Resumen ejecutivo
Cualquier prestamista regulado en México —SOFOM ENR, SOFOM ER, SOFIPO, unión de crédito, IFPE, banco múltiple— está sujeto a la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) y a las Disposiciones de Carácter General emitidas por la SHCP y supervisadas por la CNBV o el SAT, según la figura.
El costo de no cumplir va desde multas de 10,000 a 65,000 UMAs hasta la revocación de la autorización. Pero el costo real, mes a mes, es la fricción operativa: expedientes incompletos, KYC manual, alertas que nadie revisa y reportes regulatorios armados con Excel a las 11 de la noche del día 15.
Esta guía es la referencia operativa para áreas de cumplimiento, riesgos y originación de cualquier prestamista en México que quiere cumplir PLD/FT sin frenar la colocación.
1. Quién está obligado
La obligación PLD aplica a toda entidad que realiza actividades vulnerables o operaciones financieras según LFPIORPI. En crédito esto incluye:
- SOFOMes ENR y ER — desde el primer crédito otorgado.
- SOFIPOs — supervisadas por CNBV; régimen reforzado.
- Uniones de crédito — régimen pleno.
- IFPEs e IFCs (Ley Fintech) — desde su autorización.
- Bancos múltiples y de desarrollo — régimen más estricto.
- Centros cambiarios y transmisores de dinero — cuando otorgan crédito asociado.
Si tu institución otorga crédito en cualquier modalidad (consumo, nómina, automotriz, PYME, factoraje, arrendamiento), estás obligada.
2. Las 6 obligaciones que la autoridad audita primero
Cuando la CNBV o el SAT visitan, casi siempre revisan en este orden:
- Manual de cumplimiento PLD/FT vigente, aprobado por consejo y comunicado al personal.
- Oficial de cumplimiento designado, con perfil y certificación vigente.
- Política de conocimiento del cliente (KYC) documentada por nivel de riesgo.
- Expediente de identificación completo para el 100% de los clientes activos.
- Sistema automatizado de monitoreo transaccional con reglas y alertas.
- Reportes regulatorios (operaciones relevantes, inusuales, internas preocupantes) entregados en tiempo y forma.
Las 6 son auditables digitalmente. Las 6 fallan cuando se operan con folders compartidos y Excel.
3. KYC por niveles de riesgo
La regulación mexicana segmenta a los clientes en 4 niveles. Cada nivel exige documentación distinta:
| Nivel | Monto máximo mensual | Identificación requerida |
|---|---|---|
| 1 | ~750 UDIS | Datos básicos, sin documento |
| 2 | ~3,000 UDIS | Identificación oficial digital |
| 3 | Sin tope (PF) | Expediente completo + comprobante de domicilio |
| 4 | PM y alto riesgo | Expediente reforzado + beneficiario controlador + visita |
Un prestamista bien operado clasifica al cliente automáticamente al momento de la solicitud, pide solo los documentos del nivel correspondiente y eleva el nivel cuando la conducta del cliente lo amerita. Pedir nivel 4 a todos = abandono garantizado. Pedir nivel 1 a todos = sanción garantizada.
4. Listas que sí o sí debes validar
En cada alta y de forma periódica:
- Lista de Personas Bloqueadas (SHCP, publicada en DOF).
- OFAC SDN (Estados Unidos) — obligatoria si hay exposición USD o operación transfronteriza.
- PEP (Personas Políticamente Expuestas) — nacionales y extranjeras, incluyendo familiares y allegados hasta 2° grado.
- Listas internas de la institución (clientes rechazados, fraudes confirmados).
- Listas adversas (sanciones internacionales: ONU, UE, OFAC consolidada).
La validación debe ser al alta, a cada renovación, y de forma masiva cada vez que la lista se actualiza. Hacerlo manualmente es inviable: la PEP mexicana tiene más de 200,000 registros.
5. Monitoreo transaccional: qué reglas mínimas configurar
El sistema de monitoreo no es opcional. Las reglas mínimas que toda institución debería tener corriendo:
- Operaciones por monto igual o superior al umbral de "relevante" (USD 10,000 equivalente).
- Estructuración: múltiples operaciones pequeñas que suman > umbral en 24/48/72 horas.
- Operaciones inconsistentes con el perfil declarado del cliente.
- Cambios bruscos en frecuencia o ticket promedio.
- Operaciones desde geografías de alto riesgo.
- Coincidencia parcial con listas (fuzzy match > 85%).
- Cliente con > N alertas previas no resueltas.
Cada alerta debe generar un caso con responsable, SLA, evidencia adjunta y resolución documentada. Si no queda trazado, no existió.
6. Reportes regulatorios: el calendario que no se mueve
| Reporte | Frecuencia | Plazo |
|---|---|---|
| Operaciones Relevantes | Mensual | Día 10 del mes siguiente |
| Operaciones Inusuales | Cuando ocurre | 60 días desde detección |
| Operaciones Internas Preocupantes | Cuando ocurre | 60 días desde detección |
| Operaciones en Efectivo USD | Mensual | Día 10 del mes siguiente |
| Reporte 24 horas | Inmediato | 24 horas desde detección |
Generar estos reportes a mano cada mes consume entre 40 y 120 horas hombre en una institución de tamaño medio. Automatizarlos no es lujo: es supervivencia.
7. Errores que cuestan sanciones (vistos en campo)
- Expediente sin comprobante de domicilio vigente (más de 90 días). Es la observación #1 en visitas.
- PEP no detectados porque la lista se valida solo al alta y nunca después.
- Beneficiario controlador en blanco para personas morales.
- Manual desactualizado: cita disposiciones derogadas.
- Oficial de cumplimiento sin certificación vigente o sin acta de designación al día.
- Sin evidencia de capacitación anual al personal.
- Alertas marcadas como "revisadas" sin justificación documentada.
Todas estas son prevenibles con un flujo digital bien diseñado.
8. Cómo se ve un cumplimiento PLD automatizado
Una originación con cumplimiento embebido ejecuta, sin intervención manual obligatoria, esto en cada solicitud:
- Identidad digital: OCR de INE + liveness + biometría facial + match con RENAPO.
- Clasificación automática de nivel según monto solicitado y perfil.
- Consulta a listas (Bloqueadas, OFAC, PEP, internas) en < 3 segundos.
- Solicitud condicional de documentos según nivel.
- Validación de beneficiario controlador para PM.
- Score PLD además del score crediticio.
- Generación automática del expediente digital firmado con NOM-151.
- Alta del cliente en el monitoreo transaccional con su perfil de riesgo.
- Logging punto-a-punto para auditoría.
Resultado: el cliente firma en minutos, cumplimiento revisa solo excepciones, y los reportes mensuales se generan con un click.
9. Checklist de madurez PLD (autodiagnóstico)
Marca lo que tu institución hace hoy, sin intervención manual:
- KYC clasifica al cliente por nivel de riesgo automáticamente
- Validación de listas en tiempo real al alta
- Revalidación masiva contra listas cada vez que se actualizan
- Beneficiario controlador capturado y validado para 100% de PM
- Monitoreo transaccional con alertas configurables
- Caso por cada alerta con SLA, evidencia y resolución
- Generación automática de reportes regulatorios
- Expediente digital con NOM-151 para 100% de clientes
- Capacitación PLD anual con evidencia trazada
- Tablero ejecutivo de KPIs de cumplimiento
Menos de 7 marcadas = riesgo operativo y regulatorio relevante.
10. Conclusión
PLD no es un área anexa: es parte del producto. Las instituciones que diseñan la originación con cumplimiento embebido desde el día uno colocan más y mejor que las que tratan el PLD como un freno post-venta.
Si estás reescribiendo tu flujo de originación o evaluando una plataforma, agenda una demo — te mostramos cómo otras instituciones en México operan PLD automatizado sin sacrificar tiempo de aprobación.
Preguntas frecuentes
- ¿Quién está obligado a cumplir PLD en México como prestamista?
- Toda institución que otorga crédito en cualquier modalidad: SOFOM ENR y ER, SOFIPO, unión de crédito, IFPE, IFC, banco múltiple, banco de desarrollo, y centros cambiarios o transmisores cuando otorgan crédito asociado.
- ¿Qué obligaciones mínimas revisa primero la CNBV o el SAT?
- Manual PLD vigente y aprobado por consejo, oficial de cumplimiento certificado, política KYC documentada por nivel, expediente completo para el 100% de clientes activos, sistema automatizado de monitoreo, y reportes regulatorios entregados en tiempo.
- ¿Cada cuánto debo validar listas de personas bloqueadas y PEP?
- En el alta del cliente, en cada renovación o actualización del producto, y de forma masiva contra toda la cartera cada vez que la autoridad publica una actualización de la lista. Hacerlo solo al alta es la causa #2 de observaciones en visita.
- ¿Cuándo debo presentar el reporte de operaciones inusuales?
- Dentro de los 60 días naturales siguientes a la detección. Las operaciones que requieren reporte 24 horas se entregan en 24 horas desde la detección.
- ¿Cómo se ve un cumplimiento PLD automatizado en originación?
- El flujo ejecuta identidad biométrica, clasificación automática por nivel de riesgo, consulta a listas en segundos, solicitud condicional de documentos, validación de beneficiario controlador, score PLD adicional al crediticio, expediente NOM-151 y alta automática en monitoreo transaccional, todo sin intervención manual obligatoria.
Ve Kosmos en acción
Agenda una demo de 30 minutos y te mostramos cómo digitalizar originación, PLD y cobranza en tu institución.