Transmisores de Dinero y Pagos
Agentes, corresponsales, intercompany y contratos
La etiqueta contractual no decide el régimen. Importa si el tercero recibe o entrega recursos, interactúa con el usuario, toma decisiones de cumplimiento o sólo presta tecnología y soporte. La entidad conserva responsabilidad regulatoria aun cuando externaliza ejecución.
Contenido: diez microblogs
- Agente relacionado o proveedor: clasificación por función
- Aviso anual de agentes relacionados: expediente y acuse
- Funciones que no deben diluirse al contratar terceros
- Límites de los servicios intercompany en una entidad regulada
- MSA intercompany: anexos y SLA que sí sirven
- Cargos intercompany: alcance, soporte y exclusiones
- Soporte extranjero y datos de usuarios
- Derecho de auditoría a proveedores críticos
- Plan de salida de un proveedor crítico
- Contrato con el usuario: operación, comisión y responsabilidad
Mapa de decisiones y controles
| Tema | Riesgo que resuelve | Evidencia mínima |
|---|---|---|
| Agente relacionado o proveedor: clasificación por función | La clasificación depende de si la persona recibe del transmisor recursos para entregarlos al beneficiario y de cómo interviene la entidad. | Entrevistar operación y observar el flujo. |
| Aviso anual de agentes relacionados: expediente y acuse | El acuerdo oficial prevé el envío por el OC, dentro de los primeros quince días hábiles de enero, de la lista de agentes y terceros en el formato y canal señalados. | Congelar universo a una fecha definida. |
| Funciones que no deben diluirse al contratar terceros | Aunque un tercero ejecute tareas, el transmisor conserva responsabilidad sobre las operaciones por agentes y el cumplimiento del artículo 95 Bis. | Reservar decisiones regulatorias expresamente. |
| Límites de los servicios intercompany en una entidad regulada | Pertenecer al mismo grupo no elimina documentación, confidencialidad, seguridad, conflictos o supervisión. | Crear catálogo detallado de servicios. |
| MSA intercompany: anexos y SLA que sí sirven | El contrato marco debe apoyarse en órdenes de servicio con alcance, entregables, niveles, métricas, precio, datos, continuidad, auditoría y terminación. | Definir métricas por servicio y riesgo. |
| Cargos intercompany: alcance, soporte y exclusiones | La contraprestación debe corresponder a servicios reales y distinguibles, con método de asignación y soporte. | Documentar método, base y periodicidad. |
| Soporte extranjero y datos de usuarios | Antes de dar acceso deben definirse responsable, encargado o tercero, finalidades, transferencias, medidas de seguridad y subcontratación. | Aplicar mínimo privilegio y enmascaramiento. |
| Derecho de auditoría a proveedores críticos | La cláusula debe permitir acceder a información, personal, sistemas y subcontratistas en alcance proporcional, además de cooperar con autoridades. | Distinguir auditoría ordinaria e incidente. |
| Plan de salida de un proveedor crítico | La terminación debe permitir exportar datos íntegros, mantener servicio durante transición, revocar accesos, destruir copias y transferir conocimiento. | Definir paquete de salida y formato. |
| Contrato con el usuario: operación, comisión y responsabilidad | El contrato debe explicar instrucción, aceptación, fondeo, tipo de cambio, comisión, entrega, cancelación, devoluciones, límites, datos y reclamaciones. | Usar los mismos estados en contrato y producto. |
Método de implementación
Clasifique a cada tercero por actividad, acceso a fondos, acceso a datos y capacidad de decisión. Convierta esa clasificación en anexos de servicio, niveles de atención, derecho de auditoría, continuidad, subcontratación y salida ordenada.
Agente relacionado o proveedor: clasificación por función
Punto de decisión
La clasificación parte de la función real: recibir o entregar recursos, promover, capturar datos, operar tecnología o decidir cumplimiento. Acceso a fondos, interacción con usuario y capacidad de instrucción pesan más que la etiqueta. El contrato se corrige para que objeto, controles y supervisión reflejen esa realidad.
Checklist
- Entrevistar operación y observar el flujo.
- Clasificar acceso a fondos, datos y decisiones.
- Revisar etiqueta, objeto y anexos del contrato.
Patrón observado
En un mapa anonimizado, el tercero llamado ‘consultor’ también coordinaba entregas; la función real obligó a rediseñar contrato y controles.
Cómo llevarlo a operación
Observe al tercero ejecutar una operación y compare con su contrato. Registre si toca fondos, datos, usuario o decisiones. Clasifique cada función por régimen y control. Si cambia el modelo, actualice antes de operar. Los pagos y facturas ayudan a identificar servicios no inventariados. La entidad conserva una lista única entre compras, legal y cumplimiento. La denominación contractual sólo es defendible cuando coincide con los actos y la supervisión efectivamente ejercida.
Prueba de estrés
Compare dos terceros: uno sólo aloja infraestructura y otro recibe instrucciones o atiende usuarios. Contrato, interfaz y práctica determinan la función, no el nombre comercial. La clasificación debe detallar facultades, contacto con recursos, uso de marca y capacidad de decisión. Si el proveedor cambia de actividad durante la relación, active una reevaluación en lugar de conservar la etiqueta inicial.
Base legal
- Ley General de Organizaciones y Actividades Auxiliares del Crédito (texto vigente) — artículos 81-A Bis, 81-B, 81-D, 86 Bis y 95 Bis, según el tema.
- Formato oficial para el aviso de agentes relacionados — artículo 3 del Acuerdo y Anexo 1.
Aviso anual de agentes relacionados: expediente y acuse
Punto de decisión
El aviso anual se prepara conciliando contratos, pagos, operaciones y registros de cumplimiento. El universo se congela a una fecha, se clasifican agentes y terceros y se genera el XML con revisión independiente. El OC conserva archivo, hash y acuse porque el envío no puede reconstruirse sólo desde una lista de trabajo.
Checklist
- Congelar universo a una fecha definida.
- Conciliar legal, compras, operaciones y pagos.
- Guardar XML, hash y acuse electrónico.
Patrón observado
En una preparación anonimizada, compras tenía contratos que cumplimiento no había clasificado; la conciliación evitó omisiones del listado.
Cómo llevarlo a operación
Extraiga contratos vigentes y compárelos con operaciones y pagos. Confirme nombre, identificador, función y terceros de cada agente. Resuelva duplicados antes de generar XML. Congele el universo y documente altas posteriores para el siguiente evento. Realice validación técnica y jurídica separadas. Conserve archivo exacto y acuse. El responsable debe poder explicar por qué una persona se incluyó o excluyó sin depender de una lista mantenida por otra área.
Prueba de estrés
Mantenga un corte anual con altas, bajas, cambios de función y periodos activos. Cada fila enlaza contrato, evaluación y datos requeridos para el aviso. Antes de enviar, reconcilie la lista contra pagos, accesos y dueños internos para descubrir terceros omitidos. El acuse se asocia a la versión exacta; una modificación posterior se conserva como evento separado y no reescribe el corte reportado.
Base legal
- Formato oficial para el aviso de agentes relacionados — artículo 3 del Acuerdo y Anexo 1.
- Ley General de Organizaciones y Actividades Auxiliares del Crédito (texto vigente) — artículos 81-A Bis, 81-B, 81-D, 86 Bis y 95 Bis, según el tema.
Funciones que no deben diluirse al contratar terceros
Punto de decisión
La entidad puede externalizar ejecución, pero debe conservar dirección, acceso, decisión y supervisión sobre PLD/FT. El catálogo contractual reserva aceptación, excepciones, reportes y respuesta a autoridad; el proveedor entrega datos y evidencia dentro del plazo. Los indicadores permiten detectar que la función no se vació de contenido.
Checklist
- Reservar decisiones regulatorias expresamente.
- Exigir evidencia y acceso inmediato.
- Supervisar desempeño con indicadores y muestreo.
Patrón observado
En un MSA anonimizado, el proveedor preparaba análisis y también aprobaba excepciones sin una matriz de facultades de la entidad.
Riesgo frecuente
Permitir que el proveedor apruebe sus propias excepciones deja a la entidad sin control efectivo de la obligación.
Cómo llevarlo a operación
Enumere decisiones que permanecen en la entidad y tareas que ejecuta el proveedor. Para cada una defina acceso, evidencia y tiempo de entrega. Pruebe una excepción y un requerimiento urgente. El transmisor debe poder sustituir al tercero sin perder casos ni datos. Los indicadores revisan calidad, no sólo volumen. Si la afiliada prepara análisis, alguien local los aprueba con información suficiente. La responsabilidad se conserva mediante capacidad real de dirigir y cuestionar.
Prueba de estrés
Tome una decisión de alerta y rastree quién fijó reglas, quién analizó, quién aprobó y quién reportó. El tercero puede ejecutar tareas, pero la entidad debe conservar criterio, supervisión y acceso a evidencia. Si el contrato permite subcontratar, revise también esa cadena. Una matriz de responsabilidades que no coincide con permisos del sistema o práctica diaria produce una delegación sólo aparente.
Base legal
- Ley General de Organizaciones y Actividades Auxiliares del Crédito (texto vigente) — artículos 81-A Bis, 81-B, 81-D, 86 Bis y 95 Bis, según el tema.
- Disposiciones legales aplicables a transmisores de dinero — DCG derivadas del artículo 95 Bis y sus modificaciones.
Límites de los servicios intercompany en una entidad regulada
Punto de decisión
La afiliada debe tener un servicio definido, no una autorización genérica para operar la entidad mexicana. Se identifican personal, sistemas, datos, subcontratistas, decisiones y capacidad local de supervisión. El acuerdo también trata confidencialidad, continuidad y cooperación frente a requerimientos.
Checklist
- Crear catálogo detallado de servicios.
- Identificar datos, sistemas y subprocesadores.
- Mantener capacidad local para dirigir y auditar.
Patrón observado
En un acuerdo anonimizado, categorías amplias como ‘operaciones’ ocultaban funciones de cumplimiento y soporte a clientes; desagregarlas permitió asignar responsables.
Riesgo frecuente
La pertenencia al grupo no elimina transferencias de datos, conflictos ni necesidad de demostrar quién hizo cada tarea.
Cómo llevarlo a operación
Divida el servicio intercompany por proceso, sistema y personal. Identifique qué datos cruzan frontera y quién autoriza accesos. Establezca métricas y evidencia de cada entregable. La entidad local mantiene conocimiento para supervisar y responder. Revise subcontratistas y conflictos. En terminación, asegure portabilidad y soporte. El grupo económico facilita coordinación, pero no sustituye contrato ni demuestra por sí mismo que la sociedad regulada conserva dirección efectiva.
Prueba de estrés
Examine una instrucción del grupo que pide al proveedor extranjero suspender un usuario. Determine si actúa como soporte conforme a criterio documentado o si ejerce discreción regulatoria. Poder corporativo, MSA y manual deben asignar la decisión a la entidad correcta. Servicios compartidos pueden aportar capacidad técnica, pero no deben convertir al prestador en órgano de cumplimiento sin nombramiento y responsabilidad aplicables.
Base legal
- Ley General de Organizaciones y Actividades Auxiliares del Crédito (texto vigente) — artículos 81-A Bis, 81-B, 81-D, 86 Bis y 95 Bis, según el tema.
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (texto vigente) — principios, aviso de privacidad, transferencias y medidas de seguridad.
MSA intercompany: anexos y SLA que sí sirven
Punto de decisión
El MSA se vuelve operativo mediante órdenes de servicio con entregables, métricas, precios, seguridad y soporte regulatorio. Uptime no mide calidad KYC, exactitud de datos ni entrega oportuna de logs. Cada SLA tiene fuente, método de cálculo, remedio y escalamiento entre responsables locales y extranjeros.
Checklist
- Definir métricas por servicio y riesgo.
- Agregar plazos de evidencia y cooperación.
- Prever créditos, remediación y escalamiento.
Patrón observado
En un MSA anonimizado, el anexo técnico medía uptime pero no la entrega de evidencia para requerimientos; se añadió un SLA regulatorio.
Riesgo frecuente
Un catálogo que sólo dice operaciones o tecnología impide saber qué evidencia debe entregar la afiliada.
Cómo llevarlo a operación
Cada orden de servicio debe señalar resultado, frecuencia, fuente y precio. Diseñe métricas para calidad de KYC, alertas y evidencia, además de disponibilidad. Alinee zonas horarias y relojes de escalamiento. Pruebe cómo se atiende una solicitud de autoridad. Los créditos de servicio no reemplazan remediación. Conserve reportes y reuniones de desempeño. Un SLA útil permite decidir si el servicio cumple y qué ocurre cuando un dato incorrecto afecta una obligación regulatoria.
Prueba de estrés
Use un incidente de severidad alta para leer el MSA. Deben aparecer servicio afectado, tiempo de respuesta, escalamiento, acceso a registros, cooperación y recuperación, con anexos consistentes. Luego confronte el texto con un ticket real. Un SLA expresado sólo como porcentaje de disponibilidad no cubre investigación, cumplimiento ni restitución de datos necesarios para explicar una operación.
Base legal
- Disposiciones legales aplicables a transmisores de dinero — DCG derivadas del artículo 95 Bis y sus modificaciones.
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (texto vigente) — principios, aviso de privacidad, transferencias y medidas de seguridad.
Cargos intercompany: alcance, soporte y exclusiones
Punto de decisión
Los cargos intercompany deben corresponder a servicios reales, medibles y asignados con un método consistente. Se separan personal, licencias, infraestructura y extraordinarios, y se excluyen multas o pérdidas propias. Factura, orden de servicio y métrica se concilian para probar sustancia y aprobación.
Checklist
- Documentar método, base y periodicidad.
- Excluir multas, dolo y costos no autorizados.
- Conciliar factura con servicios y métricas.
Patrón observado
En una revisión anonimizada, una tarifa global incluía personal, licencias y costos extraordinarios sin regla de asignación; separar componentes hizo auditable el cargo.
Riesgo frecuente
Una tarifa global sin base puede trasladar costos que la entidad nunca recibió o no estaba autorizada a asumir.
Cómo llevarlo a operación
Liste componentes del cargo y base de asignación. Compare personal, licencias y uso real con la factura. Excluya sanciones, duplicados y servicios no solicitados. Apruebe extraordinarios antes de incurrir. Mantenga evidencia fiscal y operativa compatibles. Revise si el precio incentiva volumen sobre calidad. La conciliación debe permitir a un tercero recalcular el monto y localizar el entregable asociado, evitando que una tarifa global oculte funciones críticas o pérdidas propias.
Prueba de estrés
Seleccione un cargo mensual que mezcla licencias, personal y desarrollo. Separe cada componente, su base de reparto y la entidad beneficiada, y vincúlelo con entregables. El soporte debe permitir excluir actividades no contratadas o reservadas. Una factura global pagada regularmente demuestra erogación, pero no acredita alcance, razonabilidad ni que la sociedad regulada recibió el servicio declarado.
Base legal
- Ley General de Organizaciones y Actividades Auxiliares del Crédito (texto vigente) — artículos 81-A Bis, 81-B, 81-D, 86 Bis y 95 Bis, según el tema.
- Disposiciones legales aplicables a transmisores de dinero — DCG derivadas del artículo 95 Bis y sus modificaciones.
Soporte extranjero y datos de usuarios
Punto de decisión
El acceso remoto extranjero es tratamiento de datos aunque no exista descarga. Se definen rol, finalidad, transferencias, subencargados, ubicación, seguridad y revocación; después se limita la vista a lo necesario. El aviso y el contrato deben coincidir con la matriz técnica de accesos.
Checklist
- Aplicar mínimo privilegio y enmascaramiento.
- Documentar transferencias y subencargados.
- Registrar acceso, propósito y revocación.
Patrón observado
En un flujo anonimizado, soporte veía expedientes completos para resolver errores de interfaz aunque sólo necesitaba identificadores técnicos.
Riesgo frecuente
Dar expedientes completos a soporte para resolver un error de interfaz viola minimización y amplía innecesariamente el incidente posible. La matriz de permisos debe probar que soporte sólo vio los campos necesarios para resolver el ticket.
Cómo llevarlo a operación
Construya una matriz de campos visibles por perfil de soporte. Pruebe que enmascaramiento y restricciones funcionan desde el extranjero. Registre ticket, finalidad, hora y revocación. El contrato cubre subencargados e incidentes; el aviso refleja la transferencia aplicable. Evite usar datos productivos completos en pruebas. Una revisión debe demostrar que soporte sólo accedió a lo necesario y que cualquier exportación quedó controlada, cifrada y eliminada conforme a la instrucción.
Prueba de estrés
Pruebe un ticket al que se adjunta identificación de usuario. Verifique región de almacenamiento, accesos del equipo extranjero, descarga, retención y eliminación. El flujo real debe coincidir con contrato y aviso, incluyendo subencargados. Si la solución permite resolver con datos enmascarados, esa configuración es preferible; la conveniencia operativa no justifica exposición completa por defecto.
Base legal
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (texto vigente) — principios, aviso de privacidad, transferencias y medidas de seguridad.
- Disposiciones legales aplicables a transmisores de dinero — DCG derivadas del artículo 95 Bis y sus modificaciones.
Derecho de auditoría a proveedores críticos
Punto de decisión
El derecho de auditoría debe cubrir evidencias, personal, sistemas y subcontratistas con una vía ordinaria y otra por incidente o requerimiento. Se pactan aviso, confidencialidad, costos y remediación sin permitir veto discrecional del proveedor. Para pagos, el alcance incluye fraude, contracargos, PCI y controles AML asignados.
Checklist
- Distinguir auditoría ordinaria e incidente.
- Garantizar acceso a evidencias y subprocesadores.
- Regular costos, confidencialidad y remediación.
Patrón observado
En un contrato anonimizado, la auditoría sólo podía ocurrir una vez al año con aviso largo, incluso tras incidente; se creó una vía extraordinaria.
Riesgo frecuente
Una auditoría anual con aviso prolongado no sirve cuando hay una brecha activa o un plazo de autoridad.
Cómo llevarlo a operación
Defina alcance de auditoría por riesgo y evento. La vía extraordinaria se activa ante fraude, brecha o requerimiento sin esperar la visita anual. Incluya subprocesadores, logs y personal relevante. Acordar confidencialidad no debe impedir entregar evidencia. Registre hallazgos y fecha de corrección, con derecho a validar. En pagos, pruebe contracargo y control AML. La cláusula sirve cuando produce acceso oportuno y una remediación verificable, no sólo cuando concede una facultad abstracta.
Prueba de estrés
Active el derecho de auditoría mediante una solicitud concreta de logs y una entrevista al responsable del proveedor. Mida plazo, formato y restricciones recibidas. Si la cláusula sólo permite certificaciones genéricas, evalúe si alcanza para investigar el riesgo contratado. El expediente conserva solicitud, respuesta, hallazgo y remediación, demostrando que el derecho es ejercitable y no una frase decorativa.
Base legal
- Disposiciones legales aplicables a transmisores de dinero — DCG derivadas del artículo 95 Bis y sus modificaciones.
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (texto vigente) — principios, aviso de privacidad, transferencias y medidas de seguridad.
Plan de salida de un proveedor crítico
Punto de decisión
La salida ordenada define paquete de datos, formato, reglas, adjuntos, bitácoras, asistencia y periodo de transición. Antes de terminar se prueba una exportación y se valida que otro equipo pueda reconstruir casos. Al cierre se revocan accesos y se certifica borrado de copias no retenidas.
Checklist
- Definir paquete de salida y formato.
- Probar migración antes de una crisis.
- Asegurar asistencia, plazo y borrado certificado.
Patrón observado
En un plan anonimizado, el proveedor podía entregar CSV, pero no reglas, bitácoras ni adjuntos; la reconstrucción del expediente habría sido imposible.
Riesgo frecuente
Recibir sólo un CSV de operaciones puede dejar atrás decisiones, versiones y evidencias necesarias para PLD.
Cómo llevarlo a operación
Especifique formatos, diccionario, adjuntos, reglas y bitácoras del paquete de salida. Ejecute una exportación temprana y reconstruya varios casos. Defina asistencia, costos y periodo de coexistencia. La revocación de accesos ocurre tras validar migración. Exija certificado de borrado con excepciones legales identificadas. El plan debe cubrir conocimiento operativo, no únicamente datos. Una terminación ordenada permite continuar reportes y atención sin depender de herramientas o personal del proveedor anterior.
Prueba de estrés
Suponga terminación inmediata mientras existen operaciones pendientes y datos en la plataforma. El plan debe priorizar continuidad, exportación verificable, revocación de accesos y destrucción posterior, con responsables de ambos lados. Pruebe que el formato de salida puede cargarse en la alternativa. Tener una lista de proveedores sustitutos no basta si faltan llaves, documentación o tiempo para migrar.
Base legal
- Disposiciones legales aplicables a transmisores de dinero — DCG derivadas del artículo 95 Bis y sus modificaciones.
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (texto vigente) — principios, aviso de privacidad, transferencias y medidas de seguridad.
Contrato con el usuario: operación, comisión y responsabilidad
Punto de decisión
El contrato con el usuario debe utilizar los mismos estados que producto y soporte: recibida, fondeada, aceptada, enviada, entregada, rechazada o devuelta. Explica comisión, FX, límites, datos, cancelación y reclamación. Las obligaciones del proveedor se distinguen de la responsabilidad del transmisor frente al cliente.
Checklist
- Usar los mismos estados en contrato y producto.
- Mostrar precio y tipo de cambio antes de confirmar.
- Definir evidencia y canal de reclamación.
Patrón observado
En un formato anonimizado, la definición de ‘operación completada’ no coincidía con el sistema; alinear estados redujo disputas sobre tiempos.
Riesgo frecuente
Definir operación completada de forma distinta en el contrato y el ledger genera disputas imposibles de conciliar.
Cómo llevarlo a operación
Compare términos contractuales con estados visibles en aplicación y soporte. Defina momento de aceptación, posibilidad de cancelar y tratamiento de devolución. Desglose precio y FX antes de confirmar. Conserve consentimiento a la versión aplicable. Pruebe una reclamación desde referencia hasta resolución. Las limitaciones del proveedor no deben eliminar responsabilidad del transmisor. El contrato funciona cuando usuario y operación describen la misma secuencia y ofrecen evidencia suficiente para corregir un error.
Prueba de estrés
Reconstruya una devolución disputada desde el contrato y la pantalla previa hasta el recibo y la atención al usuario. Debe quedar claro quién ejecuta, cuándo se considera aceptada la instrucción, qué comisión aplica y qué ocurre ante error. Si intervienen aliados, las limitaciones internas de responsabilidad no pueden producir mensajes contradictorios frente a la persona que contrató.
Base legal
- Ley General de Organizaciones y Actividades Auxiliares del Crédito (texto vigente) — artículos 81-A Bis, 81-B, 81-D, 86 Bis y 95 Bis, según el tema.
- Requisitos para obtener registro como transmisor de dinero — portal RECC-TD y lista oficial de requisitos.
Base legal
- Ley General de Organizaciones y Actividades Auxiliares del Crédito (texto vigente) — artículos 81-A Bis, 81-B, 81-D, 86 Bis y 95 Bis, según el tema.
- Disposiciones legales aplicables a transmisores de dinero — DCG derivadas del artículo 95 Bis y sus modificaciones.
- Formato oficial para el aviso de agentes relacionados — artículo 3 del Acuerdo y Anexo 1.
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (texto vigente) — principios, aviso de privacidad, transferencias y medidas de seguridad.
Siguiente paso
SVA.LAW puede revisar Agentes, corresponsales, intercompany y contratos dentro del modelo concreto y convertir el análisis de Transmisores de Dinero y Pagos en decisiones, responsables y evidencia de implementación. Iniciar una conversación.