¿Qué es el Artículo 17 de la LFPIORPI?

El Artículo 17 de la LFPIORPI enumera las actividades consideradas vulnerables que requieren identificación, conservación de información y reporte a la UIF. Incluye 16 categorías: juegos con apuesta, tarjetas de prepago no bancarias, cheques de viajero, préstamo/crédito no bancario, servicios de construcción o desarrollo inmobiliario, comercialización de metales preciosos y piedras, subastas y comercialización de obras de arte, blindaje, traslado o custodia de dinero, prestación de servicios profesionales (fe pública), donativos, agentes inmobiliarios, y otras.

¿Todas las empresas tienen que cumplir con LFPIORPI?

No. Solo las empresas que realizan las 16 actividades vulnerables listadas en el Art. 17 — o que al darle de alta a un proveedor podrían incurrir en ellas — tienen obligación directa. Pero en la práctica, cualquier empresa enterprise que compra a proveedores en México debería hacer KYC equivalente para mitigar riesgo reputacional, fiscal y de cadena de suministro.

¿Qué información pide LFPIORPI al dar de alta un proveedor?

Identificación del proveedor (nombre, RFC, domicilio, actividad económica, beneficiario controlador si es persona moral), validación contra listas oficiales (SAT 69-B / EFOS, OFAC, UIF), conservación de la información por 10 años, y reporte de operaciones que superen umbrales establecidos (varían por actividad).

¿Qué pasa si no cumplo con LFPIORPI?

Multas de la SHCP que van de 200 a 65,000 UMAs (aproximadamente MXN 22,000 a 7.3 millones al valor UMA 2026), más sanción penal por actividades relacionadas con recursos de procedencia ilícita. Además riesgo reputacional y exposición en auditoría fiscal que puede escalar a revisión profunda del SAT.

¿Se puede automatizar el cumplimiento de LFPIORPI?

Sí, la parte de identificación y conservación de información se automatiza completamente con un agente de IA: valida RFC contra SAT, cruza contra listas EFOS/OFAC/UIF, construye expediente fiscal estándar, lo conserva con retención 10 años. El reporte a la UIF (formato específico) se genera automáticamente pero requiere firma del oficial de cumplimiento designado.

Compliance · LFPIORPI

LFPIORPI Art. 17 en compras: qué es y cómo cumplir 2026

Q: ¿Qué es la LFPIORPI?

La Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) es la ley antilavado de México, publicada en 2012. Obliga a quienes realizan ciertas actividades consideradas vulnerables a identificar clientes, conservar información y reportar operaciones a la Unidad de Inteligencia Financiera (UIF) de la SHCP. El Artículo 17 es el que enumera las 16 categorías de actividades vulnerables.

Si tu empresa opera en México y da de alta proveedores, muy probablemente estás sujeto a la LFPIORPI — la ley antilavado. El Artículo 17 es el que lista las 16 actividades vulnerables. Esta guía explica qué aplica a compras, qué pide el SAT al darle de alta un proveedor, qué riesgos reales enfrentas si no cumples, y cómo automatizar el proceso completo.

Mauro Cantú

Founder, Novatecs Consulting · 2026-04-20 · 10 min de lectura

Expediente LFPIORPI de proveedor con validación SAT, EFOS, OFAC y UIF — cumplimiento del Artículo 17 en compras enterprise

1. Qué es la LFPIORPI

La Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI), publicada en el DOF el 17 de octubre de 2012, es la ley antilavado de México. Su objetivo es que las autoridades fiscales y penales puedan detectar y perseguir el uso de recursos de procedencia ilícita dentro de la economía formal.

A diferencia de las leyes bancarias (que aplican a instituciones financieras), la LFPIORPI extiende obligaciones KYC ("Know Your Customer") a cualquier persona física o moral que realice alguna de las 16 actividades consideradas "vulnerables" — muchas de las cuales aparecen cotidianamente en el día a día de un equipo de compras enterprise en México.

2. El Artículo 17 explicado

El Art. 17 es el corazón operativo de la ley. Lista las 16 categorías de actividad vulnerable. Las más relevantes para procurement enterprise:

Fracción	Actividad vulnerable	Relevante en compras
II	Emisión o comercialización de tarjetas prepago no bancarias	Cuando se pagan insumos con tarjetas de regalo corporativas
IV	Préstamo, crédito o mutuo con o sin garantía por no entidad financiera	Cadena de anticipos / crédito a proveedores
V	Construcción o desarrollo inmobiliario / intermediación	Compras para obra, bienes raíces corporativos
VI	Comercialización de metales preciosos, piedras preciosas	Industria joyería, minería, tecnología con componentes de metales
VIII	Blindaje de vehículos o inmuebles	Adquisición de flotilla blindada
IX	Traslado o custodia de dinero o valores	Contratación de servicios logísticos de valores
X	Prestación habitual de servicios profesionales independientes	Contratación de fedatarios, contadores, abogados
XII	Actos protocolizados ante notario y corredor público	Escrituras de compra-venta con proveedores
XV	Donativos y aportaciones	Donativos a asociaciones civiles vinculadas a proveedores
XVI	Comercialización de bienes con uso para arte, joyería, obra	Compra de obra de arte corporativa

3. Cómo aplica a compras enterprise

La obligación directa aplica cuando tu empresa realiza una de las actividades del Art. 17. Pero hay una segunda capa que en la práctica afecta a todas las áreas de compras enterprise: el SAT y la UIF vigilan la cadena. Si das de alta un proveedor que resulta ser EFOS (Empresa que Factura Operaciones Simuladas) o está sancionado en OFAC, tu empresa puede enfrentar:

Rechazo de la deducción fiscal de los CFDIs emitidos por ese proveedor.
Revisión profunda del SAT sobre toda la relación comercial.
Riesgo penal si las operaciones se consideran simulación.
Reporte obligatorio a UIF si superan los umbrales del Art. 17.

Caso real: En 2024, el SAT publicó una lista de 12,000+ empresas presuntamente EFOS. Varias empresas enterprise que les habían deducido CFDIs terminaron con revisiones profundas y rechazos por cientos de millones. El filtro se pudo haber hecho en automático al momento de alta del proveedor.

4. Requisitos concretos de identificación

El Art. 18 de la ley detalla qué información se debe recabar por cada proveedor o cliente sujeto a LFPIORPI. En compras enterprise, el expediente estándar para alta de proveedor incluye (aunque no todos sean obligatorios para todos los casos, cumplirlos baja el perfil de riesgo):

Identificación oficial (INE, pasaporte, FM2/FM3 si aplica).
RFC validado contra el padrón del SAT.
Constancia de Situación Fiscal vigente.
Comprobante de domicilio (no mayor a 3 meses).
Beneficiario Controlador para personas morales (reforma 2022).
Opinión positiva de cumplimiento de obligaciones fiscales.
Acta constitutiva + poderes (personas morales).
Declaración de actividad principal.
Cruce contra listas: SAT 69-B (EFOS), OFAC, UIF, PNUD sancionados.

Los documentos se deben conservar por 10 años contados a partir del cierre de la relación comercial — no del alta. Y deben estar disponibles para autoridad en formato legible.

5. Riesgos reales de no cumplir

Riesgo	Magnitud típica	Probabilidad
Multa por omisión de identificación (SHCP)	200–2,000 UMAs (~$22k–$225k MXN)	Alta si hay inspección
Multa por omisión de reporte	2,000–10,000 UMAs (~$225k–$1.1M MXN)	Alta
Multa por participar en operación con recursos ilícitos	10,000–65,000 UMAs (~$1.1M–$7.3M MXN)	Grave si se comprueba
Rechazo de deducción por CFDI EFOS	100% del CFDI + actualización + recargos	Alta si hay auditoría
Riesgo penal Art. 400 bis CPF (lavado)	Prisión 5–15 años	Solo en casos de simulación comprobada
Riesgo reputacional	Difícil de cuantificar	Alta cuando hay prensa

"La multa máxima de 65,000 UMAs suena abstracta hasta que el SAT la aplica. Un cliente nuestro enfrentó $4.2M MXN en multas por no haber conservado los expedientes de 2019–2021. El gap era puramente documental — el proveedor era legítimo. Pero no podían demostrarlo."

6. Cómo automatizar LFPIORPI con un agente de IA

La parte operativa de LFPIORPI — identificación, validación, conservación — es perfectamente automatizable. Un agente de IA de procurement bien diseñado hace cada paso sin intervención humana:

Captura del proveedor: conversación por WhatsApp donde el agente pide cada documento.
OCR inteligente: extrae RFC, domicilio, régimen fiscal, actividad económica.
Validación automática contra SAT: el RFC existe y está activo.
Cruce contra lista EFOS (Art. 69-B): descarta proveedores con operaciones simuladas.
Cruce contra OFAC + UIF: lista de sanciones internacionales y nacionales.
Validación de constancia fiscal y opinión de cumplimiento: vigencia y contenido.
Construcción de expediente estándar: formato auditable.
Conservación con retención 10 años: almacenamiento cifrado con logs inmutables.
Human-in-the-loop: el oficial de cumplimiento firma la aprobación final.

El ahorro real: una analista típica dedica 2 a 4 horas a cada alta de proveedor cuando el KYC se hace a mano. Con un agente IA, el tiempo humano baja a 5-10 minutos (revisar el expediente y firmar). En una empresa que da de alta 200 proveedores al año, son 400-800 horas recuperadas.

7. Checklist de cumplimiento LFPIORPI 2026

Lista operativa que puedes usar hoy mismo para auditar tu proceso de alta de proveedores:

☐ ¿Tu proceso de alta identifica si el proveedor cae en alguna fracción del Art. 17?
☐ ¿Validas el RFC contra el SAT (no contra cache interno) en cada alta?
☐ ¿Cruzas contra la lista EFOS del SAT (Art. 69-B)?
☐ ¿Cruzas contra lista OFAC y UIF?
☐ ¿Tienes el beneficiario controlador identificado para personas morales?
☐ ¿Conservas el expediente por 10 años después del cierre de relación?
☐ ¿Tienes oficial de cumplimiento designado ante la UIF?
☐ ¿Generas reportes UIF automáticamente cuando aplica?
☐ ¿Los logs de validación son inmutables y con timestamp?
☐ ¿Tienes un proceso para revisar cuando un proveedor activo cae a EFOS después del alta?

Si marcaste menos de 7, tu exposición a multa SHCP es material — no es cuestión de si viene la revisión, sino cuándo.

8. Preguntas frecuentes

¿Cuánto tiempo tengo que conservar los expedientes?

10 años contados desde el cierre de la relación comercial con el proveedor (no desde el alta). En formato legible y disponible a la autoridad en caso de requerimiento.

¿El proveedor tiene que estar físicamente presente para el alta?

No es requisito legal. La identificación puede hacerse por medios electrónicos siempre que se cuente con mecanismos razonables para verificar que los documentos corresponden al titular (matching contra fuentes oficiales, firma electrónica avanzada, videollamada KYC, etc).

¿Un agente de IA puede firmar el reporte a la UIF?

No. El reporte se firma por el oficial de cumplimiento designado de la persona moral obligada. El agente puede preparar el formato, validar toda la información, pre-llenar los campos y dejarlo listo — pero la firma final la debe hacer el humano designado.

¿Qué pasa si mi proveedor cae a EFOS después de que ya lo di de alta?

Debes suspender operaciones con él, revisar los CFDIs emitidos por él (son candidatos a ser rechazados por el SAT), y documentar que actuaste diligentemente al momento del alta (validación positiva en ese momento). La diligencia al alta es tu mejor defensa.

¿Se puede usar un agente de IA sin tener oficial de cumplimiento?

El agente puede operar KYC sin oficial de cumplimiento — pero el reporte a la UIF (cuando se dispara por umbral) sí requiere oficial designado. Si tu empresa cae en Art. 17 y no tiene oficial, estás fuera de ley independientemente de la tecnología.

¿Quieres automatizar tu KYC de proveedores?

Novatecs Agents hace validación SAT, EFOS, OFAC y expediente LFPIORPI estándar en cada alta — por WhatsApp, en 3 días en vez de 3 semanas.

Agendar demo →