Enfoque Basado en Riesgo PLD/CFT en México: Scoring de Clientes CNBV/UIF 2026

El Enfoque Basado en Riesgo en PLD/CFT en México: marco regulatorio y obligaciones

El enfoque basado en riesgo (EBR) es el pilar sobre el que descansa toda la arquitectura de la prevención de lavado de dinero y financiamiento al terrorismo (PLD/CFT) en México. Este modelo exige que las entidades obligadas no apliquen controles uniformes a todos sus clientes, sino que concentren sus recursos en aquellos que representan una amenaza mayor para el sistema financiero. El fundamento legal principal de este enfoque en México es la LFPIORPI (Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita), publicada en el Diario Oficial de la Federación el 17 de octubre de 2012, junto con las Disposiciones de Carácter General en materia de PLD/CFT emitidas sectorialmente por la CNBV (Comisión Nacional Bancaria y de Valores).

La UIF (Unidad de Inteligencia Financiera), adscrita a la Secretaría de Hacienda y Crédito Público (SHCP), actúa como la unidad de inteligencia financiera de México y es el receptor de los reportes de operaciones inusuales, relevantes y preocupantes que generan las entidades obligadas. Su función es analizar, sistematizar y diseminar información financiera para combatir el lavado de dinero y el financiamiento al terrorismo, así como coordinar con la Fiscalía General de la República cuando los indicios apunten a la comisión de delitos.

El artículo 17 de la LFPIORPI enumera 16 actividades vulnerables sujetas a obligaciones de PLD/CFT. Esta lista va mucho más allá de las instituciones financieras tradicionales e incluye a notarios públicos, corredores públicos, contadores públicos certificados, constructoras e inmobiliarias, distribuidores de vehículos, comerciantes de joyas, relojes y obras de arte, casas de empeño, prestamistas, centros cambiarios y casas de cambio, así como empresas de servicios de blindaje y custodia de valores. Esta amplitud del sujeto obligado es una característica distintiva del marco mexicano frente a otras jurisdicciones, y responde directamente a la Recomendación 1 del Grupo de Acción Financiera Internacional (GAFI), que exige a los países identificar, evaluar y entender los riesgos de lavado de dinero y financiamiento al terrorismo a los que están expuestos, para luego aplicar medidas proporcionales a dichos riesgos.

México es miembro pleno del GAFI desde el año 2000 y ha sido objeto de evaluaciones mutuas que han señalado áreas de mejora en la supervisión efectiva de actividades y profesiones no financieras designadas (APNFD). La cuarta ronda de evaluación mutua dejó en evidencia que el alcance normativo de la LFPIORPI debe ir acompañado de una supervisión robusta y de capacidades tecnológicas que permitan a los sujetos obligados implementar sistemas de EBR funcionales y auditables. En este contexto, las Disposiciones de la CNBV establecen los lineamientos específicos para que las instituciones de crédito, casas de bolsa, aseguradoras y demás entidades bajo su supervisión diseñen, implementen y mantengan un programa integral de PLD/CFT basado en la evaluación continua del riesgo de cada cliente.

Las cuatro dimensiones del riesgo en el contexto mexicano

El diseño de un modelo de scoring de riesgo eficaz para el entorno mexicano debe contemplar al menos cuatro dimensiones que la regulación y las guías de mejores prácticas identifican como determinantes del nivel de riesgo de un cliente o una operación.

1. Riesgo geográfico

México presenta una geografía del riesgo sumamente compleja. La CNBV publica periódicamente un mapa de riesgo geográfico que identifica municipios con alta incidencia de actividades delictivas vinculadas al lavado de dinero. Los estados fronterizos con Estados Unidos —Baja California, Sonora, Chihuahua, Coahuila, Nuevo León y Tamaulipas— presentan dinámicas particulares asociadas al tráfico de divisas en efectivo, remesas inversas y economías informales de gran escala. A nivel internacional, las contrapartes o clientes provenientes de jurisdicciones en las listas del GAFI o de sus organismos regionales como GAFILAT también elevan el perfil de riesgo de manera automática. Las entidades obligadas deben mantener actualizada su lista de países de alto riesgo y considerar la exposición de sus clientes a estas geografías en su modelo de evaluación.

2. Riesgo del cliente

Las Personas Expuestas Políticamente (PEPs) en México constituyen una categoría de riesgo elevado por definición. Esta categoría incluye a servidores públicos de alto nivel como presidentes municipales, gobernadores, legisladores federales y locales, magistrados y ministros del Poder Judicial, militares de alta graduación, dirigentes de partidos políticos y funcionarios de organismos constitucionales autónomos. La CNBV exige que los sujetos obligados cuenten con procedimientos específicos para la identificación de PEPs, tanto nacionales como extranjeros, y sus familiares directos. Los documentos de identificación clave en el contexto mexicano son la credencial para votar emitida por el INE (Instituto Nacional Electoral), el Registro Federal de Contribuyentes (RFC) y la Clave Única de Registro de Población (CURP). La consistencia entre estos identificadores es un indicador básico de la legitimidad del perfil del cliente. Las personas jurídicas con estructuras corporativas opacas, beneficiarios finales no identificados o domicilios fiscales irregulares también representan un riesgo elevado que debe reflejarse en el scoring.

3. Riesgo del producto o servicio

México es el mayor receptor de remesas internacionales de América Latina. En 2023, el país recibió aproximadamente 63,000 millones de dólares en remesas, principalmente desde Estados Unidos. Este volumen convierte a los productos de envío y recepción de remesas en uno de los vectores de riesgo más monitoreados. Adicionalmente, el uso intensivo de dólares en efectivo en las zonas fronterizas del norte del país, la creciente adopción de criptoactivos y la operación de créditos hipotecarios y fideicomisos inmobiliarios representan productos con perfiles de riesgo elevados que requieren controles diferenciados. El ACFE en su reporte de 2024 señala que el 37% de los casos de fraude financiero aún se detectan por métodos manuales, lo que subraya la necesidad de automatizar la evaluación del riesgo asociado a estos productos.

4. Riesgo del canal

La proliferación de canales no tradicionales de distribución de servicios financieros en México ha ampliado significativamente la superficie de riesgo. Las dispersoras de efectivo —empresas que distribuyen nóminas, apoyos gubernamentales u otros pagos masivos en efectivo— han sido identificadas como un canal de alto riesgo por su potencial para fragmentar operaciones. Los corresponsales bancarios, entre los que destacan cadenas como OXXO y farmacias de cobertura nacional, permiten realizar operaciones financieras fuera de las sucursales tradicionales y exigen controles específicos. Las plataformas de pago electrónico como el SPEI (Sistema de Pagos Electrónicos Interbancarios) y CoDi (Cobro Digital) facilitan transferencias de alta frecuencia que, sin los controles adecuados, pueden ser utilizadas para segmentar operaciones y dificultar su rastreo.

Construir una Matriz de Scoring de Riesgo conforme a las Disposiciones CNBV

La construcción de una matriz de scoring de riesgo es el ejercicio técnico central del EBR. Las Disposiciones de Carácter General de la CNBV exigen que las entidades financieras cuenten con metodologías documentadas, revisadas periódicamente y aprobadas por el área de cumplimiento, para clasificar a sus clientes en al menos tres niveles de riesgo: bajo, medio y alto. La tabla siguiente presenta una estructura de referencia alineada con los criterios más comúnmente utilizados en el mercado mexicano:

La asignación de ponderaciones debe estar respaldada por la evaluación nacional de riesgos (ENR) y por el análisis interno de la entidad sobre su propia cartera de clientes y operaciones. Una vez calculado el score agregado, los clientes se clasifican en tres segmentos: riesgo bajo (score 0–39), riesgo medio (score 40–69) y riesgo alto (score 70–100). Los clientes en el segmento de riesgo alto están sujetos automáticamente a DDC reforzada, mayor frecuencia de revisión y aprobación directiva para el establecimiento o continuación de la relación comercial.

Es fundamental que la matriz no sea estática. Los scores deben recalcularse ante eventos disparadores como cambios en el giro declarado del cliente, alertas generadas por el sistema transaccional, variaciones significativas en el volumen o patrón de operaciones, y actualizaciones en las listas de riesgo geográfico o de sanciones. Para profundizar en los métodos de evaluación, consulte nuestra guía sobre evaluación de riesgos en cumplimiento normativo.

DDC Simplificada y Reforzada según LFPIORPI y Disposiciones CNBV

Las medidas de Debida Diligencia del Cliente (DDC) son la traducción operativa del score de riesgo asignado. La regulación mexicana distingue tres niveles de DDC, cada uno con requisitos documentales y procedimentales diferenciados.

La DDC simplificada, regulada en el Capítulo III de las Disposiciones de la CNBV, aplica a clientes persona física con un perfil de riesgo verificado como bajo. En estos casos, los requisitos de identificación son reducidos, los límites de saldo y transacciones son más estrictos y la frecuencia de actualización del expediente es menor. Este nivel permite a las instituciones atender segmentos de población con menor capacidad de presentar documentación extensa, sin sacrificar la integridad del sistema.

La DDC ordinaria es el estándar aplicable a la mayoría de los clientes. Implica la verificación de la credencial para votar emitida por el INE o pasaporte vigente, el RFC con la constancia de situación fiscal actualizada, la CURP y un comprobante de domicilio reciente. Para personas morales, se requiere adicionalmente el acta constitutiva, poderes notariales, identificación de los beneficiarios finales y verificación de la estructura corporativa.

La DDC reforzada se activa de forma obligatoria para los PEPs (conforme al artículo 24 de la LFPIORPI), para clientes provenientes de jurisdicciones con deficiencias estratégicas identificadas por el GAFI o GAFILAT, y ante la detección de operaciones inusuales que no se resuelvan satisfactoriamente durante el proceso de conocimiento del cliente. Este nivel exige la aprobación de la alta dirección para establecer o continuar la relación de negocio, la documentación exhaustiva del origen lícito de los recursos y una revisión más frecuente del expediente, al menos anual o ante eventos disparadores.

En cuanto a los umbrales de reporte a la UIF, la LFPIORPI establece que las actividades vulnerables deben presentar avisos cuando las operaciones superen los umbrales correspondientes a cada actividad: por ejemplo, 16,000 UDIs (aproximadamente $130,000 MXN) para algunas categorías. Los Reportes de Operaciones Inusuales (ROI) deben presentarse cuando se detecten operaciones que no correspondan al perfil transaccional o económico del cliente, independientemente del monto involucrado.

En materia de protección de datos personales, la recopilación y tratamiento de información de clientes se rige por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su reglamento, supervisados por el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales). Las entidades obligadas deben contar con avisos de privacidad actualizados y garantizar que el uso de datos de clientes para fines de PLD/CFT esté debidamente fundamentado y sea proporcional.

La CNBV y la UIF pueden imponer sanciones administrativas y penales por incumplimiento de la LFPIORPI, incluyendo multas de hasta el doble del beneficio obtenido o hasta 10 veces el monto de la operación, además de inhabilitación para desempeñar cargos en el sistema financiero. La prevención de estas consecuencias exige no solo contar con políticas escritas, sino con procesos documentados, capacitación continua del personal y sistemas tecnológicos que garanticen la trazabilidad de cada decisión de cumplimiento. Para una visión más amplia del marco AML aplicable a México, consulte nuestra guía AML sobre cumplimiento.

Automatizar la Evaluación del Riesgo con Tecnología

La aplicación manual del EBR es inherentemente inconsistente y difícilmente escalable en entidades con carteras de clientes de mediana o gran dimensión. El error humano, la fatiga del analista y la falta de criterios estandarizados generan brechas en la cobertura del riesgo que los supervisores identifican con facilidad durante las inspecciones. La automatización tecnológica de la evaluación del riesgo permite eliminar estas brechas, reducir los tiempos de onboarding y garantizar que cada cliente sea evaluado con los mismos criterios, independientemente del canal o del ejecutivo que gestione la relación.

CheckFile es una plataforma de verificación documental que cubre más de 3,200 tipos de documentos en 32 jurisdicciones, incluyendo todos los documentos de identificación clave para el mercado mexicano: la credencial para votar emitida por el INE en sus distintas generaciones y versiones, el pasaporte mexicano, la verificación de consistencia del RFC con los datos del SAT, y la autenticidad de la CURP. Esta cobertura permite a las entidades obligadas automatizar la primera capa de verificación documental del expediente del cliente, reduciendo el tiempo de revisión y eliminando los errores de captura o falsificación documental más comunes.

La integración de CheckFile en el flujo de onboarding permite capturar y verificar la documentación del cliente en tiempo real, asignar automáticamente un score de riesgo preliminar basado en la consistencia de los datos y los factores de riesgo configurados por la entidad, y escalar al equipo de cumplimiento únicamente los expedientes que requieran revisión manual. Esto transforma la función de cumplimiento: de un cuello de botella operativo a un proceso ágil y auditable.

Para entidades que ofrecen productos de alto riesgo como remesas internacionales, crédito hipotecario o servicios a PEPs, la automatización es especialmente crítica. La plataforma CheckFile permite configurar reglas diferenciadas por tipo de producto, canal y perfil geográfico del cliente, alineadas con la estructura de la matriz de scoring interna de la entidad. Los resultados de cada verificación quedan registrados con marca de tiempo, generando la trazabilidad documental que exigen las Disposiciones de la CNBV.

Además de la verificación de identidad, las soluciones KYC para el sector bancario de CheckFile incluyen módulos de monitoreo continuo de clientes, alertas automáticas ante cambios en listas de sanciones o en la situación fiscal de personas morales, y reportes exportables para facilitar la presentación de informes ante la UIF. La seguridad de la plataforma cumple con los estándares internacionales de cifrado y protección de datos, asegurando el cumplimiento simultáneo de la LFPIORPI y la LFPDPPP.

Para una visión integral de los requerimientos documentales que debe satisfacer su programa de cumplimiento, le recomendamos la guía de conformidad documental de CheckFile. Conozca también los planes y precios disponibles para entidades de todos los tamaños.

Preguntas frecuentes

¿Qué entidades están obligadas bajo la LFPIORPI en México?

La LFPIORPI designa 16 actividades vulnerables, incluyendo instituciones de crédito, casas de bolsa, casas de cambio, notarios, corredores públicos, contadores públicos, constructoras, distribuidores de autos, joyas y obras de arte. Las entidades financieras reguladas por la CNBV adicionalmente están sujetas a las Disposiciones de Carácter General en materia de PLD/CFT, que desarrollan con mayor detalle las obligaciones de identificación, conocimiento del cliente y reporte.

¿Cuáles son los umbrales de reporte a la UIF bajo la LFPIORPI?

Los umbrales varían según la actividad vulnerable. Por ejemplo, para actos con inmuebles el umbral es de 8,025 UDIs (aproximadamente $65,000 MXN); para venta de joyas y relojes, 3,210 UDIs; para uso de tarjetas de servicios, 3,210 UDIs por operación. Las operaciones inusuales deben reportarse a la UIF sin importar el monto, siempre que no exista una justificación económica o lícita aparente.

¿Qué diferencia hay entre un ROI y un reporte de operación relevante?

Un Reporte de Operación Inusual (ROI) se presenta cuando una operación no corresponde al perfil del cliente o no tiene justificación económica aparente, independientemente del monto involucrado. Un reporte de operación relevante corresponde a operaciones en efectivo que superan los umbrales establecidos por la UIF según el tipo de entidad y la actividad vulnerable de que se trate, y se presentan de forma obligatoria aunque no existan señales de alerta adicionales.

¿Cuáles son las sanciones por incumplimiento de PLD/CFT en México?

Las sanciones incluyen multas que pueden alcanzar el doble del beneficio obtenido o hasta 10 veces el monto de la operación irregular, además de inhabilitación temporal para ejercer cargos en el sistema financiero. En casos graves, la CNBV puede revocar licencias de operación y las autoridades penales pueden iniciar investigaciones por encubrimiento u otros delitos relacionados con el lavado de dinero conforme al Código Penal Federal.

---

Aviso legal: Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico.