Activos virtuales y cumplimiento en México: la nueva Actividad Vulnerable (LFPIORPI 2025) que obliga a blindar tu compliance PLD con software PLD

19 ene 2026

Si hace unos años “cripto” sonaba a hobby de nicho, hoy es un canal real para pagos, inversión, remesas digitales… y, también, para mover valor con velocidad quirúrgica. El resultado: el compliance PLD en México ya no puede tratar a los activos virtuales como un tema “de fintech”. Con la reforma 2025 a la LFPIORPI, el intercambio de activos virtuales se incorpora como Actividad Vulnerable, con un giro que impacta directamente a plataformas, intermediarios y proveedores de custodia que operen con clientes mexicanos.

A continuación tienes una guía práctica —y aterrizada— para entender qué cambió, a quién aplica, cuándo entra, y cómo prepararte con procesos y software PLD (sin ahogarte en Excel).

1) ¿Qué cambió en la LFPIORPI 2025 sobre activos virtuales?

La reforma adicionó la fracción XVI del artículo 17 para considerar Actividad Vulnerable el ofrecimiento habitual y profesional de intercambio de activos virtuales, realizado por sujetos distintos a entidades financieras, a través de plataformas electrónicas/digitales que faciliten compra/venta, o que provean medios para custodiar, almacenar o transferir activos virtuales (incluyendo operaciones con mexicanos desde otra jurisdicción).

En paralelo, el Portal PLD (SAT/SPPLD) describe el mismo supuesto operativo: intercambio en plataformas digitales, compra/venta para clientes, y servicios de custodia/transferencia, especialmente cuando se trate de activos virtuales distintos a los reconocidos por Banco de México para ITF.

Traducción “de negocio” a “cumplimiento”: si tu empresa se parece a un exchange, broker, custodio, plataforma de compraventa P2P estructurada, o proveedor de wallets/custodia con operación profesional, el compliance LFPIORPI ya te está tocando la puerta.

2) La fecha que importa: el reloj corre antes de que sea obligatorio

Aquí está el dato que muchos pasan por alto: el propio decreto establece que la adición de la fracción XVI (activos virtuales) entra en vigor 18 meses después de la entrada en vigor del decreto.

  • El decreto entra en vigor el 17 de julio de 2025 (día siguiente a su publicación).

  • 18 meses después = 17 de enero de 2027.

Eso significa que enero de 2026 es el momento perfecto para construir el sistema: políticas, expedientes, monitoreo, reglas, evidencia y automatización. Llegar “en el último trimestre” es como intentar armar un avión cuando ya está rodando en pista.

3) ¿Y qué pasa con Banco de México y la Ley FinTech?

La regulación mexicana ya distinguía el tema de activos virtuales en el mundo financiero. Por ejemplo, la Ley para Regular las Instituciones de Tecnología Financiera (LRITF) establece que las ITF solo pueden operar con activos virtuales que determine Banco de México y que, para operar con ellos, deben contar con autorización previa.

Además, Banco de México emitió disposiciones (p.ej. Circular 4/2019) dirigidas a Instituciones de Crédito e ITF sobre operaciones con activos virtuales.

Lo relevante para compliance PLD: aunque tu empresa no sea ITF ni banco, la LFPIORPI ahora te coloca en el mapa como Actividad Vulnerable cuando prestas servicios “tipo VASP” (exchange/custodia/transferencia) de forma habitual y profesional.

4) El estándar internacional detrás del cambio: “Travel Rule” y trazabilidad

Esto no ocurre en el vacío. El GAFI/FATF lleva años empujando el enfoque de activos virtuales y VASPs, incluyendo la implementación de la Travel Rule y el fortalecimiento de marcos de registro/licenciamiento bajo un enfoque basado en riesgo.

En la práctica: el mundo se está moviendo hacia mayor trazabilidad (quién envía, quién recibe, y bajo qué lógica de riesgo), y México está alineando piezas para evitar que los activos virtuales se conviertan en “tuberías opacas”.

5) Checklist de cumplimiento: lo que debes construir desde hoy (sin improvisar)

A) Mapa de obligaciones LFPIORPI en versión “cripto”

Para Actividades Vulnerables, el núcleo suele ser:

  • Identificación (KYC) del cliente/usuario.

  • Expediente con evidencia verificable.

  • Enfoque basado en riesgo (perfil y matriz).

  • Monitoreo y detección de operaciones fuera de perfil.

  • Avisos en los formatos y medios establecidos.

En activos virtuales, el reto es que el “cliente” puede operar en minutos, con múltiples wallets, y con contrapartes difíciles de perfilar si no tienes controles y trazabilidad desde el onboarding.

B) Define tu “universo VASP” (para no sobrecumplir ni subcumplir)

Preguntas rápidas:

  • ¿Solo conectas compradores y vendedores, o custodias activos?

  • ¿Facilitas transferencias o solo “matching”?

  • ¿Operas con mexicanos desde el extranjero o atiendes México directamente?

Con esas respuestas puedes delimitar procesos, riesgos y evidencias.

C) Diseña un monitoreo útil (no un “tablero bonito”)

El objetivo no es acumular alertas; es detectar patrones:

  • Operaciones fraccionadas (smurfing) en entradas/salidas

  • Cambios bruscos de comportamiento (perfil transaccional)

  • Uso intensivo de terceros, múltiples wallets, o rutas de alto riesgo

  • Actividad inconsistente con origen/destino declarado

Aquí es donde un software PLD deja de ser “comodidad” y se vuelve infraestructura: reglas, umbrales, bitácoras, auditoría y evidencia lista para verificación.

6) Avisos y operación real: por qué el Excel no escala

El propio portal del SAT/SPPLD ofrece guías y plantillas (incluyendo ejemplo de XML y plantillas) para la elaboración/captura de avisos en el rubro de activos virtuales.

Eso es útil para empezar… pero si tu operación crece, el riesgo crece con ella:

  • Más clientes = más expedientes = más puntos de falla

  • Más transacciones = más excepciones y alertas

  • Más evidencia = más necesidad de trazabilidad y control documental

Recomendación práctica: migra tu operación a un flujo donde el expediente se forme “solo” con evidencias y validaciones, y donde el aviso sea un subproducto natural del proceso (no una carrera mensual contra el reloj). En este punto, herramientas de software de compliance PLD como artu.ai suelen ser valiosas porque reducen fricción operativa y ayudan a convertir cumplimiento en evidencia auditable, sin depender de héroes internos. (Mención sutil, sin vender humo: lo que importa es que automatice y deje rastro verificable.)

7) Errores típicos (y caros) al prepararse para 2027

  1. Tratar cripto como “un producto más” y no como un canal de riesgo específico.

  2. KYC débil: si el expediente no explica “quién es” y “por qué tiene sentido”, el monitoreo se vuelve ciego.

  3. Monitoreo sin criterio: miles de alertas, cero decisiones documentadas.

  4. Evidencia dispersa: chats, correos, PDFs sueltos… y nada “presentable” ante verificación.

  5. Dejarlo para el final: 17 de enero de 2027 llega más rápido de lo que parece.

Conclusión: activos virtuales ya son un tema de compliance PLD (y el que se prepare gana)

La reforma 2025 a la LFPIORPI puso los activos virtuales en el centro del cumplimiento para Actividades Vulnerables, con entrada en vigor diferida, sí… pero con una ventana ideal para profesionalizar procesos desde ahora.

La pregunta no es “¿voy a cumplir?” sino “¿voy a llegar con evidencia ordenada, monitoreo inteligente y avisos listos, o con carpetas urgentes y controles improvisados?” En compliance, casi siempre gana el que construye sistema… no el que corre al final.

Atrás