40 40 Recomendaciones GAFI
10

Recomendación 10 · Grupo D · Medidas Preventivas

Antes: R.5

Debida diligencia del cliente (CDD)

La Recomendación 10 prohíbe las cuentas anónimas y con nombres ficticios. Obliga a las instituciones financieras a identificar y verificar a sus clientes — y a las personas físicas que en última instancia los controlan — en cuatro disparadores: inicio de la relación comercial, operaciones ocasionales sobre el umbral, sospecha de LD/FT y duda sobre datos previos. La DDC es la columna operativa de todo programa ALA/CFT.

¿A quién aplica?

  • Bancos e instituciones de crédito
  • Casas de bolsa, intermediarios bursátiles y administradores de activos
  • Aseguradoras (productos de vida y de inversión)
  • Proveedores de servicios de transferencia de dinero o valores (MVTS) y casas de cambio
  • Proveedores de servicios de activos virtuales (VASPs)
  • Cualquier otra entidad definida como institución financiera bajo los estándares GAFI

Requisitos clave

  1. 1

    Identificar al cliente

    Obtener nombre, fecha de nacimiento o constitución, domicilio, identificación oficial/RFC y naturaleza del negocio. Para personas morales, recabar el acta constitutiva e identificar a directores y administradores.

  2. 2

    Verificar la identidad

    Confirmar la información usando fuentes documentales independientes y confiables — identificaciones oficiales, registros públicos, verificación biométrica, etc. La identificación sola no basta; la verificación debe seguir siempre.

  3. 3

    Identificar al beneficiario final

    Tomar medidas razonables para identificar a la(s) persona(s) física(s) que en última instancia controlan al cliente (umbral típico ≥25%) y verificar su identidad. Aplica a personas morales y estructuras jurídicas como fideicomisos.

  4. 4

    Entender el propósito y naturaleza de la relación

    Documentar por qué el cliente quiere la relación, qué productos y canales usará, y el volumen y origen esperados de los fondos — base para el monitoreo continuo.

  5. 5

    Aplicar diligencia continua

    Vigilar las operaciones permanentemente para asegurar que sean consistentes con el perfil del cliente y actualizar la DDC cuando cambien circunstancias o riesgos. Las revisiones periódicas son obligatorias para relaciones de alto riesgo.

  6. 6

    Cuatro disparadores de DDC

    La Recomendación 10 exige DDC cuando: (1) se inicia una relación comercial, (2) se realiza una operación ocasional sobre USD/EUR 15,000 o una transferencia cubierta por la Recomendación 16, (3) existe sospecha de LD/FT sin importar umbrales, y (4) la institución duda de la veracidad de datos previos de DDC.

  7. 7

    DDC calibrada por riesgo

    Bajo la Recomendación 1, las instituciones pueden aplicar diligencia reforzada (EDD) para clientes de alto riesgo (PEPs, estructuras complejas, países de alto riesgo) y diligencia simplificada (SDD) para clientes de bajo riesgo — pero nunca diligencia cero.

  8. 8

    Rechazar, terminar o reportar

    Si la DDC no se puede completar, la institución no debe abrir la cuenta, no debe realizar la operación, debe terminar la relación, y debe considerar presentar un Reporte de Operación Sospechosa (ROS) bajo la Recomendación 20.

Ejemplo práctico

Ejemplo: apertura de cuenta corporativa en una SOFOM mexicana

Una SOFOM ENR recibe la solicitud de una línea de crédito para una sociedad holding. La DDC exige: (1) acta constitutiva y RFC de la empresa, (2) INE y CURP de todos los accionistas con participación ≥25%, (3) diagrama de cadena de control si la holding es propiedad de otra entidad, (4) identificación de la persona física beneficiaria final en la cima de la cadena, (5) declaración de origen de patrimonio, (6) cotejo de todas las partes contra listas de personas bloqueadas UIF, ONU y OFAC, (7) cotejo PEP. Si un accionista es PEP, el expediente escala a la alta dirección para aprobación (Recomendación 12). El expediente completo se conserva al menos 10 años (Recomendación 11).

Cómo lo implementa México

En México la Recomendación 10 se materializa en dos regímenes paralelos según el tipo de sujeto obligado:

LFPIORPI Art. 18 Fr. I — DDC para actividades vulnerables

Quienes realizan actividades vulnerables (inmobiliarias, joyerías, notarios, fintechs, etc.) deben identificar al cliente, conservar el expediente 10 años (Art. 18 Fr. IV reformado en julio 2025) y, cuando el cliente sea persona moral, identificar al beneficiario controlador (Art. 18 Fr. III).

KYC: qué es y cómo funciona en México

Art. 95 Bis LGOAAC + DCG CNBV — DDC para SOFOMes ENR

Las SOFOMes ENR aplican DDC conforme a las Disposiciones de Carácter General de la CNBV. El expediente debe incluir identificación documental, perfil transaccional declarado, cotejo de listas y aprobación documentada de inicio de relación.

KYC para SOFOM ENR: expediente del cliente

Perfil transaccional y monitoreo continuo (Art. 18 Fr. X reforma 2025)

La reforma de julio 2025 elevó a obligación legal la construcción de un perfil transaccional declarado al inicio de la relación y la detección automática de operaciones fuera de perfil. Aplica a todas las actividades vulnerables del Art. 17 LFPIORPI.

Perfil transaccional: qué es y cómo construirlo

KYC digital — Llave MX, CURP biométrica, PUI

México avanza hacia la verificación remota de identidad mediante la Llave MX (cuenta única ciudadana), la CURP biométrica y la Plataforma Única de Identidad (PUI). Estas infraestructuras son referencias futuras para la verificación documental exigida por la Recomendación 10.

Llave MX: qué es y para qué sirve

Hitos

  1. 1990

    Recomendación 5 original — reglas básicas de identificación del cliente

  2. 2003

    El marco DDC se amplía para incluir beneficiario final y monitoreo continuo

  3. 2012

    Renumerada como Recomendación 10 con calibración basada en riesgo

  4. 2019

    Aplicación explícita a proveedores de servicios de activos virtuales

  5. 2025

    La actualización de octubre 2025 refuerza umbrales de beneficiario final y estándares de verificación

Recomendaciones relacionadas

Otras Recomendaciones del Grupo D — Medidas Preventivas

9 R.9 Leyes sobre secreto financiero 11 R.11 Conservación de registros 12 R.12 Personas políticamente expuestas (PEPs) 13 R.13 Banca corresponsal 14 R.14 Servicios de transferencia (MVTS) 15 R.15 Nuevas tecnologías y activos virtuales 16 R.16 Transparencia en pagos (Regla del Viajero) 17 R.17 Dependencia en terceros 18 R.18 Controles internos y sucursales extranjeras 19 R.19 Países de mayor riesgo 20 R.20 Reporte de operaciones sospechosas 21 R.21 Tipping-off y confidencialidad 22 R.22 APNFD: debida diligencia 23 R.23 APNFD: otras medidas

Cita oficial

FATF (2012-2025), International Standards on Combating Money Laundering and the Financing of Terrorism & Proliferation, Recommendation 10, FATF, Paris, France. Last updated October 2025.

Leer el texto oficial en fatf-gafi.org