LegalTalent.ai CMS

KYC en México bajo la Ley Fintech: Guía Práctica para Equipos de Compliance

Written by

lt-admin

in

H1: KYC en México bajo la Ley Fintech: Guía Práctica para Equipos de Compliance

H2: El marco regulatorio que toda fintech mexicana necesita entender

La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech) fue publicada en el Diario Oficial de la Federación el 9 de marzo de 2018 y se complementa con las Disposiciones de carácter general emitidas por la CNBV, el Banxico y la SHCP. Para el área de compliance, hay tres documentos fundamentales:

  1. Las Disposiciones de PLD/FT de la CNBV: el reglamento específico que define las obligaciones de KYC, monitoreo y reporte para las ITF (Instituciones de Tecnología Financiera)
  2. Las Reglas de PLD del Banxico: aplican a las IFPE (Instituciones de Fondos de Pago Electrónico) que operan sistemas de pago
  3. La Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita: la ley marco antilavado que aplica a todas las actividades vulnerables

El incumplimiento puede resultar en multas de hasta 150,000 UDIS, suspensión de operaciones y responsabilidad penal para los directivos responsables.

H2: Qué tipos de fintech están obligadas al KYC bajo la Ley Fintech

La Ley Fintech creó dos categorías nuevas de entidades reguladas:

ITC — Instituciones de Tecnología Financiera de Financiamiento Colectivo

Plataformas de crowdfunding (equity, deuda, copropiedad, regalías). Están obligadas a verificar la identidad de inversores y acreditados.

IFPE — Instituciones de Fondos de Pago Electrónico

Billeteras electrónicas, plataformas de pagos, emisores de tarjetas prepago. Deben verificar a todos sus usuarios antes de activar transacciones.

Además, las SOFOM y SOFIPO (que no son ITF en sentido estricto pero están supervisadas por la CNBV) tienen sus propias disposiciones de PLD que exigen KYC.

H2: Los niveles de cuenta y su impacto en el KYC

Una particularidad del mercado mexicano: el esquema de “niveles de cuenta” permite a las IFPE ofrecer cuentas con límites de operación reducidos sin completar el KYC completo. Esto facilita la inclusión financiera pero implica una gestión cuidadosa:

Nivel 1 (sin KYC completo):

  • Solo nombre y número de celular
  • Límite mensual: hasta 750 UDIS (~$1,700 pesos)
  • Para pagos básicos, recepción de remesas de bajo monto

Nivel 2 (KYC básico):

  • Nombre, CURP, y validación por SMS o CURP contra RENAPO
  • Límite mensual: hasta 3,000 UDIS (~$6,800 pesos)

Nivel 3 (KYC completo con identificación oficial):

  • INE/IFE validado contra base oficial + biometría
  • Límite mensual: hasta 10,000 UDIS (~$23,000 pesos)

Nivel 4 (KYC reforzado con verificación presencial o equivalente digital):

  • INE + biometría + visita presencial o videoconferencia
  • Sin límite de operación

El nivel 3 es el estándar para la mayoría de los productos fintech de uso cotidiano. El nivel 4 aplica para productos de mayor valor o riesgo.

H2: Los 6 elementos del KYC que exigen las disposiciones CNBV

1. Identificación del cliente

El nombre completo tal como figura en el documento oficial, fecha de nacimiento, CURP, RFC (cuando aplica), domicilio y número de teléfono. Para personas morales: denominación, RFC, domicilio fiscal.

2. Verificación de la identidad

No basta con que el cliente declare su identidad — la CNBV exige verificarla contra fuentes confiables. Para personas físicas: validación del INE contra la base del INE o RENAPO, o verificación biométrica equivalente.

3. Identificación del beneficiario controlador

Para personas morales, se requiere identificar al beneficiario controlador — la persona física que finalmente controla o se beneficia de la entidad. Este es el componente KYB (Know Your Business).

4. Evaluación del riesgo del cliente

La institución debe clasificar a cada cliente en un nivel de riesgo (Bajo, Medio, Alto) basado en criterios objetivos documentados. El nivel de riesgo determina la frecuencia de la diligencia continua.

5. Monitoreo continuo

Las disposiciones exigen monitorear las operaciones de los clientes activos para detectar comportamientos inusuales y reportar operaciones sospechosas a la UIF dentro de los plazos establecidos.

6. Conservación de registros

Toda la documentación del KYC debe conservarse por un mínimo de 10 años, en formato que permita reproducirla y exportarla para inspecciones.

H2: Los errores más comunes de KYC en fintechs mexicanas

Después de trabajar con decenas de fintechs en México, estos son los errores que encontramos con más frecuencia:

Error 1 — Solo verifican la CURP, no el INE

Validar la CURP contra RENAPO es el nivel 2. Para el nivel 3 (el estándar para la mayoría de los productos), se requiere validar el INE contra la base del INE. Son dos verificaciones distintas.

Error 2 — No cruzan listas locales mexicanas

OFAC es conocido. Pero las listas de la UIF mexicana y las listas de personas bloqueadas del SAT son igualmente relevantes para el compliance local y a veces se ignoran.

Error 3 — El expediente no es exportable

En una inspección, el regulador pedirá exportar expedientes de clientes específicos. Si los datos están dispersos en múltiples sistemas sin una vista unificada exportable, el cumplimiento técnico no se puede demostrar.

Error 4 — Sin proceso claro para Reportes de Operación Sospechosa (ROS)

Detectar una operación inusual es solo la mitad del trabajo. La otra mitad es el proceso interno para investigarla y decidir si se eleva a ROS a la UIF dentro del plazo. Sin un proceso definido, los ROS se retrasan.

Error 5 — No tienen beneficiario controlador para clientes corporativos

Para fintechs B2B o que tienen personas morales como clientes, la identificación del beneficiario controlador (UBO) es obligatoria. Es una brecha frecuente.

H2: Cómo automatizar el KYC mexicano sin perder usuarios

La buena noticia: con la tecnología correcta, el KYC compliant en México puede hacerse en menos de 3 segundos para el 85% de los casos — sin revisión manual, sin esperas, sin abandono de funnel.

El flujo óptimo para una IFPE nivel 3:

  1. Captura del INE con OCR (frontal + dorso)
  2. Validación del INE y CURP contra fuentes oficiales
  3. Selfie con prueba de vida activa + match facial
  4. Cruce automático contra UIF + OFAC + listas SAT
  5. Clasificación de riesgo automática
  6. Generación del expediente con todos los artefactos

Si el resultado es Aprobado: activación inmediata de la cuenta.

Si hay observaciones: el 10-15% de los casos va a revisión manual con el expediente completo disponible para el analista.

👉 Ver cómo LegalTalent.ai implementa este flujo →

👉 Ver la verificación de identidad México en detalle →

H2: Preguntas Frecuentes — KYC en México bajo la Ley Fintech

¿Las SOFOM ENR también están obligadas al KYC bajo la Ley Fintech?

Las SOFOM ENR (Entidades No Reguladas) no están directamente supervisadas por la CNBV bajo la Ley Fintech, pero están sujetas a la Ley de PLD/FT si realizan actividades consideradas vulnerables. En la práctica, las SOFOM ENR que otorgan crédito están obligadas a implementar KYC básico.

¿Cada cuánto tiempo hay que re-verificar a un cliente?

Depende del nivel de riesgo. Clientes de riesgo bajo: revisión cada 24-36 meses o ante cambios en el comportamiento. Riesgo alto y PEPs: revisión anual. Ante eventos específicos (transacción inusual, cambio de perfil), se hace una revisión inmediata.

¿La biometría puede reemplazar la verificación presencial para el nivel 4?

Las disposiciones CNBV admiten algunos equivalentes digitales a la verificación presencial, incluyendo videoconferencia supervisada. La biometría sola (sin supervisión humana) generalmente se considera nivel 3, no nivel 4.

¿Qué pasa si un cliente del nivel 2 quiere subir al nivel 3?

El proceso se llama “upgrade de nivel” y requiere completar el KYC del nivel superior — en este caso, agregar la validación del INE y la biometría. Es un flujo que muchas fintechs implementan como un segundo paso cuando el usuario quiere aumentar su límite de operación.

¿Tengo que reportar todas las transacciones a la UIF?

No. Reportás operaciones relevantes (que superen umbrales definidos por la norma), operaciones inusuales (que no tengan justificación económica), y operaciones relacionadas con actividades vulnerables. Los umbrales y criterios específicos están en las Disposiciones de PLD/FT de la CNBV.

Notas para el editor humano:

  • Los valores en UDIS cambian mensualmente — verificar los equivalentes en pesos al momento de publicar
  • “Enero 2024” se usa como referencia en el título — actualizar si se publica después
  • Considerar agregar un cuadro resumen con los niveles de cuenta al inicio del artículo para lectores que escanean

More posts