Actividades Vulnerables y Compliance PLD
Actividades Vulnerables y Compliance PLD en México
Las Actividades Vulnerables son actividades lícitas que la LFPIORPI somete a identificación, conocimiento, conservación, avisos y controles para prevenir operaciones con recursos ilícitos. El régimen no se limita a reportar montos. La reforma de 2025 adicionó evaluación basada en riesgos, manuales, capacitación, mecanismos automatizados y auditoría; al corte del 9 de julio de 2026, esas obligaciones están sujetas a entrada en vigor conforme a las Reglas de Carácter General y transitorios aplicables y no deben presentarse como plenamente exigibles sin comprobar la RCG activadora. El programa correcto comienza clasificando el modelo, no llenando un formato.
Navegue según su necesidad
| Si necesita… | Consulte |
|---|---|
| saber si su actividad entra en LFPIORPI | Actividades, umbrales y alta SPPLD |
| integrar KYC y Beneficiario Controlador | Expedientes y debida diligencia |
| presentar avisos y controlar XML | Avisos y XML en SPPLD |
| construir EBR, manual o sistemas | EBR, manual, sistemas y auditoría |
| corregir rezagos o prepararse para visita | Regularización, visitas y sanciones |
| entender obligaciones por sector | Crédito, inmobiliario, activos virtuales y servicios profesionales |
Qué cambió en el marco regulatorio
La LFPIORPI fue reformada el 16 de julio de 2025. Entre otros cambios, actualizó definiciones y actividades, fortaleció la identificación de Beneficiario Controlador, amplió conservación a diez años, incorporó alta y registro en ley y añadió evaluación basada en riesgos, manual, capacitación, mecanismos automatizados y auditoría.
El Reglamento fue reformado el 27 de marzo de 2026. Sus transitorios mantienen reglas y formatos existentes para distintos componentes mientras se actualiza la regulación operativa. Los criterios del SPPLD también se han actualizado. Por eso ninguna guía estática debe reemplazar una revisión de vigencia al implementar.
Jerarquía de consulta
- LFPIORPI vigente.
- Reglamento y decretos de reforma.
- Reglas de Carácter General y sus modificaciones.
- Formatos, catálogos y XSD publicados.
- Criterios y preguntas frecuentes oficiales, identificando su carácter orientativo.
- Contratos, flujos y hechos del modelo concreto.
Mapa de obligaciones por etapa
El cumplimiento se entiende mejor como una secuencia de decisiones y evidencia. La primera etapa es clasificar. Se determina qué persona realiza materialmente el acto, si actúa habitual o profesionalmente, qué fracción podría actualizarse y si existe otro régimen sectorial. El resultado debe ser un memorando por producto o flujo, no una conclusión general basada únicamente en el objeto social. Un cambio de custodio, cuenta, mandato o forma de cobrar puede modificar esa conclusión.
La segunda etapa es conocer a las partes. Antes de perder capacidad de obtener información se integra identidad, existencia, representación, actividad, propósito y Beneficiario Controlador. Un expediente corporativo debe continuar por la cadena de propiedad y control hasta personas físicas, incluyendo control contractual. Si interviene un tercero pagador, garante, fideicomiso o wallet de custodio, se documenta su rol; no se presume que el cliente principal cubre automáticamente a todos.
La tercera etapa es registrar operaciones. Cada movimiento necesita un identificador estable, fecha, importe, moneda, cuenta, contrato y relación con el cliente. La base debe preservar versiones y reversos. Guardar sólo saldos mensuales o montos agregados impide reconstruir disposiciones, anticipos o pagos que formaron una acumulación. El valor de UMA, multiplicador y regla de comparación utilizados también deben quedar en el registro.
La cuarta etapa es decidir y presentar. La empresa evalúa umbral individual, acumulación, formato y calendario. Para el aviso de 24 horas, el detonante no es un monto sino hechos o indicios conforme al artículo 18, fracción VI. La salida se somete a doble control: técnico contra XSD y catálogos, y jurídico-operativo contra contrato, expediente y actividad. El archivo no se considera presentado hasta conservar estatus y acuse.
La quinta etapa es conservar, probar y corregir. La evidencia debe permitir ir de un aviso a cada operación y de cualquier operación a su expediente, cálculo y decisión. Los hallazgos se convierten en acciones con población, dueño, fecha, evidencia y retest. Si existen omisiones históricas, la evaluación del artículo 55 parte de una cronología auténtica y del universo completo, no de presentar primero y preguntar después. Estas etapas se sustentan en los artículos 17, 18, 23, 24, 25 y 55 de la LFPIORPI vigente.
Cómo leer umbrales sin confundir obligaciones
Una cifra puede cumplir funciones distintas. Algunas fracciones utilizan umbral para delimitar el supuesto; otras consideran vulnerable la actividad desde su realización y fijan un umbral para el aviso. También puede existir una restricción al uso de efectivo con su propia lógica. Por eso una matriz seria nunca contiene sólo “umbral”: separa actividad, identificación, aviso, acumulación y restricción.
El control mínimo conserva:
- fracción e inciso aplicables;
- evento y fecha jurídicamente relevantes;
- multiplicador y UMA vigentes en esa fecha;
- importe original, conversión y decimales;
- condición individual y acumulada por separado;
- operaciones que componen la ventana de seis meses;
- decisión, revisor, formato y acuse.
La UMA diaria para 2026 es $117.31 desde el 1 de febrero, pero una guía no debe convertirse en tabla permanente del sistema. El parámetro se obtiene de la publicación oficial de INEGI, se versiona y se prueba en el cambio anual. Las operaciones de enero no se recalculan retrospectivamente con el nuevo valor.
Estado transitorio de EBR, manual, capacitación, sistemas y auditoría
Las fracciones VII a XI adicionadas al artículo 18 deben leerse junto con el decreto, las Reglas de Carácter General y sus transitorios. Al corte editorial del 9 de julio de 2026, este hub distingue preparación de exigibilidad: recomienda diseñar capacidad, pero no afirma que cada componente sea plenamente exigible para todo sujeto sin identificar la RCG que lo activa y la fecha aplicable.
Una matriz de vigencia puede tener cinco columnas: obligación adicionada, disposición legal, transitorio, RCG activadora y estado operativo. El estado no debe ser sólo “cumple/no cumple”. Resulta más preciso utilizar “pendiente de RCG”, “diseñada”, “probada” y “activada”. Así el consejo puede presupuestar y probar sin recibir una conclusión jurídica prematura.
Mientras se confirma la activación, la organización puede avanzar en elementos que también fortalecen obligaciones ya vigentes: inventario de datos, expediente, ledger, trazabilidad, responsables, controles de acceso y monitor normativo. Si se realiza una auditoría preventiva, debe denominarse así; no se presenta automáticamente como la auditoría anual legal definitiva. Al publicarse una RCG aplicable, se documentan impacto, fecha efectiva, ajustes, aprobación, capacitación y despliegue.
La fuente de verdad debe ser el marco jurídico del SPPLD y las publicaciones oficiales, no un resumen comercial. El expediente de vigencia conserva la versión consultada y la fecha, para explicar por qué un componente estaba en preparación o ya operaba como obligación exigible.
Las cuatro preguntas que organizan el cumplimiento
1. ¿Qué actividad se realiza materialmente?
El artículo 17 enumera actividades. El análisis no se resuelve con objeto social o marketing. Debe observarse qué promete el contrato, quién ejecuta, cómo fluyen recursos y qué acto celebra el cliente.
Una empresa puede tener varias actividades o roles. Un grupo puede combinar entidad financiera, proveedor tecnológico y sujeto obligado no financiero. Cada persona y operación conserva su régimen; los reportes no se sustituyen por pertenecer al mismo grupo.
2. ¿Qué obligaciones se detonan?
Actividad, identificación y aviso son conceptos distintos. Algunas fracciones tienen umbral para que la operación sea vulnerable; otras consideran vulnerable la actividad y fijan sólo umbral de aviso. También existen acumulación, informes en ceros y avisos de 24 horas.
La matriz debe distinguir:
- supuesto material;
- sujeto obligado;
- relación de negocios;
- identificación;
- Beneficiario Controlador;
- umbral individual y acumulado;
- restricción a efectivo;
- formato y calendario;
- riesgo, manual, sistema y auditoría;
- conservación y visita.
3. ¿Qué evidencia demuestra cumplimiento?
El programa debe reconstruir cliente y operación. La evidencia incluye contratos, identificaciones, estructura, pagos, cálculos, alertas, decisiones, avisos y acuses. Un checklist sin documentos no es prueba; un archivo voluminoso sin índice tampoco.
La regla práctica es trazabilidad bidireccional: desde una operación llegar a expediente y aviso; desde un aviso regresar a las operaciones que integran su monto.
4. ¿Quién gobierna y mantiene el programa?
Las personas morales y otras figuras sujetas deben designar y mantener representante. Si no existe designación aceptada, la ley atribuye obligaciones al órgano o administrador correspondiente. El responsable necesita acceso, autoridad y calendario; un prestador externo no sustituye al sujeto obligado.
El órgano de administración aprueba criterios, recibe hallazgos y asigna recursos. Tecnología mantiene integridad y cambios. Operación captura datos. Legal clasifica y revisa. Auditoría prueba de forma independiente.
Gobierno de datos, privacidad y proveedores
El programa PLD maneja identificaciones, estructuras corporativas, cuentas, movimientos, alertas y decisiones sensibles. “Conservar por diez años” no significa copiar todo en cualquier repositorio. Debe existir un inventario de datos que indique finalidad, fuente, responsable, acceso, retención y destrucción. Los reportes ejecutivos pueden utilizar folios y métricas; no necesitan replicar identificaciones, domicilios o direcciones blockchain.
La arquitectura debe aplicar mínimo privilegio y segregación. Quien carga datos no debería poder modificar parámetros y aprobar avisos sin una segunda revisión. Los accesos privilegiados, exportaciones, correcciones y cambios de regla dejan bitácora. Los respaldos necesitan prueba de restauración. Una captura aislada puede ilustrar, pero no demuestra integridad, cobertura ni versión.
Cuando interviene un proveedor —onboarding, screening, custodia documental, XML o blockchain analytics— el contrato define población, datos excluidos, nivel de servicio, incidentes, subcontratistas, conservación, devolución y derecho de revisión. El sujeto obligado conserva la responsabilidad y debe poder obtener sus expedientes en formato utilizable al terminar. Un certificado del proveedor es evidencia complementaria, no sustituto de probar el flujo propio.
La evaluación de privacidad debe acompañar el diseño. Los canales de recopilación deben ser seguros, los avisos de privacidad coherentes y las transferencias documentadas conforme a la LFPDPPP vigente. La minimización también mejora calidad: evita que documentos irrelevantes oculten faltantes críticos y reduce exposición en caso de incidente.
Los seis componentes de una arquitectura audit-ready
Clasificación y alta
Conservar un memorando por producto con contrato, flujo, fracción, fecha y conclusión. El alta SPPLD permite cumplir, pero no autoriza servicios regulados por otras leyes.
Expediente y Beneficiario Controlador
Integrar requisitos por persona física, moral, extranjera, fideicomiso y otras figuras. La declaración se contrasta con evidencia. PEP, listas y origen de recursos se documentan como controles diferenciados.
Registro de operaciones
Mantener un ledger individual, con identificador único, fecha, monto, moneda, medio de pago, contrato y acumulado. No sobrescribir históricos. Conservar la UMA y regla aplicadas.
Avisos e informes
Aplicar doble revisión técnica y jurídica. Relacionar archivo, hash y acuse. Distinguir ordinarios, ceros, 24 horas y modificatorios.
EBR, manual y sistemas
El EBR define exposición y medidas. El manual traduce obligación a procedimiento. El sistema ejecuta y registra. La auditoría compara los tres y prueba eficacia. Para estos componentes adicionados debe verificarse la RCG activadora y los transitorios antes de afirmar plena exigibilidad al corte; mientras tanto pueden construirse y probarse como capacidad de preparación.
Regularización y remediación
Los rezagos se cuantifican antes de corregirse. Se evalúa artículo 55 con cronología real. Cada hallazgo produce acción, responsable, evidencia y prueba posterior.
Errores que elevan el riesgo
- asumir que estar debajo del aviso elimina toda obligación;
- usar el alta SPPLD como supuesto permiso;
- guardar sólo el saldo o monto agregado;
- identificar representante pero no Beneficiario Controlador;
- utilizar el mismo expediente para todos los tipos de cliente;
- generar XML antes de reconciliar operaciones;
- copiar un EBR o manual de entidad financiera;
- comprar software sin gobierno de datos y cambios;
- regularizar sólo lo visible y omitir el universo;
- exponer información confidencial en comunicaciones o entregables públicos.
Árbol de decisión sectorial
Use el siguiente recorrido como filtro inicial, no como dictamen:
¿Qué persona celebra o ejecuta materialmente el acto?
├─ Ofrece mutuo, préstamo o crédito y no es entidad financiera
│ └─ revisar fracción IV, disposiciones, garantías y acumulación.
├─ Construye, desarrolla, intermedia o recibe recursos para desarrollo
│ └─ revisar fracciones V/V Bis, roles, proyecto, pagos y formato.
├─ Intercambia, facilita, custodia, almacena o transfiere activos virtuales
│ └─ revisar fracción XVI, control de wallets, contraprestación y territorio.
└─ Presta servicios profesionales sobre operaciones enumeradas
└─ separar preparación de ejecución en nombre y representación.
Después del filtro, hay cuatro comprobaciones comunes. Primero, si otra ley regula el modelo; el alta SPPLD no concede licencia sectorial. Segundo, quién es cliente, representante y Beneficiario Controlador. Tercero, qué evento, monto y fecha alimentan el cálculo. Cuarto, qué evidencia y decisión se conservarán. Si una respuesta depende sólo del nombre del producto —“marketplace”, “stablecoin”, “asesoría” o “administración”— el análisis todavía no ha llegado a la función material.
En modelos híbridos pueden coexistir varias ramas. Una plataforma puede facilitar activo virtual, manejar pesos y ofrecer crédito mediante participantes distintos. Debe analizarse cada persona y flujo, evitando asumir que el reporte o permiso de una entidad cubre a todo el grupo. La guía sectorial desarrolla estas fronteras con ejemplos operativos.
Ruta de implementación en doce semanas
| Semana | Resultado |
|---|---|
| 1–2 | clasificación, inventario y responsables |
| 3–4 | matriz normativa, alta y calendario |
| 5–6 | expedientes y Beneficiario Controlador |
| 7–8 | ledger, umbrales, avisos y acuses |
| 9–10 | preparación de EBR, manual, alertas y capacitación, verificando RCG/transitorios |
| 11 | prueba de reconstrucción y revisión preventiva; auditoría legal sólo si ya es exigible |
| 12 | remediación, aprobación y plan de mantenimiento |
El calendario es orientativo. Si existen operaciones históricas o una actuación de autoridad, las prioridades cambian.
Recursos del pilar
Actividades, umbrales y alta
Guía de determinación y SPPLD explica cómo separar actividad, identificación, aviso y acumulación, incluyendo crédito, factoraje y acceso al portal.
Expedientes y debida diligencia
Guía de expediente LFPIORPI desarrolla Beneficiario Controlador, personas morales extranjeras, PEP, listas, origen y crédito prendario.
Avisos y XML
Guía de avisos SPPLD cubre día 17, informes en ceros, 24 horas, DIN/INM, catálogos, modificatorios y conciliación.
Programa de cumplimiento
Guía de EBR, manual y sistemas conecta metodología, mitigantes, representante, tecnología y auditoría.
Regularización y visitas
Guía de artículo 55 y remediación explica condiciones, sanciones, auditoría preventiva, matrices y preparación de visita.
Aplicaciones sectoriales
Guía por sector compara crédito, inmobiliario, activos virtuales y servicios profesionales.
Siguiente paso
SVA.LAW asesora en clasificación, expedientes, avisos, EBR, manuales, auditoría y regularización para convertir el cumplimiento en un sistema operativo verificable. Agende una conversación.
Base legal
- LFPIORPI vigente
- Reforma del Reglamento, DOF 27-03-2026
- Portal oficial SPPLD
- Marco jurídico SPPLD
- Criterios SPPLD
Aviso: Este hub ofrece información general. No constituye asesoría jurídica, dictamen ni garantía de cumplimiento. Cada modelo debe analizarse con hechos, contratos y normativa vigente.
Ruta editorial
Dossiers de esta guía
determinacion-y-alta
Actividades Vulnerables: cómo determinar obligaciones, umbrales y alta en SPPLD
Actividades Vulnerables: cómo determinar obligaciones, umbrales y alta en SPPLD | Claves legales, controles y evidencia para operar en México.
expedientes-y-debida-diligencia
Expedientes LFPIORPI: Beneficiario Controlador, PEP, listas y origen de recursos
Expedientes LFPIORPI: Beneficiario Controlador, PEP, listas y origen de recursos | Claves legales, controles y evidencia para operar en México.
avisos-y-reporteria
Avisos LFPIORPI y XML en SPPLD: calendario, formatos y control de calidad
Avisos LFPIORPI y XML en SPPLD: calendario, formatos y control de calidad | Guía SVA LAW sobre decisiones regulatorias, controles operativos y evidencia en México.
programa-de-cumplimiento
EBR, manual, sistemas y auditoría para Actividades Vulnerables
EBR, manual, sistemas y auditoría para Actividades Vulnerables | Guía SVA LAW sobre decisiones regulatorias, controles operativos y evidencia en México.
regularizacion-y-defensa-preventiva
Regularización LFPIORPI: artículo 55, visitas, auditoría y sanciones
Regularización LFPIORPI: artículo 55, visitas, auditoría y sanciones | Guía SVA LAW sobre decisiones regulatorias, controles operativos y evidencia en México.
aplicaciones-sectoriales
LFPIORPI por sector: crédito, inmobiliario, activos virtuales y servicios profesionales
LFPIORPI por sector: crédito, inmobiliario, activos virtuales y servicios profesionales | Claves legales, controles y evidencia para operar en México.