Operadores Autorizados en el SPPLD: el “punto ciego” que puede romper tu compliance PLD (y cómo cerrarlo con software PLD)

6 feb 2026

Si tu compliance PLD vive en un portal, una e.firma y un par de usuarios “que sí saben entrar”, hay una verdad incómoda: muchas sanciones no nacen de una tipología sofisticada… sino de un control de accesos mal diseñado.

En México, el SPPLD (Portal de Prevención de Lavado de Dinero del SAT) es el carril por donde pasan avisos, informes y evidencia operativa. Y justo por eso, los errores más caros suelen ser sorprendentemente “administrativos”: operadores desactualizados, responsables que no aceptaron el cargo, accesos compartidos, cambios de personal sin baja formal, y expedientes que nadie puede reconstruir cuando llega la visita.

Este artículo te da una guía práctica (y muy accionable) para blindar operadores autorizados, roles, bitácoras y firma electrónica, con enfoque en compliance PLD y software PLD para que estés listo para auditoría.

Un caso realista: “solo era un usuario… hasta que dejó de serlo”

Una empresa de Actividad Vulnerable creció rápido. Contrató a un auxiliar para capturar datos y “subir avisos”. Le dieron acceso… y nunca lo retiraron cuando salió del equipo.

Meses después, la empresa cambió su proceso interno. El excolaborador (sin mala intención, según la historia) reingresó con credenciales guardadas, cargó un aviso con campos incompletos y lo envió “para ayudar”. El resultado: inconsistencias, evidencia inconexa y semanas de trabajo correctivo… justo cuando la organización estaba preparando su auditoría interna.

Moraleja: en compliance PLD, el riesgo operativo no solo está en el cliente; también está en quién puede tocar el botón de “enviar”.

Por qué “Operadores Autorizados” es un tema de riesgo (no solo de IT)

La normativa y comunicados del SAT hacen evidente una lógica: hay obligaciones que se cumplen en equipo, y el SAT espera trazabilidad. En ciertos esquemas (por ejemplo, permisionarios y operadores), se distingue quién identifica, integra expediente y resguarda, y quién presenta avisos y mantiene registros actualizados.

Además, el Reglamento exige estar inscrito, contar con Firma Electrónica Avanzada vigente y realizar el alta con información que establezca la autoridad mediante reglas. Es decir: identidad digital y controles operativos no son opcionales; son parte del cumplimiento.

Los 6 fallos más comunes que vemos en compliance PLD (y cómo evitarlos)

1) Usuarios compartidos (“la cuenta del área”)

Cuando todos usan el mismo acceso, pierdes lo que más importa en auditoría: responsabilidad individual y bitácora. La pregunta “¿quién hizo qué y cuándo?” se vuelve imposible.

Control recomendado: usuarios nominales + roles por función + bitácora inalterable (log).

2) Operadores “fantasma” (altas sin bajas)

Rotación normal = riesgo si el proceso de baja no está amarrado a RR. HH.

Control recomendado: baja en menos de 24–48h + revisión mensual de usuarios activos.

3) Responsable de cumplimiento “designado” pero no aceptado

El SAT ha publicado exhortos e instructivos relacionados con la aceptación del responsable designado. Si el responsable no está correctamente formalizado, todo tu cumplimiento queda en una zona gris operativa.

Control recomendado: evidencia de aceptación + política de “no operación” sin responsable vigente.

4) Envíos sin doble control (4 ojos)

Un aviso puede estar “técnicamente enviado” y aún así estar mal capturado.

Control recomendado: flujo de aprobación: Captura → Revisión → Aprobación → Envío.

5) Evidencia dispersa (correo + Excel + carpetas locales)

En verificación, el problema no es solo tener documentos, sino probar integridad, fecha y trazabilidad.

Control recomendado: expediente digital centralizado + control de versiones + sellos de tiempo cuando aplique.

6) “Alta y registro” incompletos o no actualizados

El marco del SAT enfatiza mantener actualizada la información de registro y cumplir el alta conforme a reglas y formatos. Cuando cambia razón social, domicilio, actividad, apoderados o estructura operativa, el “back office” se vuelve cumplimiento.

Control recomendado: checklist trimestral de datos de registro + evidencia de actualizaciones.

Checklist práctico: control de accesos + SPPLD + software PLD (lista para auditoría)

Si quieres una lista corta que sí sirva el día de la visita:

  1. Inventario de usuarios y roles (quién captura, quién revisa, quién envía).

  2. Matriz RACI (Responsable, Aprobador, Consultado, Informado) por proceso PLD.

  3. Bitácora automática: alta/baja de usuarios, cambios, aprobaciones, envíos.

  4. Política de segregación: nadie “se aprueba a sí mismo”.

  5. Revisión mensual de usuarios activos vs. organigrama real.

  6. Evidencia de responsable vigente (designación/aceptación aplicable).

  7. Control de e.firma: custodia, uso, y reglas internas (sin “préstamos”).

  8. Prueba de reconstrucción (simulación): toma un aviso al azar y reconstruye el expediente completo en 30 minutos.

Si fallas en el punto 8, no es “detalle”: es una alerta de auditoría.

¿Dónde entra el software PLD (y por qué cambia el juego)?

Un buen software PLD no solo “te ayuda a capturar”: te ayuda a gobernar.

Lo que deberías exigirle a tu plataforma de compliance PLD:

  • Roles y permisos granulares (captura vs. revisión vs. envío).

  • Flujos de aprobación configurables (doble control).

  • Bitácora auditable (quién hizo qué, cuándo, y qué cambió).

  • Expediente digital con evidencia ligada al acto/operación.

  • Alertas operativas (usuarios sin actividad, accesos inusuales, pendientes críticos).

  • Reportes listos para verificación (sin armar “carpetas de pánico”).

Aquí es donde soluciones como Artu.ai suelen aportar valor: no solo automatizar tareas, sino convertir el cumplimiento en un sistema con trazabilidad y control, especialmente para Actividades Vulnerables que viven bajo presión operativa.

Bonus: un foco 2026 que muchos pasan por alto (comercio exterior y altas específicas)

La reforma y criterios han empujado ajustes prácticos en varias Actividades Vulnerables. Por ejemplo, en despacho aduanal (artículo 17, fracción XIV), el SAT ha señalado que ciertos sujetos deberán realizar su alta y registro hasta que el formato oficial los identifique expresamente, lo que en la práctica obliga a monitorear cambios de formatos y criterios (y documentar tu postura).

Traducción: no basta con “cumplo lo de siempre”. En 2026, compliance también es gestión de cambios.

Atrás