del SAT
• Detección de documentos adulterados o generados por IA
• Conservación conforme de evidencias de verificación durante diez años para auditorías de CNBV y SAT

Para mejorar su enfoque basado en el riesgo en la segmentación de clientes PLD-FT, CheckFile asigna automáticamente indicadores de riesgo adaptados al contexto regulatorio mexicano. Consulte nuestra guía de precios para opciones de acceso a la API.

Preguntas frecuentes

¿Una IFPE debe obtener autorización de la CNBV antes de operar?

Sí. Las Instituciones de Fondos de Pago Electrónico deben obtener autorización de la CNBV conforme al artículo 22 de la Ley Fintech, antes de iniciar operaciones. El proceso incluye la presentación de un plan de negocios, estructura corporativa, capital mínimo requerido y políticas de PLD-FT.

¿Los beneficiarios controladores deben reportarse a la UIF o al SAT?

Desde enero de 2022, las personas morales deben registrar a sus beneficiarios controladores ante el SAT a través del RFC. Los PSP, como entidades financieras, también deben identificar y documentar a sus propios beneficiarios controladores en el expediente interno, conforme a las disposiciones CNBV.

¿El RFC y el CURP son suficientes para identificar a un cliente?

No de forma aislada. La CNBV exige verificación a través de documento con fotografía (INE/IFE, pasaporte o cédula profesional). El RFC y el CURP son complementarios y se usan para validación cruzada, pero no sustituyen la identificación por documento oficial con foto.

¿Qué pasa si un cliente se niega a proporcionar información KYC?

El PSP debe abstenerse de establecer la relación de negocio. La negativa del cliente a proporcionar información de identificación es en sí misma un factor de riesgo que debe ser documentado. En algunos casos, dependiendo del contexto, puede justificar una operación de reporte a la UIF.

¿CoDi y SPEI imponen obligaciones KYC adicionales para los PSP?

Los PSP que participan en el CoDi (Cobro Digital) y el SPEI (Sistema de Pagos Electrónicos Interbancarios) deben cumplir con las reglas operativas de Banxico, que incluyen la verificación de la identidad de los clientes que emiten o reciben cobros digitales. Las transferencias SPEI superiores a MXN 50 000 requieren información adicional del ordenante que puede activar controles adicionales.