Medidas simplificadas de identificación en actividades vulnerables

Dentro de estas 40 recomendaciones, se encuentra la número 10 (debida diligencia del cliente), la cual menciona que los sujetos obligados deberán identificar y verificar la identidad de sus clientes, utilizando documentos, datos o información fiables, mencionando que cada país puede imponer obligaciones específicas de debida diligencia mediante su legislación y determinar su alcance al aplicar un Enfoque Basado en Riesgo (EBR). En México, esta obligación se encuentra contenida en el artículo 18.° (fracción I):

Esta fracción fue modificada recientemente, detallando de una manera puntual la forma en que se debe identificar al cliente, haciendo hincapié en que esto se deberá llevar a cabo conforme a las RCG.

Aunque hasta el momento no existe una actualización de dichas RCG, el Reglamento de la LFPIORPI y las reglas vigentes ya cuentan con criterios de identificación del cliente y usuarios, conforme al tipo y riesgo de este.

Los sujetos obligados deben establecer en su manual de cumplimiento los criterios, procedimientos y parámetros para clasificar clientes de bajo riesgo.

De conformidad con el artículo 12.° de las RCG, las personas que realicen actividades vulnerables deberán integrar y conservar un expediente único de identificación de cada uno de sus clientes y usuarios, el cual se conformará previamente o durante la realización de la operación o del establecimiento de una relación de negocios, lo cual deberá cumplir con los requisitos que se establecen para cada tipo.

Ahora bien, de acuerdo con el artículo 11.° de las RCG, los criterios para identificación del cliente o usuario deberán estar contenidos en el manual de cumplimiento para el desarrollo de cada actividad vulnerable.

El artículo 15.° del Reglamento de la LFPIORPI, modificado el 27 de marzo de 2026, permite que quienes realicen actividades vulnerables puedan dar cumplimiento a la obligación de identificación de los clientes o usuarios mediante medidas simplificadas cuando estos sean considerados de bajo riesgo, conforme al EBR con el que tienen la obligación de contar.

Estas medidas simplificadas se encuentran contenidas en el artículo 17.° de las RCG, donde se señala que los expedientes de identificación de clientes de bajo riesgo se deben integrar sólo con los datos señalados en los anexos 3, 4, 4 bis, 5, 6, 6 bis, 7 bis u 8 de dichas reglas (según corresponda); así como los relativos a la identificación del cliente y, en su caso, la de su representante, apoderados legales, delegados fiduciarios o de las personas que realicen los actos u operaciones a nombre de dicha persona moral.

La LFPIORPI, su reglamento, las RCG y sus anexos no cuentan con los lineamientos para realizar el EBR del sujeto obligado, por lo que es necesario que la persona que realiza las actividades vulnerables lleve a cabo un análisis y determine los parámetros para clasificar a un cliente como de bajo riesgo. Por lo tanto, el sujeto obligado contará únicamente con lo establecido en su manual de cumplimiento, en el que plasmará los criterios, medidas y procedimientos internos que llevará a cabo para el debido cumplimiento de su identificación.

Considerando que el origen de esta obligación está contenido en la recomendación 10 del GAFI, la misma que México está obligado a cumplir por los compromisos previamente adquiridos, es coherente que, para determinar los criterios, medidas y procedimientos del nivel de riesgo de un cliente o usuario, se base en las directrices que este organismo señala.

Dentro de la propia recomendación se indica que el alcance de la debida diligencia del cliente tiene que ser determinado aplicando un EBR para ver si puede ser simplificada, estandarizada o reforzada, según el nivel de riesgo.

Esta evaluación debe considerar ciertos factores, como el tipo de cliente, los productos o servicios ofrecidos, las zonas geográficas y las transacciones o canales de envío; asimismo, en todo momento se deben demostrar las bases en las que se sustenta su evaluación. Con respecto a cada uno de los factores, se debe considerar lo siguiente:

• Riesgo respecto al cliente: se refiere a la relación comercial que se tiene, la residencia de este, el tipo de estructura jurídica, el tipo de cliente (persona políticamente expuesta, institución financiera, etc.) y los negocios que utilizan cuantías elevadas de efectivo. Ahora bien, existen ciertas atenuantes para considerar a un cliente como de bajo riesgo:
  • Que esté sujeto a requisitos para combatir el LD y FT, implementando con eficacia los requisitos y que estén supervisados para asegurar su cumplimiento.
  • Que sean sociedades mercantiles públicas cotizadas en bolsa o sujetas a requisitos de revelación.
  • Que se trate de administraciones o empresas públicas.
• Riesgo respecto al país o área geográfica: a nivel internacional, se trata de jurisdicciones con alto índice de corrupción, en listados emitidos por el GAFI como de alto riesgo o con deficiencias estratégicas en su sistema (países con tributación estratégica). A nivel nacional, se trata de áreas con incidencia delictiva, cierto nivel de marginación, lugares de frontera o con puertos de entrada y salida internacionales, así como áreas identificadas por el sujeto supervisado como de mayor riesgo.
• Riesgo respecto a productos, servicios, transacciones o canales de envío: banca privada, transacciones anónimas, relaciones o transacciones en las que no se entable un contacto físico entre las partes, pago recibido de partes desconocidas (o terceros no asociados) y el tipo de producto que se está proporcionando.

Para determinar si un cliente es de bajo riesgo, quien realice la actividad vulnerable debe tomar en cuenta las variables mencionadas (por separado o en combinación), ya que pueden aumentar o disminuir el riesgo de un cliente o usuario. Esto modificaría el modo de identificación del cliente, de uno determinado con medidas simplificadas a uno con medidas más reforzadas.

Por lo anterior, dentro del manual de cumplimiento se debe detallar el procedimiento y las bases que el sujeto obligado deberá considerar para determinar el modo de identificación del cliente, el nivel de debida diligencia que debe considerar y las bases del riesgo inherente a cada usuario, soportando los parámetros determinados.

El GAFI establece estándares internacionales para prevenir el LD y FT, y México ha alineado su legislación mediante la LFPIORPI, su reglamento y las RCG.

Conclusiones

La legislación nacional no define cómo realizar la evaluación del EBR para determinar cuándo un cliente o usuario es considerado de bajo riesgo y aplicar las medidas simplificadas de identificación. Por lo tanto, las personas que realicen las actividades vulnerables deben desarrollar (en el manual de cumplimiento) la forma en que determinarán que un cliente es de bajo riesgo, soportando su procedimiento como lo señalan las recomendaciones del GAFI y, en cuanto salgan las disposiciones para la evaluación de un EBR en la legislación nacional, realizar las modificaciones necesarias en el manual, así como en sus procesos, a fin de contar con los parámetros actualizados.

Cuando se aplican medidas simplificadas en la identificación de un cliente o usuario, se debe tener debidamente documentada y soportada la razón de por qué este es considerado de bajo riesgo, esto con el objetivo de demostrar que se llevó a cabo adecuadamente dicha identificación y no ser sujeto de alguna sanción administrativa.

---

Referencias

• GAFI, 2025, Estándares Internacionales sobre la Lucha Contra el Lavado de Activos, el Financiamiento del Terrorismo, y el Financiamiento de la Proliferación de Armas de Destrucción Masiva, 2026, de GAFILAT: https://biblioteca.gafilat.org/?p=7500
• Gobierno de México, 2025, Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, 2026, de Cámara de Diputados: https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPIORPI.pdf
• Gobierno de México, 2026, Reglamento de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, 2026, de Cámara de Diputados: https://www.pld.hacienda.gob.mx/work/models/PLD/documentos/CompiladoRLFPIORPI160813y270326.pdf
• Presidencia de la República, 2026, Decreto por el que se reforman, adicionan y derogan diversas disposiciones del Reglamento de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, 2026, de Diario Oficial de la Federación: https://www.dof.gob.mx/nota_detalle.php?codigo=5783547&fecha=27/03/2026#gsc.tab=0
• Secretaría de Hacienda y Crédito Público y Servicio de Administración Tributaria, 2020, Reglas de carácter general de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, 2026, de Diario Oficial de la Federación: https://www.pld.hacienda.gob.mx/work/models/PLD/documentos/compilado_rcg_reforma30nov2020.pdf
• Unidad de Inteligencia Financiera, 2016, Guía para establecer criterios y elementos de análisis con base en los cuales consideré a clientes o usuarios como de bajo riesgo, 2026, de AMDA: https://www.amda.mx/23-dga-2016-guias-emitidas-por-la-unidad-de-inteligencia-financiera/