KYC (Know Your Customer — “Conoce a tu Cliente”) es el proceso mediante el cual una empresa verifica la identidad de sus clientes y evalúa el riesgo que representan en materia de lavado de dinero. En México, este proceso es una obligación legal establecida en el Artículo 18, fracciones I a III de la LFPIORPI para toda persona que realice actividades vulnerables.

Con la reforma de julio 2025, las obligaciones de KYC se ampliaron significativamente: ahora incluyen la identificación de Personas Políticamente Expuestas (PEPs), mecanismos automatizados de seguimiento y una nueva definición ampliada del Beneficiario Controlador.

¿Qué exige la LFPIORPI sobre KYC?

El Artículo 18 establece tres fracciones específicas de identificación:

Fracción I — Identificar y verificar clientes

“Identificar y conocer de manera directa a las personas Clientes o Usuarias con quienes realicen la Actividad Vulnerable y verificar su identidad basándose en documentos u otros medios de identificación con reconocimiento oficial, así como recabar copia de los mismos.”

Puntos clave:

  • La identificación debe ser directa (no a través de terceros)
  • Los documentos deben tener reconocimiento oficial
  • Debes recabar copia de los documentos
  • Los requisitos específicos los determinan las Reglas de Carácter General de la SHCP

Fracción II — Información sobre actividad económica

Cuando se establezca una Relación de negocios (formal y habitual), se debe solicitar información sobre la actividad u ocupación del cliente, basándose en los avisos de inscripción y actualización del RFC.

Fracción III — Beneficiario Controlador

Esta es una de las fracciones más importantes y que más cambió con la reforma 2025:

Para personas morales, fideicomisos u otra figura jurídica:

  • Debes identificar al Beneficiario Controlador con documentos oficiales

Para personas físicas:

  • Debes recabar la declaración de si tiene o no conocimiento de la existencia de un Beneficiario Controlador

¿Quién es el Beneficiario Controlador?

La reforma 2025 amplió significativamente esta definición (Art. 3, fracción III). Es la persona física que:

a) Obtiene, en última instancia, el beneficio de goce, uso, disfrute, aprovechamiento o disposición del bien o servicio derivado de la operación, o

b) Ejerce el control efectivo en última instancia de la persona moral, lo cual incluye:

  • i) Imponer decisiones en asambleas o nombrar/destituir a la mayoría de los administradores
  • ii) Mantener titularidad de más del 25% del capital social
  • iii) Dirigir directa o indirectamente la administración, estrategia o principales políticas

Nuevo en 2025: La definición de Beneficiario Controlador es equiparable a “beneficiario final” y “propietario real”. Esto alinea la terminología mexicana con los estándares internacionales del GAFI.

Datos mínimos a recabar

Para personas físicas

  • Nombre completo
  • Fecha de nacimiento
  • País de nacionalidad
  • Actividad u ocupación
  • Domicilio
  • Identificación oficial vigente (INE/IFE, pasaporte, cédula profesional)
  • CURP y/o RFC
  • Declaración sobre existencia de Beneficiario Controlador

Para personas morales

  • Denominación o razón social
  • Fecha de constitución
  • País de origen
  • Actividad u objeto social
  • Domicilio fiscal
  • RFC
  • Datos del representante legal con documentos oficiales
  • Identificación del Beneficiario Controlador (persona física que controla 25%+ o ejerce control efectivo)

Para Personas Políticamente Expuestas (PEPs)

La nueva fracción IX Bis del Art. 3 define a las PEPs como personas que desempeñan o han desempeñado funciones públicas en México o en el extranjero, así como sus personas relacionadas.

Obligaciones adicionales para PEPs:

  • Identificación específica dentro del proceso de KYC
  • Seguimiento intensificado de sus operaciones (Art. 18, fracción X)
  • Inclusión en el Manual de Políticas Internas (Art. 18, fracción VIII)

Niveles de debida diligencia

No todos los clientes requieren el mismo nivel de escrutinio. Las mejores prácticas establecen tres niveles:

Debida diligencia simplificada

Para clientes de bajo riesgo:

  • Personas morales mexicanas de derecho público (nuevo párrafo del Art. 19, reforma 2025)
  • Operaciones habituales de bajo monto
  • Clientes recurrentes con historial limpio

Debida diligencia estándar

El proceso normal para la mayoría de clientes:

  • Verificación de identidad completa
  • Recopilación de todos los datos requeridos
  • Evaluación inicial de riesgo
  • Consulta contra listas de personas bloqueadas

Debida diligencia reforzada (EDD)

Para clientes de alto riesgo:

  • Personas Políticamente Expuestas (PEPs)
  • Clientes de países de alto riesgo identificados por la SHCP (Art. 6, fracción IX)
  • Operaciones que no corresponden al perfil
  • Estructuras corporativas complejas donde el Beneficiario Controlador no es evidente
  • Clientes que actúan a través de fideicomisos u otras figuras jurídicas

10 señales de alerta en KYC

Presta especial atención cuando:

  1. El cliente se niega a proporcionar documentación o la proporciona incompleta
  2. Los documentos presentan inconsistencias entre sí o señales de alteración
  3. El cliente muestra urgencia excesiva por completar la operación sin dar información
  4. La operación no tiene sentido económico para el perfil declarado del cliente
  5. El cliente actúa en representación de terceros sin justificación clara o documentación
  6. Se detectan operaciones fraccionadas justo por debajo de los umbrales (estructuración)
  7. El cliente proporciona múltiples identificaciones con datos inconsistentes
  8. La actividad económica declarada no corresponde con el tipo o monto de la operación
  9. El cliente tiene vínculos con países identificados como de alto riesgo por el GAFI
  10. El cliente aparece en listas de personas bloqueadas de la UIF, OFAC o sanciones ONU

Recuerda: Según el Art. 21, debes abstenerte de realizar la operación cuando el cliente se niegue a proporcionar información, sin responsabilidad alguna para ti.

El proceso de KYC paso a paso

Paso 1: Recopilación de documentos

Solicita la documentación según el tipo de cliente (persona física o moral). Usa formatos estandarizados que cumplan con las Reglas de Carácter General.

Paso 2: Verificación

No basta con copiar los documentos — verifica:

  • ¿La identificación es vigente?
  • ¿Los datos coinciden entre documentos?
  • ¿El domicilio es verificable?

Paso 3: Consulta de listas

Verifica que el cliente no aparezca en:

  • Lista de personas bloqueadas de la UIF
  • Listas OFAC (Office of Foreign Assets Control)
  • Listas de sanciones de la ONU
  • Lista de PEPs de la SHCP (Art. 51 Ter)

Paso 4: Evaluación de riesgo

Clasifica al cliente según su nivel de riesgo (bajo, medio, alto) usando la metodología de tu evaluación basada en riesgos (Art. 18, fracción VII).

Paso 5: Aprobación o rechazo

Decide si procedes con la operación o te abstienes conforme al Art. 21.

Paso 6: Monitoreo continuo

El KYC no es un evento único. Actualiza expedientes periódicamente y monitorea las operaciones contra el perfil transaccional del cliente.

Errores comunes a evitar

  1. Copiar sin verificar — Tener documentos archivados pero nunca haber verificado su autenticidad
  2. No actualizar expedientes — Mantener información de hace años sin actualización
  3. Ignorar al Beneficiario Controlador — Identificar solo a la persona moral sin llegar a la persona física
  4. No documentar decisiones — No registrar por qué se aceptó o rechazó a un cliente
  5. Proceso inconsistente — Aplicar diferentes criterios según el cliente o la urgencia
  6. No consultar listas — Omitir la verificación contra listas de personas bloqueadas
  7. No capacitar al equipo — El personal de primer contacto no sabe qué documentos pedir

Preguntas frecuentes

¿Cada cuándo debo actualizar los expedientes de KYC?

La ley no establece una periodicidad específica, pero las mejores prácticas recomiendan: anualmente para clientes de alto riesgo, cada 2-3 años para riesgo medio, y cada 3-5 años para bajo riesgo. Siempre que haya un cambio significativo en el perfil del cliente.

¿Puedo hacer KYC digital?

Sí. El Art. 18 fracción I permite “documentos u otros medios de identificación con reconocimiento oficial”. La verificación digital es válida siempre que cumpla con los requisitos de las Reglas de Carácter General.

¿Qué hago si mi cliente no tiene RFC?

Para personas físicas extranjeras sin RFC, debes solicitar el documento equivalente de su país de origen y documentar la situación en el expediente.

¿El secreto profesional me exime del KYC?

No completamente. El Art. 22 establece que la presentación de avisos no implica transgresión a obligaciones de secreto profesional. Sin embargo, la fracción XI del Art. 17 incluye una referencia al “respeto al secreto profesional y garantía de defensa”.

Conclusión

Un proceso de KYC sólido es la piedra angular de cualquier programa de cumplimiento PLD. Con la reforma 2025, las exigencias son más altas: debes identificar PEPs, tener mecanismos automatizados de monitoreo y realizar evaluaciones basadas en riesgo.

La buena noticia es que herramientas como Artu pueden automatizar todo el proceso de KYC/KYB, incluyendo la verificación de identidad, consulta de listas y evaluación de riesgo, reduciendo lo que antes tomaba horas a minutos.

En próximos artículos profundizaremos en el KYC específico para cada tipo de actividad vulnerable y cómo adaptar tu proceso según tu industria.