KYC SOFOM ENR: Expediente del Cliente PLD 2026

¿Qué es el KYC en una SOFOM ENR?

KYC (Know Your Customer) es el conjunto de políticas y procedimientos que una SOFOM ENR debe aplicar para identificar a sus clientes y usuarios antes de iniciar una relación comercial. En el régimen PLD del sector financiero mexicano, esta obligación se fundamenta en dos niveles normativos:

• Art. 95 Bis inciso (a) de la LGOAAC: obliga a las SOFOMes ENR a establecer medidas y procedimientos para prevenir y detectar actos u operaciones que pudieran favorecer la comisión de los delitos previstos en los artículos 139 Quáter o 400 Bis del Código Penal Federal.
• Disposiciones de Carácter General (DCG) de la SHCP: publicadas en el DOF el 17 de marzo de 2011 (con reformas hasta enero de 2020), regulan en 66 disposiciones el detalle operativo del KYC, incluyendo los datos exactos que debe contener cada expediente.

La política de identificación del cliente forma parte del Manual de Cumplimiento que toda SOFOM ENR debe remitir a la CNBV (Disposición 3ª). Sin esta política documentada, la SOFOM no puede obtener ni mantener su dictamen favorable ante la CNBV.

¿Qué datos debe recabar una SOFOM ENR de personas físicas?

La Disposición 4ª fracción I de las DCG establece 12 datos obligatorios y 4 documentos que toda SOFOM ENR debe integrar en el expediente de identificación de una persona física mexicana o residente en México.

12 datos obligatorios (Disp. 4ª Fr. I, inciso a)

1. Nombre completo sin abreviaturas
2. Género
3. Fecha de nacimiento
4. Entidad federativa de nacimiento
5. País de nacimiento
6. Nacionalidad
7. Ocupación, profesión, actividad o giro
8. Domicilio completo (calle, número, colonia, alcaldía/municipio, ciudad, entidad, CP, país)
9. Teléfono(s)
10. Correo electrónico (en su caso)
11. CURP, RFC con homoclave y número de identificación fiscal (cuando disponga)
12. Número de serie de la FIEL (cuando cuente con ella)

4 documentos obligatorios (Disp. 4ª Fr. I, inciso b)

¿Qué datos debe recabar de personas morales?

Para personas morales mexicanas, la Disposición 4ª fracción II de las DCG exige datos de la entidad, documentos constitutivos e información sobre la estructura de control.

Datos de la persona moral

Denominación o razón social, giro, nacionalidad, RFC con homoclave, FIEL, domicilio, teléfonos, correo electrónico, fecha de constitución y nombre del representante legal.

Documentos obligatorios

1. Testimonio o copia certificada del instrumento público de constitución inscrito en el registro público
2. Cédula de Identificación Fiscal
3. Comprobante de domicilio (máximo 3 meses de antigüedad)
4. Poderes del representante legal e identificación personal

Información adicional (inciso c)

La SOFOM debe recabar la estructura accionaria o de partes sociales del cliente. Si el cliente tiene un Grado de Riesgo distinto a bajo, se requiere además:

• Organigrama corporativo
• Nombre y cargo del director general y nivel inmediato inferior
• Miembros del consejo de administración
• Identificación de los Propietarios Reales que posean ≥25% del capital o ejerzan control

¿Qué datos se recaban de extranjeros y fideicomisos?

Personas físicas extranjeras sin residencia

Los mismos datos que una persona física mexicana (excepto entidad federativa de nacimiento), más pasaporte vigente y documento del INM que acredite su estancia legal.

Personas morales extranjeras

Datos equivalentes a las mexicanas, más documento de legal existencia debidamente legalizado o apostillado, y RFC o número de identificación fiscal del país de origen.

Fideicomisos (Disp. 4ª Fr. IX)

Número o referencia del fideicomiso, RFC, FIEL, finalidad, lugar y fecha de constitución, identificación de la fiduciaria, patrimonio fideicomitido, aportaciones, y datos completos de fideicomitentes, fideicomisarios, delegados fiduciarios y miembros del comité técnico. Se requiere además copia del contrato de fideicomiso.

¿Cuáles son los tres niveles de diligencia debida?

Las DCG establecen tres niveles de diligencia debida para el KYC SOFOM ENR según el riesgo del cliente. Cada nivel determina la profundidad de la investigación y los datos a recabar:

Importante: La Disposición 10ª Bis prohíbe aplicar medidas simplificadas cuando exista sospecha fundada de que los recursos pudieran estar relacionados con lavado de dinero o financiamiento al terrorismo, sin importar el tipo de cliente.

¿Quién es el Propietario Real y cómo identificarlo?

El Propietario Real es la persona física que obtiene el beneficio económico de un contrato o ejerce el control efectivo sobre una persona moral. En el régimen PLD del sector financiero, este concepto equivale al beneficiario controlador de la LFPIORPI, aunque la terminología difiere.

Definición (DCG, Disp. 2ª Fr. XXIX)

Es la persona física que:

• Obtiene el beneficio derivado de un contrato u operación (uso, goce, disfrute, aprovechamiento o disposición de los recursos)
• Ejerce Control sobre una persona moral: posee ≥25% del capital social o derechos de voto, o puede imponer decisiones en asambleas, nombrar mayoría de consejeros, o dirigir la administración
• Instruye o determina actos a través de fideicomisos, mandatos o comisiones

Datos a recabar del Propietario Real

Se recaban los mismos datos y documentos que para una persona física (Disp. 4ª Fr. I o III según nacionalidad). Si el cliente es de Grado de Riesgo bajo, no se requiere comprobante de domicilio del Propietario Real (Disp. 4ª Fr. VI). Siempre se debe verificar si el Propietario Real es una Persona Políticamente Expuesta.

¿Si no se puede identificar al Propietario Real?

Si después de agotar los medios razonables no se identifica a ninguna persona física con ≥25% de control, las DCG consideran como Propietario Real al administrador o administradores de la persona moral (Disp. 2ª Fr. XXIX).

¿Cómo manejar PEPs en el KYC de una SOFOM ENR?

Las Personas Políticamente Expuestas (PEPs) requieren atención especial en el proceso de KYC SOFOM ENR. Las DCG establecen obligaciones específicas según el tipo de PEP:

La clasificación PEP para nacionales se mantiene durante 1 año después de dejar el cargo. Si la relación comercial se inicia durante ese año, se extiende 1 año más después del contrato (DCG, Disp. 2ª Fr. XXVIII).

Los sistemas automatizados de la SOFOM deben ejecutar alertas automáticas contra listas de PEPs (Disp. 43ª Fr. X).

¿Es obligatoria la entrevista previa al cliente?

Sí. La Disposición 7ª de las DCG exige una entrevista presencial obligatoria antes de iniciar la relación comercial con un nuevo cliente. Durante esta entrevista se valida la identidad del cliente y se recaba la información inicial para el expediente de KYC.

Excepciones a la entrevista presencial:

• Contratos no presenciales (Disp. 4ª Ter): para créditos a personas físicas sin garantía inmobiliaria menores a 60,000 UDIs, la SOFOM puede usar formularios interactivos, verificación biométrica de INE, selfie (mínimo 4 megapíxeles), comunicación audiovisual en tiempo real y geolocalización del dispositivo. Requiere aprobación previa de la CNBV.
• Créditos simplificados (Disp. 13ª): la recepción y captura puede ser remota con validación CURP contra RENAPO.

La Disposición 13ª Ter obliga a verificar la autenticidad de los datos y documentos de todo cliente. Para clientes de Grado de Riesgo bajo, la verificación puede ser posterior al contrato, pero el cliente no puede operar hasta que concluya.

¿Cada cuánto se actualiza el expediente del cliente?

El KYC SOFOM ENR no termina con la apertura del expediente. Las DCG exigen un proceso continuo de actualización y evaluación:

• Mínimo 2 evaluaciones por año para determinar si es necesario modificar el perfil transaccional o el Grado de Riesgo del cliente (Disp. 21ª)
• Primeros 6 meses: se utilizan los montos máximos mensuales declarados por el cliente como perfil transaccional inicial
• Clasificación mínima: personas físicas requieren al menos 2 grados (alto/bajo); personas morales y fideicomisos requieren al menos 3 grados (alto/medio/bajo) (Disp. 21ª)
• Conservación: los expedientes se conservan durante la vigencia de la relación comercial más 10 años después de su terminación (Disp. 51ª)

Cuando se detecten cambios en el comportamiento transaccional, la estructura accionaria o la información del Propietario Real, el expediente debe actualizarse de inmediato y, de ser necesario, reclasificar al cliente en un Grado de Riesgo superior.

Errores frecuentes de KYC en auditorías CNBV

Con base en los criterios de incumplimiento de la Disposición 57ª y los hallazgos más comunes en auditorías de la CNBV a SOFOMes ENR, estos son los errores de KYC que generan observaciones:

1. Expedientes incompletos: falta de uno o más datos obligatorios de la Disp. 4ª (especialmente FIEL, correo electrónico o estructura accionaria)
2. Comprobantes de domicilio vencidos: antigüedad mayor a 3 meses o documentos no aceptados por la normativa
3. No identificar al Propietario Real: expedientes de personas morales sin documentación de la cadena de control hasta la persona física
4. PEPs no detectados: clientes que son funcionarios públicos o familiares de PEPs sin la clasificación de riesgo correspondiente
5. Falta de declaración escrita: expedientes sin la manifestación del cliente de actuar por cuenta propia o de tercero
6. Sin evaluación periódica de riesgo: clientes que llevan más de 6 meses sin revisión de su Grado de Riesgo
7. Diligencia simplificada mal aplicada: uso de régimen simplificado para clientes que no figuran en el Anexo 1 o con sospecha de LD/FT

Cada uno de estos hallazgos puede derivar en multas de 10,000 a 100,000 días de salario ($2.79 a $27.88 millones MXN en 2026).

KYC SOFOM ENR vs actividades vulnerables: diferencias clave

El proceso de conocimiento del cliente difiere significativamente entre el régimen financiero y el régimen de actividades vulnerables:

Preguntas frecuentes

¿Qué pasa si un cliente se niega a proporcionar sus datos de KYC?

La Disposición 10ª de las DCG prohíbe celebrar operaciones sin haber completado la identificación del cliente. Si el cliente se niega a proporcionar la información obligatoria, la SOFOM ENR no puede iniciar la relación comercial. La negativa reiterada a proporcionar datos o la presentación de información apócrifa es una de las 13 circunstancias que configuran una Operación Inusual (Disp. 30ª Fr. VI).

¿Una SOFOM ENR puede verificar la identidad del cliente de forma remota?

Sí, pero solo para créditos a personas físicas sin garantía inmobiliaria menores a 60,000 UDIs, conforme a la Disposición 4ª Ter y el Anexo 2 de las DCG. El proceso requiere aprobación previa de la CNBV, verificación biométrica facial contra INE, comunicación audiovisual en tiempo real, geolocalización y grabación completa sin ediciones.

¿Cuánto tiempo debe conservarse el expediente de un cliente?

El expediente de identificación se conserva durante toda la vigencia de la relación comercial más un mínimo de 10 años después de su terminación. Los registros históricos de operaciones y copias de reportes (ROR, ROI, ROIP) también se conservan por 10 años (Disposición 51ª de las DCG).

¿Qué diferencia hay entre Propietario Real y beneficiario controlador?

Ambos conceptos se refieren a la persona física que realmente se beneficia o controla una operación. La diferencia es terminológica y de régimen legal: las SOFOMes ENR usan Propietario Real (DCG de la SHCP, supervisión CNBV), mientras que las actividades vulnerables usan Beneficiario Controlador (LFPIORPI, supervisión SAT). El umbral de control es el mismo: ≥25%.

¿Qué sanciones hay por incumplir las obligaciones de KYC SOFOM ENR?

La CNBV puede imponer multas de 10,000 a 100,000 días de salario por incumplimientos generales del Art. 95 Bis ($2.79 a $27.88 millones MXN en 2026). Si la SOFOM opera con personas en la Lista de Personas Bloqueadas sin detectarlas, la multa es del 10% al 100% del monto de la operación. En caso de reincidencia, la CNBV puede imponer hasta el doble de la multa y solicitar la cancelación del registro ante CONDUSEF.