De 5 a 10 años: resguardo de evidencia y expediente digital auditable en compliance PLD (LFPIORPI 2025) — y cómo lograrlo con software PLD

22 ene 2026

Imagina que mañana te cae una revisión y te piden “la película completa” de una operación: quién fue el cliente, cómo lo identificaste, qué verificaste, qué documentos soportan el acto, qué análisis hiciste, qué comunicaciones hubo y qué reportaste. No quieren un rompecabezas; quieren un expediente que se pueda reconstruir “en lo individual”, sin lagunas.

Eso, en 2026, ya no es un “nice to have”: con la reforma LFPIORPI 2025, el resguardo de información y documentación se volvió una de las obligaciones más sensibles (y más fáciles de incumplir sin darte cuenta).

1) El cambio que ya está corriendo: conservar por 10 años (y desde cuándo)

La LFPIORPI reformada establece la obligación de conservar por al menos diez años la información y documentación relativa a identificación, y la relacionada con actos/operaciones reportados.

Y el SAT, en sus criterios generales, lo aterriza con fecha clara: el plazo de 10 años debe considerarse para actos u operaciones realizados a partir del 17 de julio de 2025 (un día después de la publicación del Decreto del 16/07/2025).

Además, el propio portal de PLD (SPPLD) aclara algo crucial para la operación: puedes conservar la evidencia de forma física o electrónica; es tu decisión el medio.

2) “Información y documentación soporte” no es solo el INE: qué te pueden pedir

Aquí es donde muchas áreas se tropiezan. El SAT ha señalado que, para cumplir con el resguardo, hablamos de documentación que soporta la Actividad Vulnerable y que incluso incluye elementos para reconstruir operaciones:

  • Registros de las operaciones realizadas (para reconstrucción individual).

  • Correspondencia comercial que se compartió para ejecutar la operación.

  • Resultados de análisis previos, cuando existan.

En otras palabras: no basta con “tener archivos”. Necesitas trazabilidad, orden y evidencia consistente con tu KYC, tu matriz de riesgo, tus umbrales en UMA y tus avisos al SAT (SPPLD).

3) El riesgo real: incumplir por “desorden” (no por mala fe)

En compliance PLD, una gran parte del riesgo no viene de hacer algo “malicioso”, sino de hacer algo incompleto o irreconstruible: expedientes dispersos, documentos sin fecha, chats sin resguardo, archivos que se pierden al cambiar de personal, y evidencia que existe… pero no se puede probar que era la vigente cuando tomaste la decisión.

Por eso, muchas firmas (incluyendo despachos y consultoras) han destacado que el resguardo por 10 años duplica la carga operativa frente al estándar previo y vuelve crítico el gobierno documental.

4) Cómo construir un expediente digital auditable (sin volverte archivo muerto)

Un “expediente digital auditable” en compliance PLD suele tener 6 capas:

A) Arquitectura del expediente (qué va adentro)

  • Identificación y verificación del cliente/usuario (KYC).

  • Beneficiario controlador (cuando aplique).

  • Perfil transaccional/propósito.

  • Matriz de riesgo y resultado (con fecha y responsable).

  • Evidencia del umbral (UMA) y lógica de acumulación.

  • Aviso SPPLD (si procede) + acuse + anexos.

B) Trazabilidad y control de versiones

  • Cada documento con metadatos: fecha, fuente, responsable, vigencia.

  • Historial: qué cambió, cuándo cambió y por qué cambió.

C) Cadena de custodia digital (la parte “forense”)

  • Control de accesos (roles).

  • Bitácoras de consulta/edición/descarga.

  • Respaldo y retención (10 años) con políticas claras.

D) Resguardo seguro y continuidad

  • Copias de seguridad verificables.

  • Recuperación ante incidentes (no solo “backup”, también restore probado).

E) Privacidad y minimización

  • Solo lo necesario, con reglas de conservación y bloqueo interno (cuando aplique).

  • Contratos y controles con proveedores tecnológicos.

F) Evidencia lista para “mostrar”

  • Exportables por operación, por cliente y por periodo.

  • Paquete “auditoría” en minutos, no en semanas.

5) Checklist práctico (para que tu compliance PLD aguante 10 años)

Si hoy tuvieras que elegir 12 acciones de alto impacto:

  1. Define un mapa de evidencia por Actividad Vulnerable (qué documento prueba qué obligación).

  2. Establece una política de retención 10 años (y quién la gobierna).

  3. Centraliza expediente: evita “evidencia en correos” como repositorio principal.

  4. Activa bitácoras (logs) y control de acceso por roles.

  5. Normaliza nombres y metadatos (fecha, folio, cliente, operación).

  6. Guarda “lo que explica la decisión”: análisis, comentarios, dictámenes internos.

  7. Resguarda acuses y anexos de SPPLD como parte del mismo expediente.

  8. Implementa respaldos + pruebas periódicas de restauración.

  9. Controla versiones de documentos del cliente (vigencias).

  10. Integra umbrales (UMA) y acumulación con evidencia calculable.

  11. Asegura trazabilidad del beneficiario controlador cuando aplique.

  12. Entrena al equipo: “si no queda en expediente, no existe”.

6) Dónde entra un software PLD (y por qué esto ya no escala en Excel)

Cuando el resguardo sube a 10 años, el problema deja de ser “capturar” y se vuelve “operar sin fracturas”: evidencia, trazabilidad, auditoría, exportación y consistencia entre KYC, riesgo y reporteo.

Ahí es donde un software PLD / software LFPIORPI especializado (por ejemplo, Artu.ai) suele aportar valor real: centraliza el expediente, conecta KYC + matriz de riesgo + umbrales UMA + avisos al SAT (SPPLD) y deja la evidencia lista para auditoría, sin depender de que “alguien se acuerde” en 2029 dónde se guardó el archivo.

Conclusión

La reforma LFPIORPI 2025 hizo algo muy claro: el compliance PLD no se mide solo por “cumplir hoy”, sino por poder demostrar dentro de 8 o 10 años que tu proceso fue sólido, trazable y reconstruible. Y en ese examen, el expediente digital auditable no es un documento: es un sistema.

Atrás