Reforma CUB biométricos: CNBV integra facial en bancos 2026
La reforma CUB biométricos incorpora reconocimiento facial en bancos. CNBV sustituye el Anexo 71 y otorga 90 días hábiles para adecuarse.
La Comisión Nacional Bancaria y de Valores (CNBV) publicó el 1 de julio de 2026 en el Diario Oficial de la Federación una resolución que reforma la Circular Única de Bancos (CUB) para incorporar la biometría facial como método oficial de identificación de clientes bancarios. Esta reforma CUB biométricos entra en vigor el 2 de julio de 2026 con un plazo de 90 días hábiles de adecuación y sustituye por completo el Anexo 71 de las Disposiciones.
· CNBV / Ciudad de México
Es la primera vez que la CNBV formaliza el reconocimiento facial como mecanismo de verificación oficial para instituciones de crédito, alineando la regulación mexicana con estándares internacionales como ISO/IEC 30107-3 (detección de suplantación) y NIST FRVT (deduplicación facial). Con esta reforma CUB biométricos, los bancos deben cumplir un porcentaje mínimo de coincidencia biométrica del 90% contra registros del INE, la SRE o la autoridad fiscal mexicana.
¿Qué establece la resolución CNBV del 1 de julio de 2026?
La resolución fue firmada el 25 de junio de 2026 por Ángel Cabrera Mendoza, Presidente de la CNBV, con fundamento en los artículos 52, párrafo octavo, y 98 Bis de la Ley de Instituciones de Crédito, así como 4, fracciones II, XXXVI y XXXVIII, y 16, fracción I, de la Ley de la Comisión Nacional Bancaria y de Valores.
En su considerando, la CNBV expone la motivación de la reforma:
«Que, en el contexto de las operaciones presenciales, el artículo 51 Bis en relación con el 51 Bis 4 de las Disposiciones (…) establece que las instituciones de crédito deben verificar en línea que la huella dactilar de la persona física que presenta la credencial para votar, pasaporte o matrícula consular coincida, al menos, en un noventa por ciento con los registros del Instituto Nacional Electoral y Secretaría de Relaciones Exteriores (…). Sin embargo, la regulación actual no contempla la verificación por biometría facial, a pesar de que el artículo 310, fracción IV, de las Disposiciones ya prevé el uso de datos biométricos como mecanismos de autenticación.»
Con esta reforma, la CNBV incorpora expresamente la posibilidad de usar información biométrica facial verificada contra los registros del Instituto Nacional Electoral (INE), la Secretaría de Relaciones Exteriores (SRE), la autoridad fiscal mexicana u otra dependencia federal que provea un servicio de verificación similar.
¿A qué instituciones aplica la reforma CUB biométricos?
La reforma aplica exclusivamente a las Instituciones de Crédito (bancos comerciales y de desarrollo). El fundamento legal proviene de la Ley de Instituciones de Crédito y la resolución modifica la CUB (Circular Única de Bancos), publicada originalmente en el DOF el 2 de diciembre de 2005.
Concretamente, las nuevas obligaciones biométricas se activan cuando personas físicas soliciten presencialmente:
- Operaciones pasivas relacionadas con Cuentas Bancarias Nivel 4.
- Operaciones activas, de servicios o medios de pago relacionados con Cuentas Bancarias Niveles 3 y 4.
- Retiros de efectivo y transferencias con cargo a Cuentas Nivel 4.
Las operaciones aplican tanto para cuentas aperturadas en la propia Institución como en otra, y pueden celebrarse por cuenta propia o por representación. Conforme al artículo 51 Bis reformado, «no se verificarán en línea los datos biométricos del representado» cuando la operación la realice un representante.
Los cinco artículos reformados por la reforma CUB biométricos
La resolución de la reforma CUB biométricos modifica cinco artículos de la Circular Única de Bancos y sustituye por completo el Anexo 71 de las Disposiciones.
| Artículo | Materia |
|---|---|
| 51 Bis | Requerimientos para operaciones presenciales; verificación biométrica al representante en caso de operación por representación. |
| 51 Bis 2 | Conformación de base de datos de información biométrica propia de la Institución, con aviso a la CNBV (Anexo 75) dentro de los 20 días hábiles posteriores al inicio de operaciones en materia de verificación de identidad utilizando la base biométrica. |
| 51 Bis 3 | Procesos alternativos con autorización previa de la CNBV, previa aprobación del Consejo de la Institución. |
| 51 Bis 4 | Acciones de verificación en línea contra registros del INE, SRE y otras autoridades federales. |
| 51 Bis 5 | Autorización de documentos de identificación distintos y acciones de verificación alternativas. |
El nuevo Anexo 71: requerimientos técnicos de la reforma CUB biométricos
La resolución sustituye por completo el Anexo 71 de las Disposiciones, que establece los requerimientos técnicos para la captura y autenticación de huellas dactilares y biometría facial. A la fecha de publicación, únicamente estos dos tipos de datos biométricos pueden usarse conforme al artículo Cuarto Transitorio, "hasta en tanto se incluyan las especificaciones técnicas para otro tipo de datos biométricos".
Captura de huella dactilar
- Mínimo seis huellas por cliente y diez huellas por empleado, directivo o funcionario.
- Resolución del escáner: 500 puntos por pulgada, profundidad de 8 bits y rango dinámico mínimo de 200 niveles de gris.
- Dispositivos duales certificados EFTS Anexo F, FAP 45, o decadactilares FAP 50 o 60.
- Prueba de huella viva: los lectores deben evitar el registro de huellas provenientes de impresiones o materiales que simulen la huella de otra persona.
- Análisis de calidad conforme al estándar NFIQ (NIST Fingerprint Image Quality).
- Compresión de imágenes con WSQ máximo 10:1.
- En caso de no obtener parámetros mínimos de calidad, mínimo tres intentos por huella.
Biometría facial (nuevo en la reforma CUB biométricos)
El Anexo 71 incorpora por primera vez requerimientos específicos para el reconocimiento facial:
- Imagen 2D frontal completa, 24 bits a color, con distancia entre ojos mínima de 90 píxeles.
- El sistema debe tolerar rotaciones de al menos ±5° en cualquier dirección (arriba, abajo, izquierda, derecha).
- Expresión neutral; mirada al lente de la cámara (con excepción de impedimentos físicos).
- No se permite el uso de armazones; solo se permiten accesorios médicos.
- Iluminación equilibrada y ambiente controlado.
- Segmentación y extracción de características conforme al estándar ICAO.
- Deduplicación conforme al estándar NIST FRVT 1:N.
- Prueba de suplantación de identidad conforme a ISO/IEC 30107-3 o Face Verification Certification.
- Requerimientos digitales y fotográficos conforme al estándar ISO 19794-5, secciones 7.3, 7.4, 8.3 y 8.4.
- Formato de transmisión: plantilla biométrica o imagen comprimida conforme a ISO/IEC 19794-5:2011.
Verificación en línea contra registros oficiales
Las Instituciones deberán verificar en línea que la información biométrica obtenida coincida, al menos, en un 90% con los registros de:
- El Instituto Nacional Electoral (para credencial para votar).
- La Secretaría de Relaciones Exteriores (para pasaporte o matrícula consular).
- La autoridad fiscal mexicana u otra dependencia federal que provea un servicio de verificación biométrica similar.
Además, las Instituciones deben corroborar la existencia de la Clave Única de Registro de Población (CURP) del cliente con el Registro Nacional de Población, y que los datos proporcionados coincidan con los del citado registro.
Prohibiciones sobre las bases de datos biométricas
El artículo 51 Bis 2 de la reforma CUB biométricos establece prohibiciones expresas sobre las bases de datos biométricas que conformen las Instituciones:
«La información de las bases de datos que contengan información biométrica de los clientes no deberá ser enajenada, vendida, transferida, compartida o solicitada bajo cualquier esquema de intercambio, resguardo, reutilización o interoperabilidad entre Instituciones ni con terceros, para llevar a cabo las verificaciones de identidad (…). Lo anterior sin perjuicio de lo establecido en el Artículo 113 de la Ley para Regular las Agrupaciones Financieras.»
Las Instituciones sí podrán contratar a terceros para conformar la base de datos, pero cada Institución realizará sus acciones de verificación exclusivamente contra su propia base. Al dejar de usar la base, deberán notificar a la CNBV mediante el Anexo 75 al menos 20 días hábiles después y realizar la supresión segura de los datos biométricos con evidencia documental disponible para la CNBV. Adicionalmente, la biometría facial constituye un dato personal sensible bajo la LFPDPPP, por lo que su tratamiento exige consentimiento expreso por escrito y las sanciones se duplican (Art. 8 y Art. 59 Fr. IV).
Requerimientos de seguridad de la información biométrica
El Anexo 71 exige que las Instituciones garanticen la integridad, conservación, disponibilidad e imposibilidad de manipulación de la información biométrica. Los controles mínimos incluyen:
- Segregar lógicamente las bases de datos biométricas en la Infraestructura Tecnológica.
- Almacenar y procesar la información en infraestructura dedicada, con segmentos independientes de red y controles de tráfico autorizado.
- Configurar los equipos de manera segura por tipo de infraestructura, puertos, servicios, permisos, listas de acceso y actualizaciones del fabricante.
- Establecer controles de acceso e identificación de usuarios, con registros de auditoría para todos los accesos, en especial de usuarios con privilegios de administración.
- Cifrar la información cuando sea transmitida o almacenada.
- Realizar pruebas de vulnerabilidad y penetración periódicas.
- Implementar controles de conservación y borrado seguro que impidan que la información sea conocida por terceros no autorizados.
- Restringir la consulta, extracción o copia no autorizada de la información biométrica.
Además, cuando una Institución conforme una base biométrica propia deberá realizar una validación anual respecto de los mecanismos de seguridad del Anexo 71, en cumplimiento del artículo 168 Bis 14, fracción IX, de las Disposiciones. Deberá enviar a la CNBV las acciones para atender las desviaciones dentro de los 20 días hábiles posteriores a la conclusión de la validación.
Estándares internacionales referenciados en el Anexo 71
El nuevo Anexo 71 alinea la regulación mexicana con los principales estándares internacionales en materia de biometría:
| Estándar | Emisor | Uso en el Anexo 71 |
|---|---|---|
| EFTS Anexo F | FBI (EE. UU.) | Certificación de dispositivos de captura de huellas (FAP 30/45/50/60). |
| NFIQ | NIST | Análisis de calidad de la imagen de huellas dactilares. |
| Slap Seg II Test | NIST | Evaluación de precisión en la segmentación de capturas multi-dedos. |
| NIST FRVT 1:N | NIST | Deduplicación en la base de datos de biometría facial. |
| ISO/IEC 30107-3 | ISO/IEC | Detección de suplantación de identidad (presentation attack detection). |
| ISO 19794-5 | ISO | Requerimientos digitales y fotográficos para biometría facial. |
| ISO/IEC 19794-2 | ISO/IEC | Formato de transmisión en autenticación 1:1 de huella dactilar (opcional). |
| ISO/IEC 19794-5:2011 | ISO/IEC | Formato de transmisión de plantillas biométricas faciales (obligatorio). |
| ANSI INCITS 378 | ANSI | Formato de plantilla de minucias de huella dactilar (autenticación 1:1). |
| PIV | NIST | Estándar de verificación de huella dactilar 1:1 (dispositivos móviles FAP 30). |
| ICAO | ICAO | Estándar para fotografías en pasaportes (segmentación y calidad de imagen facial). |
| WSQ | FBI | Compresión de imágenes de huellas dactilares. |
Autenticación biométrica 1:1 con base propia
El Anexo 71 distingue entre primera captura (registro del cliente en la base biométrica) y autenticación biométrica (cotejo 1:1 contra el registro previo). Para la autenticación se permiten dos configuraciones de captura:
| Configuración | Resolución escáner | Profundidad | Niveles de gris |
|---|---|---|---|
| Autenticación huella (compacta) | 300 dpi | 4 bits | 12 |
| Autenticación huella (estándar) | 500 dpi | 8 bits | 80 |
Los dispositivos permitidos incluyen PIV FAP 30 para móviles, FAP 45 duales y FAP 50/60 decadactilares certificados EFTS Anexo F. En autenticación facial 1:1, la distancia entre ojos mínima es 90 píxeles, preferiblemente 120 píxeles.
Además, el Anexo 71 establece que el proceso de captura debe ser verificado anualmente por los responsables de Contraloría Interna de la Institución. El propósito es asegurar que ningún empleado, directivo o funcionario pueda registrar sus propios datos biométricos en sustitución de los del cliente.
Plazos y transitorios de la reforma CUB biométricos
| Fecha | Obligación |
|---|---|
| 1 de julio de 2026 | Publicación en el DOF. |
| 2 de julio de 2026 | Entrada en vigor de la resolución (Transitorio Primero). |
| Dentro de 30 días naturales | Instituciones con base biométrica ya conformada deben presentar aviso a la CNBV (Anexo 75) indicando fecha de conformación, fecha de uso y tipo de verificación (Transitorio Segundo). |
| Dentro de 90 días hábiles | Plazo máximo para apegarse a lo establecido en la reforma (Transitorio Tercero). |
Conforme al Transitorio Cuarto, las Instituciones solo podrán conformar la base biométrica para huella dactilar y biometría facial, hasta en tanto la CNBV incluya especificaciones técnicas para otro tipo de datos biométricos.
Excepciones por impedimento físico
El Anexo 71 y los artículos 51 Bis 4, fracciones I, II y V, prevén que las Instituciones cuenten con mecanismos y procedimientos documentados para atender a personas físicas que, por cualquier impedimento físico, no puedan proporcionar los datos biométricos.
En caso de imposibilidad permanente para plasmar huellas dactilares (amputaciones, injertos, malformaciones, lesiones permanentes, prótesis, enfermedad, entre otras), se deberá capturar el mayor número de huellas posibles y hacer las anotaciones correspondientes en el expediente del cliente.
Preguntas frecuentes sobre la reforma CUB biométricos 2026
¿Cuándo entró en vigor la reforma CUB biométricos 2026?
La resolución entró en vigor el 2 de julio de 2026, al día siguiente de su publicación en el Diario Oficial de la Federación el 1 de julio de 2026.
¿Qué instituciones deben cumplir con la reforma CUB biométricos?
La reforma aplica exclusivamente a las Instituciones de Crédito (bancos), reguladas por la Ley de Instituciones de Crédito y supervisadas por la CNBV.
¿Se puede compartir la base de datos biométrica entre bancos?
No. El artículo 51 Bis 2 prohíbe expresamente enajenar, vender, transferir, compartir o intercambiar la información biométrica entre Instituciones o con terceros, salvo lo establecido en el artículo 113 de la Ley para Regular las Agrupaciones Financieras.
¿Qué porcentaje de coincidencia biométrica exige la CNBV?
Las Instituciones deben verificar en línea que la información biométrica obtenida coincida, al menos, en un 90% con los registros del INE, la SRE o la autoridad federal correspondiente.
¿Qué estándares técnicos aplican en la reforma CUB biométricos?
El Anexo 71 refiere a los estándares NIST FRVT 1:N para deduplicación, ISO/IEC 30107-3 para prueba de vida, ICAO para segmentación facial, ISO 19794-5 para requerimientos fotográficos, EFTS Anexo F para certificación de lectores de huella y WSQ para compresión.
¿Qué pasa si un cliente no puede plasmar sus huellas dactilares?
Las Instituciones deben prever mecanismos documentados para atender a personas con impedimento físico permanente. Se debe capturar el mayor número de huellas posibles y hacer las anotaciones correspondientes en el expediente del cliente.
¿Cuánto tiempo tienen los bancos para adecuarse a la reforma CUB biométricos?
El Transitorio Tercero otorga un plazo máximo de 90 días hábiles contados a partir de la entrada en vigor para apegarse a la reforma.
Fuente oficial
Resolución que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito (biométricos), publicada en el Diario Oficial de la Federación el 1 de julio de 2026.