La doble presión que está sobre las financieras — y cómo resolverla

 

La doble presión que está
sobre las financieras
— y cómo resolverla
antes de que sea tarde

La CNBV impuso ~800 multas por PLD en 2024 — 162% más que en 2023. A partir de 2026, el SAT fiscaliza masivamente cuentas de fintech y financieras no bancarias. Las sanciones van de $23,462 hasta $7.6 millones de pesos por omisión. Y perder el sello digital paraliza la operación de inmediato. La mayoría de las instituciones no tiene los datos, los procesos ni los sistemas para responder. La buena noticia: quien lo entiende bien, lo resuelve en semanas. No en años.

El director general lleva tres semanas con el mismo tema en cada reunión de consejo. La CNBV acaba de notificar una visita de inspección con foco en PLD. El SAT envió un requerimiento de información sobre operaciones de los últimos dos años. El Oficial de Cumplimiento pidió una reunión de emergencia. Y el sistema con el que trabaja el equipo de cumplimiento es — en el mejor de los casos — una hoja de cálculo con macros que alguien construyó hace cuatro años y que nadie sabe modificar sin romper. Esa escena no es hipotética. Es la conversación que ocurre hoy en docenas de SOFOMES, fintechs y financieras no bancarias en México. Y la respuesta que la mayoría está dando — más personal, más proveedores externos, más formularios — es la más cara y la más frágil de todas las posibles. Porque el problema no es de personal ni de formularios. Es de datos, de procesos y de secuencia. Y quien entiende esa secuencia lo resuelve en semanas, con los recursos que ya tiene, sin colapsar la operación mientras lo hace.

La presión regulatoria de 2026 no llegó de golpe. Se construyó durante años de marcos que se endurecían gradualmente — la Ley Fintech de 2018, la LFPIORPI y sus reformas, el artículo 115 de la LIC, y ahora la reforma fiscal 2026 que extiende las facultades del SAT a todas las entidades financieras. Las instituciones que reaccionan hoy tienen todavía margen. Las que esperan la visita de inspección para moverse, no.

~800multas impuestas por la CNBV por deficiencias en PLD en 2024 — 162% más que en 2023. SOFOMES y centros de cambio encabezan la listaExpansión · CNBV · marzo 2025

$216Mpesos en sanciones PLD aplicadas por CNBV en 2024 — el monto más alto en los últimos años. Scotiabank y BBVA entre los sancionadosCNBV · Regcheq · Expansión · 2025

$2Mpesos de multa máxima por cada omisión detectada en materia de PLD bajo el CFF — y la UIF puede bloquear cuentas sin orden judicial previaCFF · LFPIORPI · Armor-AML 2026

24 hrsplazo máximo para reportar Operaciones Sospechosas o Inusuales a la UIF desde la reforma LFPIORPI 2025 — exige detección en tiempo real, no en loteLFPIORPI · Acuerdo 77/2025 · Piranirisk 2025

2026SAT extiende su facultad de revisar estados de cuenta a todas las entidades financieras — no solo bancos. Fintech y SOFOMES en el radar directoReforma CFF 2026 · Expansión · Holland&Knight

Lo que cambió — y por qué 2026 es el año que no tiene margen de error

Durante años, la supervisión financiera en México tuvo una arquitectura de facto que las instituciones aprendieron a navegar: la CNBV supervisaba lo regulado, el SAT supervisaba lo fiscal, la UIF recibía reportes que muchas instituciones enviaban con retraso o incompletos, y la CONDUSEF gestionaba quejas de usuarios. Cada ventanilla tenía sus tiempos, sus formatos y sus tolerancias operativas. Esa arquitectura cambió.

La reforma fiscal de 2026 extiende las facultades del SAT para revisar estados de cuenta de cualquier entidad financiera — no solo bancos. SOFOMES, SOFIPOS, fintechs con licencia ITF, plataformas de financiamiento colectivo, procesadores de pago — todos están ahora en el perímetro de revisión directa. El SAT podrá presumir ingresos por depósitos en cuentas financieras salvo prueba en contrario. Las plataformas deben proporcionar información periódica sobre contribuyentes participantes, montos percibidos y naturaleza de operaciones. Y el nuevo Artículo 49 Bis establece visitas domiciliarias expeditas para verificar que los CFDI amparen operaciones existentes y reales.

En paralelo, la LFPIORPI reformada en julio 2025 redujo el plazo de reporte de Operaciones Sospechosas o Inusuales a máximo 24 horas desde que se detectan. Eso no es un ajuste burocrático. Es un cambio arquitectónico: significa que el monitoreo transaccional tiene que ocurrir en tiempo real, no en revisiones semanales o mensuales. Las instituciones que todavía procesan operaciones en lote y revisan alertas cada jueves no pueden cumplir ese plazo con procesos manuales.

Y la consecuencia de no cumplir dejó de ser solo una multa. Sin sello digital, una institución financiera no puede emitir facturas — lo que en la práctica paraliza la operación de inmediato. La UIF tiene facultades para bloquear cuentas bancarias de forma preventiva sin orden judicial. Las multas van desde 200 hasta 65,000 UMAs — equivalente a $23,462 hasta $7.6 millones de pesos en 2026 — por la LFPIORPI. Y el CFF establece hasta $2 millones de pesos por cada omisión individual detectada. El costo de no resolver esto ya no se calcula en multas administrativas. Se calcula en continuidad operacional.

El cumplimiento regulatorio no es un departamento. Es una capacidad organizacional que atraviesa operaciones, tecnología, datos y gobierno. Las instituciones que lo tienen integrado desde el diseño operan con tranquilidad en auditorías. Las que lo tienen como función separada y reactiva siempre están corriendo contra el tiempo de la visita del regulador.

El diagnóstico real: por qué las respuestas habituales no funcionan

Cuando la presión regulatoria sube, la reacción más común en las instituciones financieras medianas y pequeñas es predecible y comprensible: contratar más analistas de cumplimiento, externalizar la validación de clientes con un proveedor de KYC, pedir al área de TI que genere más reportes, y preparar un plan de acción para presentar al regulador que muestre "estamos trabajando en ello".

Esas respuestas no son incorrectas. Son insuficientes. Y en el contexto de 2026, pueden ser activamente peligrosas si se ejecutan en el orden equivocado.

El error más caro — y el más frecuente

Una empresa que implementa un sistema de validación automatizada sin antes validar que sus datos históricos son confiables puede automatizar errores a escala. En el contexto regulatorio de 2026, eso es peor que el problema original. El SAT puede presumir que un ingreso existió basándose en el depósito. Si la conciliación de ese depósito está mal clasificada en el sistema — porque los datos históricos no eran limpios cuando se migró al nuevo sistema — la institución tiene una operación con registro incorrecto ante el regulador, generada automáticamente por el mismo sistema que se implementó para resolver el problema.

El volumen de operaciones en fintech y SOFOMES crece más rápido que la capacidad humana de revisarlas. Eso es real. Pero la solución no es agregar tecnología encima de datos que no están en condiciones. Es, primero, verificar la calidad de la base de datos sobre la que va a operar esa tecnología. Si esa base no está en condiciones, la inversión tecnológica no resuelve el problema — lo desplaza y lo escala.

Lo mismo aplica para PLD. La LFPIORPI exige la identificación del Beneficiario Controlador — la persona física detrás de la persona moral — en todos los clientes. Muchas instituciones tienen en su base de clientes personas morales cuyo expediente solo tiene el RFC y la denominación social. Agregar un sistema de monitoreo transaccional sobre una base de clientes con expedientes incompletos no cumple la regulación. La generará alertas que nadie puede resolver porque el expediente que las contextualiza no existe.

El mapa completo de lo que hay que resolver — y en qué orden

La buena noticia — y es una buena noticia real, no un eufemismo — es que quien entiende bien el problema lo resuelve en semanas, no en años. Con el equipo correcto, con la secuencia correcta y con la claridad de que el objetivo no es impresionar al regulador con un plan de acción de 80 páginas. Es tener los datos, los procesos y los sistemas en condiciones reales de cumplimiento. Eso es más simple de lo que parece cuando se aborda con orden.

1

Diagnóstico de calidad de datos — antes de cualquier tecnología

¿Qué porcentaje de expedientes de clientes actuales tiene la información completa para cumplir KYC según las DCG? ¿Cuántos clientes personas morales tienen identificado al Beneficiario Controlador? ¿Cuántas operaciones de los últimos 24 meses tienen trazabilidad completa — origen, destino, CFDI asociado, clasificación? Ese diagnóstico toma días, no semanas. Y su resultado determina el tamaño real del problema — que frecuentemente es más manejable de lo que parece antes de medirlo.

2

Saneamiento de la base de clientes — KYC y KYB en paralelo con la operación

Los clientes con expedientes incompletos se segmentan por nivel de riesgo y por actividad reciente. Los de alto riesgo y actividad reciente se atienden primero. El proceso de actualización se diseña para ejecutarse en paralelo con la operación normal — no como un proyecto aparte que detiene el negocio. KYC correcto significa identificar al Beneficiario Controlador real, cruzar contra listas restrictivas (UIF, OFAC, ONU, PEPs) y documentar con trazabilidad que esa verificación ocurrió. KYB para personas morales significa ir más allá del RFC: composición accionaria, actividad económica real, fuente de recursos, coherencia entre lo declarado y lo operado.

3

Trazabilidad de operaciones — conciliación limpia que el SAT puede auditar

Cada operación necesita una cadena completa: quién ordenó, con qué propósito declarado, qué CFDI la ampara, cómo fue clasificada contablemente y qué conciliación existe entre lo registrado en el sistema interno y lo que el banco o el SPEI reportan. Eso no requiere un sistema nuevo en todos los casos. Requiere que el sistema existente esté operado correctamente — con catálogos limpios, con clasificaciones consistentes y con el proceso de conciliación ejecutado de forma sistemática. La diferencia entre una institución que supera una auditoría SAT y una que no lo hace frecuentemente no está en el sistema que usan. Está en cómo lo usan.

4

Monitoreo transaccional en tiempo real — la capa que opera sobre los datos sanos

Con la base de clientes saneada y la trazabilidad de operaciones en condiciones, el monitoreo transaccional puede implementarse correctamente. Las reglas de alertas se calibran sobre el comportamiento real de la cartera — no sobre parámetros genéricos de mercado que generan falsos positivos masivos. Las alertas tienen un proceso definido de atención, con responsable, plazo y criterio de clasificación entre Operación Inusual y Operación Sospechosa. El reporte a la UIF en 24 horas deja de ser una carrera contra el tiempo y se convierte en un proceso con pasos definidos.

5

IA con datos limpios — el paso que multiplica todo lo anterior

Con los cuatro pasos anteriores completados, la inteligencia artificial deja de ser un proyecto de innovación y se convierte en un acelerador operacional real. Modelos de detección de anomalías entrenados sobre el comportamiento real de la propia cartera. Scoring de riesgo de clientes actualizado con cada nueva operación. Generación automática de reportes para CNBV, UIF y SAT en los formatos requeridos. Alertas preventivas 15 días antes del vencimiento de obligaciones de reporte. Todo esto existe, funciona y está disponible hoy — sobre datos que estén en condiciones de recibirlo.

"La secuencia correcta no empieza por elegir tecnología. Empieza por entender qué tan confiable es la base de datos sobre la que va a operar esa tecnología. Si esa base no está en condiciones, la inversión no resuelve el problema. Lo desplaza."— Jorge Mercado · #JMCoach · CTO · Arquitectura Empresarial en Sectores Financieros Regulados

La diferencia entre una institución que supera una auditoría de la CNBV o del SAT y una que no lo hace raramente está en el sistema que usa. Está en la calidad de los datos que ese sistema procesa, en la coherencia de los procesos que alimentan esos datos y en la claridad del equipo sobre qué hace cada paso de la operación. Esa claridad es construible. En semanas, no en años.

Lo que las instituciones que resuelven esto bien tienen en común

He trabajado en banca, en fintech regulada bajo CNBV, en SOFOMES y en financieras no reguladas. En todos esos contextos, el patrón de las instituciones que salen bien de las auditorías — de PLD, de SAT, de CNBV — es el mismo. No es el presupuesto más grande. No es el sistema más sofisticado. Es la combinación de tres cosas que suenan obvias y que la mayoría no tiene integradas:

El patrón de las instituciones que cumplen bien

Datos que se mantienen limpios por proceso, no por proyecto. El expediente del cliente se actualiza en el flujo normal de la operación — no en un proyecto de limpieza de datos cada vez que viene una auditoría. La conciliación se hace al cierre de cada día, no a fin de mes. Las clasificaciones contables tienen catálogos controlados que no se modifican sin proceso de cambio documentado.

Responsables claros con autoridad real. El Oficial de Cumplimiento no es el abogado que también hace contratos y también atiende las disputas con proveedores. Es alguien certificado, dedicado, con acceso a la información que necesita y con la autoridad para detener una operación que no cumple los criterios — sin necesitar autorización del director general para hacerlo.

Tecnología que soporta procesos que ya funcionan. El monitoreo transaccional automatizado se implementó sobre un proceso de revisión manual que ya funcionaba correctamente. El reporte a la UIF está automatizado porque el proceso de clasificación de alertas estaba documentado y probado antes de automatizarse. La IA detecta anomalías sobre una base de comportamiento normal que estaba bien definida porque los datos históricos eran confiables.

Esas tres cosas no son costosas. Son disciplinadas. Y la diferencia entre tenerlas y no tenerlas es la diferencia entre una visita de inspección que se cierra en una semana y una que resulta en sanciones, en planes de corrección con seguimiento trimestral y en conversaciones que el consejo directivo no quería tener.

El valor adicional que nadie menciona — pero que es real

El cumplimiento regulatorio bien implementado no es solo un costo de operar. Es una ventaja competitiva documentada. Las instituciones con procesos de KYC robustos tienen menor tasa de fraude por suplantación de identidad — porque el mismo proceso que verifica al cliente para PLD también detecta intentos de apertura con identidades robadas. Las que tienen monitoreo transaccional en tiempo real tienen menor tasa de cartera vencida — porque las alertas de comportamiento inusual frecuentemente preceden los impagos en semanas. Las que tienen trazabilidad de operaciones limpia tienen menor costo de cobranza — porque pueden documentar cada contacto, cada promesa de pago y cada evento del expediente sin buscar información en cuatro sistemas distintos.

Y hay un beneficio que los fondeadores institucionales empiezan a evaluar explícitamente: las instituciones con cumplimiento regulatorio demostrable tienen acceso a tasas de fondeo menores. La CNBV y la UIF publican las sanciones. Los fondos y los bancos corresponsales las leen. Una institución que no ha tenido sanciones PLD en los últimos tres años negocia sus líneas de crédito desde una posición distinta a la de una que tiene dos multas registradas en el buró. Ese diferencial de tasa, calculado sobre una cartera de cientos de millones de pesos, paga varias veces el costo de implementar el cumplimiento correctamente.

Las cinco preguntas que el consejo debería poder responder hoy — sin buscar la información

¿Qué porcentaje de nuestra base de clientes activos tiene expediente KYC completo con Beneficiario Controlador identificado? Si la respuesta requiere más de 24 horas para calcularse, el área de cumplimiento no tiene visibilidad en tiempo real de su propia cartera.

¿Cuándo fue la última operación sospechosa reportada a la UIF — y cuántos días pasaron entre que se detectó y que se reportó? Si el plazo supera 24 horas, hay un proceso que revisar antes de la próxima inspección.

¿Puede el área de contabilidad producir, en menos de dos horas, una conciliación completa entre los depósitos del último mes en todas las cuentas bancarias de la institución y los ingresos registrados en el sistema? Esa es exactamente la información que el SAT puede requerir ahora.

¿El Oficial de Cumplimiento puede detener una operación sin aprobación del director general? Si no, la función de cumplimiento no tiene la independencia que las DCG requieren.

¿Tiene la institución un inventario actualizado de todas sus obligaciones de reporte — SAT, UIF, CNBV — con fecha de vencimiento y responsable asignado? Las instituciones que pierden sanciones por omisión frecuentemente no las perdieron por incumplimiento intencional. Las perdieron porque nadie tenía el calendario.

La regulación de 2026 no tiene vuelta atrás. El SAT tiene más facultades. La CNBV tiene más herramientas y más apetito de usarlas. La UIF opera con plazos que requieren tecnología, no personas adicionales. Y los cárteles catalogados como organizaciones terroristas por EE.UU. han elevado la presión sobre México para demostrar que su sistema financiero no es un canal de lavado — lo que se traduce en supervisión más estricta sobre todas las instituciones, reguladas y no reguladas.

Las instituciones que tomen esto en sus manos hoy — con la secuencia correcta, con el equipo correcto y con la claridad de que el objetivo es tener los datos, los procesos y los sistemas en condiciones reales — van a salir de 2026 más fuertes que cuando entraron. Las que esperen la visita de inspección para moverse van a descubrir que el regulador tiene más información sobre sus operaciones de la que ellas tienen sobre sí mismas.

Fuentes: CNBV Sanciones PLD 2024 · Expansión "CNBV impone multas de 216 mdp por deficiencias en PLD" marzo 2025 · Regcheq.com.mx "Regulación y sanciones: el impacto de las multas de la CNBV" 2025 · Holland & Knight "Reforma Fiscal para 2026 en México" noviembre 2025 · Expansion.mx "El SAT quiere vigilar más tus cuentas bancarias y de Sofipos" septiembre 2025 · Consolide.com "CFF 2026: Nuevas Adiciones y Modificaciones de la Reforma Fiscal" diciembre 2025 · ContadorMx "Reforma CFF 2026: Cambios al CFF que no deben ignorarse" noviembre 2025 · Piranirisk.com "LFPIORPI 2025: sanciones, prevención y el papel clave de la tecnología" 2025 · LFPIORPI.com "Guía completa LFPIORPI 2026" · Armor-AML "Qué es PLD: Guía completa" abril 2026 · SAE&CIA "El cumplimiento fiscal y legal en México en 2025" septiembre 2025 · Blog MySuite MEX "CFF 2026: cambios que no deben ignorarse" · Contadores mismo lenguaje "Propuesta Reforma Fiscal 2026" septiembre 2025.

Jorge Mercado · #JMCoach