Declaración activos virtuales México SAT CNBV 2026 CARF
LFPIORPI, Ley Fintech y CARF de la OCDE en México 2026: obligaciones de declaración ante SAT, UIF y CNBV para plataformas de activos virtuales.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokLas plataformas de activos virtuales que operan en México no están sujetas al Marco de Reporte de Activos Criptográficos (CARF) de la OCDE ni a la directiva europea DAC8 — México no es miembro de la Unión Europea. Sin embargo, el país cuenta con su propio marco regulatorio robusto, anclado en la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech) de 2018, la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) y la Circular 4/2019 de Banxico, que en conjunto imponen obligaciones exigentes de declaración, identificación de usuarios y reporte ante el SAT, la UIF y la CNBV. El incumplimiento conlleva sanciones que van desde multas de millones de pesos hasta la revocación de la autorización de operación.
Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias normativas son exactas a la fecha de publicación en el Diario Oficial de la Federación (DOF). Consulte a un profesional cualificado para obtener orientación adaptada a su situación específica.
Qué es el CARF de la OCDE y su relación con México
El CARF (Crypto-Asset Reporting Framework) es el estándar de intercambio automático de información fiscal sobre activos criptográficos desarrollado por la Organización para la Cooperación y el Desarrollo Económicos (OCDE), aprobado en 2022 y que entró en vigor progresivamente en jurisdicciones participantes a partir de 2026. Su contraparte dentro de la Unión Europea es la directiva DAC8 (Directive on Administrative Cooperation), que transpone el CARF al derecho comunitario.
México no está sujeto ni al CARF ni a DAC8. No es Estado miembro de la UE y, aunque es miembro de la OCDE desde 1994, la adhesión al CARF como marco de reporte automático requiere legislación interna de transposición que México aún no ha adoptado formalmente. No obstante, México participa en el Foro Global sobre Transparencia e Intercambio de Información con Fines Fiscales y en el Grupo de Acción Financiera Internacional (GAFI/FATF), lo que implica que la adopción gradual de los estándares CARF es una trayectoria regulatoria previsible en el mediano plazo.
| Marco | Aplicación en México | Observaciones |
|---|---|---|
| CARF (OCDE) | No aplicable directamente | México es miembro OCDE; adopción futura posible |
| DAC8 (UE) | No aplicable | México no es Estado miembro de la UE |
| LFPIORPI | Aplicable — ley vigente | Plataformas de activos virtuales = actividad vulnerable |
| Ley Fintech 2018 | Aplicable — ley vigente | Marco regulatorio principal para ITFs |
| Circular 4/2019 Banxico | Aplicable a instituciones financieras reguladas | Restricciones sobre operaciones con activos virtuales |
| GAFI/FATF Recomendaciones | México adopta progresivamente | Influyen en la regulación doméstica |
Las empresas que operan tanto en México como en jurisdicciones europeas deben gestionar dos marcos regulatorios paralelos: el mexicano (LFPIORPI + Ley Fintech) y el europeo (CARF/DAC8 + MiCA). Para las obligaciones bajo MiCA y la verificación de identidad en cripto dentro de la UE, consulte nuestro artículo sobre regulación MiCA y verificación de identidad cripto en 2026.
Marco regulatorio mexicano: Ley Fintech, LFPIORPI y regulación de activos virtuales
México dispone de un marco regulatorio articulado en tres instrumentos normativos principales que interactúan entre sí y que, en conjunto, cubren las obligaciones que en Europa asumiría la combinación MiCA + AMLD6 + DAC8.
La Ley Fintech (2018) establece la figura de las Instituciones de Tecnología Financiera (ITFs) y las somete a autorización obligatoria de la CNBV. Las plataformas que operen con activos virtuales como fondos de pago electrónico deben contar con dicha autorización antes de iniciar operaciones. La Ley Fintech delegó en Banxico la facultad de determinar qué activos virtuales pueden ser operados por las ITFs y bajo qué condiciones.
La Circular 4/2019 de Banxico regula las operaciones con activos virtuales para las instituciones de tecnología financiera. Banxico adoptó un enfoque conservador: las instituciones financieras reguladas sólo pueden realizar operaciones con activos virtuales de uso interno (no directamente con clientes) y bajo autorización previa expresa del banco central. Esta distinción es fundamental para entender el alcance de la regulación aplicable.
La LFPIORPI clasifica a las plataformas de activos virtuales como realizadoras de "actividades vulnerables" y las sujeta a las obligaciones de identificación de clientes, conservación de registros y presentación de reportes de operaciones relevantes (ROR) ante la UIF. Las disposiciones de carácter general emitidas por el SAT en coordinación con la UIF detallan los umbrales y procedimientos aplicables.
La supervisión de este marco recae en múltiples autoridades con funciones complementarias:
| Autoridad | Función regulatoria | Recurso oficial |
|---|---|---|
| SAT (Servicio de Administración Tributaria) | Autoridad fiscal; recibe declaraciones; RFC | sat.gob.mx |
| UIF (Unidad de Inteligencia Financiera) | FIU mexicana; recibe ROR; supervisa LFPIORPI | uif.gob.mx |
| CNBV (Comisión Nacional Bancaria y de Valores) | Autoriza y supervisa ITFs; emite disposiciones PLD | cnbv.gob.mx |
| Banxico (Banco de México) | Banco central; regula activos virtuales autorizados | banxico.org.mx |
| INAI | Protección de datos personales (LFPDPPP) | inai.org.mx |
Qué empresas deben reportar operaciones con activos virtuales en México
La obligación de reportar no recae indiscriminadamente sobre todos los actores del ecosistema cripto. La LFPIORPI y la Ley Fintech definen con precisión los sujetos obligados.
Están sujetas a las obligaciones de reporte ante la UIF todas las personas físicas y morales que realicen habitualmente actividades vulnerables relacionadas con activos virtuales, incluyendo: plataformas de intercambio (exchanges) que operen en México aunque no cuenten con autorización como ITF; plataformas de fondos de pago electrónico autorizadas como ITF por la CNBV; y proveedores de servicios de activos virtuales (PSAVs) según la terminología del GAFI.
Están sujetas además a la regulación de la CNBV y Banxico únicamente las ITFs autorizadas que ofrezcan servicios de fondos de pago electrónico con activos virtuales a sus clientes. La falta de autorización no exime de las obligaciones LFPIORPI — sólo agrega la infracción adicional de operar sin licencia.
Las instituciones financieras tradicionales (bancos, casas de bolsa, SOFOMES) que realicen operaciones con activos virtuales quedan sujetas a las disposiciones de la CNBV y a las restricciones de la Circular 4/2019 de Banxico, además de sus obligaciones PLD/FT sectoriales preexistentes.
Si su plataforma está en fase de diseño y aún no tiene claro qué obligaciones aplican a su modelo de negocio específico, la guía de conformidad documental ofrece un marco de análisis aplicable al sector fintech mexicano.
¿Listo para automatizar sus verificaciones?
Piloto gratuito con sus propios documentos. Resultados en 48h.
Solicitar un piloto gratuitoDatos KYC requeridos: RFC, INE, CURP y documentos obligatorios
La identificación de los usuarios de plataformas de activos virtuales en México requiere la recopilación y verificación de un conjunto documental específico, distinto al que aplica en la Unión Europea.
Para personas físicas, los documentos y datos obligatorios son:
- INE (credencial para votar) vigente — el documento de identidad primario en México, emitido por el Instituto Nacional Electoral. Se acepta también pasaporte mexicano o documento migratorio para extranjeros.
- RFC (Registro Federal de Contribuyentes) — identificación fiscal obligatoria para todas las personas físicas que realicen operaciones con activos virtuales, equivalente funcional al NIF/CIF en España o al TIN en Estados Unidos.
- CURP (Clave Única de Registro de Población) — identificador único de 18 caracteres alfanuméricos asignado por la Secretaría de Gobernación. Complementa al RFC en la identificación de personas físicas.
- Comprobante de domicilio con antigüedad no mayor a 3 meses: recibo de luz (CFE), agua, gas, teléfono fijo o estado de cuenta bancario.
- e.firma (antes FIEL) — firma electrónica avanzada del SAT, requerida para trámites fiscales y en algunos flujos de verificación digital.
Para personas morales, los requisitos adicionales incluyen: acta constitutiva inscrita en el Registro Público de Comercio (estatal), poder notarial del representante legal, Constancia de Situación Fiscal del SAT, e identificación de beneficiarios controladores (personas que controlen directa o indirectamente más del 25% del capital social), conforme al artículo 32-B Ter del Código Fiscal de la Federación.
| Documento | Persona física | Persona moral | Autoridad emisora |
|---|---|---|---|
| INE / pasaporte | Obligatorio | Representantes legales | INE / SRE |
| RFC | Obligatorio | Obligatorio | SAT |
| CURP | Obligatorio | N/A (uso de RFC) | SEGOB |
| Comprobante domicilio | Obligatorio (< 3 meses) | Domicilio fiscal | Prestadores de servicios |
| Acta constitutiva | N/A | Obligatoria | Notario + Reg. Público |
| Beneficiarios controladores | N/A | Obligatorio (+25%) | Declaración interna |
| e.firma | Para trámites SAT | Representante legal | SAT |
Plazos y obligaciones de reporte ante el SAT y la UIF
Las obligaciones de reporte tienen dos destinatarios principales con umbrales y plazos distintos.
Reportes de Operaciones Relevantes (ROR) ante la UIF: Las plataformas de activos virtuales clasificadas como actividades vulnerables deben presentar avisos a la UIF cuando una operación o conjunto de operaciones vinculadas supere el equivalente a $7,500 USD (aproximadamente 645 UMAs, actualizadas anualmente). Los avisos deben presentarse a través del sistema de la UIF dentro de los 30 días calendario siguientes al cierre del mes en que se realizó la operación. Las operaciones inusuales o preocupantes se reportan sin umbral de monto y con carácter inmediato.
Reporte de operaciones en efectivo ante el SAT: Las operaciones en efectivo iguales o superiores a $15,000 pesos MXN deben reportarse al SAT. Este umbral aplica con independencia de si la operación involucra activos virtuales o moneda de curso legal, y su incumplimiento activa sanciones directas del SAT.
Declaraciones fiscales del SAT: Los ingresos obtenidos por personas físicas y morales a través de operaciones con activos virtuales son ingresos gravables conforme a la Ley del Impuesto sobre la Renta (LISR). Las plataformas que actúen como intermediarios tienen obligaciones de retención y emisión de CFDI (Comprobante Fiscal Digital por Internet) por las operaciones realizadas.
Conservación de registros: Conforme a la LFPIORPI, todos los registros de identificación de clientes y de operaciones deben conservarse por un mínimo de 10 años contados desde el fin de la relación comercial o la fecha de la transacción (la que sea posterior). La LFPDPPP, supervisada por el INAI, impone además restricciones sobre el tratamiento de los datos personales recopilados durante el KYC.
Para una visión completa de las obligaciones de los sujetos obligados bajo LFPIORPI, incluyendo el contexto de cumplimiento antilavado que enmarca estos reportes, consulte nuestra guía de cumplimiento AMLD6 para sujetos obligados.
Sanciones por incumplimiento de las obligaciones de declaración
El incumplimiento de las obligaciones de reporte y declaración expone a las plataformas y a sus responsables de cumplimiento a consecuencias severas, articuladas en tres niveles.
Sanciones administrativas de la CNBV para ITFs autorizadas: multas de hasta 100,000 UMAs (equivalentes a más de $10,800,000 MXN a valores de 2026), suspensión temporal de operaciones o revocación definitiva de la autorización. La CNBV puede además inhabilitar a los directivos responsables.
Sanciones de la UIF por omisión de reportes LFPIORPI: multas de hasta 65,000 UMAs (aproximadamente $7,100,000 MXN), con responsabilidad personal de los Oficiales de Cumplimiento. En casos de omisión dolosa de reportes de operaciones preocupantes, la UIF puede formular denuncia penal, con penas de prisión de 2 a 8 años conforme al Código Penal Federal.
Sanciones del SAT por incumplimiento de obligaciones fiscales: recargos, multas y, en casos de defraudación fiscal calificada, responsabilidad penal. El SAT puede además revocar los sellos digitales necesarios para la emisión de CFDI, paralizando efectivamente las operaciones de la plataforma.
| Incumplimiento | Autoridad sancionadora | Sanción máxima |
|---|---|---|
| Falta de autorización ITF | CNBV | Cierre operacional + multa |
| Omisión de ROR a la UIF | UIF | 65,000 UMAs (~$7.1M MXN) + penal |
| Deficiencias KYC documentales | CNBV / UIF | 100,000 UMAs (~$10.8M MXN) |
| No reporte de efectivo ≥$15,000 MXN | SAT | Multa + recargos |
| Incumplimiento LFPDPPP (datos personales) | INAI | Hasta 320,000 días de salario mínimo |
Automatizar la verificación documental KYC para la conformidad en México
El volumen de obligaciones documentales que impone el marco mexicano — identificación de usuarios, verificación de RFC, validación de INE, comprobante de domicilio, identificación de beneficiarios controladores y conservación de registros durante 10 años — hace inviable la verificación manual para cualquier plataforma que opere a escala.
La verificación documental automatizada procesa en segundos los documentos de identidad de usuarios mexicanos: extrae los datos de la credencial INE (nombre completo, CURP, clave de elector, vigencia), cruza la información con la declarada por el usuario, y verifica los elementos de seguridad del documento para detectar alteraciones o falsificaciones. El mismo flujo puede extender la verificación al RFC (comprobación de Constancia de Situación Fiscal contra datos declarados) y al comprobante de domicilio.
Para el onboarding de personas morales, los flujos KYB automatizados verifican el acta constitutiva, el poder notarial y la identificación de beneficiarios controladores, cruzando los datos entre documentos y señalando inconsistencias antes de que el expediente llegue al Oficial de Cumplimiento. Esto reduce el tiempo de onboarding corporativo de días a horas, sin sacrificar el rigor documental que la CNBV y la UIF exigen durante sus inspecciones.
La generación automática de pistas de auditoría — con sello de tiempo para cada comprobación, su resultado y la decisión tomada — es esencial cuando la UIF solicita evidencia del cumplimiento PLD/FT. Los procesos manuales producen expedientes fragmentados que difícilmente satisfacen a los inspectores; los sistemas automatizados generan trazabilidad completa y legible por máquina.
La seguridad de los datos recopilados durante el KYC es igualmente crítica: la LFPDPPP y el INAI exigen medidas de protección adecuadas para los datos personales tratados en los procesos de verificación, incluyendo el RFC y la CURP de los usuarios.
Explore nuestros planes y precios para dimensionar la solución al volumen de verificaciones que su plataforma necesita en México.
Preguntas frecuentes
¿Aplica el CARF de la OCDE a las plataformas de activos virtuales en México?
No directamente. México es miembro de la OCDE, pero el CARF como marco de reporte automático requiere legislación interna de transposición que México no ha adoptado formalmente a la fecha de publicación de este artículo. Las plataformas mexicanas están sujetas al marco doméstico: LFPIORPI, Ley Fintech y disposiciones de la CNBV. No obstante, la adopción progresiva de los estándares CARF es previsible dado que México participa en el GAFI y en el Foro Global sobre Transparencia Fiscal de la OCDE. Las empresas que también operen en jurisdicciones de la UE deben cumplir con DAC8 y MiCA para esas operaciones.
¿Qué es el RFC y por qué es obligatorio para las plataformas de activos virtuales en México?
El RFC (Registro Federal de Contribuyentes) es el identificador fiscal asignado por el SAT a todas las personas físicas y morales en México. Es el equivalente funcional al NIF/CIF español o al TIN estadounidense. Las plataformas de activos virtuales están obligadas a recopilar y verificar el RFC de sus usuarios porque: (1) las ganancias por operaciones con activos virtuales son ingresos gravables conforme a la LISR; (2) la LFPIORPI exige identificar a los usuarios de actividades vulnerables con su identificación fiscal; y (3) la Constancia de Situación Fiscal del SAT sirve como elemento de verificación cruzada de la identidad del usuario.
¿Cuál es el umbral a partir del cual una plataforma debe reportar operaciones a la UIF?
Las plataformas clasificadas como actividades vulnerables bajo LFPIORPI deben presentar Reportes de Operaciones Relevantes (ROR) a la UIF cuando una operación o conjunto de operaciones vinculadas supere el equivalente a $7,500 USD (aproximadamente 645 UMAs, actualizadas anualmente por la CONASAMI). El plazo de presentación es de 30 días calendario desde el cierre del mes de la operación. Las operaciones inusuales (que no encajan en el perfil del cliente) o preocupantes (que sugieren ilicitud) deben reportarse inmediatamente y sin umbral de monto. Adicionalmente, las operaciones en efectivo iguales o superiores a $15,000 MXN deben reportarse directamente al SAT.
¿Qué ocurre si una plataforma de activos virtuales opera en México sin autorización de la CNBV?
Operar como ITF sin la autorización de la CNBV constituye una infracción grave con múltiples consecuencias: la CNBV puede ordenar el cese inmediato de operaciones, imponer multas significativas y formular denuncia penal contra los directivos responsables. Más aún, la falta de autorización no exime de las obligaciones LFPIORPI — la UIF puede igualmente sancionar a la plataforma no autorizada por incumplimiento de las obligaciones de identificación de clientes y reporte de operaciones. En la práctica, una plataforma no autorizada enfrenta el riesgo simultáneo de sanciones de la CNBV, la UIF y el SAT. La Ley Fintech establece un proceso de autorización ante la CNBV que, aunque complejo, es el único camino para operar legalmente con activos virtuales en México.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.