KYC (Know Your Customer) es el proceso mediante el cual una empresa identifica, verifica y conoce a sus clientes antes y durante una relación comercial. En español se traduce como «Conoce a tu Cliente». En México, el KYC es una obligación legal para dos tipos de sujetos obligados: las entidades del sector financiero (supervisadas por la CNBV) y quienes realizan actividades vulnerables (supervisadas por el SAT bajo la LFPIORPI).
¿Qué es KYC (Know Your Customer)?
KYC es el conjunto de procedimientos que una organización ejecuta para verificar la identidad de sus clientes, comprender su actividad económica, identificar al beneficiario controlador de las operaciones y evaluar el riesgo que representan en materia de lavado de dinero y financiamiento al terrorismo (LD/FT).
El concepto nació en la regulación bancaria internacional. El Comité de Basilea sobre Supervisión Bancaria estableció los primeros lineamientos de «Customer Due Diligence» (CDD) en 2001, y el GAFI lo formalizó como parte de sus 40 Recomendaciones — específicamente la Recomendación 10, que exige a los países implementar medidas de debida diligencia del cliente proporcionales al riesgo.
En México, el KYC no es opcional. La LFPIORPI (Art. 18, Fr. I-III) lo establece para actividades vulnerables, y el Art. 95 Bis de la LGOAAC junto con las DCG de la CNBV (Cap. II-III, Disp. 3a-27a) lo regulan para el sector financiero. La reforma del 16 de julio de 2025 amplió significativamente las obligaciones de KYC al agregar 5 nuevas fracciones al Art. 18.
¿Para qué sirve el KYC?
El proceso KYC cumple cuatro funciones fundamentales en el sistema de prevención de lavado de dinero:
- Prevenir el lavado de dinero: Identificar a los clientes permite detectar si los recursos que utilizan tienen procedencia lícita. Sin KYC, las empresas se convierten en vehículos involuntarios para operaciones con recursos ilícitos.
- Combatir el financiamiento al terrorismo: El cotejo contra listas negras PLD (UIF, OFAC, ONU, GAFI) como parte del KYC permite detectar personas vinculadas a organizaciones terroristas.
- Reducir el fraude y la suplantación de identidad: La verificación documental y biométrica previene que terceros operen con identidades falsas o robadas.
- Proteger a la empresa: Un KYC robusto es la primera línea de defensa ante multas de hasta $7.6 millones MXN (LFPIORPI) o $27.8 millones MXN (sector financiero), y ante responsabilidad penal del Art. 400 Bis del Código Penal Federal (5-15 años de prisión).
¿Quiénes están obligados a hacer KYC en México?
En México existen dos regímenes de prevención de lavado de dinero, cada uno con obligaciones de KYC diferenciadas:
| Régimen |
Sujetos obligados |
Ley aplicable |
Supervisor |
| Sector financiero |
Bancos, SOFOMes, SOFIPOs, casas de bolsa, fintech, casas de cambio |
Art. 95 Bis LGOAAC / Art. 115 LIC |
CNBV |
| Actividades vulnerables |
Inmobiliarias, arrendadores, joyerías, notarios, vehículos, blindadoras, casinos, activos virtuales (16 fracciones del Art. 17) |
LFPIORPI Art. 18 |
SAT |
La diferencia clave: en el sector financiero, el KYC se aplica a todos los clientes desde la primera operación. En las actividades vulnerables, se activa cuando la operación alcanza los umbrales de identificación establecidos para cada fracción. Para un comparativo completo de ambos regímenes, consulta nuestra guía de regímenes PLD en México.
¿Cuál es el marco legal del KYC en México?
El KYC en México está regulado por múltiples instrumentos legales según el tipo de sujeto obligado:
| Instrumento |
Obligación KYC |
Aplica a |
| LFPIORPI Art. 18, Fr. I-III |
Identificar clientes, solicitar información de actividad, identificar beneficiario controlador |
Actividades vulnerables |
| LFPIORPI Art. 18, Fr. VII-XI (reforma julio 2025) |
EBR, manual de cumplimiento, capacitación, mecanismos automatizados, auditoría |
Actividades vulnerables (deadline RCG julio 2026) |
| LGOAAC Art. 95 Bis, inciso a) |
Identificación y conocimiento del cliente conforme a DCG CNBV |
SOFOMes ENR, centros cambiarios, transmisores de dinero |
| DCG CNBV, Cap. II-III (Disp. 3a-27a) |
Política de identificación (12 datos PF, 3 niveles diligencia debida), expediente de identificación, conocimiento del cliente |
Sector financiero |
| Reglamento LFPIORPI (reforma DOF 27/03/2026) |
Identificación simplificada para bajo riesgo (Art. 15), PEPs (Cap. Sexto Bis), acumulación 6 meses |
Actividades vulnerables |
| GAFI Recomendación 10 |
Customer Due Diligence (CDD) — estándar internacional que México adopta |
Referencia internacional para ambos regímenes |
¿Qué documentos se requieren para el KYC en México?
Los documentos de identificación varían según el tipo de persona. Para el sector financiero, las DCG de la CNBV (Disp. 4a) establecen los requisitos más detallados. Para actividades vulnerables, la LFPIORPI y sus RCG establecen requisitos equivalentes.
| Tipo de persona |
Datos obligatorios |
Documentos |
| Persona física mexicana |
Nombre completo, género, fecha y lugar de nacimiento, nacionalidad, ocupación, domicilio, teléfono, correo, CURP, RFC con homoclave |
INE o pasaporte vigente, constancia CURP, comprobante de domicilio (máx. 3 meses), declaración de actuar a nombre propio |
| Persona moral mexicana |
Denominación social, giro, RFC, FIEL, domicilio, fecha constitución, nombre del representante legal |
Acta constitutiva inscrita en RPC, cédula de identificación fiscal, comprobante domicilio, poderes del representante + su identificación personal |
| Persona extranjera |
Mismos datos que persona física + país de origen + documento migratorio |
Pasaporte vigente, documento INM (FM2/FM3), RFC si aplica |
Para personas morales, adicionalmente se debe obtener la estructura accionaria y la identificación de los beneficiarios controladores (personas físicas que posean el 25% o más del capital o ejerzan control efectivo). Consulta el detalle completo del expediente para SOFOMes ENR en nuestra guía de KYC SOFOM ENR.
¿Cómo es el proceso KYC paso a paso?
El proceso KYC en México sigue una secuencia de 8 pasos que van desde la recopilación de datos hasta el monitoreo continuo:
- Recopilación de datos y documentos: Solicitar al cliente la información y documentación establecida según su tipo (persona física, moral o extranjera).
- Verificación de identidad: Validar la autenticidad de los documentos presentados. En el sector financiero, esto puede incluir verificación biométrica (Disp. 4a Ter, Anexo 2 de las DCG CNBV).
- Identificación del beneficiario controlador: Determinar quién es la persona física que controla o se beneficia de la operación. Aplica a personas morales, fideicomisos y figuras jurídicas análogas. Guía completa →
- Consulta de listas negras: Cotejar al cliente contra listas de personas bloqueadas (UIF), OFAC, ONU, GAFI, PEPs y lista 69-B del SAT. Guía de listas negras →
- Clasificación de riesgo: Aplicar el enfoque basado en riesgos (EBR) para clasificar al cliente como bajo, medio o alto riesgo según sus características.
- Integración del expediente: Conformar el expediente de identificación con toda la documentación recopilada. Conservar por 10 años (Art. 18 Fr. IV, reforma julio 2025).
- Construcción del perfil transaccional: Establecer el patrón de operaciones esperado del cliente para detectar desviaciones futuras. Guía completa →
- Monitoreo continuo y actualización: Revisar y actualizar el expediente periódicamente (mínimo anual para relaciones de negocios). Detectar operaciones fuera del perfil y reportarlas.
¿Cuál es la diferencia entre KYC para actividades vulnerables y para el sector financiero?
Aunque ambos regímenes comparten el objetivo de prevenir el lavado de dinero, el nivel de exigencia y los mecanismos difieren significativamente:
| Aspecto |
Actividades Vulnerables |
Sector Financiero (SOFOMes ENR) |
| Ley |
LFPIORPI Art. 18 |
LGOAAC Art. 95 Bis + DCG CNBV |
| ¿Cuándo se activa? |
Al superar umbrales de identificación |
Desde la primera operación — siempre |
| Niveles de diligencia |
Estándar (pendiente RCG para simplificada/intensificada) |
3 niveles: simplificada, normal, intensificada (DCG Disp. 17a-3) |
| Terminología BC |
«Beneficiario controlador» (Art. 3 Fr. III) |
«Propietario real» (DCG Disp. 4a) — mismo concepto, diferente nombre |
| Conservación |
10 años (reforma julio 2025) |
10 años |
| Reportes |
Avisos mensuales XML al SAT vía SPPLD |
ROR, ROI, ROIP a CNBV |
| Multa máxima |
65,000 UMA ($7.6M MXN) |
100,000 días salario ($27.8M MXN) |
¿Qué es el KYC Digital en México?
El KYC Digital es la evolución del proceso tradicional presencial hacia la verificación de identidad remota y automatizada. En México, esta transformación se está acelerando por tres desarrollos:
Llave MX y CURP Biométrica
La Llave MX es la cuenta única del Gobierno de México vinculada a la CURP. En su modalidad verificada incluye validación biométrica (huellas, facial, iris). La CURP Biométrica, publicada en el DOF el 16 de julio de 2025, convierte la CURP en un identificador verificado biométricamente. Juntas forman la base del KYC Digital ciudadano.
Plataforma Única de Identidad (PUI)
La PUI es la infraestructura que conecta las bases de datos de RENAPO con las entidades obligadas. El 31 de marzo de 2026, la CNBV confirmó que todo el sistema financiero mexicano debe integrarse a la PUI.
Mecanismos automatizados (reforma julio 2025)
La fracción X del Art. 18 de la LFPIORPI obliga a las actividades vulnerables a implementar mecanismos automatizados con perfil transaccional, monitoreo permanente y seguimiento intensificado a PEPs. Esto equipara parcialmente el KYC de las actividades vulnerables con el del sector financiero.
¿Qué pasa si no cumples con el KYC?
Las sanciones por incumplimiento de las obligaciones de KYC en México son severas en ambos regímenes:
| Régimen |
Sanción administrativa |
Sanción penal |
| Actividades vulnerables |
200 a 65,000 UMA ($23,462 a $7,625,150 MXN con UMA 2026). Detalle de multas → |
Art. 400 Bis CPF: 5-15 años de prisión |
| SOFOMes ENR |
10,000 a 100,000 días de salario ($2,788,000 a $27,880,000 MXN). Detalle multas SOFOMes → |
Art. 400 Bis CPF: 5-15 años (agravante hasta 22.5 para personal PLD) |
Un dato importante: los documentos ilegibles en el expediente de identificación son causa de sanción directa. La reforma julio 2025 amplió la conservación de expedientes de 5 a 10 años — cualquier expediente incompleto dentro de ese periodo es susceptible de multa en una visita de verificación.
¿Cuáles son los errores comunes en el proceso KYC?
Basados en la experiencia de auditorías y visitas de verificación, los errores más frecuentes en el KYC en México son:
- Documentos ilegibles o vencidos: La documentación ilegible es causa directa de sanción. Verificar calidad de copias y vigencia antes de integrar al expediente.
- No identificar al beneficiario controlador: Muchas empresas identifican al cliente pero omiten determinar quién está detrás de la persona moral. Es obligatorio para toda persona moral y fideicomiso.
- No actualizar expedientes: Los expedientes deben actualizarse periódicamente — al menos anualmente en relaciones de negocios continuas.
- No consultar listas negras: El cotejo contra listas de personas bloqueadas es obligatorio antes de celebrar cualquier operación.
- Confundir terminología entre regímenes: En la LFPIORPI se usa «beneficiario controlador»; en las DCG CNBV se usa «propietario real». Son el mismo concepto con diferente nombre. Mezclarlos genera inconsistencias en auditoría.
- No tener respaldo electrónico: Desde la reforma julio 2025, la conservación puede ser física o electrónica, pero sin respaldo digital se dificulta la búsqueda y respuesta en visitas de verificación del SAT.
Preguntas frecuentes sobre KYC
¿Qué significa KYC en español?
KYC son las siglas en inglés de Know Your Customer, que se traduce al español como «Conoce a tu Cliente». Es el proceso de identificación, verificación y conocimiento de los clientes que toda empresa regulada debe realizar como parte del cumplimiento antilavado.
¿KYC y AML son lo mismo?
No. KYC (Know Your Customer) es el proceso de identificar y conocer al cliente. AML (Anti-Money Laundering) es el conjunto completo de políticas y controles para prevenir el lavado de dinero, del cual el KYC es una parte fundamental. El KYC es un componente del AML, junto con el monitoreo transaccional, los reportes, las listas negras y la auditoría.
¿Cuánto tiempo tarda el proceso KYC?
Depende del tipo de cliente y del nivel de diligencia. Para personas físicas con documentación completa, el proceso puede completarse en minutos con un sistema automatizado. Para personas morales con estructuras complejas que requieren identificación de beneficiarios controladores, puede tomar varios días.
¿Qué es un formato KYC?
Es el formulario o cuestionario que la empresa utiliza para recopilar los datos de identificación del cliente. En el sector financiero mexicano, el formato debe incluir los 12 datos obligatorios para personas físicas establecidos en la Disposición 4a de las DCG CNBV. Para actividades vulnerables, las RCG de la SHCP establecen los datos mínimos.
¿Se puede hacer KYC digital en México?
Sí. Las DCG de la CNBV (Disp. 4a Ter y Anexo 2) permiten la identificación no presencial para el sector financiero desde 2019, incluyendo geolocalización y verificación biométrica. La Llave MX y la PUI son la infraestructura gubernamental que soporta esta evolución hacia el KYC digital pleno.
¿KYC aplica para criptomonedas en México?
Sí. Las operaciones con activos virtuales están reguladas por la fracción XVI del Art. 17 de la LFPIORPI (reformada julio 2025). Los intercambios habituales o profesionales de activos virtuales deben identificar clientes desde la primera operación. Las Instituciones de Tecnología Financiera (ITF) autorizadas por la CNBV bajo la Ley Fintech también tienen obligaciones KYC propias.
Isaac Vazquez 
