Regulación cripto en México 2026: KYC y verificación
Ley Fintech, CNBV y regulación de criptoactivos en México: obligaciones KYC para ITFs, umbrales de verificación de identidad
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokLa regulación de criptoactivos en México se ha consolidado como una de las más avanzadas de América Latina. La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech), junto con las disposiciones de carácter general de la CNBV y las circulares de Banxico sobre activos virtuales, conforman un marco regulatorio que impone obligaciones estrictas de verificación de identidad a las Instituciones de Tecnología Financiera (ITFs). Las sanciones por incumplimiento van desde multas millonarias hasta la revocación de la autorización. Si su plataforma incorpora usuarios, procesa transacciones con activos virtuales o custodia criptoactivos en México, el cumplimiento no es opcional — junto con otros plazos importantes en 2026, como la reforma de la facturación electrónica obligatoria en México.
Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, financiero ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para obtener orientación adaptada a su situación.
Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento legal, financiero ni regulatorio.
La Ley Fintech: el marco regulatorio mexicano para criptoactivos
Qué cubre la Ley Fintech
La Ley para Regular las Instituciones de Tecnología Financiera, publicada en el Diario Oficial de la Federación (DOF) en marzo de 2018, establece el marco regulatorio para las instituciones de tecnología financiera en México. Antes de la Ley Fintech, los proveedores de servicios de criptoactivos operaban sin regulación específica. Ese vacío regulatorio terminó.
La Ley Fintech define dos tipos de ITFs:
| Tipo de ITF | Definición | Autoridad supervisora |
|---|---|---|
| Instituciones de financiamiento colectivo | Plataformas de crowdfunding que conectan inversionistas con solicitantes de financiamiento | CNBV |
| Instituciones de fondos de pago electrónico | Plataformas que emiten, administran y redimen fondos de pago electrónico, incluyendo operaciones con activos virtuales | CNBV + Banxico |
Banxico tiene la facultad exclusiva de determinar qué activos virtuales pueden ser operados por las ITFs. Las circulares de Banxico establecen las condiciones bajo las cuales las instituciones financieras pueden realizar operaciones con activos virtuales, con restricciones significativas respecto al uso interno de las instituciones.
El ecosistema regulatorio mexicano
A diferencia del enfoque europeo con MiCA que crea un marco armonizado para 27 países, México ha optado por integrar la regulación de criptoactivos dentro de su estructura regulatoria financiera existente. La CNBV autoriza y supervisa a las ITFs, Banxico regula los activos virtuales permitidos y la UIF supervisa el cumplimiento de las obligaciones PLD/FT.
| Regulador | Ámbito | Responsabilidades clave |
|---|---|---|
| CNBV | Autorización y supervisión de ITFs | Licencias, reglas de operación, requisitos de capital, reportes regulatorios |
| Banxico | Activos virtuales permitidos, monedas virtuales | Determinación de activos autorizados, condiciones de operación |
| UIF | Supervisión PLD/FT de todas las ITFs | Controles antilavado, inspecciones de cumplimiento, reportes de operaciones |
| SAT | Obligaciones fiscales | Declaración de ingresos por operaciones con activos virtuales, RFC |
| INAI | Protección de datos personales | Cumplimiento LFPDPPP, derechos ARCO |
Este modelo de supervisión múltiple significa que una ITF en México debe satisfacer simultáneamente a la CNBV (para su autorización y obligaciones operativas), a la UIF (para su cumplimiento PLD/FT, incluyendo todos los requisitos KYC) y al SAT (para sus obligaciones fiscales).
Comparación con el marco europeo (MiCA)
Mientras que Europa implementa MiCA como un marco unificado para criptoactivos en los 27 Estados miembros de la UE, México fue pionero en regular el sector desde 2018. Ambos marcos comparten principios fundamentales:
| Aspecto | MiCA (UE) | Ley Fintech (México) |
|---|---|---|
| Autorización obligatoria | Sí, para CASPs | Sí, para ITFs |
| KYC/Identificación de clientes | Obligatorio | Obligatorio |
| PLD/FT | Sujetos obligados | Sujetos obligados |
| Activos virtuales permitidos | Definidos por categoría (ARTs, EMTs) | Determinados por Banxico |
| Supervisión | Autoridades nacionales + EBA/ESMA | CNBV + Banxico + UIF |
Obligaciones KYC bajo la Ley Fintech y las disposiciones de la CNBV
La Ley Fintech y las disposiciones de carácter general de la CNBV imponen requisitos explícitos de identificación del cliente que son comparables con los estándares internacionales más exigentes.
En la plataforma CheckFile, el fraude documental generado por IA representa ya el 12 % de los casos detectados, frente a solo el 3 % en 2024 — una multiplicación por cuatro en un solo año.
Apertura de cuenta y onboarding de clientes
Cada ITF debe verificar la identidad de sus clientes antes de establecer una relación comercial. Las disposiciones de la CNBV aplicables a las ITFs exigen:
- Verificación del nombre completo contra un documento de identidad oficial vigente (credencial INE/IFE, pasaporte mexicano o documento migratorio). La INE es el documento de identificación primario en México.
- Fecha de nacimiento, nacionalidad y CURP: recopilación y cruce con bases de datos oficiales.
- Verificación de domicilio mediante comprobante no mayor a 3 meses: recibo de servicios (luz, agua, gas, teléfono), estado de cuenta bancario o constancia de domicilio fiscal del SAT.
- RFC (Registro Federal de Contribuyentes): obligatorio para personas físicas y morales que realicen operaciones con activos virtuales.
- Cribado contra listas de personas bloqueadas de la UIF, listas consolidadas de sanciones de la OFAC y bases de datos de personas políticamente expuestas (PEPs).
- Evaluación del origen de recursos para relaciones que presenten indicadores de riesgo elevado.
Para clientes corporativos (personas morales que utilizan la plataforma), las obligaciones se extienden a la verificación completa: acta constitutiva, poder notarial, Constancia de Situación Fiscal, identificación de representantes legales y beneficiarios controladores (personas que controlan más del 25 % del capital social).
Monitorización continua
El KYC no es una comprobación puntual en el onboarding. La CNBV y la UIF exigen monitorización continua durante toda la relación comercial:
- Análisis de patrones de transacciones para detectar comportamientos inconsistentes con el perfil declarado del cliente.
- Revisión periódica de la información del cliente, con frecuencia determinada por la clasificación de riesgo.
- Revisiones por eventos desencadenantes cuando se detecta actividad inusual (picos repentinos de volumen, transacciones con jurisdicciones de alto riesgo, patrones de fraccionamiento).
- Actualización de cribado de listas de personas bloqueadas cada vez que se actualizan las listas de la UIF y OFAC.
Las ITFs que no mantengan una monitorización continua eficaz se enfrentan a sanciones severas: multas de hasta 100,000 UMAs (equivalentes a más de 10 millones de pesos mexicanos), suspensión de operaciones o revocación de la autorización por parte de la CNBV.
Umbrales de operaciones y verificación reforzada
Operaciones relevantes y reportes
La LFPIORPI y las disposiciones de la CNBV establecen umbrales que activan obligaciones adicionales de verificación y reporte:
| Tipo de operación | Umbral | Obligación |
|---|---|---|
| Operaciones con activos virtuales | Equivalente a 645 UMAs | Reporte de operaciones relevantes a la UIF |
| Operaciones inusuales | Sin umbral fijo | Reporte interno y análisis, reporte a UIF si se confirma |
| Operaciones preocupantes | Sin umbral fijo | Reporte inmediato a la UIF |
| Operaciones en efectivo | Equivalente a $50,000 MXN | Identificación reforzada |
Cuando un cliente realiza operaciones que exceden los umbrales establecidos, la ITF debe aplicar medidas de verificación reforzada que incluyen la comprobación del origen de los recursos y documentación adicional.
Restricciones de Banxico sobre activos virtuales
Banxico ha adoptado una postura conservadora respecto a los activos virtuales. Las circulares del banco central restringen significativamente las operaciones que las instituciones financieras reguladas pueden realizar con criptoactivos, permitiendo únicamente operaciones internas (no con clientes) y bajo condiciones estrictas de autorización previa. Las ITFs autorizadas por la CNBV pueden operar con los activos virtuales específicamente aprobados por Banxico.
Profundizar en el tema
Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.
Explorar las guíasRequisitos documentales: qué deben recopilar y conservar las ITFs
El efecto combinado de la Ley Fintech, la LFPIORPI y las disposiciones de la CNBV crea una carga documental sustancial tanto en el onboarding de clientes como en la monitorización de transacciones.
Documentos de onboarding de clientes
| Tipo de documento | Personas físicas | Personas morales |
|---|---|---|
| Documento de identidad | INE/IFE vigente, pasaporte o documento migratorio | N/A |
| Comprobante de domicilio | Recibo de servicios, estado de cuenta bancario (< 3 meses) | Comprobante de domicilio fiscal |
| Constancia de Situación Fiscal | RFC del contribuyente | RFC de la persona moral |
| Acta constitutiva | N/A | Inscrita en el RPP, última versión |
| Poder notarial | N/A | Con facultades suficientes |
| Beneficiarios controladores | N/A | Identificación de todas las personas que controlen más del 25 % |
| Identificación de representantes | N/A | INE/IFE de todos los representantes legales |
| Origen de recursos | Evidencia documental para perfiles de alto riesgo | Estados financieros, documentación de financiamiento |
Registros de transacciones y conservación
Para cada operación con activos virtuales, las ITFs deben conservar: datos de identificación del ordenante y beneficiario, monto de la transacción y tipo de activo virtual, dirección de monedero (si aplica), resultados de cribado contra listas de personas bloqueadas y registros de resolución de alertas. Todos los registros deben conservarse durante un mínimo de 10 años después del fin de la relación comercial o la fecha de la transacción, lo que sea posterior, conforme a la LFPIORPI.
Cómo la automatización aborda el cumplimiento regulatorio
Las obligaciones documentales bajo la Ley Fintech hacen que la verificación manual sea insostenible para cualquier ITF que opere a escala. Cada nuevo usuario requiere verificación de documento de identidad, validación de comprobante de domicilio, cribado contra listas de personas bloqueadas y clasificación de riesgo antes de ejecutar una sola transacción.
Verificación documental en el onboarding
La validación documental automatizada procesa documentos de identidad en segundos: extrayendo campos de datos (nombre, fecha de nacimiento, CURP, número de credencial, fecha de vigencia), verificando la autenticidad del documento (validación de elementos de seguridad de la INE, análisis de manipulación), y cruzando los datos extraídos contra la información declarada. Para ITFs que procesan miles de solicitudes de onboarding al mes, esta es la diferencia entre una cola de revisión manual de 48 horas y un flujo de onboarding en tiempo real.
KYB para clientes corporativos
El onboarding corporativo requiere la verificación del acta constitutiva, el poder notarial, la Constancia de Situación Fiscal, la identificación de beneficiarios controladores y la verificación de representantes legales. Los flujos KYB automatizados extraen y cruzan datos entre estos documentos, señalando inconsistencias (nombres de representantes no coincidentes, RFC inconsistente con el acta constitutiva, umbrales de beneficiarios controladores excedidos) antes de que un oficial de cumplimiento revise el expediente.
Generación de pistas de auditoría
Cada paso de verificación --documento recibido, comprobaciones aplicadas, resultados obtenidos, decisión tomada-- genera una pista de auditoría con sello de tiempo. Cuando la UIF solicita evidencia de sus controles PLD/FT durante una inspección, los sistemas automatizados producen registros de auditoría completos y legibles por máquina. Los procesos manuales producen hojas de cálculo, hilos de correo y cronologías reconstruidas que rara vez satisfacen a los inspectores.
Integración de cribado de listas de personas bloqueadas
Los sistemas automatizados filtran cada cliente y contraparte contra listas de personas bloqueadas en tiempo real. Cuando las listas se actualizan, el re-cribado se dispara automáticamente — cumpliendo tanto el requisito de monitorización continua de la CNBV como las obligaciones de reporte ante la UIF.
Para una visión completa, consulte nuestra guía completa de conformidad documental.
Preguntas frecuentes
¿Qué es la Ley Fintech y cómo regula los criptoactivos en México?
La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech), publicada en el DOF en marzo de 2018, es el marco regulatorio de México para las instituciones de tecnología financiera, incluyendo las plataformas que operan con activos virtuales. Define dos tipos de ITFs (instituciones de financiamiento colectivo e instituciones de fondos de pago electrónico), establece requisitos de autorización ante la CNBV, y delega en Banxico la determinación de los activos virtuales autorizados para operación. Las ITFs no autorizadas no pueden operar legalmente en México.
¿Qué documentos KYC debe recopilar una ITF en el onboarding?
Como mínimo, una ITF debe recopilar un documento de identidad oficial vigente (credencial INE/IFE o pasaporte), comprobante de domicilio con menos de tres meses de antigüedad, RFC y CURP. Para clientes corporativos (personas morales), los documentos adicionales incluyen acta constitutiva, poder notarial, Constancia de Situación Fiscal, identificación de beneficiarios controladores (personas que controlen más del 25 % del capital) e identificación de todos los representantes legales. Todos los documentos deben verificarse en cuanto a autenticidad y cruzarse con la información declarada por el cliente.
¿Cuáles son las sanciones por incumplimiento de las obligaciones PLD/FT para ITFs?
Las sanciones por incumplimiento de las obligaciones PLD/FT para ITFs en México incluyen multas de hasta 100,000 UMAs (más de 10 millones de pesos mexicanos), suspensión temporal de operaciones y revocación de la autorización por parte de la CNBV. La UIF puede además iniciar denuncias penales en casos de omisión deliberada de reportes de operaciones inusuales o preocupantes. Las personas físicas responsables del cumplimiento dentro de la ITF pueden enfrentar responsabilidad personal.
¿Cómo se compara el marco regulatorio mexicano con MiCA en Europa?
Ambos marcos comparten principios fundamentales: autorización obligatoria, obligaciones KYC estrictas y supervisión PLD/FT. La principal diferencia es de alcance: MiCA crea un marco armonizado para 27 países de la UE con pasaporte regulatorio, mientras que la Ley Fintech aplica exclusivamente en México. MiCA categoriza los criptoactivos (ARTs, EMTs, otros), mientras que en México Banxico determina individualmente los activos virtuales autorizados. El marco mexicano es más restrictivo en cuanto a las operaciones permitidas por instituciones financieras tradicionales con activos virtuales.
Prepare su plataforma para el cumplimiento
Las obligaciones de verificación de identidad en México --en el onboarding, a nivel de transacción y mediante monitorización continua-- requieren sistemas que puedan procesar documentos de forma fiable, filtrar contra listas de personas bloqueadas en tiempo real y generar las pistas de auditoría que los reguladores exigen durante las inspecciones.
CheckFile proporciona validación documental automatizada diseñada para el onboarding de plataformas fintech en México: verificación de INE y documentos de identidad, comprobaciones KYB corporativas, extracción y cruce de datos, y generación completa de pistas de auditoría. Nuestra plataforma procesa expedientes de verificación en segundos con cada paso registrado y trazable, cumpliendo los estándares documentales que la CNBV y la UIF esperan de las ITFs autorizadas. Explore nuestros precios para encontrar el plan que se ajuste a su volumen de transacciones.
Lectura relacionada: Para el marco KYC más amplio que impulsa estas obligaciones, consulte nuestra guía de requisitos KYC 2026. Para el onboarding de clientes corporativos, lea nuestra guía de verificación documental KYB empresarial. Para las obligaciones de resiliencia operativa aplicables a sus sistemas de verificación, consulte nuestra guía DORA 2026.
Manténgase informado
Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.