¿Cuáles son las obligaciones básicas en materia de antilavado?

Con la reforma a la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) es oportuno realizar un recuento de las obligaciones básicas que las personas que realizan actividades vulnerables deben cumplir.


Listado de obligaciones básicas
Al respecto, las obligaciones principales incluidas en la LFPIORPI son las siguientes:


    • Darse de alta, a través del Sistema del Portal en Internet (SPPLD), como sujeto que realiza actividades vulnerables
    • Según la actividad vulnerable, identificar y realizar un expediente de las personas Clientes o Usuarias. Esto incluye identificar al Beneficiario Controlador de una persona moral
    • Según la actividad vulnerable, presentar los avisos e informes a través del Portal Antilavado
    • Custodiar, proteger, resguardar y evitar la destrucción u ocultamiento de la información y documentación que sirva de soporte a la Actividad Vulnerable por al menos un plazo de diez años contado a partir de la fecha de la realización de la Actividad Vulnerable


Adicionalmente, y con la reforma a la Ley, se introducen nuevas obligaciones cuya fecha de entrada en vigor aún es incierta. Estas obligaciones pueden consultarse a detalle en la publicación Repaso de las nuevas obligaciones antilavado. Dicho eso, de forma general las nuevas obligaciones son las siguientes:

    • Evaluación con un enfoque basado en Riesgos
    • Elaborar y observar un Manual de Políticas Internas
    • Desarrollar procesos para la selección de personal, así como adoptar programas de capacitación anuales
    • Contar con mecanismos automatizados que permitan el monitoreo permanente de los actos u operaciones que realicen con las personas Clientes o Usuarias.
    • Contar con la revisión de auditoría


A continuación, se dará un detalle de cada obligación en función de lo que señala la normativa vigente a fecha de redacción (31/07/2025).


Alta en el Portal Antilavado
Antes de iniciar el alta, es preciso que el sujeto obligado esté inscrito en el Registro Federal de Contribuyentes y cuente con el certificado vigente de la e.firma.


El Alta se realiza a través del SPPLD. De forma general, se solicitará lo siguiente[1]:

    • Dato de identificación y contacto de la persona que realiza la actividad vulnerable
    • Datos relacionados con la Actividad Vulnerable, incluyendo fecha en la que se realizó o pretende realizar el primer acto u operación objeto de Aviso y algún documento en donde se haya autorizado la realización de esa actividad
    • Datos del domicilio principal en territorio nacional, del lugar en donde lleve a cabo la mayoría de sus servicios o desarrolle sus actividades habitualmente relacionadas con la Actividad Vulnerable
    • Datos del domicilio en territorio nacional, del lugar en donde se encuentren ubicadas, en su caso, sus establecimientos, oficinas, sucursales, agencias y filiales, en donde preste sus servicios o desarrolle sus actividades habitualmente
    • Datos de identificación y domicilio del Beneficiario Controlador


Tratándose de personas moral, adicionalmente se solicita lo siguiente:

    • Datos de identificación del administrador único, miembros del consejo de administración u órgano equivalente
    • Datos de identificación de los socios o accionistas personas físicas y morales
    • Datos de identificación, contacto y del domicilio de la persona Representante Encargada del Cumplimiento


En el caso de que se designe una persona representante encargada de cumplimiento, ésta deberá entrar al deberá ingresar al Portal en Internet, utilizando su clave del RFC y su e.firma vigente, a fin de aceptar o rechazar la designación de que se trate[2].


¿Cuándo darse de alta?
En principio, una persona se convierte sujeto obligado de darse de alta en el momento en que realiza una actividad vulnerable. Al respecto, se deberá atender al listado en el Artículo 17 de la LFPIORPI para identificar en qué casos se estaría siempre obligado a registrarse y cuándo se condiciona el registro a cierto monto.


Debe hacerse hincapié en que hay actividades vulnerables que señalan un monto para ser consideradas como tal. Por ejemplo, en el caso de la recepción de donativos, por parte de asociaciones sin fines de lucro, esta actividad no se considera vulnerable sino hasta que iguala o supera 1,605 UMA diarias. Por ende, una donataria autorizada no debe darse de alta si no recibe donativos que sobrepasen la citada cantidad.


Se confirma lo anterior el portal del SAT relacionado al trámite Requisitos para Alta y Registro de Actividades Vulnerables, donde se indica que el trámite se presenta “En el momento que se inicie el desarrollo de la actividad vulnerable”.


Identificar y realizar un expediente de las personas Clientes o Usuarias
Cuando se realiza una actividad vulnerable (es decir cuando se supere el umbral de identificación de la operación en cuestión), existe la obligación de identificar y realizar el expediente de las personas clientes o usuarios con que contrate el sujeto obligado.


Tal como indican las reglas, se deberá integrar y conservar un expediente único de identificación de cada uno de sus Clientes o Usuarios[3]. El expediente se integrará de manera previa o durante la realización de un acto u operación.


El expediente de cada persona cliente o usuaria deberá al menos seguir la información contenida en los siguientes anexos[4], según el tipo de cliente o usuario:

Tipo de cliente o usuario Anexo
Personas físicas de nacionalidad mexicana o extranjera con residencia temporal o permanente en México Anexo 3
Personas morales de nacionalidad mexicana Anexo 4
Personas físicas extranjeras con estancia de visitante (o distinta a la de residencia) Anexo 5
Personas morales de nacionalidad extranjera Anexo 6
Embajada, consulado u organismo internacional, acreditado ante el Estado Mexicano, con sede o residencia en nuestro país, Anexo 6 Bis
Sociedades, dependencias y entidades del sistema financiero Anexo 7
Personas morales mexicanas de derecho público, así como las demás que determine la UIF Anexo 7 Bis-A
Fideicomisos Anexo 8


Los anexos pueden consultarse a través del siguiente enlace (descarga de las reglas de carácter general, cuyos anexos se encuentran al final del documento)


Los expedientes de identificación que integren quienes realicen Actividades Vulnerables, podrán ser utilizados en todos los actos u operaciones que lleven a cabo con el mismo Cliente o Usuario[5].


A fin de dar una idea general de la información a solicitar, se hace un listado de la información solicitada a una persona moral mexicana, en términos del Anexo 4:

    • Datos generales de la persona moral, como razón social, fecha de constitución, nacionalidad, actividad, domicilio, datos de contacto, RFC e información de identificación de los representantes de la persona moral
    • Copia de los siguientes documentos:
      • Testimonio o copia certificada del instrumento público que acredite su constitución e inscripción en el registro público que corresponda
      • Cédula de Identificación Fiscal expedida por el SAT
      • Comprobante de domicilio
      • Testimonio o copia certificada del instrumento que contenga los poderes del representante o apoderados legales
      • Constancia por la que se acredite que quien realice la Actividad Vulnerable solicitó a su Cliente o Usuario información acerca de si tiene conocimiento de la existencia del Dueño Beneficiario (Beneficiario controlador); información del Beneficiario Controlador


Manual de políticas de identificación de cliente
Las Reglas de Carácter General indican que el sujeto obligado tiene 90 días naturales después de darse de alta para contar con un documento en el que desarrollen sus lineamientos de identificación de Clientes y Usuarios, así como los criterios, medidas y procedimientos internos que deberá adoptar[6].


Beneficiario controlador
Con la reforma a la LFPIORPI se hizo hincapié en la identificación del beneficiario controlador de las personas clientes o usuarias. Para más información, consulte la publicación Evolución y cambios en el concepto de Beneficiario Controlador en la LFPIORPI. En ese sentido, es importante que sí se logre identificar al Beneficiario Controlador.


Al respecto, la información deberá ser solicitada en términos del anexo que corresponda al tipo de persona que sea el Beneficiario Controlador[7]. Por ejemplo, si el Beneficiario Controlador es una persona física mexicana, se deberá obtener la información señalada en el Anexo 3.


Desde la reforma de 2025, se entenderá como beneficiario controlador exclusivamente a la persona física o grupo de personas físicas que:

    • Directamente o por medio de alguna persona Cliente o Usuaria obtieneen última instanciael beneficio de goce, uso, disfrute, aprovechamiento o disposición del bien o servicio derivado de la realización de un acto u operación con quien realice una Actividad Vulnerable, o
    • Ejerce el control efectivo en última instancia de aquella persona moral que, en su carácter de Cliente o Usuaria, lleve a cabo actos u operaciones con quien realice una Actividad Vulnerable, así como las personas por cuenta de quienes celebra alguno de ellos.


De igual forma, vale la pena señalar que las sociedades mercantiles deben ahora están obligadas a registrar en un sistema electrónico, operado por la Secretaría de Economía, la información relativa al beneficiario controlador, especialmente cuando se transmitan acciones o partes sociales[8].


Presentar avisos
Los sujetos obligados presentarán ante la Secretaría los Avisos correspondientes, a más tardar el día 17 del mes inmediato siguiente, según corresponda a aquel en que se hubiera llevado a cabo la operación que le diera origen y que sea objeto de Aviso. Los avisos se presentan a través del SPPLD.


En caso de que no se hayan realizado actividades vulnerables, se presentará un informe en el que sólo se llenarán los campos relativos a[9]:

    • la identificación de quien realice la Actividad Vulnerable
    • el periodo que corresponda
    • señalamiento de que en el periodo correspondiente no se realizaron actos u operaciones objeto de Aviso o que los mismos son no objeto de aviso


A partir de la reforma, en caso de sospecha o de contar con información basada en hechos o indicios, de que los recursos relacionados con los actos u operaciones pudieran provenir o estar destinados a la comisión de los Delitos de Operaciones con Recursos de Procedencia Ilícita, se deberá presentar Aviso dentro de las 24 horas siguientes en que tuvieron conocimiento de dicha información o se generó la sospecha, incluso si el acto u operación no se celebró[10].


Plazos de conservación
Tal como se indica en la publicación Cambio en el plazo para conservar documentación Antilavado, el plazo de conservación se amplía a diez años, contado desde la fecha en que se haya realizado la operación. Este cambio también incorpora reglas especiales:

    • Interrupción del plazo: Si existe un recurso administrativo o juicio relacionado con la operación, el plazo de conservación se interrumpe a partir de la presentación de dicho recurso y se reanuda hasta que la resolución definitiva quede firme.
    • Obligación de custodia ampliada: La documentación no solo debe conservarse físicamente o en formato electrónico, sino que también debe incluir los registros necesarios para reconstruir cada operación en lo individual, así como la correspondencia comercial y los análisis previos realizados.


Nuevas obligaciones
Si bien aún no tienen fecha de entrada en vigor, se sugiere evaluar la capacidad de cumplimiento de las nuevas obligaciones contenidas en la LFPIORPI.