PEPs (Personas Políticamente Expuestas) en México: quién es PEP, qué pasa con familiares y relacionados, y cuándo aplicar Debida Diligencia Reforzada

23 feb 2026

En compliance PLD (Prevención de Lavado de Dinero), pocas etiquetas generan tanta fricción operativa —y tanto riesgo— como PEP. No porque “ser PEP” sea malo, sino porque, por definición, ciertas posiciones públicas elevan la exposición a corrupción, soborno y desvío de recursos; y esa exposición se traslada a la forma en que una empresa debe identificar, evaluar, monitorear y documentar la relación. En otras palabras: PEP no es sinónimo de “riesgo prohibido”, pero sí de riesgo que se gestiona con controles más finos.

A continuación, una guía práctica (y accionable) para entender quién es PEP, cómo tratar familiares y asociados, y cuándo corresponde aplicar Debida Diligencia Reforzada (DDR/EDD), con enfoque a México y alineación a estándares internacionales.

1) ¿Quién es PEP en México?

Desde la reforma de julio de 2025, la LFPIORPI incorpora expresamente el concepto. En términos de ley, Persona Políticamente Expuesta es la persona física que desempeña o ha desempeñado funciones públicas en territorio nacional o en un país extranjero, y también incluye a personas relacionadas bajo condiciones que la Secretaría (SHCP) establezca en reglas de carácter general.

Además, la LFPIORPI prevé que la Secretaría elabore y mantenga actualizado un listado nominativo de cargos de personas servidoras públicas que serán consideradas políticamente expuestas, y que diversas autoridades remitan su listado específico.

¿Qué significa en la práctica?
Que tu política de KYC, tu matriz de riesgo, y tu software PLD (si lo usas) deben poder:

  • Detectar si un cliente/usuario es PEP (nacional o extranjero).

  • Sostener evidencia de cómo se decidió el estatus (fuentes, listas, fecha, etc.).

  • Escalar controles cuando el riesgo lo amerite (DDR/EDD + monitoreo intensificado).

2) PEP no es solo “políticos”: categorías clave

Para aterrizarlo, el estándar global (GAFI/FATF) y la práctica regulatoria suelen separar PEP en:

  • PEP extranjero: quien ocupa/ocupó funciones públicas prominentes en otro país.

  • PEP doméstico (nacional): funciones prominentes dentro del propio país.

  • PEP de organizaciones internacionales: altos cargos con poder de decisión en organismos internacionales.

En México, además, el marco público ha difundido listas de cargos considerados PEP nacionales (por ejemplo, en portales de gobierno/autoridades).

Tip operativo: si tu proceso depende de “listas”, recuerda que PEP es un concepto funcional (por el rol y su influencia), no solo un nombre en un PDF. Las listas ayudan, pero no sustituyen el criterio basado en riesgo.

3) Familiares y “relacionados”: ¿hasta dónde llega el tratamiento?

Aquí está el error más común en compliance PLD: pensar que solo importa “el funcionario”. En realidad, las redes (familia, socios, prestanombres, beneficiarios reales) son un canal típico para ocultar origen/destino de fondos.

3.1 ¿A quiénes se suele considerar “relacionados”?

La LFPIORPI deja a reglas secundarias las condiciones para “personas relacionadas”.
Pero el estándar FATF es muy claro: las medidas PEP deben aplicar también a familiares y asociados cercanos (close associates), porque pueden ser usados para mover o encubrir recursos.

En términos prácticos, normalmente se cubre:

Familiares cercanos (ejemplos típicos):

  • Cónyuge o pareja.

  • Hijos(as) y sus parejas.

  • Padres (y a veces hermanos, según el enfoque de riesgo).

Asociados cercanos (ejemplos típicos):

  • Socios o co-propietarios (incluido Beneficiario Controlador compartido).

  • Personas con relación comercial significativa o habitual.

  • Quien actúa como representante/“prestanombre” o intermediario (cuando hay indicios).

Regla de oro: no se trata de “perseguir parentescos”, sino de identificar canales de influencia y control. Si hay vínculo + capacidad de mover valor, el riesgo sube.

4) ¿Cuándo aplicar Debida Diligencia Reforzada (DDR/EDD) a PEPs?

La respuesta “bonita” es: cuando el riesgo lo exige. La respuesta operativa es: casi siempre hay mínimos que no se negocian, y después se gradúa.

4.1 Mínimos esperables (EDD) según FATF

El estándar FATF para PEP exige, típicamente:

  1. Sistemas para determinar si el cliente/beneficiario real es PEP.

  2. Aprobación de alta gerencia para iniciar o continuar la relación (según el caso).

  3. Establecer el origen de fondos y origen de riqueza (source of funds / source of wealth) cuando aplique por riesgo.

  4. Monitoreo continuo e intensificado de la relación.

4.2 Diferencias por tipo de PEP

En la práctica internacional:

  • PEP extranjero: casi siempre se trata como alto riesgo por defecto → EDD más “automática”.

  • PEP nacional / organización internacional: EDD se activa cuando hay riesgo mayor identificado (monto, producto, jurisdicción, corrupción sectorial, señales de alerta, etc.).

4.3 Triggers concretos (los que más se ven en auditoría)

Aplica Debida Diligencia Reforzada (o sube a “alto riesgo”) cuando se combine PEP con uno o más de estos factores:

  • Operaciones incompatibles con perfil (frecuencia, montos, dispersión).

  • Uso de efectivo, estructuras opacas, terceros recurrentes.

  • Jurisdicciones de riesgo o rutas innecesariamente complejas.

  • Señales de enriquecimiento no explicable vs. ingresos conocidos.

  • Beneficiarios reales difíciles de justificar, cambios frecuentes de accionistas/administradores.

  • Relación con sectores expuestos a corrupción (obra pública, permisos, concesiones, etc.).

5) ¿Cuánto tiempo “dura” ser PEP?

Este punto suele romper procesos: un exfuncionario deja el cargo y “mágicamente” el riesgo desaparece. No necesariamente.

FATF sugiere que el tratamiento PEP después de dejar el cargo dependa del riesgo, y que el periodo se justifique con evaluación (no solo con calendario).

Buenas prácticas:

  • Mantener estatus PEP por un periodo mínimo (comúnmente 12 meses como referencia en varias jurisdicciones) y extender si el riesgo persiste (influencia, redes, investigaciones públicas, etc.).

6) Lo que un auditor (o una visita de verificación) espera ver

Si te revisan, normalmente no te van a “reprobar” por tener PEPs; te van a observar por no probar que los gestionaste bien.

Checklist de evidencia:

  • Política escrita de PEPs dentro del Manual de Políticas Internas y matriz de riesgo.

  • Procedimiento para identificar PEP (fuentes, periodicidad de screening, qué se hace con homónimos).

  • Regla clara para familiares y asociados.

  • Registro de aprobación (cuando aplique) y justificación del nivel de riesgo.

  • Expediente con origen de fondos/origen de riqueza cuando el caso lo requiera.

  • Bitácora de monitoreo intensificado (alertas, análisis, cierres, escalamiento).

  • Evidencia de actualización (PEP hoy, PEP mañana: el riesgo cambia).

7) PEPs + tecnología: por qué un software PLD cambia el juego (sin “hacerlo mágico”)

PEPs es uno de esos temas donde el “Excel heroico” suele fallar por tres motivos:

  1. Volumen y recurrencia: screening periódico + cambios de cargo + listas + homónimos.

  2. Trazabilidad: necesitas auditoría de “quién decidió qué, cuándo y con qué evidencia”.

  3. Monitoreo: la obligación real no es “detectar una vez”, sino seguir el comportamiento transaccional.

Un software PLD bien implementado no sustituye el criterio, pero sí ayuda a estandarizar:

  • Flujos de debida diligencia reforzada,

  • escalamientos y aprobaciones,

  • alertas por desviación de perfil,

  • y resguardo de evidencia para auditoría/visitas.

Cierre: la pregunta correcta no es “¿tenemos PEPs?”, sino “¿podemos demostrar control?”

En compliance, lo que te salva no es evitar perfiles “incómodos”, sino tener un proceso consistente, documentado y basado en riesgos. Con PEPs, eso significa:

  • Definir bien quién es PEP (y quién está relacionado).

  • Saber cuándo aplicar Debida Diligencia Reforzada.

  • Probar monitoreo continuo con evidencia.

  • Y operar con disciplina (idealmente apoyado por tecnología y un buen software PLD).

Atrás