La última reforma de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI), publicada en el Diario Oficial de la Federación (DOF) el 16 de julio de 2025, ha introducido importantes cambios en el marco regulatorio de la prevención de lavado de dinero en México. Uno de los aspectos más destacados es la incorporación del Capítulo IV Bis, que establece un nuevo régimen para el Beneficiario Controlador.

¿Qué es el Beneficiario Controlador según la LFPIORPI?

El nuevo régimen define al Beneficiario Controlador como aquella persona que, directa o indirectamente, posee o controla el 25% o más del capital social o de los derechos de voto de una entidad, o quien de cualquier otra forma ejerce el control efectivo sobre una persona moral. Este concepto, ahora ampliado, incluye tanto al “beneficiario final” como al “propietario real”, fortaleciendo así el marco de transparencia y trazabilidad en las operaciones financieras.

Artículos Relevantes del Capítulo IV Bis

El Capítulo IV Bis de la LFPIORPI está compuesto por los siguientes artículos relevantes:

• Artículo 33 Bis: Define al Beneficiario Controlador y los criterios para su identificación.
• Artículo 33 Ter: Establece las obligaciones de las entidades para identificar, verificar y actualizar la información del Beneficiario Controlador.
• Artículo 33 Quáter: Detalla las sanciones aplicables en caso de incumplimiento de las obligaciones relacionadas con el Beneficiario Controlador.

Obligaciones para las Entidades

Las entidades sujetas a la LFPIORPI deben cumplir con una serie de obligaciones en relación con el Beneficiario Controlador, detalladas en los Artículos 17 y 18, que ahora incluyen:

• Identificación y verificación: Las entidades deben identificar al Beneficiario Controlador al iniciar una relación de negocios o realizar una operación relevante.
• Actualización de información: Mantener actualizada la información del Beneficiario Controlador es crucial para cumplir con las normas de prevención.
• Conservación de documentos: La documentación relacionada con el Beneficiario Controlador debe conservarse por un periodo mínimo de 10 años, según el Artículo 18, fracción IV reformada.

Sanciones por Incumplimiento

El incumplimiento de las obligaciones relacionadas con el Beneficiario Controlador puede resultar en severas sanciones, conforme al Artículo 54 de la LFPIORPI, que incluyen:

• Multas de 200 a 65,000 veces el valor de la UMA.
• En casos graves, sanciones equivalentes al 10-100% del valor de la operación involucrada.

Beneficios del Nuevo Régimen

La implementación del Capítulo IV Bis fortalece significativamente el sistema de prevención de lavado de dinero en México, al:

• Aumentar la transparencia en la propiedad y el control de las entidades.
• Reducir el riesgo de que las entidades sean utilizadas para operaciones ilícitas.
• Facilitar la cooperación internacional en la lucha contra el lavado de dinero y el financiamiento del terrorismo.

Conclusión

El nuevo régimen del Beneficiario Controlador bajo la LFPIORPI representa un paso crucial en la consolidación del marco regulatorio de la prevención de lavado de dinero en México. Las entidades deben asegurarse de cumplir con estas nuevas obligaciones para evitar sanciones y contribuir eficazmente a la integridad del sistema financiero nacional.

Actúa ahora: Asegúrate de que tu organización esté al día con las nuevas regulaciones del Beneficiario Controlador. Implementa políticas efectivas y capacita a tu equipo para cumplir con estos importantes requisitos.

Preguntas Frecuentes

1. ¿Qué es un Beneficiario Controlador? Un Beneficiario Controlador es aquella persona que posee o controla directa o indirectamente el 25% o más del capital social o los derechos de voto de una entidad.

2. ¿Cuáles son las sanciones por no identificar al Beneficiario Controlador? Las sanciones pueden incluir multas de 200 a 65,000 veces el valor de la UMA, o entre el 10-100% del valor de la operación.

3. ¿Cómo deben las entidades conservar la información del Beneficiario Controlador? La información debe conservarse por un periodo mínimo de 10 años, según lo estipulado en el Artículo 18, fracción IV.

4. ¿Por qué es importante el nuevo régimen del Beneficiario Controlador? Este régimen fortalece la transparencia y trazabilidad en las operaciones financieras, reduciendo el riesgo de lavado de dinero y financiamiento al terrorismo.

SCJN avala que la UIF bloquee cuentas bancarias sin orden judicial

El lunes 6 de abril, el Pleno de la Suprema Corte de Justicia de la Nación (SCJN) resolvió la Acción de Inconstitucionalidad 58/2022 con seis votos a favor y tres en contra, avalando la facultad de la Unidad de Inteligencia Financiera (UIF) para incluir a personas y empresas en su Lista de Personas Bloqueadas —y con ello inmovilizar sus cuentas bancarias— sin necesidad de una orden judicial previa.

Los ministros determinaron que el bloqueo no constituye una sanción penal, sino una medida cautelar de carácter administrativo y preventivo destinada a proteger el sistema financiero nacional frente a operaciones sospechosas de lavado de dinero o financiamiento al terrorismo. El fallo también interrumpió dos jurisprudencias previas que condicionaban el bloqueo a una solicitud expresa de autoridad extranjera.

La presidenta Claudia Sheinbaum señaló que, desde el inicio de la actual administración, la UIF ha inmovilizado alrededor de 5,000 millones de pesos vinculados a la delincuencia organizada y a empresas fachada. El titular de la UIF, Omar Reyes Colmenares, enfatizó que ninguna persona o empresa con actividades lícitas debe preocuparse por esta determinación.

Sin embargo, el sector empresarial reaccionó con alarma. La Confederación Patronal de la República Mexicana (Coparmex) advirtió que la medida podría vulnerar la presunción de inocencia, y varios especialistas alertaron sobre el riesgo de una “muerte financiera” para personas y empresas bloqueadas sin sentencia judicial de por medio.

¿Por qué importa? Esta resolución eleva significativamente el riesgo regulatorio para cualquier entidad que realice actividades vulnerables. Mantener un expediente de cumplimiento sólido, con una identificación rigurosa de clientes y un monitoreo continuo de operaciones, es hoy más crítico que nunca para evitar aparecer en la lista de bloqueados.

Fuentes: El Financiero, La Jornada, Expansión, Infobae

México: segundo destino mundial del dinero de la ciberdelincuencia, según el FBI

El sábado 11 de abril, múltiples medios reportaron los hallazgos del Internet Crime Report 2025 del Buró Federal de Investigaciones (FBI) de Estados Unidos. El informe posiciona a México como el segundo destino global de transferencias asociadas a fraudes cibernéticos, con 1,782 operaciones documentadas durante 2025, únicamente superado por Hong Kong (1,858 operaciones).

Este dato representa un deterioro respecto a 2024, cuando México ocupaba el tercer lugar con 1,498 transacciones ilícitas. Las pérdidas globales por ciberdelitos superaron los 20,800 millones de dólares en 2025, un incremento del 26% respecto al año anterior.

El fiscal general interino de Estados Unidos, Todd Blanche, anunció el 7 de abril la intensificación de acciones para perseguir a los responsables de ciberfraudes, con investigaciones y sanciones tanto a operadores locales como internacionales.

¿Por qué importa? Que México figure como destino predilecto para guardar dinero de origen cibercriminal pone en alerta a las instituciones financieras, fintechs y a cualquier empresa que reciba transferencias electrónicas de forma habitual. El sistema financiero mexicano debe fortalecer sus controles de monitoreo transaccional y mecanismos de detección de operaciones inusuales, especialmente en operaciones transfronterizas.

Fuentes: Infobae, Excélsior, LJA.mx

El nuevo Reglamento de la LFPIORPI ya está en vigor: auditorías y PEPs como novedades clave

Aunque la publicación fue el 27 de marzo, la semana que concluye fue la primera semana completa de vigencia del decreto que reforma el Reglamento de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI), publicado en el DOF y vigente desde el 30 de marzo de 2026. Se trata de la primera modificación sustancial al reglamento desde 2013.

Entre los cambios más relevantes para los sujetos obligados destacan:

• Auditorías obligatorias (Art. 12 Bis): Las entidades que realicen actividades vulnerables deben obtener y conservar un dictamen de auditoría —interna o externa— y demostrar la corrección de las observaciones identificadas. El SAT puede requerir este dictamen en cualquier momento.
• Lista de Personas Políticamente Expuestas (PEPs): Se habilita, bajo coordinación de la UIF, un sistema electrónico oficial para la integración, actualización y consulta de la lista de PEPs.
• Cumplimiento espontáneo: Por única ocasión, el SAT podrá abstenerse de sancionar a quien cubra de forma espontánea obligaciones incumplidas.
• Plazos de respuesta: Los requerimientos de información deben atenderse en un máximo de 10 días hábiles, con posibilidad de prórroga de hasta 5 días adicionales.
• Multas directas: Si no se atiende un requerimiento dentro del plazo, el SAT puede emitir multas directas sin necesidad de instaurar un procedimiento administrativo sancionador.

Las empresas tienen hasta julio de 2026 para actualizar sus sistemas, políticas y programas de cumplimiento conforme a las nuevas disposiciones.

¿Por qué importa? La reforma endurece sustancialmente las obligaciones de cumplimiento y los mecanismos de supervisión del SAT. Las actividades vulnerables —inmobiliarias, joyerías, notarías, arrendadoras, entre otras— deben revisar urgentemente si ya cuentan con los programas y controles que ahora son exigibles. Herramientas como Artu permiten automatizar la generación de reportes, la gestión de expedientes de clientes y el seguimiento de alertas, facilitando el cumplimiento de estas nuevas exigencias regulatorias.

Fuentes: Holland & Knight, RSM México, KYC Systems, ALDDA

Lavado de dinero con criptomonedas en México creció 55.8% en 2025

Un informe de la unidad de investigación de SILIKN reveló que el uso de criptoactivos para el lavado de dinero en México creció un 55.8% en 2025 respecto al año anterior, consolidando a los activos virtuales como uno de los principales vectores de riesgo para el sistema financiero nacional.

México ha respondido alineándose con las recomendaciones del Grupo de Acción Financiera Internacional (GAFI): desde junio de 2025, la fracción XVI del artículo 17 de la LFPIORPI incluye expresamente a los activos digitales y obliga a los Proveedores de Servicios de Activos Virtuales (VASPs) a registrarse, implementar procedimientos de KYC, nombrar un oficial de cumplimiento y reportar operaciones que superen los umbrales establecidos.

Para 2026, el marco regulatorio refuerza la supervisión sobre quienes intercambian, custodian o transfieren criptomonedas de manera habitual o profesional, en paralelo con la presión internacional de Estados Unidos sobre el uso de criptomonedas por parte de carteles mexicanos.

¿Por qué importa? Las fintech, exchanges y cualquier empresa que acepte pagos en criptomonedas debe tener claridad sobre sus obligaciones bajo la LFPIORPI. El incremento acelerado del lavado de activos virtuales en México anticipa una mayor fiscalización por parte del SAT y la UIF en los próximos meses.

Fuentes: Criptonoticias, BGBG, Ley Antilavado

El SAT amplía sus facultades de fiscalización en materia de PLD

En el contexto de la reforma al Reglamento de la LFPIORPI, el Servicio de Administración Tributaria (SAT) vio consolidadas y ampliadas sus facultades de supervisión y sanción en materia de prevención de lavado de dinero. Entre los aspectos más destacados de la semana:

• El SAT puede ahora presumir la veracidad de la información contenida en sus bases de datos al revisar el cumplimiento de los sujetos obligados.
• Las multas por incumplimiento de la LFPIORPI oscilan entre 200 y 65,000 UMAs (equivalente a entre $23,462 y $7,625,150 MXN en 2026), con la posibilidad de imposición directa sin procedimiento sancionador cuando no se atienden requerimientos en tiempo.
• Se regula la obligación de reportar operaciones que se intenten pero no se concreten, siempre que el sujeto obligado cuente con los datos de las personas involucradas.

¿Por qué importa? Las empresas que realizan actividades vulnerables no pueden permitirse la improvisación en materia de cumplimiento. El SAT ha demostrado una postura cada vez más activa en la fiscalización del sector. Contar con un sistema automatizado de cumplimiento, como Artu, reduce el riesgo de errores y omisiones que pueden derivar en multas millonarias.

Fuentes: KYC Systems, ST Stratego, AboLawlex

Conclusiones y Puntos Clave de la Semana

• El fallo de la SCJN sobre la UIF es un parteaguas: Las empresas y personas con actividades lícitas no deben temer, pero sí deben tener sus expedientes de cumplimiento al día. Un bloqueo, aunque temporal, puede paralizar operaciones. La prevención es la única estrategia viable.

• El posicionamiento de México como destino de lavado cibernético exige acción inmediata: Los sistemas de monitoreo de operaciones inusuales deben actualizarse para detectar patrones vinculados a fraudes en línea y transferencias de alto riesgo, especialmente provenientes del extranjero.

• El nuevo Reglamento de la LFPIORPI ya no es “próximo”: es presente. Las auditorías, los programas de cumplimiento y la gestión de PEPs son obligaciones vigentes. Las empresas que aún no han actualizado sus políticas están en riesgo de multas directas.

• Las criptomonedas son hoy un vector de riesgo prioritario. El crecimiento del 55.8% en lavado de activos virtuales en México no es un dato menor: los VASPs y empresas que aceptan cripto deben revisar urgentemente su marco de cumplimiento AML/KYC.

• El SAT tiene dientes —y los está usando. La ampliación de facultades de fiscalización y la posibilidad de multas directas sin procedimiento previo cambia el cálculo de riesgo para cualquier sujeto obligado que no tenga sus controles actualizados.

• La tecnología marca la diferencia. Ante un entorno regulatorio cada vez más exigente, soluciones especializadas como Artu permiten a las empresas con actividades vulnerables automatizar su cumplimiento PLD/FT, gestionar expedientes, monitorear operaciones y generar reportes al SAT de manera eficiente y confiable.

¿Tienes preguntas sobre cómo estas novedades regulatorias afectan a tu empresa? Consulta nuestros artículos especializados en PLD.mx o conoce cómo Artu puede ayudarte a cumplir con la LFPIORPI de forma automatizada.

Con la reforma de julio 2025, las obligaciones de KYC se ampliaron significativamente: ahora incluyen la identificación de Personas Políticamente Expuestas (PEPs), mecanismos automatizados de seguimiento y una nueva definición ampliada del Beneficiario Controlador.

¿Qué exige la LFPIORPI sobre KYC?

El Artículo 18 establece tres fracciones específicas de identificación:

Fracción I — Identificar y verificar clientes

“Identificar y conocer de manera directa a las personas Clientes o Usuarias con quienes realicen la Actividad Vulnerable y verificar su identidad basándose en documentos u otros medios de identificación con reconocimiento oficial, así como recabar copia de los mismos.”

Puntos clave:

• La identificación debe ser directa (no a través de terceros)
• Los documentos deben tener reconocimiento oficial
• Debes recabar copia de los documentos
• Los requisitos específicos los determinan las Reglas de Carácter General de la SHCP

Fracción II — Información sobre actividad económica

Cuando se establezca una Relación de negocios (formal y habitual), se debe solicitar información sobre la actividad u ocupación del cliente, basándose en los avisos de inscripción y actualización del RFC.

Fracción III — Beneficiario Controlador

Esta es una de las fracciones más importantes y que más cambió con la reforma 2025:

Para personas morales, fideicomisos u otra figura jurídica:

• Debes identificar al Beneficiario Controlador con documentos oficiales

Para personas físicas:

• Debes recabar la declaración de si tiene o no conocimiento de la existencia de un Beneficiario Controlador

¿Quién es el Beneficiario Controlador?

La reforma 2025 amplió significativamente esta definición (Art. 3, fracción III). Es la persona física que:

a) Obtiene, en última instancia, el beneficio de goce, uso, disfrute, aprovechamiento o disposición del bien o servicio derivado de la operación, o

b) Ejerce el control efectivo en última instancia de la persona moral, lo cual incluye:

• i) Imponer decisiones en asambleas o nombrar/destituir a la mayoría de los administradores
• ii) Mantener titularidad de más del 25% del capital social
• iii) Dirigir directa o indirectamente la administración, estrategia o principales políticas

Nuevo en 2025: La definición de Beneficiario Controlador es equiparable a “beneficiario final” y “propietario real”. Esto alinea la terminología mexicana con los estándares internacionales del GAFI.

Datos mínimos a recabar

Para personas físicas

• Nombre completo
• Fecha de nacimiento
• País de nacionalidad
• Actividad u ocupación
• Domicilio
• Identificación oficial vigente (INE/IFE, pasaporte, cédula profesional)
• CURP y/o RFC
• Declaración sobre existencia de Beneficiario Controlador

Para personas morales

• Denominación o razón social
• Fecha de constitución
• País de origen
• Actividad u objeto social
• Domicilio fiscal
• RFC
• Datos del representante legal con documentos oficiales
• Identificación del Beneficiario Controlador (persona física que controla 25%+ o ejerce control efectivo)

Para Personas Políticamente Expuestas (PEPs)

La nueva fracción IX Bis del Art. 3 define a las PEPs como personas que desempeñan o han desempeñado funciones públicas en México o en el extranjero, así como sus personas relacionadas.

Obligaciones adicionales para PEPs:

• Identificación específica dentro del proceso de KYC
• Seguimiento intensificado de sus operaciones (Art. 18, fracción X)
• Inclusión en el Manual de Políticas Internas (Art. 18, fracción VIII)

Niveles de debida diligencia

No todos los clientes requieren el mismo nivel de escrutinio. Las mejores prácticas establecen tres niveles:

Debida diligencia simplificada

Para clientes de bajo riesgo:

• Personas morales mexicanas de derecho público (nuevo párrafo del Art. 19, reforma 2025)
• Operaciones habituales de bajo monto
• Clientes recurrentes con historial limpio

Debida diligencia estándar

El proceso normal para la mayoría de clientes:

• Verificación de identidad completa
• Recopilación de todos los datos requeridos
• Evaluación inicial de riesgo
• Consulta contra listas de personas bloqueadas

Debida diligencia reforzada (EDD)

Para clientes de alto riesgo:

• Personas Políticamente Expuestas (PEPs)
• Clientes de países de alto riesgo identificados por la SHCP (Art. 6, fracción IX)
• Operaciones que no corresponden al perfil
• Estructuras corporativas complejas donde el Beneficiario Controlador no es evidente
• Clientes que actúan a través de fideicomisos u otras figuras jurídicas

10 señales de alerta en KYC

Presta especial atención cuando:

1. El cliente se niega a proporcionar documentación o la proporciona incompleta
2. Los documentos presentan inconsistencias entre sí o señales de alteración
3. El cliente muestra urgencia excesiva por completar la operación sin dar información
4. La operación no tiene sentido económico para el perfil declarado del cliente
5. El cliente actúa en representación de terceros sin justificación clara o documentación
6. Se detectan operaciones fraccionadas justo por debajo de los umbrales (estructuración)
7. El cliente proporciona múltiples identificaciones con datos inconsistentes
8. La actividad económica declarada no corresponde con el tipo o monto de la operación
9. El cliente tiene vínculos con países identificados como de alto riesgo por el GAFI
10. El cliente aparece en listas de personas bloqueadas de la UIF, OFAC o sanciones ONU

Recuerda: Según el Art. 21, debes abstenerte de realizar la operación cuando el cliente se niegue a proporcionar información, sin responsabilidad alguna para ti.

El proceso de KYC paso a paso

Paso 1: Recopilación de documentos

Solicita la documentación según el tipo de cliente (persona física o moral). Usa formatos estandarizados que cumplan con las Reglas de Carácter General.

Paso 2: Verificación

No basta con copiar los documentos — verifica:

• ¿La identificación es vigente?
• ¿Los datos coinciden entre documentos?
• ¿El domicilio es verificable?

Paso 3: Consulta de listas

Verifica que el cliente no aparezca en:

• Lista de personas bloqueadas de la UIF
• Listas OFAC (Office of Foreign Assets Control)
• Listas de sanciones de la ONU
• Lista de PEPs de la SHCP (Art. 51 Ter)

Paso 4: Evaluación de riesgo

Clasifica al cliente según su nivel de riesgo (bajo, medio, alto) usando la metodología de tu evaluación basada en riesgos (Art. 18, fracción VII).

Paso 5: Aprobación o rechazo

Decide si procedes con la operación o te abstienes conforme al Art. 21.

Paso 6: Monitoreo continuo

El KYC no es un evento único. Actualiza expedientes periódicamente y monitorea las operaciones contra el perfil transaccional del cliente.

Errores comunes a evitar

1. Copiar sin verificar — Tener documentos archivados pero nunca haber verificado su autenticidad
2. No actualizar expedientes — Mantener información de hace años sin actualización
3. Ignorar al Beneficiario Controlador — Identificar solo a la persona moral sin llegar a la persona física
4. No documentar decisiones — No registrar por qué se aceptó o rechazó a un cliente
5. Proceso inconsistente — Aplicar diferentes criterios según el cliente o la urgencia
6. No consultar listas — Omitir la verificación contra listas de personas bloqueadas
7. No capacitar al equipo — El personal de primer contacto no sabe qué documentos pedir

Preguntas frecuentes

¿Cada cuándo debo actualizar los expedientes de KYC?

La ley no establece una periodicidad específica, pero las mejores prácticas recomiendan: anualmente para clientes de alto riesgo, cada 2-3 años para riesgo medio, y cada 3-5 años para bajo riesgo. Siempre que haya un cambio significativo en el perfil del cliente.

¿Puedo hacer KYC digital?

Sí. El Art. 18 fracción I permite “documentos u otros medios de identificación con reconocimiento oficial”. La verificación digital es válida siempre que cumpla con los requisitos de las Reglas de Carácter General.

¿Qué hago si mi cliente no tiene RFC?

Para personas físicas extranjeras sin RFC, debes solicitar el documento equivalente de su país de origen y documentar la situación en el expediente.

¿El secreto profesional me exime del KYC?

No completamente. El Art. 22 establece que la presentación de avisos no implica transgresión a obligaciones de secreto profesional. Sin embargo, la fracción XI del Art. 17 incluye una referencia al “respeto al secreto profesional y garantía de defensa”.

Conclusión

Un proceso de KYC sólido es la piedra angular de cualquier programa de cumplimiento PLD. Con la reforma 2025, las exigencias son más altas: debes identificar PEPs, tener mecanismos automatizados de monitoreo y realizar evaluaciones basadas en riesgo.

La buena noticia es que herramientas como Artu pueden automatizar todo el proceso de KYC/KYB, incluyendo la verificación de identidad, consulta de listas y evaluación de riesgo, reduciendo lo que antes tomaba horas a minutos.

En próximos artículos profundizaremos en el KYC específico para cada tipo de actividad vulnerable y cómo adaptar tu proceso según tu industria.

En esta guía analizamos qué necesitas automatizar, cómo elegir la herramienta correcta, y por qué Artu se ha posicionado como la solución líder para el mercado mexicano.

El problema del cumplimiento manual

La mayoría de las empresas que realizan actividades vulnerables en México todavía gestionan su cumplimiento PLD de forma manual:

• Formularios en papel o PDFs para identificación de clientes
• Hojas de cálculo para rastrear operaciones y umbrales
• Cálculos manuales para determinar si se superan los umbrales en UMA
• Captura manual de avisos XML en el portal del SAT
• Archivos físicos para la conservación de 10 años de documentos

Los riesgos de este enfoque son claros:

• Errores de captura que generan multas de 200 a 2,000 UMA por avisos incorrectos
• Avisos omitidos con multas de 10,000 a 65,000 UMA
• Imposibilidad de cumplir con el monitoreo automatizado del Art. 18 fracción X
• Tiempo excesivo dedicado a tareas repetitivas en vez de análisis de riesgos
• Vulnerabilidad en auditorías por falta de trazabilidad

¿Qué debes automatizar?

Basándonos en las 11 obligaciones del Artículo 18 de la LFPIORPI reformada, estos son los procesos que necesitan automatización:

1. KYC / KYB — Identificación de clientes (fracciones I-III)

• Captura y verificación de documentos de identidad
• Identificación de Beneficiario Controlador (25%+ del capital)
• Consulta automática contra listas de personas bloqueadas (UIF, OFAC, ONU)
• Detección de Personas Políticamente Expuestas (PEPs)
• Evaluación Basada en Riesgo (EBR) de cada cliente

2. Monitoreo transaccional (fracción X)

• Seguimiento en tiempo real de operaciones por cliente
• Cálculo automático de umbrales de identificación y aviso
• Detección de operaciones que no corresponden al perfil transaccional
• Alertas por acumulación de operaciones en 6 meses (estructuración)
• Seguimiento intensificado a PEPs y clientes de alto riesgo

3. Generación de avisos (fracción VI)

• Preparación automática del archivo XML con el formato de la SHCP
• Validación de datos antes del envío
• Avisos de emergencia en 24 horas por operaciones sospechosas
• Registro y trazabilidad de todos los avisos presentados

4. Gestión documental (fracción IV)

• Almacenamiento digital seguro por 10 años
• Organización por cliente, fecha y tipo de operación
• Acceso rápido para visitas de verificación de la SHCP

5. Evaluación de riesgos y auditoría (fracciones VII y XI)

• Metodología de evaluación basada en riesgos documentada
• Matrices de riesgo actualizables
• Reportes para auditoría interna o externa

Artu: Compliance 360 para Actividades Vulnerables

Artu es el único software en México que ofrece compliance 360 para todas las actividades vulnerables de la LFPIORPI. No es una adaptación de un software extranjero — fue diseñado desde cero para la regulación mexicana.

¿Qué hace diferente a Artu?

Artu utiliza inteligencia artificial para entregar un software completamente hecho a la medida de cada empresa. El proceso:

1. Elige lo que necesitas — Selecciona los módulos relevantes para tu actividad vulnerable
2. Obtén una cotización — Transparente, basada en tu volumen de operaciones
3. Software a la medida — Implementado en 4 semanas (no 12+ como la competencia)

Módulos principales

Artu vs. otras soluciones vs. proceso manual

Clientes que confían en Artu

Empresas como Jeeves, Nubank, Rio y REAP ya usan Artu para su cumplimiento PLD. Estas empresas manejan miles de operaciones mensuales y necesitan una plataforma que escale con ellas.

El equipo detrás

• Juan Pablo Ramirez (CEO) — Ex-McKinsey & Company (NYC), especializado en IA, graduado de Wharton
• Alejandro Gutierrez (CTO) — Ex-Goldman Sachs (NYC), ingeniero de cumplimiento, graduado de Notre Dame
• Leonardo Hernández (Founding Engineer) — Ex-PayPal, Rappi y Venmo, más de 15 años de experiencia

Cómo elegir el software PLD correcto

Si estás evaluando herramientas, estos son los criterios que recomendamos:

1. Diseñado para la LFPIORPI — El software debe cubrir las 16 fracciones del Art. 17, no ser una adaptación de regulación extranjera (FATF genérico, BSA, etc.)

2. Cobertura 360 — KYC + Monitoreo + Avisos + Evaluación de riesgo en una sola plataforma. Usar 3-4 herramientas separadas genera brechas y complejidad innecesaria.

3. Automatización real (100%) — No solo digitalización. El software debe generar avisos, calcular umbrales y alertar automáticamente, no solo almacenar datos.

4. Implementación rápida — Cada semana sin un sistema de cumplimiento adecuado es una semana de riesgo regulatorio. Busca implementaciones de menos de 6 semanas.

5. Modularidad — Poder elegir solo los módulos que necesitas. Una inmobiliaria no necesita lo mismo que una plataforma de criptomonedas.

6. Actualización regulatoria — La LFPIORPI se reforma. Tu software debe actualizarse sin costo adicional cuando cambien los umbrales o las reglas.

Preguntas frecuentes

¿Es obligatorio tener un software de PLD?

La ley no exige un software específico, pero el Art. 18 fracción X exige “mecanismos automatizados” de monitoreo. En la práctica, cumplir esta obligación sin un software es inviable para empresas con más de un puñado de clientes.

¿Cuánto cuesta un software de PLD?

Depende del volumen de operaciones y los módulos que necesites. Artu ofrece cotizaciones personalizadas basadas en tu actividad. En general, el costo siempre es menor que una sola multa por omisión de avisos (10,000-65,000 UMA).

¿Puedo seguir usando hojas de cálculo?

Para operaciones muy pequeñas, técnicamente sí para algunas obligaciones. Pero no cumplirías con la fracción X del Art. 18 (mecanismos automatizados) ni con la trazabilidad que exige la SHCP en una visita de verificación.

¿Cuánto tarda implementar Artu?

4 semanas desde la firma del contrato hasta tener el sistema operando con tus datos.

Conclusión

La automatización del cumplimiento PLD es una exigencia legal desde la reforma 2025, no una opción nice-to-have. El Art. 18 fracción X es claro: necesitas mecanismos automatizados.

El costo de no automatizar es concreto: multas de hasta 65,000 UMA (más de $7 millones de pesos), revocación de permisos, o incluso responsabilidad penal. El costo de automatizar con una plataforma como Artu es una fracción de eso — y se implementa en 4 semanas.

Si tu empresa realiza cualquiera de estas actividades, tienes la obligación de cumplir con la LFPIORPI. En esta guía detallamos cada una con sus umbrales actualizados.

¿Cómo funcionan los umbrales?

Cada actividad tiene dos tipos de umbrales expresados en veces el valor diario de la UMA (Unidad de Medida y Actualización):

• Umbral de identificación: a partir de este monto, debes identificar al cliente, verificar su identidad y conservar la documentación.
• Umbral de aviso: a partir de este monto, además de identificar, debes presentar un aviso ante la SHCP a través del portal del SAT.

Dato clave: Si una persona realiza operaciones acumuladas en un periodo de 6 meses que superen los umbrales de aviso, también se genera la obligación de reportar. Esto previene la estructuración o fraccionamiento de operaciones para evadir los umbrales.

Catálogo completo de actividades vulnerables

I. Juegos con apuesta, concursos y sorteos

Casinos, salas de juego y establecimientos que operen al amparo de permisos de la Secretaría de Gobernación.

Incluye la venta de boletos, fichas, pago de premios y cualquier operación financiera con los participantes.

II. Tarjetas de servicios, prepago y almacenamiento de valor

La emisión o comercialización habitual o profesional (distinta a la de Entidades Financieras).

III. Cheques de viajero

Emisión y comercialización habitual o profesional, distinta a la realizada por Entidades Financieras.

• Aviso: cuando sea igual o superior a 645 UMA.

IV. Operaciones de mutuo, préstamos o créditos

El ofrecimiento habitual o profesional de préstamos por sujetos distintos a Entidades Financieras.

• Aviso: cuando el monto sea igual o superior a 1,605 UMA.

V. Construcción o desarrollo de bienes inmuebles

La realización habitual de actividades de construcción, desarrollo o intermediación en la transmisión de propiedad de inmuebles.

• Aviso: cuando el monto sea igual o superior a 8,025 UMA.

V Bis. Desarrollo Inmobiliario (NUEVA — Reforma 2025)

La recepción de recursos destinados a llevar a cabo un Desarrollo Inmobiliario (construcción de inmuebles o fraccionamiento de lotes) para venta o renta.

• Aviso: cuando el monto sea igual o superior a 8,025 UMA.

Esta fracción es particularmente relevante porque ahora cubre específicamente a los desarrolladores inmobiliarios desde la etapa de captación de recursos, no solo la venta final.

VI. Metales preciosos, piedras preciosas, joyería y relojes

La comercialización o intermediación habitual de oro, plata, platino, diamantes, esmeraldas, rubíes, zafiros, joyas y relojes.

VII. Obras de arte

Subasta o comercialización habitual de obras de arte, antigüedades y objetos de colección.

VIII. Vehículos nuevos o usados

Comercialización o distribución habitual de vehículos aéreos, marítimos o terrestres.

IX. Blindaje de vehículos e inmuebles

Prestación habitual de servicios de blindaje.

X. Traslado o custodia de dinero o valores

Con excepción de Banco de México e instituciones de depósito de valores.

• Aviso: cuando el monto sea igual o superior a 3,210 UMA, o siempre cuando no sea posible determinar el monto trasladado.

XI. Servicios profesionales independientes

Abogados, contadores y otros profesionales que en nombre de clientes realicen: compraventa de inmuebles, administración de recursos, manejo de cuentas, constitución de sociedades o fideicomisos.

• Aviso: siempre que se lleve a cabo una operación financiera relacionada, con respeto al secreto profesional.

XII. Servicios de fe pública

Esta fracción tiene 4 apartados:

A. Notarios públicos:

• Transmisión de derechos sobre inmuebles → Aviso cuando supere 8,000 UMA
• Poderes irrevocables → Siempre aviso
• Constitución de personas morales, fusión, escisión → Siempre aviso
• Fideicomisos traslativos → Aviso cuando supere 4,000 UMA
• Contratos de mutuo o crédito → Siempre aviso

B. Corredores públicos:

• Avalúos sobre bienes → Aviso cuando supere 8,025 UMA
• Constitución de personas morales mercantiles → Siempre aviso
• Fideicomisos → Siempre aviso
• Contratos de mutuo mercantil → Siempre aviso

C. Servidores públicos con facultad de dar fe pública.

D. Personas facilitadoras de la Ley General de Mecanismos Alternativos de Solución de Controversias (nuevo apartado, reforma 2025).

XIII. Recepción de donativos

Por parte de asociaciones y sociedades sin fines de lucro.

XIV. Servicios de comercio exterior

Agentes aduanales, apoderados aduanales y agencias aduanales. Aplica para el despacho de: vehículos, máquinas de juego, equipos para tarjetas de pago, joyería (485+ UMA), obras de arte (4,815+ UMA) y materiales de blindaje.

• Aviso: en todos los casos listados.

XV. Arrendamiento de inmuebles

Constitución de derechos de uso o goce de bienes inmuebles.

XVI. Activos virtuales (criptomonedas)

Plataformas de intercambio de activos virtuales distintos a Entidades Financieras. La reforma 2025 amplió su alcance para incluir operaciones con ciudadanos mexicanos desde otra jurisdicción.

Además, deben obtener información del originante, receptor y Beneficiario Controlador de cada operación.

Restricciones al uso de efectivo (Art. 32)

La LFPIORPI prohíbe pagar con efectivo (monedas, billetes, divisas o metales preciosos) las siguientes operaciones:

• Inmuebles: 8,025 UMA o más
• Vehículos, joyería, obras de arte, blindaje, acciones: 3,210 UMA o más
• Boletos de juegos con apuesta: 3,210 UMA o más
• Arrendamiento: 3,210 UMA mensuales o más

Preguntas frecuentes

¿Cómo calculo el umbral en pesos?

Multiplica el número de UMA por el valor diario vigente de la UMA. Consulta el valor actualizado en el sitio del INEGI.

¿Qué pasa si hago operaciones por debajo del umbral?

No generas obligación alguna. Pero si la suma acumulada en 6 meses supera el umbral de aviso, sí estás obligado a reportar.

¿Puedo presentar avisos a través de un tercero?

Sí, a través de Entidades Colegiadas que tengan convenio con la SHCP (Arts. 26-31).

Mi actividad no aparece en la lista, ¿estoy exento?

Si tu actividad económica no está en las 16 fracciones del Art. 17, no estás obligado bajo la LFPIORPI. Sin embargo, si eres Entidad Financiera, te rigen las disposiciones de la Sección Primera.

Conclusión

Conocer si tu actividad está catalogada como vulnerable es el primer paso para cumplir con la LFPIORPI. Los umbrales determinan cuándo debes identificar clientes y cuándo presentar avisos — ignorarlos puede resultar en multas de hasta 65,000 UMA o incluso la clausura de tu negocio.

En PLD.mx seguiremos publicando guías específicas para cada actividad vulnerable, con los procedimientos detallados de cumplimiento para cada una.

Esta guía cubre todo lo que necesitas saber sobre la LFPIORPI con la última reforma publicada el 16 de julio de 2025.

¿Cuál es el objeto de la LFPIORPI?

Según su Artículo 2, el objeto de la ley es “proteger el sistema financiero y la economía nacional, estableciendo medidas y procedimientos para prevenir y detectar actos u operaciones que involucren recursos de procedencia ilícita”.

En palabras simples: la LFPIORPI obliga a ciertos negocios (los que realizan “actividades vulnerables”) a identificar a sus clientes, monitorear sus operaciones y reportar a la SHCP cuando detectan operaciones sospechosas o que superen ciertos montos.

¿Quién debe cumplir con la LFPIORPI?

La ley aplica a dos grandes grupos:

1. Entidades Financieras (Art. 14-16)

Bancos, casas de bolsa, aseguradoras, SOFIPOS, fintechs y demás entidades reguladas por la CNBV. Estas se rigen por sus propias leyes especiales además de la LFPIORPI.

2. Quienes realizan Actividades Vulnerables (Art. 17)

Este es el grupo más amplio y donde la mayoría de las empresas se ven afectadas. El Artículo 17 establece 16 fracciones de actividades vulnerables:

Nota importante: Los umbrales se expresan en veces el valor diario de la UMA (Unidad de Medida y Actualización). Esta fue una actualización de la reforma 2025 que antes usaba el salario mínimo como referencia.

Las 11 obligaciones del Artículo 18

La reforma de julio 2025 amplió significativamente las obligaciones de quienes realizan actividades vulnerables. El Artículo 18 ahora establece 11 fracciones:

Obligaciones originales (actualizadas)

1. Identificar y verificar clientes (fracción I) — Solicitar documentos oficiales, recabar copias, verificar identidad de manera directa.

2. Obtener información de actividad económica (fracción II) — Para relaciones de negocios, solicitar datos basados en el RFC del cliente.

3. Identificar al Beneficiario Controlador (fracción III) — Cuando el cliente es persona moral, fideicomiso u otra figura jurídica, se debe identificar a quien posea 25%+ del capital o ejerza control efectivo.

4. Custodiar y conservar documentación por 10 años (fracción IV) — Toda la documentación debe conservarse en el domicilio registrado ante la SHCP, de manera física o electrónica.

5. Facilitar visitas de verificación (fracción V) — Brindar todas las facilidades para inspecciones de la SHCP.

6. Presentar Avisos e Informes (fracción VI) — Incluyendo la nueva obligación de presentar aviso dentro de las 24 horas siguientes cuando se sospeche de operaciones con recursos ilícitos, incluso si la operación no se celebró.

Nuevas obligaciones (reforma 2025)

1. Evaluación basada en Riesgos (fracción VII) — Implementar un enfoque que permita identificar, analizar y mitigar riesgos propios y de los clientes.

2. Manual de Políticas Internas (fracción VIII) — Documentar criterios, medidas y procedimientos de cumplimiento, incluyendo seguimiento a Personas Políticamente Expuestas (PEPs).

3. Capacitación anual (fracción IX) — Programas de capacitación para directivos, representantes encargados de cumplimiento y empleados que tengan contacto con clientes.

4. Mecanismos automatizados de monitoreo (fracción X) — Sistemas para monitoreo permanente de operaciones, identificar las que no correspondan al perfil transaccional y dar seguimiento a PEPs y clientes de alto riesgo.

5. Auditoría anual (fracción XI) — Auditoría interna o externa (dependiendo del nivel de riesgo) para evaluar la efectividad del cumplimiento.

Sanciones: ¿qué pasa si no cumples?

El Capítulo VII (Artículos 52-61) establece un régimen de sanciones severo:

Además, el incumplimiento reiterado puede resultar en:

• Revocación de permisos para casinos, blindaje y traslado de valores (Art. 56)
• Cancelación de habilitación de corredores públicos (Art. 57)
• Cancelación de autorización de agentes aduanales (Art. 59)

Responsabilidad penal

El Artículo 62 establece prisión de 2 a 8 años para quien proporcione información falsa en los avisos. El Artículo 63 establece prisión de 4 a 10 años para servidores públicos que usen indebidamente la información o para quien revele datos de los avisos sin autorización.

¿Cómo empezar a cumplir? Paso a paso

1. Determina si realizas una actividad vulnerable — Revisa las 16 fracciones del Artículo 17.

2. Alta en el padrón del SAT — Regístrate como persona que realiza actividades vulnerables a través del portal electrónico (nueva fracción IV Bis del Art. 18).

3. Designa un Representante Encargado de Cumplimiento — Si eres persona moral, debes designarlo ante la SHCP y mantener vigente la designación (Art. 20).

4. Elabora tu Manual de Políticas Internas — Documenta tus procedimientos de KYC, monitoreo y presentación de avisos.

5. Implementa procesos de KYC — Crea formatos de identificación para personas físicas y morales, incluyendo la identificación del Beneficiario Controlador.

6. Implementa mecanismos de monitoreo — Establece controles para detectar operaciones que superen umbrales o resulten inusuales.

7. Presenta avisos mensualmente — A más tardar el día 17 del mes siguiente, a través de los medios electrónicos que establece la SHCP.

8. Capacita a tu personal — Programas anuales que incluyan difusión de la ley y del Manual de Políticas Internas.

9. Realiza tu evaluación de riesgos — Identifica y documenta los riesgos específicos de tu actividad y tus clientes.

10. Programa tu auditoría — Interna (si tu riesgo es bajo o medio) o externa (si es alto).

Preguntas frecuentes

¿Cada cuándo debo presentar avisos?

Los avisos se presentan mensualmente, a más tardar el día 17 del mes inmediato siguiente al que se realizó la operación (Art. 23). Excepto cuando se sospeche de operaciones ilícitas, en cuyo caso el plazo es de 24 horas.

¿Qué pasa si mi cliente se niega a dar información?

Según el Art. 21, debes abstenerte de realizar la operación sin responsabilidad alguna cuando el cliente se niegue a proporcionar la información o documentación requerida.

¿Cuánto tiempo debo guardar los documentos?

10 años a partir de la fecha de realización de la actividad vulnerable (Art. 18, fracción IV). Si existe un recurso o juicio pendiente, el plazo se interrumpe hasta que la resolución quede firme.

¿La LFPIORPI aplica a las fintechs?

Sí. La fracción XVI del Art. 17 regula el intercambio de activos virtuales, y la reforma 2025 amplió su alcance para incluir operaciones con ciudadanos mexicanos realizadas desde otra jurisdicción.

Conclusión

La LFPIORPI no es opcional — es una obligación legal con consecuencias severas por incumplimiento. Con la reforma de julio 2025, las obligaciones se ampliaron significativamente, especialmente en materia de evaluación de riesgos, monitoreo automatizado y auditoría.

La buena noticia es que cumplir no tiene que ser complicado. En PLD.mx publicamos artículos diarios para ayudarte a navegar cada aspecto de la ley. Y si buscas automatizar tu cumplimiento, plataformas como Artu pueden reducir la carga operativa hasta 15 veces.