Welcome!

Unlock your personalized experience.
Sign Up

Reforma CUB biométricos: CNBV integra facial en bancos 2026

La reforma CUB biométricos incorpora reconocimiento facial en bancos. CNBV sustituye el Anexo 71 y otorga 90 días hábiles para adecuarse.

Jul 02, 2026 - 08:57
Actualizado: 3 Días Atrás
51
Reforma CUB biométricos: CNBV integra facial en bancos 2026
Reconocimiento facial en institución bancaria — reforma CUB biométricos CNBV 2026

La Comisión Nacional Bancaria y de Valores (CNBV) publicó el 1 de julio de 2026 en el Diario Oficial de la Federación una resolución que reforma la Circular Única de Bancos (CUB) para incorporar la biometría facial como método oficial de identificación de clientes bancarios. Esta reforma CUB biométricos entra en vigor el 2 de julio de 2026 con un plazo de 90 días hábiles de adecuación y sustituye por completo el Anexo 71 de las Disposiciones.

Es la primera vez que la CNBV formaliza el reconocimiento facial como mecanismo de verificación oficial para instituciones de crédito, alineando la regulación mexicana con estándares internacionales como ISO/IEC 30107-3 (detección de suplantación) y NIST FRVT (deduplicación facial). Con esta reforma CUB biométricos, los bancos deben cumplir un porcentaje mínimo de coincidencia biométrica del 90% contra registros del INE, la SRE o la autoridad fiscal mexicana.

¿Qué establece la resolución CNBV del 1 de julio de 2026?

La resolución fue firmada el 25 de junio de 2026 por Ángel Cabrera Mendoza, Presidente de la CNBV, con fundamento en los artículos 52, párrafo octavo, y 98 Bis de la Ley de Instituciones de Crédito, así como 4, fracciones II, XXXVI y XXXVIII, y 16, fracción I, de la Ley de la Comisión Nacional Bancaria y de Valores.

En su considerando, la CNBV expone la motivación de la reforma:

«Que, en el contexto de las operaciones presenciales, el artículo 51 Bis en relación con el 51 Bis 4 de las Disposiciones (…) establece que las instituciones de crédito deben verificar en línea que la huella dactilar de la persona física que presenta la credencial para votar, pasaporte o matrícula consular coincida, al menos, en un noventa por ciento con los registros del Instituto Nacional Electoral y Secretaría de Relaciones Exteriores (…). Sin embargo, la regulación actual no contempla la verificación por biometría facial, a pesar de que el artículo 310, fracción IV, de las Disposiciones ya prevé el uso de datos biométricos como mecanismos de autenticación.»

Con esta reforma, la CNBV incorpora expresamente la posibilidad de usar información biométrica facial verificada contra los registros del Instituto Nacional Electoral (INE), la Secretaría de Relaciones Exteriores (SRE), la autoridad fiscal mexicana u otra dependencia federal que provea un servicio de verificación similar.

¿A qué instituciones aplica la reforma CUB biométricos?

La reforma aplica exclusivamente a las Instituciones de Crédito (bancos comerciales y de desarrollo). El fundamento legal proviene de la Ley de Instituciones de Crédito y la resolución modifica la CUB (Circular Única de Bancos), publicada originalmente en el DOF el 2 de diciembre de 2005.

Concretamente, las nuevas obligaciones biométricas se activan cuando personas físicas soliciten presencialmente:

  • Operaciones pasivas relacionadas con Cuentas Bancarias Nivel 4.
  • Operaciones activas, de servicios o medios de pago relacionados con Cuentas Bancarias Niveles 3 y 4.
  • Retiros de efectivo y transferencias con cargo a Cuentas Nivel 4.

Las operaciones aplican tanto para cuentas aperturadas en la propia Institución como en otra, y pueden celebrarse por cuenta propia o por representación. Conforme al artículo 51 Bis reformado, «no se verificarán en línea los datos biométricos del representado» cuando la operación la realice un representante.

Los cinco artículos reformados por la reforma CUB biométricos

La resolución de la reforma CUB biométricos modifica cinco artículos de la Circular Única de Bancos y sustituye por completo el Anexo 71 de las Disposiciones.

ArtículoMateria
51 BisRequerimientos para operaciones presenciales; verificación biométrica al representante en caso de operación por representación.
51 Bis 2Conformación de base de datos de información biométrica propia de la Institución, con aviso a la CNBV (Anexo 75) dentro de los 20 días hábiles posteriores al inicio de operaciones en materia de verificación de identidad utilizando la base biométrica.
51 Bis 3Procesos alternativos con autorización previa de la CNBV, previa aprobación del Consejo de la Institución.
51 Bis 4Acciones de verificación en línea contra registros del INE, SRE y otras autoridades federales.
51 Bis 5Autorización de documentos de identificación distintos y acciones de verificación alternativas.

El nuevo Anexo 71: requerimientos técnicos de la reforma CUB biométricos

La resolución sustituye por completo el Anexo 71 de las Disposiciones, que establece los requerimientos técnicos para la captura y autenticación de huellas dactilares y biometría facial. A la fecha de publicación, únicamente estos dos tipos de datos biométricos pueden usarse conforme al artículo Cuarto Transitorio, "hasta en tanto se incluyan las especificaciones técnicas para otro tipo de datos biométricos".

Captura de huella dactilar

  • Mínimo seis huellas por cliente y diez huellas por empleado, directivo o funcionario.
  • Resolución del escáner: 500 puntos por pulgada, profundidad de 8 bits y rango dinámico mínimo de 200 niveles de gris.
  • Dispositivos duales certificados EFTS Anexo F, FAP 45, o decadactilares FAP 50 o 60.
  • Prueba de huella viva: los lectores deben evitar el registro de huellas provenientes de impresiones o materiales que simulen la huella de otra persona.
  • Análisis de calidad conforme al estándar NFIQ (NIST Fingerprint Image Quality).
  • Compresión de imágenes con WSQ máximo 10:1.
  • En caso de no obtener parámetros mínimos de calidad, mínimo tres intentos por huella.

Biometría facial (nuevo en la reforma CUB biométricos)

El Anexo 71 incorpora por primera vez requerimientos específicos para el reconocimiento facial:

  • Imagen 2D frontal completa, 24 bits a color, con distancia entre ojos mínima de 90 píxeles.
  • El sistema debe tolerar rotaciones de al menos ±5° en cualquier dirección (arriba, abajo, izquierda, derecha).
  • Expresión neutral; mirada al lente de la cámara (con excepción de impedimentos físicos).
  • No se permite el uso de armazones; solo se permiten accesorios médicos.
  • Iluminación equilibrada y ambiente controlado.
  • Segmentación y extracción de características conforme al estándar ICAO.
  • Deduplicación conforme al estándar NIST FRVT 1:N.
  • Prueba de suplantación de identidad conforme a ISO/IEC 30107-3 o Face Verification Certification.
  • Requerimientos digitales y fotográficos conforme al estándar ISO 19794-5, secciones 7.3, 7.4, 8.3 y 8.4.
  • Formato de transmisión: plantilla biométrica o imagen comprimida conforme a ISO/IEC 19794-5:2011.

Verificación en línea contra registros oficiales

Las Instituciones deberán verificar en línea que la información biométrica obtenida coincida, al menos, en un 90% con los registros de:

  • El Instituto Nacional Electoral (para credencial para votar).
  • La Secretaría de Relaciones Exteriores (para pasaporte o matrícula consular).
  • La autoridad fiscal mexicana u otra dependencia federal que provea un servicio de verificación biométrica similar.

Además, las Instituciones deben corroborar la existencia de la Clave Única de Registro de Población (CURP) del cliente con el Registro Nacional de Población, y que los datos proporcionados coincidan con los del citado registro.

Prohibiciones sobre las bases de datos biométricas

El artículo 51 Bis 2 de la reforma CUB biométricos establece prohibiciones expresas sobre las bases de datos biométricas que conformen las Instituciones:

«La información de las bases de datos que contengan información biométrica de los clientes no deberá ser enajenada, vendida, transferida, compartida o solicitada bajo cualquier esquema de intercambio, resguardo, reutilización o interoperabilidad entre Instituciones ni con terceros, para llevar a cabo las verificaciones de identidad (…). Lo anterior sin perjuicio de lo establecido en el Artículo 113 de la Ley para Regular las Agrupaciones Financieras.»

Las Instituciones sí podrán contratar a terceros para conformar la base de datos, pero cada Institución realizará sus acciones de verificación exclusivamente contra su propia base. Al dejar de usar la base, deberán notificar a la CNBV mediante el Anexo 75 al menos 20 días hábiles después y realizar la supresión segura de los datos biométricos con evidencia documental disponible para la CNBV. Adicionalmente, la biometría facial constituye un dato personal sensible bajo la LFPDPPP, por lo que su tratamiento exige consentimiento expreso por escrito y las sanciones se duplican (Art. 8 y Art. 59 Fr. IV).

Requerimientos de seguridad de la información biométrica

El Anexo 71 exige que las Instituciones garanticen la integridad, conservación, disponibilidad e imposibilidad de manipulación de la información biométrica. Los controles mínimos incluyen:

  • Segregar lógicamente las bases de datos biométricas en la Infraestructura Tecnológica.
  • Almacenar y procesar la información en infraestructura dedicada, con segmentos independientes de red y controles de tráfico autorizado.
  • Configurar los equipos de manera segura por tipo de infraestructura, puertos, servicios, permisos, listas de acceso y actualizaciones del fabricante.
  • Establecer controles de acceso e identificación de usuarios, con registros de auditoría para todos los accesos, en especial de usuarios con privilegios de administración.
  • Cifrar la información cuando sea transmitida o almacenada.
  • Realizar pruebas de vulnerabilidad y penetración periódicas.
  • Implementar controles de conservación y borrado seguro que impidan que la información sea conocida por terceros no autorizados.
  • Restringir la consulta, extracción o copia no autorizada de la información biométrica.

Además, cuando una Institución conforme una base biométrica propia deberá realizar una validación anual respecto de los mecanismos de seguridad del Anexo 71, en cumplimiento del artículo 168 Bis 14, fracción IX, de las Disposiciones. Deberá enviar a la CNBV las acciones para atender las desviaciones dentro de los 20 días hábiles posteriores a la conclusión de la validación.

Estándares internacionales referenciados en el Anexo 71

El nuevo Anexo 71 alinea la regulación mexicana con los principales estándares internacionales en materia de biometría:

EstándarEmisorUso en el Anexo 71
EFTS Anexo FFBI (EE. UU.)Certificación de dispositivos de captura de huellas (FAP 30/45/50/60).
NFIQNISTAnálisis de calidad de la imagen de huellas dactilares.
Slap Seg II TestNISTEvaluación de precisión en la segmentación de capturas multi-dedos.
NIST FRVT 1:NNISTDeduplicación en la base de datos de biometría facial.
ISO/IEC 30107-3ISO/IECDetección de suplantación de identidad (presentation attack detection).
ISO 19794-5ISORequerimientos digitales y fotográficos para biometría facial.
ISO/IEC 19794-2ISO/IECFormato de transmisión en autenticación 1:1 de huella dactilar (opcional).
ISO/IEC 19794-5:2011ISO/IECFormato de transmisión de plantillas biométricas faciales (obligatorio).
ANSI INCITS 378ANSIFormato de plantilla de minucias de huella dactilar (autenticación 1:1).
PIVNISTEstándar de verificación de huella dactilar 1:1 (dispositivos móviles FAP 30).
ICAOICAOEstándar para fotografías en pasaportes (segmentación y calidad de imagen facial).
WSQFBICompresión de imágenes de huellas dactilares.

Autenticación biométrica 1:1 con base propia

El Anexo 71 distingue entre primera captura (registro del cliente en la base biométrica) y autenticación biométrica (cotejo 1:1 contra el registro previo). Para la autenticación se permiten dos configuraciones de captura:

ConfiguraciónResolución escánerProfundidadNiveles de gris
Autenticación huella (compacta)300 dpi4 bits12
Autenticación huella (estándar)500 dpi8 bits80

Los dispositivos permitidos incluyen PIV FAP 30 para móviles, FAP 45 duales y FAP 50/60 decadactilares certificados EFTS Anexo F. En autenticación facial 1:1, la distancia entre ojos mínima es 90 píxeles, preferiblemente 120 píxeles.

Además, el Anexo 71 establece que el proceso de captura debe ser verificado anualmente por los responsables de Contraloría Interna de la Institución. El propósito es asegurar que ningún empleado, directivo o funcionario pueda registrar sus propios datos biométricos en sustitución de los del cliente.

Plazos y transitorios de la reforma CUB biométricos

FechaObligación
1 de julio de 2026Publicación en el DOF.
2 de julio de 2026Entrada en vigor de la resolución (Transitorio Primero).
Dentro de 30 días naturalesInstituciones con base biométrica ya conformada deben presentar aviso a la CNBV (Anexo 75) indicando fecha de conformación, fecha de uso y tipo de verificación (Transitorio Segundo).
Dentro de 90 días hábilesPlazo máximo para apegarse a lo establecido en la reforma (Transitorio Tercero).

Conforme al Transitorio Cuarto, las Instituciones solo podrán conformar la base biométrica para huella dactilar y biometría facial, hasta en tanto la CNBV incluya especificaciones técnicas para otro tipo de datos biométricos.

Excepciones por impedimento físico

El Anexo 71 y los artículos 51 Bis 4, fracciones I, II y V, prevén que las Instituciones cuenten con mecanismos y procedimientos documentados para atender a personas físicas que, por cualquier impedimento físico, no puedan proporcionar los datos biométricos.

En caso de imposibilidad permanente para plasmar huellas dactilares (amputaciones, injertos, malformaciones, lesiones permanentes, prótesis, enfermedad, entre otras), se deberá capturar el mayor número de huellas posibles y hacer las anotaciones correspondientes en el expediente del cliente.

Preguntas frecuentes sobre la reforma CUB biométricos 2026

¿Cuándo entró en vigor la reforma CUB biométricos 2026?

La resolución entró en vigor el 2 de julio de 2026, al día siguiente de su publicación en el Diario Oficial de la Federación el 1 de julio de 2026.

¿Qué instituciones deben cumplir con la reforma CUB biométricos?

La reforma aplica exclusivamente a las Instituciones de Crédito (bancos), reguladas por la Ley de Instituciones de Crédito y supervisadas por la CNBV.

¿Se puede compartir la base de datos biométrica entre bancos?

No. El artículo 51 Bis 2 prohíbe expresamente enajenar, vender, transferir, compartir o intercambiar la información biométrica entre Instituciones o con terceros, salvo lo establecido en el artículo 113 de la Ley para Regular las Agrupaciones Financieras.

¿Qué porcentaje de coincidencia biométrica exige la CNBV?

Las Instituciones deben verificar en línea que la información biométrica obtenida coincida, al menos, en un 90% con los registros del INE, la SRE o la autoridad federal correspondiente.

¿Qué estándares técnicos aplican en la reforma CUB biométricos?

El Anexo 71 refiere a los estándares NIST FRVT 1:N para deduplicación, ISO/IEC 30107-3 para prueba de vida, ICAO para segmentación facial, ISO 19794-5 para requerimientos fotográficos, EFTS Anexo F para certificación de lectores de huella y WSQ para compresión.

¿Qué pasa si un cliente no puede plasmar sus huellas dactilares?

Las Instituciones deben prever mecanismos documentados para atender a personas con impedimento físico permanente. Se debe capturar el mayor número de huellas posibles y hacer las anotaciones correspondientes en el expediente del cliente.

¿Cuánto tiempo tienen los bancos para adecuarse a la reforma CUB biométricos?

El Transitorio Tercero otorga un plazo máximo de 90 días hábiles contados a partir de la entrada en vigor para apegarse a la reforma.

Fuente oficial

Resolución que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito (biométricos), publicada en el Diario Oficial de la Federación el 1 de julio de 2026.

Actualizado: 6 julio 2026 ✍️ Revisado por: Isaac Vazquez · KYC Systems Fuentes oficiales: DOF · Cámara de Diputados
Isaac Vazquez

Equipo editorial de KYC Systems, especialistas en prevención de lavado de dinero y cumplimiento LFPIORPI en México