Anti Money Laundering: guía completa de cumplimiento

El anti money laundering (AML) — o prevención de lavado de dinero y financiamiento al terrorismo (PLD/FT) — es el conjunto de normas legales que obligan a las instituciones financieras, actividades vulnerables y profesionales a identificar, controlar y reportar operaciones sospechosas. El incumplimiento expone a las empresas a sanciones administrativas millonarias y, en casos graves, a responsabilidad penal de conformidad con el Código Penal Federal.

Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para obtener orientación adaptada a su situación.

Esta guía recoge los requisitos aplicables en México en marzo de 2026, las autoridades competentes y los pasos concretos para construir un programa de cumplimiento AML sólido.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico, financiero ni regulatorio. Consulten a un profesional cualificado para cualquier cuestión relativa a su situación específica.

¿Qué es el anti money laundering (AML)?

El anti money laundering es la denominación anglosajona del conjunto de controles destinados a impedir que fondos de origen ilícito se integren en el sistema financiero legal. En México, esta materia se regula bajo el término prevención de lavado de dinero y financiamiento al terrorismo (PLD/FT), con la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) como pilar normativo central.

El lavado de dinero se desarrolla en tres fases:

1. Colocación: los fondos ilícitos entran en el sistema financiero (depósitos fraccionados, compra de activos)
2. Estratificación: operaciones complejas disimulan el origen de los fondos
3. Integración: el dinero lavado vuelve a la economía como renta aparentemente legítima

Según el informe de la Unidad de Inteligencia Financiera (UIF) de 2024, México procesó más de 95.000 reportes de operaciones inusuales, con un incremento del 18 % respecto al año anterior (UIF — Informe de actividades 2024). Esta cifra refleja la intensificación de los controles tanto en el sector financiero como en las actividades vulnerables.

Marco regulatorio mexicano de PLD/FT

El fundamento legal del sistema mexicano es la LFPIORPI, publicada en el Diario Oficial de la Federación (DOF) en 2012. Esta ley, junto con las Disposiciones de carácter general emitidas por la CNBV y las Reglas de carácter general de la Secretaría de Hacienda y Crédito Público (SHCP), recoge las Recomendaciones del GAFI y los estándares del GAFILAT.

Autoridades competentes

La UIF, adscrita a la SHCP, ejerce sus funciones de inteligencia financiera y supervisión bajo un enfoque basado en riesgo, tal como recomienda el GAFI y exige la LFPIORPI (UIF — Funciones y atribuciones).

Evaluaciones internacionales

México fue evaluado por el GAFI/GAFILAT en su Informe de Evaluación Mutua (IEM), que identificó áreas de mejora en supervisión de actividades vulnerables y efectividad de los mecanismos de reporte. Las reformas regulatorias subsecuentes han buscado alinear el marco mexicano con las mejores prácticas internacionales, incluyendo estándares similares a los de la Directiva 6AMLD europea.

¿Quiénes son los sujetos obligados?

La LFPIORPI y las disposiciones de la CNBV establecen dos categorías de sujetos obligados:

Entidades financieras (supervisadas por la CNBV)

• Instituciones de banca múltiple y de desarrollo
• Casas de bolsa y sociedades de inversión
• Instituciones de seguros y fianzas
• Sociedades financieras de objeto múltiple (Sofomes)
• Instituciones de tecnología financiera (fintech) reguladas por la Ley Fintech
• Transmisores de dinero y casas de cambio

Actividades vulnerables (supervisadas por el SAT)

• Compraventa de bienes inmuebles
• Compraventa de vehículos, joyas y obras de arte
• Servicios de blindaje
• Notarios y corredores públicos
• Juegos y sorteos
• Compraventa de derechos personales
• Prestación de servicios de comercio exterior

En los foros de cumplimiento, los profesionales preguntan con frecuencia: ¿una startup fintech que ofrece monederos digitales está obligada a cumplir con la normativa PLD/FT? Sí. Desde la entrada en vigor de la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech, 2018), las instituciones de tecnología financiera quedan expresamente incluidas como sujetos obligados y deben obtener autorización de la CNBV.

Los cinco pilares de un programa AML eficaz

1. Identificación y conocimiento del cliente (KYC)

La identificación del cliente es la obligación central de todo programa PLD/FT. Las Disposiciones de carácter general de la CNBV exigen identificar y verificar la identidad del cliente antes de iniciar la relación de negocio.

El KYC estándar comprende:

• Identificación del cliente mediante documento oficial vigente (INE, pasaporte)
• Identificación del beneficiario controlador cuando el cliente sea una persona moral — umbral del 25 % del capital o derechos de voto
• Comprensión del propósito y naturaleza de la relación de negocio
• Determinación del perfil transaccional del cliente

La debida diligencia reforzada es obligatoria para personas políticamente expuestas (PEP), clientes de países con deficiencias en PLD/FT identificados por el GAFI, y operaciones de alto riesgo conforme a las disposiciones de la CNBV.

Para automatizar estos procesos, soluciones como CheckFile permiten verificar la autenticidad de los documentos de identidad y extraer datos con precisión, reduciendo el tiempo de validación en un proceso de KYC.

2. Enfoque basado en riesgo (EBR)

Los sujetos obligados no pueden aplicar procedimientos uniformes a todos los clientes. Las disposiciones regulatorias exigen una evaluación individual del riesgo, considerando factores como la naturaleza del cliente, el área geográfica, el tipo de producto o servicio y el canal de distribución.

Las medidas simplificadas se aplican cuando el riesgo es bajo — por ejemplo, cuentas con actividad limitada y montos reducidos. Las medidas reforzadas se aplican cuando se detectan factores de alto riesgo, incluyendo operaciones con jurisdicciones de alto riesgo identificadas por el GAFI.

3. Reportes a la UIF

La normativa obliga a presentar ante la UIF los siguientes reportes:

• Reportes de Operaciones Inusuales (ROI): cuando existan indicios de que los recursos provienen de actividades ilícitas
• Reportes de Operaciones Relevantes (ROR): operaciones en efectivo iguales o superiores a los umbrales establecidos (generalmente equivalentes a $7,690 USD para actividades vulnerables)
• Reportes de Operaciones Internas Preocupantes (ROIP): operaciones realizadas por empleados o funcionarios del propio sujeto obligado

Los sujetos obligados que identifiquen una operación inusual deben reportarla dentro de las 24 horas siguientes a su detección. Los avisos de actividades vulnerables deben presentarse ante el SAT a más tardar el día 17 del mes inmediato posterior.

4. Conservación de documentación

Los documentos y registros relacionados con el KYC y las transacciones deben conservarse durante diez años contados a partir de la fecha de realización de la operación (artículo 18 de la LFPIORPI). Este plazo se alinea con los estándares internacionales del GAFI.

5. Capacitación de empleados y control interno

Los sujetos obligados deben establecer un programa de capacitación permanente en materia de PLD/FT para todos los empleados involucrados. Además, deben designar un Oficial de Cumplimiento debidamente registrado ante la CNBV o el SAT, según corresponda, quien será el responsable del programa de prevención.

Cuadro comparativo de obligaciones PLD/FT

Sanciones por incumplimiento

Las infracciones a la LFPIORPI y a las disposiciones de la CNBV se clasifican en función de su gravedad y pueden conllevar:

• Multas de hasta 65,000 a 2,000,000 de UMA (Unidad de Medida y Actualización), que pueden superar los 200 millones de pesos mexicanos
• Revocación de la autorización para operar
• Inhabilitación de funcionarios y directivos
• Penas de prisión de dos a quince años por operaciones con recursos de procedencia ilícita (Código Penal Federal, artículo 400 bis)

En 2024, la CNBV impuso sanciones a instituciones financieras por un monto total que superó los 500 millones de pesos por deficiencias en sus programas de PLD/FT (CNBV — Sanciones). Las actividades vulnerables sancionadas por el SAT también registraron incrementos significativos.

Automatización del control documental AML

La verificación automatizada de documentos permite industrializar los controles KYC: comprobación de autenticidad de documentos de identidad, lectura por OCR, detección de alteraciones digitales y consulta de listas de sanciones internacionales (ONU, OFAC, lista de personas bloqueadas de la UIF).

El cumplimiento normativo documentado es especialmente relevante para entidades con grandes volúmenes de onboarding, como instituciones fintech, Sofomes o transmisores de dinero.

Para gestionar el cumplimiento documental de forma eficiente, CheckFile ofrece una plataforma de análisis documental basada en IA, integrable mediante API en los flujos de onboarding existentes.

Para una visión completa, consulten nuestra guía completa de conformidad documental. Nuestra plataforma procesa más de 180,000 documentos de cumplimiento al mes con una tasa de detección de fraude del 94.8 % y una tasa de falsos positivos del 2.8 %, con una precisión OCR del 98.7 %.

Ir más allá

Para profundizar en este tema, consulte nuestra guía completa sobre verificación documental.

---

Ir más allá

Para profundizar en este tema, consulte nuestra guía completa sobre verificación documental.

---

Preguntas frecuentes

¿Qué es el anti money laundering en términos sencillos?

El AML es el conjunto de normas que obliga a las empresas a verificar quiénes son sus clientes, monitorear sus transacciones y reportar actividades sospechosas a las autoridades. El objetivo es impedir que delincuentes conviertan dinero de origen ilícito en fondos aparentemente legales. En México, la autoridad central es la UIF y la ley principal es la LFPIORPI.

¿Cuál es la diferencia entre AML y KYC?

El KYC (Conoce a tu Cliente) es una parte del AML. El KYC se refiere específicamente a los procesos de verificación de identidad del cliente al inicio de la relación de negocio. El AML es más amplio: incluye el KYC, el monitoreo continuo de operaciones, los reportes de operaciones inusuales a la UIF, la capacitación de empleados y la gobernanza del cumplimiento.

¿Quién supervisa el cumplimiento AML en México?

La UIF es la Unidad de Inteligencia Financiera que recibe y analiza los reportes de operaciones. La CNBV supervisa a las instituciones financieras, Banxico regula las operaciones cambiarias, y el SAT supervisa a las actividades vulnerables no financieras. México también participa en el GAFI y el GAFILAT.

¿Cuánto tiempo deben conservarse los documentos KYC en México?

La LFPIORPI establece un plazo mínimo de diez años contados a partir de la fecha de realización de la operación. Este plazo se alinea con las recomendaciones del GAFI y los estándares internacionales de prevención de lavado de dinero.

¿Qué pasa si una empresa no cumple con la LFPIORPI?

Las sanciones pueden incluir multas de hasta 2,000,000 de UMA (equivalentes a más de 200 millones de pesos), revocación de licencias y, en casos de operaciones con recursos ilícitos, penas de prisión de 2 a 15 años conforme al Código Penal Federal. La CNBV y el SAT publican las resoluciones sancionadoras, lo que añade un riesgo reputacional significativo.