Guía de PLD/FT y control de sanciones en México
El marco mexicano de PLD/FT y control de sanciones se reparte entre varias autoridades, leyes sectoriales y sistemas de reporte. La Unidad de Inteligencia Financiera (UIF) recibe y analiza inteligencia financiera, pero la supervisión diaria y las rutas de envío dependen de si la empresa está bajo CNBV, CNSF, CONSAR o SAT/SPPLD.
Para los equipos de cumplimiento, la pregunta práctica no es solo "qué lista debemos revisar". La cuestión es cómo ubicar la operación en el régimen mexicano correcto, recopilar datos de clientes y beneficiarios controladores, revisar a las partes relevantes, gestionar coincidencias y sospechas, reportar por el canal adecuado y conservar evidencia que resista una revisión del supervisor.
Por qué importa en México
En México hay dos grandes familias de cumplimiento que no conviene mezclar.
Las entidades financieras siguen leyes sectoriales y rutas de supervisión específicas. Según la actividad, el supervisor relevante puede ser la CNBV, la CNSF o la CONSAR, con la UIF como autoridad que recibe y analiza inteligencia financiera. Para estas entidades, la Lista de Personas Bloqueadas (LPB) es la referencia nacional más clara en las fuentes oficiales revisadas.
Las Actividades Vulnerables no financieras se rigen por la LFPIORPI y operan mediante el proceso de SAT/SPPLD. La reforma de 2025 a la LFPIORPI reforzó de forma relevante el tratamiento del Beneficiario Controlador, la conservación de documentación, los controles basados en riesgo, la capacitación, el monitoreo, los conceptos de auditoría y la ruta de aviso en 24 horas cuando existan hechos o indicios de sospecha.
Los materiales oficiales hacen referencia a reportes o avisos en 24 horas para situaciones confirmadas de LPB en el sector financiero y para indicios de sospecha en Actividades Vulnerables.
Los criterios del SAT indican que la información y documentación soporte de LFPIORPI debe conservarse durante 10 años para actos u operaciones realizados desde el 17 de julio de 2025.
Los criterios del SAT tratan el 17 de julio de 2025 como fecha efectiva para varios puntos de la reforma, con algunas obligaciones del artículo 18 vinculadas a reglas actualizadas.
La forma más prudente de explicarlo es precisa: primero cubrir los supuestos obligatorios mexicanos y después añadir listas extranjeras con una justificación de riesgo documentada. Las fuentes públicas mexicanas revisadas respaldan la LPB y las referencias al Consejo de Seguridad de Naciones Unidas como anclas de control para México. OFAC, Unión Europea, Reino Unido y otras listas extranjeras siguen siendo importantes cuando la exposición lo justifica, pero no deben presentarse como una obligación doméstica universal para todos los sujetos obligados.
México es un modelo de varias autoridades
No conviene presentar a la UIF como si fuera la única autoridad del flujo mexicano de PLD/FT. La UIF recibe y analiza reportes y avisos, pero el supervisor operativo y el canal de reporte dependen del sector.
| Autoridad | Función | Relevancia práctica |
|---|---|---|
| UIF | Unidad de inteligencia financiera de México. Recibe reportes y avisos, analiza información, coopera con autoridades y puede presentar denuncias. | Función central de inteligencia, pero no es la única autoridad operativa en los flujos mexicanos de PLD/FT. |
| SHCP | Autoridad hacendaria detrás de reglas sectoriales y del marco de la UIF. | Importante porque las disposiciones de PLD/FT del sector financiero suelen articularse a través de SHCP y supervisores sectoriales. |
| CNBV | Supervisor de muchas entidades financieras, incluyendo bancos, casas de bolsa, instituciones fintech, SOFOM, transmisores de dinero y entidades cambiarias. | Clave para supervisión de PLD/FT y rutas de reporte mediante SITI PLD/FT. |
| CNSF | Supervisor de instituciones de seguros y fianzas. | Relevante para reportes de seguros, como operaciones relevantes, inusuales e internas preocupantes. |
| CONSAR | Supervisor de entidades del sistema de ahorro para el retiro. | Relevante para AFORE y formatos de reporte del sector de retiro. |
| SAT / SPPLD | Sistema del SAT para registro de Actividades Vulnerables, avisos y reportes en ceros bajo LFPIORPI. | Ruta operativa para Actividades Vulnerables no financieras. |
Por eso este artículo habla del mapa mexicano de autoridades de PLD/FT, no de una sola oficina nacional de cumplimiento.
Quién debe cumplir
La primera decisión operativa es si la empresa es una entidad financiera bajo una ley sectorial o una Actividad Vulnerable no financiera bajo la LFPIORPI.
| Tipo de negocio | Ruta principal | Por qué importa para el control de listas |
|---|---|---|
| Bancos y muchas entidades financieras supervisadas por CNBV | Ley sectorial financiera, supervisión CNBV, SITI PLD/FT y controles de LPB. | El control debe apoyar identificación de clientes, detección de operaciones inusuales, gestión de LPB y reportes en 24 horas cuando aplique. |
| Instituciones fintech | Artículo 58 de la LRITF, marco CNBV / SHCP / UIF. | Debe tratarse como flujo de entidad financiera, no como un proceso genérico de LFPIORPI. |
| Casas de bolsa / valores | Artículo 212 de la LMV, ruta CNBV. | El control pertenece a la familia de entidades financieras, LPB y operaciones inusuales. |
| Seguros y fianzas | Artículo 492 de la LISF, ruta CNSF. | El control debe apoyar reportes de PLD/FT en seguros y flujos de bloqueo. |
| Administradoras de fondos para el retiro / AFORE | Artículo 108 Bis de la LSAR, ruta CONSAR. | La revisión y monitoreo deben alinearse con formatos y obligaciones del sector de retiro. |
| SOFOM, transmisores de dinero y centros cambiarios | CNBV / LGOAAC o marco sectorial aplicable. | La ruta exacta depende de la categoría jurídica; no conviene mezclar SOFOM ER y SOFOM ENR en un solo flujo. |
| Inmobiliarias, notarios, comercializadores, juegos, bienes de alto valor y otras Actividades Vulnerables | Artículo 17 de la LFPIORPI, ruta SAT/SPPLD. | El control apoya identificación, captura de Beneficiario Controlador, umbrales de aviso, restricciones de efectivo y avisos por sospecha. |
La diferencia no es académica. Afecta al supervisor, al canal de reporte, a la lógica de listas, al conjunto de evidencias y al lenguaje que un proveedor puede usar de forma responsable.
La base mexicana de personas bloqueadas
Para entidades financieras mexicanas, el control doméstico más claro es la Lista de Personas Bloqueadas. La arquitectura legal aparece en disposiciones sectoriales como el artículo 115 de la Ley de Instituciones de Crédito y reglas financieras análogas.
México no publica la LPB como un archivo público abierto comparable a las listas descargables de OFAC, Unión Europea, Naciones Unidas o Reino Unido. El artículo 115 de la Ley de Instituciones de Crédito describe la LPB como una lista confidencial comunicada por la SHCP a las instituciones de crédito, y exige suspender de forma inmediata actos, operaciones o servicios con clientes o usuarios incluidos.
Materiales de capacitación y guía de la CNBV describen la consecuencia operativa de una coincidencia con la LPB de forma directa: si un sujeto supervisado identifica a un cliente o usuario en la LPB, debe suspender inmediatamente el acto, operación o servicio y enviar el reporte a la SHCP por conducto de la CNBV dentro de 24 horas. Los materiales de CNBV también explican que, si una persona se elimina de la LPB, los actos, operaciones o servicios suspendidos deben reanudarse.
Ese es un punto clave del régimen mexicano que debe sostener el artículo. Es más preciso que decir "revisar listas globales de sanciones" sin explicar el mecanismo doméstico de personas bloqueadas.
Qué listas revisar en México
El perímetro de listas depende de la categoría legal, clientes, contrapartes, divisas, relaciones bancarias, política de grupo y geografías.
| Fuente | Papel práctico en México | Cómo enmarcarlo |
|---|---|---|
| Lista de Personas Bloqueadas | Referencia nacional más clara para entidades financieras en las fuentes revisadas. | Control mexicano obligatorio para flujos del sector financiero. |
| Lista Consolidada del Consejo de Seguridad de la ONU | Base extranjera fuerte porque las medidas de la ONU son oficiales y materiales de CNBV hacen referencia a listas del Consejo de Seguridad en controles basados en riesgo. | Línea base, o casi línea base, para México según política sectorial. |
| Listas de sanciones de OFAC | Críticas cuando hay nexo con EE. UU., compensación en USD, personas estadounidenses, corresponsalía bancaria, inversionistas estadounidenses o política de grupo. | Extensión basada en riesgo, no una obligación doméstica mexicana universal para toda entidad. |
| Datos de sanciones financieras de la UE | Relevantes para matrices, clientes, exposición en euros, contratos o políticas de grupo en la UE. | Extensión basada en riesgo por exposición europea. |
| UK Sanctions List | Relevante para clientes, contrapartes, relaciones bancarias o políticas internas vinculadas al Reino Unido. | Extensión basada en riesgo por exposición británica. |
| Otras listas nacionales o regionales | Pueden importar por corredores, inversionistas, contratos o contrapartes específicas. | Documentar la justificación de política y la base legal. |
El punto editorial es la precisión: no quedarse corto, pero tampoco sobredimensionar. Un lector mexicano debe entender que la LPB y las reglas sectoriales mexicanas son el punto de partida local; un lector de servicios financieros internacionales también debe entender por qué OFAC, UE, Reino Unido y otras listas pueden ser necesarias en la operación.
Proceso práctico de control en México
El screening de sanciones en México debe construirse como un flujo de decisión, no como una búsqueda aislada de nombres.
- 01
Clasificar el régimen
Determinar si el negocio es entidad financiera, fintech, aseguradora, entidad de retiro, SOFOM, transmisor de dinero o Actividad Vulnerable bajo LFPIORPI. El regulador y la ruta de envío cambian por categoría.
- 02
Revisar las partes relevantes
Contrastar clientes, usuarios, beneficiarios controladores, representantes, contrapartes, partes de pago y otros actores relevantes frente a la base mexicana y listas extranjeras justificadas por riesgo.
- 03
Decidir, reportar y conservar evidencia
Separar falsos positivos, coincidencias potenciales, coincidencias confirmadas con LPB y sospechas de LD/FT. Activar la ruta de reporte correcta y conservar el registro de decisión.
Una política sólida para México debe definir:
- qué régimen mexicano aplica al negocio;
- qué listas forman la línea base obligatoria;
- qué listas extranjeras se añaden por exposición;
- qué partes se revisan durante el alta y durante la relación;
- qué identificadores se requieren para descartar o confirmar una coincidencia;
- cuándo el caso se convierte en un flujo de LPB, operación inusual o aviso por sospecha;
- dónde se presenta el reporte o aviso;
- qué evidencia se conserva y por cuánto tiempo.
Cómo revisar coincidencias
Una coincidencia de nombre no debe describirse automáticamente como coincidencia confirmada con una persona bloqueada. La revisión debe comparar los identificadores disponibles más sólidos.
| Resultado | Significado | Respuesta operativa |
|---|---|---|
| Falso positivo | El cliente, usuario, beneficiario controlador o contraparte no es la persona o entidad listada. | Documentar comparación de identificadores, justificación, revisor y evidencia fuente. |
| Coincidencia potencial | La coincidencia no puede descartarse con la información disponible. | Escalar, solicitar documentos adicionales cuando sea lícito y evitar cierres informales. |
| Coincidencia confirmada con LPB | La parte se confirma frente al control mexicano de personas bloqueadas. | Suspender el acto, operación o servicio y seguir la ruta de reporte de 24 horas que corresponda en el canal financiero. |
| Sospecha de LD/FT | Los hechos indican posible lavado de dinero o financiamiento al terrorismo, incluso sin coincidencia confirmada con una persona bloqueada. | Ejecutar el proceso sectorial de operación inusual o aviso de Actividad Vulnerable. |
Para entidades financieras, la coincidencia confirmada con LPB es el ejemplo legal más claro. Para Actividades Vulnerables, la distinción más importante suele ser si un hecho, transacción o intento de operación genera una obligación de aviso bajo LFPIORPI y reglas de SPPLD.
Actividades Vulnerables bajo LFPIORPI
Para actividades no financieras, la fuente clave es la LFPIORPI. El artículo 17 define las Actividades Vulnerables. El artículo 18 establece obligaciones centrales como identificar clientes o usuarios, recabar información, conservar documentación, presentar avisos y proteger la información.
La reforma de 2025 hace que esto sea especialmente importante para contenidos de control y screening.
La inconsistencia entre fuentes debe tratarse de forma abierta. La página de criterios del SAT indica que el plazo de diez años aplica a actos u operaciones realizados desde el 17 de julio de 2025. Algunas páginas públicas antiguas del SAT todavía muestran lenguaje de cinco años. Un artículo público puede explicar el conflicto, pero la redacción de políticas internas debe validarse contra las reglas más recientes y asesoría mexicana.
Cómo se reporta actividad sospechosa
México no tiene una sola ruta de reporte para todos los sectores.
| Escenario | Ruta de reporte | Nota práctica |
|---|---|---|
| Reportes de entidades financieras supervisadas por CNBV | SITI PLD/FT y procesos electrónicos relacionados de CNBV. | Usado para muchos reportes y envíos de PLD/FT del sector financiero. |
| Reportes de seguros / fianzas | Productos y formatos de reporte de CNSF. | Incluye familias de reportes como operaciones relevantes, inusuales e internas preocupantes. |
| Reportes del sector de retiro | Formatos CONSAR y marco del sector de retiro. | Relevante para AFORE y entidades del sistema de ahorro para el retiro. |
| Avisos de Actividades Vulnerables bajo LFPIORPI | SPPLD. | Usado para registro, avisos y reportes en ceros. |
| Coincidencia confirmada con LPB en flujo financiero | Reporte a SHCP por conducto del supervisor financiero aplicable. | Materiales de CNBV describen suspensión inmediata y reporte en 24 horas para sujetos supervisados. |
Para Actividades Vulnerables, el artículo posterior a la reforma debe destacar la ruta de aviso en 24 horas. Las fuentes revisadas respaldan esta frase: si existen sospechas o indicios basados en hechos de que los recursos pudieran provenir de, o estar destinados a, operaciones con recursos de procedencia ilícita o financiamiento al terrorismo, puede requerirse un aviso dentro de 24 horas, incluso cuando el acto u operación no se haya concluido bajo la reforma reglamentaria.
Esto es útil para equipos de producto porque convierte el monitoreo en un flujo concreto: detectar el hecho, preservar la evidencia, clasificar la ruta de aviso, presentar por SPPLD cuando aplique y conservar el expediente del caso.
Evidencia y registro de auditoría
La evidencia de control en México debe mostrar tanto la decisión sobre listas como la decisión sobre régimen aplicable.
| Área de evidencia | Qué conservar |
|---|---|
| Clasificación de régimen | Por qué el negocio u operación se trató como flujo financiero, fintech, seguros, retiro, SOFOM, transmisión de dinero o Actividad Vulnerable LFPIORPI. |
| Política de listas | Qué listas mexicanas y extranjeras se revisaron, por qué se seleccionaron y cuándo se actualizaron por última vez. |
| Datos de entrada | Nombres de clientes o usuarios, alias, identificaciones oficiales, datos de Beneficiario Controlador, representantes, contrapartes, cuentas o wallets y detalles de transacción. |
| Revisión de coincidencias | Registros candidatos, identificadores comparados, documentos revisados, justificación de falso positivo, escalado y aprobación. |
| Decisión de reporte | Si el caso activó LPB, operación inusual, aviso de Actividad Vulnerable, ruta de 24 horas o ningún reporte. |
| Registro de conservación | ID de caso, revisor, fecha y hora, evidencia fuente, resultado final y plazo de conservación aplicado. |
La evidencia débil es una fuente habitual de fallas. Una nota que diga "descartado" no basta. Un expediente defendible debe explicar por qué se descartó una coincidencia, por qué se confirmó una coincidencia, por qué se suspendió una operación o por qué se presentó un aviso.
Checklist de PLD/FT y screening en México
Use esta checklist para construir un modelo operativo preparado para México:
- Clasificar el negocio bajo el régimen correcto: entidad financiera, fintech, aseguradora, entidad de retiro, SOFOM, transmisor de dinero, actividad cambiaria o Actividad Vulnerable LFPIORPI.
- Mapear supervisor y canal: CNBV / SITI PLD/FT, formatos CNSF, formatos CONSAR o SAT / SPPLD.
- Tratar la LPB como la referencia nacional mexicana más clara para flujos del sector financiero.
- Si la firma está autorizada para recibir información de la LPB, manejarla como datos operativos confidenciales, no como una fuente pública de listas.
- Incluir listas del Consejo de Seguridad de Naciones Unidas como línea base, o casi línea base, cuando la política sectorial de la firma lo respalde.
- Añadir OFAC, UE, Reino Unido y otras listas cuando la exposición, relaciones bancarias, divisas, contratos o política de grupo lo justifiquen.
- Capturar identificadores suficientes para resolver coincidencias: nombre legal, alias, identificaciones oficiales, fecha de nacimiento, nacionalidad, domicilio, datos registrales, Beneficiario Controlador, representantes, contrapartes, wallets, cuentas y contexto transaccional.
- Separar falsos positivos, coincidencias potenciales, coincidencias confirmadas con LPB, indicadores de operación inusual y avisos de sospecha de Actividad Vulnerable.
- Configurar flujos de 24 horas para situaciones confirmadas de LPB y escenarios de sospecha bajo LFPIORPI tras la reforma, cuando aplique.
- Conservar fuente, versión de lista o fecha de actualización, datos revisados, resultado candidato, justificación, revisor, decisión, acción de reporte y base de conservación.
- Marcar conflictos de fuente, especialmente el lenguaje público de cinco años frente a diez años en Actividades Vulnerables, para validación legal antes de convertirlos en política interna.
Cómo Checklynx apoya el flujo
Checklynx trata el screening en México como un flujo operativo, no solo como una consulta de listas. Los equipos pueden revisar clientes y contrapartes, comparar identificadores, gestionar alertas, conservar evidencia de decisión, ejecutar comprobaciones por lotes o API, monitorear cambios y mantener un registro de por qué cada caso se descartó, escaló, reportó o conservó.
Esto importa en México porque las obligaciones cambian por sector. Una fintech, una aseguradora, un transmisor de dinero, una inmobiliaria y una notaría no comparten siempre el mismo supervisor ni el mismo canal de reporte. Un sistema práctico debe conservar el contexto sobre régimen, política de listas, revisión de coincidencias y decisión de reporte.
Cuando una entidad regulada está autorizada para recibir información confidencial de la LPB por canales oficiales, Checklynx puede ayudar a consumir esos datos dentro de un flujo controlado: restringir accesos, conservar el historial de actualización, separar resultados de LPB de resultados de listas públicas, registrar decisiones de revisión y retener evidencia sin tratar la LPB como una fuente pública descargable.
Construya un flujo de screening preparado para México
Use Checklynx para revisar clientes y contrapartes, gestionar alertas, monitorear actualizaciones de listas y conservar evidencia para equipos de PLD/FT.
Preguntas frecuentes
¿Cuál es la unidad de inteligencia financiera de México?
La unidad de inteligencia financiera de México es la UIF. Recibe y analiza reportes y avisos, mientras que CNBV, CNSF, CONSAR y SAT/SPPLD son relevantes para distintos sectores y flujos operativos.
¿México tiene un solo régimen de PLD/FT para todos los sectores?
No. Las entidades financieras siguen leyes sectoriales y disposiciones del supervisor correspondiente. Las Actividades Vulnerables no financieras siguen la LFPIORPI y el proceso SAT/SPPLD.
¿Qué es la Lista de Personas Bloqueadas?
La Lista de Personas Bloqueadas es el mecanismo mexicano de control de personas bloqueadas usado en marcos de PLD/FT del sector financiero. No se publica como una lista pública abierta de sanciones. El artículo 115 de la Ley de Instituciones de Crédito dice que la SHCP informa a las instituciones de crédito mediante una lista confidencial de personas bloqueadas, y una coincidencia confirmada con LPB puede exigir la suspensión inmediata de actos, operaciones o servicios y el reporte por la ruta supervisora aplicable.
¿Las empresas mexicanas deben revisar listas de ONU, OFAC, UE y Reino Unido?
Las listas de la ONU son la base extranjera más fuerte porque son oficiales y aparecen referenciadas en materiales mexicanos de controles basados en riesgo. OFAC, UE, Reino Unido y otras listas deben añadirse cuando la exposición de la firma lo justifique, por ejemplo compensación en USD, contrapartes extranjeras, política de grupo o contratos transfronterizos.
¿OFAC, UE y Reino Unido son obligatorios para todo sujeto obligado mexicano?
Las fuentes públicas mexicanas revisadas no respaldan una regla general de que todo sujeto obligado deba revisar esas listas como obligación doméstica universal. Son extensiones importantes basadas en riesgo para firmas con exposición internacional.
¿Qué pasa después de una coincidencia confirmada con LPB?
Materiales de CNBV describen la suspensión inmediata del acto, operación o servicio relevante y el reporte a SHCP por conducto de CNBV dentro de 24 horas para sujetos supervisados. El proceso exacto debe seguir la regla sectorial aplicable y las instrucciones del supervisor.
¿Qué cambió con la reforma LFPIORPI de 2025?
La reforma reforzó el tratamiento del Beneficiario Controlador, la conservación documental, la evaluación basada en riesgo, las políticas internas, la capacitación anual, el monitoreo automatizado, conceptos de auditoría o revisión y una ruta de aviso en 24 horas para hechos o indicios de sospecha.
¿El aviso LFPIORPI en 24 horas aplica si la operación no se concluyó?
Los materiales de la reforma reglamentaria de marzo de 2026 indican que la ruta de aviso puede aplicar incluso cuando el acto u operación no se haya concluido. Las firmas deben validar la regla operativa contra las reglas SAT/SPPLD más recientes y asesoría legal.
¿Dónde se presentan los avisos de Actividades Vulnerables?
Mediante SPPLD, el portal del SAT para registro, avisos y reportes en ceros bajo LFPIORPI.
¿Cuánto tiempo deben conservarse los registros?
Para Actividades Vulnerables bajo LFPIORPI, los criterios del SAT indican diez años para actos u operaciones realizados desde el 17 de julio de 2025, aunque algunas páginas antiguas del SAT aún muestran lenguaje de cinco años. Para sectores financieros, el plazo exacto debe verificarse contra las disposiciones sectoriales aplicables.
Fuentes oficiales explicadas
- UIF: ¿Qué es la UIF?: descripción oficial de la unidad de inteligencia financiera de México y su papel en la recepción y análisis de reportes y avisos.
- Página de PLD/FT de CNBV: página oficial de CNBV sobre prevención, inspección y vigilancia de obligaciones PLD/FT/FPADM.
- Portal SAT / SPPLD: fuente operativa para registro de Actividades Vulnerables, avisos, reportes en ceros, obligaciones, criterios y preguntas frecuentes.
- Criterios LFPIORPI del SAT: fuente para criterios posteriores a la reforma, incluyendo conservación por 10 años desde el 17 de julio de 2025 y precisiones temporales sobre algunas obligaciones del artículo 18.
- Texto consolidado de la LFPIORPI: base legal para Actividades Vulnerables, identificación, Beneficiario Controlador, avisos, conservación documental, controles basados en riesgo y obligaciones posteriores a la reforma.
- Ley de Instituciones de Crédito: fuente bancaria para el artículo 115 y la arquitectura de personas bloqueadas.
- Ley para Regular las Instituciones de Tecnología Financiera: fuente para el artículo 58 y obligaciones PLD/FT de instituciones de tecnología financiera.
- Lista Consolidada del Consejo de Seguridad de la ONU: fuente oficial de Naciones Unidas para control de sanciones basado en riesgo.
- OFAC Sanctions List Service: fuente oficial estadounidense para firmas con exposición a EE. UU., compensación en USD o requisitos de política de grupo.
- Datos consolidados de sanciones financieras de la UE: fuente oficial de datos de sanciones de la Unión Europea.
- UK Sanctions List: fuente oficial de designaciones del Reino Unido.
Última revisión: 25 de mayo de 2026.