Hay un error muy común en compliance que no nace de la mala fe, sino de una idea peligrosa: creer que la LFPIORPI solo aplica a negocios grandes, sofisticados o “claramente” financieros.

No siempre.

A veces el problema empieza así: una empresa vende cierto bien o presta cierto servicio “de vez en cuando”, luego repite la operación, después la recomienda a un cliente más… y sin darse cuenta ya cruzó la línea entre una operación aislada y una actividad realizada de forma habitual o profesional. Y en ese punto, el discurso de “yo no me dedico a eso” deja de proteger.

El riesgo no siempre empieza con un monto; a veces empieza con una costumbre

La LFPIORPI no solo mira cuánto cobras o cuánto recibe tu cliente. También mira qué actividad realizas y cómo la realizas. En varias fracciones del artículo 17, la ley y los materiales del SAT usan la idea de que cierta actividad se vuelve vulnerable cuando se ofrece de manera habitual o profesional.

Esa frase parece pequeña, pero cambia mucho en la práctica. Porque significa que el análisis no siempre es: “¿soy una empresa dedicada formalmente a esto?”. A veces la pregunta correcta es: “¿ya lo hice suficientes veces como para que la autoridad lo vea como una actividad habitual?”.

El caso realista que le puede pasar a muchísimos negocios

Imagina una comercializadora cuya actividad principal no es prestar dinero. Un cliente importante le pide facilidades de pago. Luego otro. Después un tercero. El área comercial lo maneja como “apoyos”, “anticipos”, “garantías” o “esquemas especiales para cerrar la venta”.

Desde dentro del negocio, parece una solución comercial creativa.

Desde fuera, la pregunta puede ser otra: ¿ya hay un ofrecimiento habitual o profesional de operaciones de mutuo, garantía, préstamo o crédito por parte de un sujeto distinto a una entidad financiera?

Lo delicado es que muchas empresas no diseñan ese proceso como una línea vulnerable. No abren expediente correcto, no ajustan onboarding, no documentan beneficiario controlador cuando aplica, y no preparan la lógica de identificación o aviso. El problema no explota el día de la operación; explota cuando llega un requerimiento, una revisión interna, una auditoría o una visita de verificación.

El falso consuelo: “como no es mi giro principal, no me aplica”

Ese argumento suena cómodo, pero puede salir caro.

La autoridad suele analizar la naturaleza real de la operación, no solo la etiqueta que la empresa le pone internamente. Por eso, llamarle “apoyo comercial”, “operación extraordinaria”, “favor al cliente” o “movimiento excepcional” no cambia por sí solo la sustancia regulatoria.

En otras palabras: el nombre interno del proceso no determina el riesgo. Lo determina cómo funciona en la práctica y si encuadra o no en el artículo 17.

Cuando la habitualidad ya te cambió el tablero

En cuanto una actividad encuadra como vulnerable, cambian tus obligaciones. Ya no basta con operar como siempre. En ese punto toca revisar identificación del cliente o usuario, integración de expediente, conservación documental, conocimiento de la operación y, en su caso, presentación de avisos.

Y aquí está el punto más incómodo: muchas veces la empresa no falla porque ignore la ley por completo, sino porque detectó tarde que ya estaba dentro de la ley.

Tres focos rojos que suelen avisar que ya no estás ante algo “aislado”

El primero es la repetición. Si la operación ya ocurrió varias veces en el año, el discurso de excepcionalidad empieza a perder fuerza.

El segundo es la estandarización comercial. Cuando el equipo ya tiene formatos, condiciones, cláusulas, aprobaciones o pasos recurrentes para ese tipo de operación, cuesta más sostener que fue algo fortuito.

El tercero es la dependencia de ingresos o cierres. Si esa operación empieza a formar parte del modelo para atraer, retener o cerrar clientes, ya no es un “extra”; ya es parte de la forma en que el negocio compite.

Lo que conviene hacer antes de que llegue la pregunta incómoda

La mejor defensa no es improvisar una explicación elegante después. Es mapear el proceso antes.

Conviene revisar si tu empresa realiza actos del artículo 17 aunque no los llame así. Luego preguntarte cuántas veces al año ocurren, quién los autoriza, qué documentos generan, si hay terceros involucrados, y si ya existe una mecánica repetible.

Una práctica muy útil es hacer una mini auditoría interna con una pregunta brutalmente simple: “si mañana me piden demostrar por qué esto no era Actividad Vulnerable, ¿tengo evidencia o solo opinión?”

Si la respuesta es “opinión”, ahí ya apareció el trabajo de compliance.

Y justamente ahí es donde muchas áreas están empezando a apoyarse en herramientas que les permitan detectar recurrencias, ordenar expedientes y dar seguimiento a señales operativas antes de que se conviertan en un problema regulatorio. Soluciones como Artu.ai, por ejemplo, apuntan a esa necesidad cada vez más común: tener más visibilidad sobre procesos que al inicio parecen aislados, pero con el tiempo pueden volverse habituales.

La moraleja que casi nadie cuenta

En LFPIORPI, no todos los problemas nacen de operaciones enormes, maletines de efectivo o clientes de película. Muchos nacen de algo más cotidiano: un negocio que creció, se diversificó o repitió una operación suficiente número de veces como para entrar a una zona regulada… sin darse cuenta.

Y ese tipo de riesgo es especialmente peligroso porque se siente normal.

Por eso, el verdadero valor del compliance no está solo en “llenar avisos”, sino en detectar a tiempo cuándo una práctica comercial ya cambió de naturaleza. Porque en materia de LFPIORPI, a veces el problema no es lo que hiciste una vez. Es lo que repetiste lo suficiente como para que la ley ya te estuviera esperando.