KYC y AML para plataformas de crowdfunding en México: cumplimiento 2026

México cuenta con uno de los marcos regulatorios fintech más completos de América Latina. La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech, 2018) regula las plataformas de financiamiento colectivo —conocidas como Instituciones de Financiamiento Colectivo (IFC)— bajo la supervisión de la Comisión Nacional Bancaria y de Valores (CNBV). A diferencia del marco unificado europeo ECSP, el enfoque mexicano combina la Ley Fintech con la LFPIORPI para la prevención del lavado de dinero y la LFPDPPP para la protección de datos personales.

En 2026, todas las IFCs deben operar con autorización definitiva de la CNBV y cumplir con un conjunto integrado de obligaciones de KYC, AML y privacidad que este artículo detalla.

Este artículo se proporciona con fines informativos y no constituye asesoramiento jurídico, financiero o regulatorio. Las referencias normativas son precisas a la fecha de publicación (junio de 2026). Consulte a un profesional calificado para asesoramiento adaptado a su situación específica.

Marco regulatorio del crowdfunding en México: Ley Fintech y CNBV

La Ley Fintech fue publicada en el Diario Oficial de la Federación en marzo de 2018, convirtiéndose en una de las primeras leyes especializadas en tecnología financiera de América Latina. Establece tres tipos de Instituciones de Tecnología Financiera (ITF): las Instituciones de Financiamiento Colectivo (IFC), las Instituciones de Fondos de Pago Electrónico (IFPE) y otras entidades reguladas.

Instituciones de Financiamiento Colectivo (IFC)

Las IFCs son las plataformas de crowdfunding en la terminología mexicana. La Ley Fintech contempla tres modalidades de financiamiento colectivo:

• De deuda: préstamos entre personas o entre empresa y persona
• De capital: inversión con participación accionaria (equity crowdfunding)
• De copropiedad o regalías: participación en proyectos con retorno por regalías o ingresos

La CNBV actúa como regulador y supervisor primario de todas las IFCs. Las plataformas deben obtener autorización expresa de la CNBV antes de iniciar operaciones, presentando plan de negocios, estructura corporativa, manuales de control interno y programas de KYC/AML.

Circular CNBV 10/2019: KYC/AML para IFCs

La Circular CNBV 10/2019 establece los requisitos específicos de identificación del cliente, debida diligencia y programa de prevención de lavado de dinero para las IFCs. Define los procedimientos mínimos de verificación de identidad, los umbrales de diligencia simplificada versus reforzada, y las obligaciones de monitoreo y reporte.

Comparativo: México vs. Unión Europea

Para una visión más amplia sobre los requisitos documentales en entornos regulados, consulte nuestra guía de conformidad documental.

Obligaciones KYC para inversionistas mexicanos

El proceso de KYC para inversionistas en plataformas IFC mexicanas combina la identificación documental con la verificación fiscal, siguiendo la Circular CNBV 10/2019 y los lineamientos de la LFPIORPI.

Documentos de identidad oficiales

A diferencia de Europa, donde el DNI o pasaporte es suficiente, México utiliza un sistema de identificadores múltiples que las plataformas deben recopilar y verificar:

• INE (credencial para votar): emitida por el Instituto Nacional Electoral (INE, antes IFE), es el documento de identificación oficial por excelencia en México. Incluye fotografía, firma, domicilio y número de folio único. La gran mayoría de los trámites financieros en México aceptan la INE como identificación primaria.
• CURP (Clave Única de Registro de Población): código alfanumérico de 18 caracteres asignado a toda persona física en México, ya sea nacional o extranjero residente. La CURP está vinculada al registro de nacimiento o migratorio y es un identificador único e irrepetible.
• RFC (Registro Federal de Contribuyentes): identificador fiscal emitido por el SAT (Servicio de Administración Tributaria). Para personas físicas, el RFC se basa en la CURP con una homoclave adicional. Es equivalente funcional al NIF español o al CPF brasileño.
• Pasaporte mexicano: alternativa válida para nacionales; obligatorio para inversionistas extranjeros junto con documentación migratoria.

Comprobante de domicilio

La Circular CNBV 10/2019 exige comprobante de domicilio con antigüedad no mayor a 3 meses, siendo aceptados:

• Recibo de luz, agua o gas
• Estado de cuenta telefónico o de internet
• Estado de cuenta bancario con domicilio
• Constancia de residencia emitida por autoridad competente

Niveles de KYC: simplificado vs. estándar

La normativa mexicana establece umbrales para diferenciar el nivel de diligencia requerida:

• KYC simplificado: para transacciones hasta 3.000 UDIS (aproximadamente $20.000 MXN). Requiere nombre completo, identificación oficial y domicilio.
• KYC estándar: para montos superiores al umbral simplificado. Incluye RFC, CURP, comprobante de domicilio y, en función del perfil de riesgo, documentación sobre el origen de los recursos.
• KYC reforzado (EDD): para PEPs, residentes en jurisdicciones de alto riesgo o transacciones que activen alertas de riesgo. Requiere documentación adicional sobre fuente de riqueza y relaciones de negocio.

CheckFile soporta más de 3.200 tipos de documentos en 32 jurisdicciones, incluyendo la INE, el pasaporte mexicano y comprobantes de domicilio, con verificación automatizada en tiempo real para flujos de onboarding de plataformas IFC.

KYB: verificación de empresas solicitantes de financiamiento

Las IFCs también deben realizar debida diligencia sobre las empresas que solicitan financiamiento a través de su plataforma. El KYB (Know Your Business) en México combina la verificación corporativa con la identificación de beneficiarios controladores.

Identificación y documentación corporativa

El RFC (Registro Federal de Contribuyentes) es el identificador primario de personas morales en México, emitido por el SAT. La verificación del RFC en el portal del SAT permite confirmar la situación fiscal y el domicilio fiscal registrado.

Los documentos corporativos fundamentales para el KYB son:

• Acta constitutiva: documento equivalente a los estatutos sociales o artículos de incorporación. Debe estar protocolizado ante notario público e inscrito en el Registro Público de Comercio.
• Constancia de inscripción en el Registro Público de Comercio: registro a nivel estatal donde consta el historial de la empresa, sus órganos de administración y modificaciones societarias.
• Poder notarial de representantes legales: documento que acredita la facultad de los firmantes para actuar en nombre de la empresa.
• Identificación oficial de socios: la Circular CNBV 10/2019 exige identificación de todos los socios con más del 10% de participación (umbral más estricto que el 25% típico europeo).
• Constancia de situación fiscal: documento emitido por el SAT que certifica el estado de cumplimiento fiscal de la empresa — equivalente funcional al certificado de estar al corriente de obligaciones tributarias.

Beneficiario Controlador: el UBO mexicano

En 2022, el SAT introdujo mediante reforma al Código Fiscal de la Federación el concepto de Beneficiario Controlador — el equivalente mexicano del UBO (Ultimate Beneficial Owner) europeo. Las personas morales están obligadas a identificar y declarar ante el SAT a toda persona física que:

• Tenga participación directa o indirecta de más del 15% del capital social
• Ejerza control efectivo sobre la administración, aunque no sea accionista
• Se beneficie económicamente de las operaciones de la empresa por cualquier otro medio

Las IFCs deben solicitar la declaración de Beneficiarios Controladores a los emisores y verificar su coherencia con el Acta Constitutiva y los poderes notariales. Este mecanismo es análogo al registro UBO exigido por la Sexta Directiva AML europea (AMLD6).

Para soluciones integradas de verificación corporativa y gestión del KYB, conozca nuestras soluciones de verificación CheckFile.

LFPIORPI y UIF: obligaciones AML en México

El marco AML mexicano para las IFCs se articula en torno a la LFPIORPI y a las obligaciones de reporte ante la UIF, con requisitos adicionales establecidos por la Circular CNBV 10/2019.

LFPIORPI: la ley AML de México

La LFPIORPI (Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita), publicada en 2012, es la ley marco en materia de prevención del lavado de dinero en México. Define las "Actividades Vulnerables" —sectores y operaciones sujetos a obligaciones de identificación y reporte— y establece la UIF como unidad de inteligencia financiera.

Las IFCs califican como sujetos obligados tanto bajo la Ley Fintech/Circular CNBV 10/2019 como, cuando manejan fondos por encima de los umbrales relevantes, bajo la LFPIORPI en su categoría de actividades vulnerables relacionadas con servicios financieros.

UIF: la unidad de inteligencia financiera

La UIF (Unidad de Inteligencia Financiera), adscrita a la SHCP (Secretaría de Hacienda y Crédito Público), es la instancia equivalente al TRACFIN francés o al CTIF-CFI belga. Recibe, analiza y difunde inteligencia financiera sobre posibles operaciones de lavado de dinero y financiamiento al terrorismo.

Las IFCs deben presentar ante la UIF, a través del portal electrónico del SAT:

• Avisos de Operaciones Relevantes (AOR): reporte automático para transacciones que superen 645 UDIS (~$3.800 USD). Se presentan mensualmente y deben incluir la identificación completa del cliente y la descripción de la operación.
• Avisos de Operaciones Inusuales (AOI): equivalente a los Suspicious Activity Reports (SAR). Se presentan cuando la plataforma detecta operaciones que, por su naturaleza, monto, frecuencia o circunstancias, no corresponden al perfil del cliente o no tienen justificación económica aparente. El plazo de presentación es de 30 días hábiles desde la detección.
• Avisos de Operaciones Vulnerables (AOV): aplicables a operaciones en efectivo o con bienes de alto valor que activen los umbrales de la LFPIORPI.

La Circular CNBV 10/2019 exige además que las IFCs implementen un Programa de Prevención de Lavado de Dinero (PLD) que incluya: matriz de riesgos, procedimientos de debida diligencia diferenciada, sistema de monitoreo de operaciones, reportes periódicos al área de cumplimiento, capacitación anual de personal y auditoría independiente anual del programa PLD.

Triagem de PEPs y listas restrictivas

Las IFCs deben implementar procesos de identificación de Personas Políticamente Expuestas (PEP) conforme la definición del Art. 3 de la LFPIORPI, que incluye: servidores públicos de alto nivel, sus cónyuges, concubinos y parientes en línea recta hasta el segundo grado, así como personas con vínculos de negocios cercanos. Los PEPs requieren aprobación de un nivel jerárquico superior y monitoreo reforzado durante toda la relación comercial.

Para mayor información sobre las obligaciones de reporte, visite el portal de la UIF.

LFPDPPP e INAI: protección de datos personales

El tratamiento de datos personales recopilados en el proceso de KYC/AML está regulado en México por la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares), complementada por la normatividad del INAI.

Marco legal y autoridad supervisora

La LFPDPPP, vigente desde 2010, establece los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad para el tratamiento de datos personales. El INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) es el organismo constitucional autónomo encargado de su supervisión y cumplimiento.

Aviso de privacidad: obligación previa a la recopilación

Las IFCs deben contar con un Aviso de Privacidad que informe a los titulares, antes de la recopilación de sus datos, sobre:

• La identidad y domicilio del responsable del tratamiento
• Las finalidades del tratamiento
• Las transferencias de datos previstas (incluyendo a proveedores KYC externos)
• Los mecanismos para ejercer los derechos ARCO
• El tratamiento de datos sensibles (biométricos, en el caso de verificación de identidad por video)

Derechos ARCO

Los titulares de datos en México cuentan con los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición — equivalentes funcionales a los derechos del RGPD europeo (acceso, rectificación, supresión, oposición). Las IFCs deben habilitar mecanismos gratuitos y eficaces para el ejercicio de estos derechos, con plazos de respuesta de 20 días hábiles prorrogables.

Retención y transferencias internacionales

La obligación de retención de registros en México proviene de dos fuentes:

• SAT: 5 años para registros contables y fiscales
• LFPIORPI: 5 años para los expedientes de identificación de clientes y registros de operaciones AML
• LFPDPPP: principio de proporcionalidad — los datos no deben conservarse más allá del tiempo necesario para cumplir las finalidades declaradas

Para las plataformas que utilizan proveedores globales de verificación de identidad, las transferencias internacionales de datos requieren cláusulas contractuales o el consentimiento expreso del titular, dado que México no cuenta aún con un sistema de decisiones de adecuación equivalente al europeo.

Consulte nuestra página de seguridad para conocer cómo CheckFile trata los datos personales, y explore nuestros precios y planes para plataformas IFC.

Automatizar el cumplimiento KYC/AML para plataformas IFC en México

La automatización del cumplimiento KYC/AML no es solo una ventaja operativa para las IFCs mexicanas — en muchos casos, es una condición necesaria para escalar sin incrementar proporcionalmente el equipo de compliance. Las principales palancas de automatización incluyen:

• Verificación documental automatizada: lectura y validación de INE, pasaporte y comprobantes de domicilio sin intervención manual
• Verificación de RFC y CURP: consulta automática a los registros del SAT para confirmar la identidad fiscal del inversionista
• Screening de listas restrictivas: consulta en tiempo real de listas OFAC, ONU, PEP y listas nacionales (lista negra del SAT, Diario Oficial)
• Generación de expedientes digitales: documentación automática del proceso KYC para cumplimiento de la Circular CNBV 10/2019 y auditorías del programa PLD

La API de CheckFile se integra con los flujos de onboarding de las IFCs mexicanas, soportando la verificación de más de 3.200 tipos de documentos en 32 jurisdicciones — incluyendo documentos mexicanos (INE, pasaporte, comprobantes) y documentos extranjeros de inversionistas internacionales.

Para profundizar en las mejores prácticas de debida diligencia por tipo de cliente, consulte nuestro checklist de diligencia debida por sector.

Preguntas frecuentes

¿Cómo debe registrarse una plataforma de crowdfunding (IFC) ante la CNBV en México?

Las plataformas de financiamiento colectivo deben solicitar autorización a la CNBV como Institución de Financiamiento Colectivo (IFC) bajo la Ley Fintech. El proceso incluye presentar plan de negocios, demostrar capital mínimo, acreditar la idoneidad de directivos y socios, y presentar los manuales de KYC/AML y control interno. La CNBV ha emitido autorizaciones provisionales durante el período de transición (2018-2023); desde 2024, todas las IFCs deben contar con autorización definitiva.

¿Qué documentos KYC son obligatorios para onboardear un inversionista en México?

Los documentos mínimos son: identificación oficial vigente (INE/IFE, pasaporte o cédula profesional), CURP, RFC (para montos superiores a los umbrales simplificados) y comprobante de domicilio de menos de 3 meses (recibo de luz, agua, teléfono o estado de cuenta bancario). Para montos mayores, la plataforma debe solicitar documentación sobre el origen de los recursos (últimos estados de cuenta bancarios o declaración de impuestos). La verificación electrónica es ampliamente aceptada en México gracias a la infraestructura digital del SAT.

¿Qué es el "Beneficiario Controlador" y cómo afecta al KYB?

El concepto de Beneficiario Controlador fue introducido por el SAT en 2022 mediante reforma al Código Fiscal de la Federación. Las personas morales deben identificar y declarar ante el SAT a toda persona física que tenga control efectivo sobre la empresa, ya sea por participación accionaria, por funciones de dirección o por cualquier otro medio. Las plataformas IFC deben solicitar la declaración de Beneficiarios Controladores a los emisores y verificar la coherencia con el Acta Constitutiva y los poderes notariales. Esto es análogo al registro UBO europeo (AMLD6).

¿Cuáles son los umbrales para reportar operaciones a la UIF?

Bajo la LFPIORPI, las operaciones consideradas "vulnerables" deben reportarse a la UIF cuando superan ciertos umbrales en UDIS: operaciones de mutuo o préstamo superiores a 3.210 UDIS (~$19.000 MXN) son Avisos de Operaciones Vulnerables obligatorios. Para operaciones inusuales o sospechosas, el reporte (Aviso de Operación Inusual) debe presentarse independientemente del monto, dentro de los 30 días siguientes a la detección. Los avisos se presentan vía el portal electrónico del SAT vinculado a la UIF.

¿La LFPDPPP protege igual que el RGPD europeo?

La LFPDPPP tiene principios similares al RGPD (licitud, consentimiento, finalidad limitada) y derechos ARCO equivalentes a los derechos RGPD. Sin embargo, hay diferencias relevantes: las sanciones son menores (hasta 320.000 días de salario mínimo, aproximadamente 28 millones de pesos), el INAI es un organismo constitucional autónomo con capacidad de investigación pero menor capacidad sancionadora que la AEPD europea, y las transferencias internacionales de datos requieren cláusulas contractuales o consentimiento expreso del titular, sin un mecanismo equivalente a las decisiones de adecuación europeas.

---

La información de este artículo se basa en la normativa vigente a junio de 2026. Consulte regularmente la CNBV y la UIF para actualizaciones sobre regulación fintech y obligaciones AML en México.