Volver al blog

Marco regulatorio PLD en Mexico para instituciones de credito

29 de abril de 2026
Tecnología Financiera

Marco regulatorio PLD en Mexico: articulo 115 LIC, disposiciones SHCP/CNBV, GAFI, reforma 2024 y controles operativos para instituciones de credito.

Mapa de investigacion PLD para instituciones financieras

El cumplimiento de Prevencion de Lavado de Dinero y Financiamiento al Terrorismo (PLD/CFT) no empieza en una alerta ni termina en un reporte. Para una institucion de credito en Mexico, empieza en el marco legal que define que debe conocer a sus clientes, conservar evidencia, detectar operaciones relevantes o inusuales, reportar a la autoridad y operar con estructuras internas capaces de sostener ese control todos los dias.

El error comun es leer la regulacion como una lista de documentos. En operacion, PLD es un sistema de control: politicas, expedientes, perfiles, listas, reglas, alertas, bitacoras, reportes, auditoria, gobierno interno y sistemas automatizados que permitan demostrar que la institucion sabe que hizo, por que lo hizo y con que evidencia.

Este articulo resume el marco regulatorio mexicano aplicable a instituciones de credito y lo traduce a implicaciones operativas para direccion, cumplimiento, operaciones y tecnologia.

La base legal: articulo 115 de la Ley de Instituciones de Credito

El articulo 115 de la Ley de Instituciones de Credito (LIC) es la base del regimen PLD/CFT para bancos e instituciones de credito en Mexico. En terminos practicos, habilita y obliga a que existan disposiciones de caracter general para prevenir, detectar y reportar actos, omisiones u operaciones que pudieran relacionarse con lavado de dinero, financiamiento al terrorismo o conductas previstas en el Codigo Penal Federal.

Para una institucion, esto se traduce en varias obligaciones operativas:

  • identificar y conocer a clientes y usuarios;
  • recabar informacion y documentacion para abrir cuentas o celebrar contratos;
  • resguardar expedientes, operaciones y reportes;
  • capacitar al personal;
  • usar sistemas automatizados que apoyen el cumplimiento;
  • establecer estructuras internas de cumplimiento;
  • suspender operaciones cuando exista una instruccion relacionada con Lista de Personas Bloqueadas;
  • conservar informacion y documentacion por los plazos regulatorios aplicables;
  • atender requerimientos de informacion de SHCP por conducto de la CNBV.

La LIC no describe cada pantalla, regla o flujo de autorizacion que debe tener una plataforma. Define el mandato. Las Disposiciones de Caracter General desarrollan el detalle operativo.

Disposiciones SHCP/CNBV: donde la obligacion se vuelve proceso

Las Disposiciones de Caracter General a que se refiere el articulo 115 de la LIC aterrizan el marco de cumplimiento para instituciones de credito. Son emitidas por la Secretaria de Hacienda y Credito Publico, con participacion supervisora de la Comision Nacional Bancaria y de Valores (CNBV), y establecen medidas, procedimientos, reportes, estructuras y sistemas que las entidades deben observar.

Su alcance no debe verse como un documento aislado del area legal. En la practica toca al menos seis capas de operacion:

  1. Cliente y usuario. Identificacion, conocimiento, expediente, actividad economica, beneficiario controlador cuando aplique, representantes, apoderados y actualizacion de informacion.
  2. Producto y canal. Diferentes productos, canales digitales, sucursales, comisionistas, originacion remota o nuevas tecnologias pueden tener riesgos distintos.
  3. Operacion. Monto, frecuencia, origen y destino de recursos, comportamiento esperado, desviaciones y agrupacion de operaciones.
  4. Monitoreo. Reglas, alertas, escenarios, parametros, listas, analisis y seguimiento.
  5. Reporte. Operaciones relevantes, inusuales, internas preocupantes u otros reportes que correspondan conforme a la regulacion aplicable.
  6. Gobierno y evidencia. Oficial de cumplimiento, comite, capacitacion, auditoria, conservacion documental, confidencialidad y trazabilidad.

El cumplimiento real aparece cuando esas seis capas estan conectadas. Si el expediente vive en un sistema, el core en otro, las listas en hojas de calculo y las alertas en correos sueltos, la institucion puede tener politicas escritas, pero le costara demostrar control operativo.

Reforma publicada en DOF en 2024: mas enfasis en operacion, datos y sistemas

El 28 de agosto de 2024 se publico en el Diario Oficial de la Federacion una resolucion que reformo, adiciono y derogo diversas disposiciones relacionadas con el articulo 115 de la LIC. El cambio reforzo una tendencia clara: PLD/CFT ya no puede administrarse como cumplimiento manual desconectado de la operacion.

En terminos ejecutivos, la reforma confirma tres prioridades:

  • Mas precision en identificacion y conocimiento del cliente. La institucion necesita datos completos, consistentes y actualizados, no solo documentos cargados.
  • Mayor capacidad de seguimiento. El monitoreo debe apoyarse en informacion de productos, canales, operaciones y comportamiento esperado.
  • Sistemas automatizados con trazabilidad. Las nuevas obligaciones que implican modificaciones a sistemas automatizados reflejan que el regulador espera controles operables, no solo politicas declarativas.

Para direccion y tecnologia, el mensaje es directo: cada reforma regulatoria que toca PLD termina convertida en requerimientos de datos, flujos, permisos, bitacoras, reportes y capacidad de auditoria.

GAFI/GAFILAT: el estandar internacional detras del enfoque mexicano

Mexico no regula PLD/CFT en aislamiento. El marco local esta influido por los estandares internacionales del Grupo de Accion Financiera (GAFI) y por la evaluacion regional de GAFILAT. Las 40 Recomendaciones del GAFI son el punto de referencia internacional para prevenir lavado de activos, financiamiento al terrorismo y financiamiento de la proliferacion.

Dos ideas son especialmente importantes para instituciones financieras:

  • Enfoque Basado en Riesgo. Los controles deben ser proporcionales al riesgo. No todos los clientes, productos, canales o geografias requieren el mismo nivel de debida diligencia.
  • Efectividad. No basta con tener politicas. El sistema debe producir resultados: identificar riesgos, mitigarlos, detectar desviaciones, documentar decisiones y reportar cuando corresponda.

Por eso un programa PLD maduro no se mide por el numero de formatos firmados. Se mide por la capacidad de explicar por que un cliente fue clasificado con cierto nivel de riesgo, que controles se aplicaron, que operaciones se monitorearon, que alertas se investigaron y que evidencia respalda cada decision.

Que significa "cumplir" en la operacion diaria

Una institucion de credito debe convertir el marco regulatorio en rutinas operativas. Algunas ocurren al inicio de la relacion con el cliente; otras suceden durante toda la vida del producto.

1. Onboarding y expediente

El proceso de alta debe capturar la informacion necesaria para identificar al cliente y entender su actividad. Esto incluye datos personales o corporativos, documentos, actividad economica, domicilio, representantes, apoderados, estructura de propiedad y, cuando aplique, beneficiario controlador.

Desde tecnologia, el punto critico es evitar la recaptura y la dispersion. Si los datos de identidad se capturan en originacion, deben viajar al expediente, al motor de riesgo, al core y al monitoreo sin perder trazabilidad.

2. Clasificacion de riesgo

El cliente no debe quedar como "aprobado" o "rechazado" sin contexto. Debe existir una clasificacion de riesgo que considere factores como tipo de cliente, actividad, producto, monto esperado, canal, geografia, comportamiento transaccional y coincidencias con listas.

Esta clasificacion debe ser explicable. Si el riesgo cambia, la institucion necesita saber que evento lo modifico: nueva informacion, operacion atipica, cambio de actividad, coincidencia en lista, alerta investigada o actualizacion periodica.

3. Listas y restricciones

La Lista de Personas Bloqueadas tiene consecuencias operativas distintas a otras listas preventivas o de debida diligencia. Cuando la autoridad informa una inclusion aplicable, la institucion debe suspender actos, operaciones o servicios conforme al marco legal.

Esto exige mas que una consulta inicial. Requiere mecanismos para revisar clientes existentes, prospectos, usuarios, representantes y partes relacionadas; registrar resultados; administrar falsos positivos; bloquear procesos cuando corresponda; y conservar evidencia de la decision.

4. Perfil transaccional

El perfil transaccional es la referencia contra la que se evalua la normalidad del comportamiento del cliente. Debe conectar lo declarado en el onboarding con lo observado en la operacion: montos, frecuencia, productos, origen y destino de recursos, canal y patrones esperados.

Sin un perfil transaccional vivo, las alertas se vuelven genericas. Con un perfil bien definido, el monitoreo puede distinguir entre una operacion grande pero esperada y una desviacion que amerita analisis.

5. Alertas, investigacion y reporte

La deteccion no termina cuando se dispara una alerta. Debe existir un flujo para priorizar, asignar, analizar, documentar, resolver, escalar y reportar cuando corresponda. Cada paso debe dejar evidencia: datos revisados, razonamiento, documentos consultados, decision tomada y responsable.

En una auditoria o visita de supervision, la pregunta no sera solo "cuantas alertas genero el sistema", sino que hizo la institucion con ellas y como puede demostrarlo.

6. Conservacion y auditoria

El marco PLD exige conservar expedientes, reportes, registros y soporte durante plazos definidos. La conservacion no debe entenderse como guardar archivos en una carpeta. Debe permitir recuperar evidencia completa, consistente y vinculada a la operacion original.

Una buena arquitectura debe responder preguntas como:

  • quien capturo o modifico un dato;
  • que version de la politica o regla estaba vigente;
  • que lista se consulto y cuando;
  • que alerta se genero;
  • quien resolvio la investigacion;
  • que reporte se envio;
  • que documentos soportan la decision.

Implicaciones para sistemas de originacion y core bancario

PLD/CFT no vive en un modulo aislado. Toca originacion, administracion de cartera, pagos, canales digitales, reportes, atencion al cliente y gobierno de datos.

En originacion, el sistema debe capturar informacion confiable, validar identidad, consultar listas, clasificar riesgo, aplicar reglas y documentar decisiones antes de formalizar una relacion o producto.

En core bancario, el sistema debe conservar la relacion operativa: contratos, saldos, movimientos, pagos, modificaciones, bloqueos, estatus, historial y eventos relevantes. Si el core no esta conectado con cumplimiento, el monitoreo pierde contexto.

En canales digitales, la institucion debe considerar riesgos de no presencialidad, trazabilidad de sesiones, evidencia de consentimiento, autenticacion, validacion documental, biometria cuando aplique y controles contra suplantacion.

Por eso el area de cumplimiento no puede depender exclusivamente de procesos manuales. Necesita que la arquitectura tecnologica soporte el control desde el inicio.

Checklist operativo para aterrizar el marco regulatorio

Antes de evaluar una plataforma o redisenar procesos PLD, conviene revisar estas preguntas:

  • ¿El onboarding captura todos los datos necesarios para identificar y conocer al cliente?
  • ¿La informacion del cliente viaja sin recaptura entre originacion, expediente, core y monitoreo?
  • ¿La matriz de riesgo es configurable y deja evidencia de cada clasificacion?
  • ¿Las listas se consultan al alta y durante la vida del cliente?
  • ¿El sistema distingue Lista de Personas Bloqueadas de listas preventivas o de debida diligencia?
  • ¿Existe perfil transaccional esperado por cliente, producto o segmento?
  • ¿Las alertas tienen flujo de investigacion, responsables, tiempos, dictamen y evidencia?
  • ¿Los reportes regulatorios se pueden reconstruir desde datos fuente?
  • ¿La institucion conserva expedientes y soporte por los plazos aplicables?
  • ¿El oficial de cumplimiento y auditoria pueden revisar bitacoras sin depender de capturas manuales?
  • ¿Las reglas se pueden ajustar cuando cambia la regulacion o el apetito de riesgo?
  • ¿La direccion puede ver indicadores de efectividad, no solo volumen de alertas?

Como ayuda Acendes

En Acendes vemos el cumplimiento PLD como una capacidad operativa integrada, no como un anexo documental. Una institucion que origina credito, administra cartera y atiende clientes necesita que sus datos de identidad, reglas, decisiones, bloqueos, reportes y evidencias vivan conectados.

Soluciones como Acendes Aura ayudan a estructurar flujos de originacion con reglas, validaciones y trazabilidad. Acendes Core Banking permite conectar la administracion de cartera con eventos operativos y controles de seguimiento. Y las integraciones de identidad, como las relacionadas con PUI, ayudan a ordenar datos sensibles bajo una arquitectura auditable.

La tecnologia no reemplaza al oficial de cumplimiento ni a la asesoria legal. Pero si puede reducir friccion, errores manuales y puntos ciegos, dejando evidencia clara para operar y supervisar.

Lecturas relacionadas

Fuentes normativas consultadas

Nota editorial: este contenido es informativo y no constituye asesoria legal. La aplicacion concreta del marco PLD/CFT debe revisarse con el oficial de cumplimiento, asesores legales y criterios regulatorios vigentes para cada institucion.

¿Listo para Implementar Esto en tu Institución?

Agenda una demo personalizada y descubre cómo Acendes puede transformar tu operación

Solicitar Demo Gratuita →Ver Productos

⚡ Demo en vivo de 30 minutos · 🎯 Personalizada a tu caso de uso · 💡 Sin compromiso