Volver al blog

KYC, LPB, PEPs y beneficiario controlador en PLD

6 de mayo de 2026
Tecnología Financiera

KYC en PLD: como operar identificacion del cliente, LPB, PEPs, beneficiario controlador, screening y riesgos fiscales sin friccion ni puntos ciegos.

Mapa de investigacion PLD para instituciones financieras

El proceso de Conocimiento del Cliente (KYC) es una de las primeras defensas de un programa de Prevencion de Lavado de Dinero y Financiamiento al Terrorismo (PLD/CFT). Pero en una institucion financiera, KYC no deberia entenderse como una pantalla para subir identificaciones. Es el punto donde la institucion empieza a construir una explicacion defendible sobre quien es el cliente, quien se beneficia en ultima instancia, que riesgo representa y que controles deben activarse antes y durante la relacion.

En la practica, muchos programas PLD fallan porque tratan el KYC como un requisito documental separado del negocio. Capturan datos, consultan una lista y aprueban una solicitud. El problema aparece despues: no hay trazabilidad de la consulta, no se distingue una Lista de Personas Bloqueadas de una lista preventiva, no se documentan falsos positivos, no se identifica correctamente al beneficiario controlador o no queda claro por que una Persona Politicamente Expuesta (PEP) recibio debida diligencia reforzada.

Este articulo aterriza cuatro piezas criticas del KYC operativo: identificacion del cliente, screening en listas, tratamiento de PEPs y beneficiario controlador. El objetivo no es sustituir la asesoria legal ni el criterio del oficial de cumplimiento, sino traducir el marco PLD a controles que puedan operarse en originacion, core, expediente digital y monitoreo.

KYC no es solo identidad: es conocimiento defendible

La validacion de identidad es necesaria, pero no suficiente. Un buen proceso KYC debe permitir responder al menos cinco preguntas:

  1. Quien es el cliente o usuario.
  2. Que actividad realiza y de donde provienen sus recursos.
  3. Quien actua por el cliente o lo representa.
  4. Quien obtiene el beneficio o control final cuando hay personas morales, estructuras corporativas o terceros relacionados.
  5. Que riesgo inicial y continuo representa para la institucion.

En personas fisicas, esto implica datos de identificacion, documentos, domicilio, actividad, ocupacion, origen de recursos, canal de contratacion y comportamiento esperado. En personas morales, implica ademas estructura accionaria, objeto social, representantes, apoderados, poderes, administradores, partes relacionadas y beneficiario controlador cuando aplique.

La diferencia entre un KYC documental y un KYC operativo esta en la evidencia. No basta con guardar un PDF. La institucion debe poder reconstruir que dato se capturo, que documento lo soporta, quien lo valido, que listas se consultaron, que coincidencias se descartaron, que regla de riesgo se aplico y que autorizacion fue necesaria.

LPB vs listas preventivas: no son lo mismo

Uno de los errores mas riesgosos en PLD es tratar todas las listas como si tuvieran el mismo efecto. No es igual una coincidencia en la Lista de Personas Bloqueadas que una coincidencia en una lista preventiva, internacional, fiscal o reputacional.

La Lista de Personas Bloqueadas (LPB) es una herramienta con efectos operativos severos dentro del marco PLD mexicano. Cuando una persona aparece en la LPB y la institucion recibe la instruccion aplicable, el flujo no debe resolverse como una simple alerta de debida diligencia. Debe activar restricciones operativas, suspension de actos u operaciones conforme al marco legal, escalamiento interno, confidencialidad y conservacion de evidencia.

Las listas preventivas tienen otra funcion. Pueden incluir sanciones internacionales, PEPs, noticias adversas, registros fiscales, proveedores de riesgo, alertas reputacionales o fuentes comerciales de inteligencia. Sirven para evaluar riesgo, pedir informacion adicional, escalar a revision reforzada o rechazar una relacion si el apetito de riesgo de la institucion lo exige. Pero su efecto no debe confundirse automaticamente con el de la LPB.

En sistemas, esa diferencia debe estar modelada. Un resultado de screening deberia guardar:

  • fuente consultada;
  • fecha y hora de consulta;
  • version o corte de la lista;
  • datos usados para comparar;
  • porcentaje o criterio de coincidencia;
  • resultado bruto;
  • decision humana o automatica;
  • evidencia revisada;
  • responsable;
  • efecto operativo aplicado.

Sin esa separacion, la institucion termina con dos problemas. Si subestima una coincidencia LPB, expone la operacion. Si sobrerreacciona ante listas preventivas sin criterio, genera friccion, rechazos injustificados y procesos dificiles de defender.

Screening: el control debe existir al alta y durante la vida del cliente

El screening no deberia ser una consulta unica al momento de abrir la cuenta o aprobar el credito. Las listas cambian, los clientes cambian y el riesgo cambia. Por eso el control debe operar en varias etapas:

  • Prospecto. Antes de aprobar una relacion o avanzar en originacion.
  • Alta de cliente. Al formalizar contrato o producto.
  • Operacion relevante. Cuando hay cambios de monto, producto, canal, representante o patron transaccional.
  • Actualizacion periodica. Segun el nivel de riesgo del cliente.
  • Barridos masivos. Cuando cambia una lista critica o se recibe informacion nueva.

Tambien importa a quien se consulta. En personas morales, el screening no deberia limitarse a la razon social. Debe considerar representantes, apoderados, accionistas relevantes, administradores, beneficiarios controladores y, segun la politica interna, partes relacionadas que puedan modificar el riesgo.

La calidad del screening depende de datos consistentes. Nombres incompletos, RFC mal capturados, CURP con errores, fechas de nacimiento faltantes o razon social normalizada de forma distinta en cada sistema elevan falsos positivos y falsos negativos. Por eso KYC, expediente, core y monitoreo deben compartir una fuente confiable de datos.

PEPs: riesgo reforzado, no prohibicion automatica

Una Persona Politicamente Expuesta (PEP) no es por definicion un cliente prohibido. El punto regulatorio y operativo es que puede requerir una debida diligencia reforzada por el riesgo de exposicion publica, influencia, corrupcion, conflicto de interes o uso de terceros.

El tratamiento de PEPs debe ser proporcional y trazable. Un flujo maduro deberia:

  1. Identificar si el cliente, representante, beneficiario controlador o parte relacionada es PEP.
  2. Registrar el cargo, jurisdiccion, periodo, relacion y fuente de informacion.
  3. Evaluar si la condicion es nacional, extranjera o relacionada por parentesco/asociacion conforme a la politica aplicable.
  4. Pedir informacion adicional sobre origen de recursos y proposito de la relacion.
  5. Obtener aprobaciones de nivel adecuado cuando el riesgo lo requiera.
  6. Aplicar monitoreo intensificado durante la vida de la relacion.

El riesgo principal no esta solo en abrirle la puerta a una PEP. Esta en no saber que era PEP, no documentar la decision, no actualizar la condicion o no detectar operaciones que contradicen el perfil declarado.

Para tecnologia, esto significa que el atributo "PEP" no debe quedarse como una casilla aislada. Debe influir en la matriz de riesgo, en las reglas de aprobacion, en la frecuencia de actualizacion del expediente, en los limites operativos y en los escenarios de monitoreo.

Beneficiario controlador: mirar mas alla del firmante

En PLD, identificar al firmante no siempre equivale a conocer a quien controla o se beneficia de la relacion. En personas morales y estructuras juridicas, el beneficiario controlador es la persona fisica o grupo de personas fisicas que, en ultima instancia, obtiene el beneficio, ejerce control o toma decisiones relevantes sobre la operacion o la entidad.

La identificacion del beneficiario controlador es una pieza sensible porque reduce el riesgo de que sociedades, prestanombres, estructuras opacas o cadenas corporativas oculten a la persona realmente interesada.

Operativamente, la institucion necesita un flujo que permita:

  • capturar estructura accionaria y niveles de propiedad;
  • registrar porcentajes de participacion o mecanismos de control;
  • identificar administradores, representantes y apoderados;
  • pedir documentos soporte cuando corresponda;
  • detectar cambios de propiedad o control;
  • consultar listas sobre beneficiarios controladores, no solo sobre la entidad;
  • conservar evidencia de la determinacion realizada.

No siempre habra una respuesta simple. Puede haber sociedades con varios niveles, fideicomisos, control por acuerdos, control indirecto o informacion insuficiente. En esos casos, el sistema no deberia forzar una captura superficial solo para avanzar. Debe permitir escalamiento, solicitudes de informacion, rechazo por expediente incompleto o aprobacion condicionada segun la politica de la institucion.

Riesgos fiscales tipo 69-B: senal preventiva, no sentencia PLD automatica

Los listados fiscales del SAT relacionados con el articulo 69-B del Codigo Fiscal de la Federacion son relevantes para debida diligencia, especialmente cuando una institucion evalua personas morales, proveedores, pagadores, acreditados empresariales o estructuras de operacion.

Una aparicion en listados de operaciones inexistentes, presuntas o definitivas puede ser una senal de riesgo fiscal, documental, reputacional o de integridad. Pero no debe tratarse como una conclusion automatica de lavado de dinero ni como sustituto del analisis juridico y de cumplimiento.

La forma prudente de integrarlo al KYC es como una fuente preventiva dentro de la matriz de riesgo:

  • identificar el tipo de listado y estatus;
  • registrar fecha de consulta;
  • pedir aclaraciones o documentacion adicional;
  • evaluar impacto en riesgo del cliente;
  • decidir si procede debida diligencia reforzada, rechazo, bloqueo comercial interno o monitoreo especial;
  • conservar evidencia de la decision.

Esta distincion evita dos extremos: ignorar una senal publica relevante o convertir cualquier coincidencia fiscal en una conclusion automatica sin analisis.

Como convertir KYC en un flujo operativo

Un proceso KYC robusto debe estar conectado con el ciclo de vida completo del cliente. En originacion, debe servir para decidir si la institucion puede iniciar una relacion. En el core, debe mantenerse vivo mientras existan productos, saldos, pagos o movimientos. En monitoreo, debe alimentar reglas, alertas y perfil transaccional. En auditoria, debe permitir reconstruir el expediente y las decisiones.

El flujo recomendado es:

  1. Captura estructurada. Datos obligatorios por tipo de cliente, producto, canal y nivel de riesgo.
  2. Validacion documental y de identidad. Verificacion de documentos, consistencia de datos y, cuando aplique, validaciones biometricas o contra fuentes oficiales.
  3. Determinacion de partes relacionadas. Representantes, apoderados, accionistas, administradores y beneficiarios controladores.
  4. Screening inicial. LPB, PEPs, sanciones, listas preventivas, fuentes fiscales y otras fuentes definidas por politica.
  5. Resolucion de coincidencias. Falsos positivos, coincidencias confirmadas, escalamiento y evidencia.
  6. Clasificacion de riesgo. Matriz configurable con factores, ponderaciones, mitigantes y resultado explicable.
  7. Aprobacion o rechazo. Reglas por perfil, aprobaciones reforzadas y bloqueo cuando corresponda.
  8. Actualizacion continua. Barridos, renovacion de expediente, cambios de perfil y monitoreo intensificado.

Cuando este flujo vive en correos, hojas de calculo y carpetas compartidas, el area de cumplimiento pierde control. Cuando vive en sistemas integrados, la institucion puede operar con menos friccion y mas evidencia.

Checklist operativo de KYC, listas y beneficiario controlador

Antes de redisenar un flujo KYC o evaluar una plataforma, conviene revisar:

  • ¿El sistema distingue persona fisica, persona moral, representante, apoderado y beneficiario controlador?
  • ¿La captura de beneficiario controlador permite propiedad directa, indirecta y control por medios distintos a acciones?
  • ¿Se consulta LPB de forma separada a listas preventivas?
  • ¿Cada consulta de lista guarda fuente, fecha, version, parametros y resultado?
  • ¿Existe flujo formal para falsos positivos?
  • ¿Las coincidencias confirmadas disparan efectos operativos distintos segun la fuente?
  • ¿La condicion PEP modifica riesgo, aprobaciones y monitoreo?
  • ¿Los listados fiscales tipo 69-B se usan como senal de riesgo, no como conclusion automatica?
  • ¿El expediente conserva evidencia suficiente para auditoria?
  • ¿Los datos de KYC viajan a originacion, core, monitoreo y reportes sin recaptura?
  • ¿Hay barridos periodicos contra clientes existentes?
  • ¿La actualizacion de expediente depende del nivel de riesgo?
  • ¿El oficial de cumplimiento puede reconstruir quien decidio, cuando y con que evidencia?

Como ayuda Acendes

En Acendes, el KYC se entiende como parte del sistema operativo de cumplimiento, no como una pantalla aislada. Acendes Aura permite estructurar originacion digital con flujos, reglas, validaciones y evidencias. Acendes Core Banking ayuda a conservar la relacion operativa del cliente, sus productos, pagos, saldos y eventos relevantes. Las capacidades de validacion de identidad y las integraciones relacionadas con PUI pueden apoyar controles de identidad, expediente y trazabilidad.

La tecnologia no reemplaza el juicio del oficial de cumplimiento ni la asesoria legal. Pero si puede reducir puntos ciegos: datos duplicados, listas consultadas sin evidencia, decisiones sin responsable, expedientes incompletos y controles que no viajan del onboarding al monitoreo.

Lecturas relacionadas

Fuentes normativas consultadas

Nota editorial: este contenido es informativo y no constituye asesoria legal. La aplicacion concreta de obligaciones PLD/CFT, listas, tratamiento de PEPs, beneficiario controlador y fuentes fiscales debe revisarse con el oficial de cumplimiento, asesores legales y criterios regulatorios vigentes para cada institucion.

¿Listo para Implementar Esto en tu Institución?

Agenda una demo personalizada y descubre cómo Acendes puede transformar tu operación

Solicitar Demo Gratuita →Ver Productos

⚡ Demo en vivo de 30 minutos · 🎯 Personalizada a tu caso de uso · 💡 Sin compromiso