Si tu operación toca Actividades Vulnerables, hay un cambio que reordena todo el tablero: el plazo de resguardo de información y documentación pasó a 10 años para los actos u operaciones realizados a partir del 17 de julio de 2025.
Eso suena simple (“guardamos más tiempo y listo”), pero en la práctica significa rediseñar tu cumplimiento (compliance) PLD: expedientes, evidencias, bitácoras, accesos, respaldos, auditorías… y la capacidad de demostrar cómo y por qué decidiste lo que decidiste cuando llegue una revisión.
Este artículo aterriza el cambio y te da una guía para convertir el requisito en ventaja operativa, con enfoque en software PLD, trazabilidad y reportes listos para auditoría.
1) ¿Qué cambió exactamente en la obligación de resguardo?
El propio Portal de Prevención de Lavado de Dinero del SAT aclara que el plazo de 10 años debe considerarse para los actos u operaciones realizados a partir del 17 de julio de 2025, derivado del decreto publicado el 16 de julio de 2025.
En paralelo, el cumplimiento operativo (presentación de avisos, plantillas, ejemplos XML y lineamientos de uso) sigue descansando en el ecosistema del SPPLD (Sistema del Portal en Internet).
Traducción a la vida real: no es solo “guardar archivos”, es poder reconstruir la historia completa de una operación (expediente + evidencia + decisiones) una década después, aunque haya rotación de personal, cambios de sistemas o auditorías cruzadas.
2) El verdadero reto: no es almacenar, es probar
Muchas empresas cumplen “en papel” y fallan en la auditoría por algo más básico: no pueden demostrar integridad y trazabilidad.
Piensa en esto como dos niveles:
Nivel 1: almacenamiento
Tener documentos guardados: identificaciones, contratos, comprobantes, correos, screenshots, etc.Nivel 2: evidencia defendible
Poder probar qué se recibió, cuándo, quién lo validó, con qué criterio, qué cambios hubo y qué se reportó (o por qué no se reportó).
En un horizonte de 10 años, el Nivel 2 es el que marca la diferencia.
3) Checklist “audit-ready” para resguardo 10 años (sin tecnicismos innecesarios)
Aquí va una lista práctica (y realista) de lo que suele pedir una auditoría interna/externa o una revisión operativa:
A) Expediente completo por operación/cliente
Identificación y datos básicos (KYC).
Documentación soporte: contratos, facturas, comprobantes, poderes.
Beneficiario controlador (cuando aplique).
Evidencia de validaciones (verificaciones, cruces, revisiones).
B) Bitácora y trazabilidad
Historial de cambios: quién subió qué, quién aprobó, quién corrigió.
Versionado: “antes/después” (sin depender de “me lo mandaron por WhatsApp”).
Tiempos: fechas exactas de recepción/validación/reporte.
C) Políticas y criterios (para reconstruir decisiones)
Manuales y políticas vigentes por periodo.
Matriz de riesgo vigente en el momento.
Umbrales aplicados (por periodo) y justificación documentada.
D) Respaldo, continuidad y seguridad
Copias de seguridad verificables (no solo “tenemos backup”).
Control de accesos por rol (mínimo privilegio).
Cifrado y resguardo seguro.
Plan de continuidad (¿qué pasa si cambias de proveedor o sistema?).
4) Errores típicos (y caros) cuando sube el plazo de resguardo
Expedientes “Frankenstein”: parte en Excel, parte en Drive, parte en correo.
Evidencia sin contexto: un PDF suelto sin saber a qué operación corresponde.
Sin control de versiones: “¿cuál fue el contrato final?”
Sin bitácora: se hizo la validación, pero no hay registro de quién la hizo.
Dependencia de personas clave: si esa persona se va, se va el conocimiento.
No poder exportar: llega auditoría y no puedes armar un reporte consistente.
5) ¿Cómo ayuda un software PLD a sobrevivir 10 años?
Sin vender humo: el objetivo no es “digitalizar por digitalizar”. Un buen software de compliance PLD aporta tres cosas concretas:
1) Centralización del expediente
Todo lo de un cliente/operación en un solo lugar, con estructura.
2) Evidencia y trazabilidad automática
Bitácoras, sellos de tiempo, historial de cambios, usuarios, aprobaciones.
3) Reportes listos para auditoría
Exportables, consistentes, sin armar “carpetas de pánico” el día que piden información.
Si hoy tu cumplimiento depende de Excel + correo, con el plazo a 10 años la complejidad crece por pura inercia (más operaciones, más rotación, más auditorías, más solicitudes internas).
6) Plan de implementación en 30–60 días (sin paralizar la operación)
Semana 1–2: diagnóstico rápido
Mapear dónde vive la evidencia hoy (Drive, correo, ERP, carpetas locales).
Definir estructura mínima del expediente (campos y documentos obligatorios).
Identificar “operaciones críticas” (alto monto, alto riesgo, alto volumen).
Semana 3–4: estandarización
Checklist por tipo de actividad vulnerable.
Plantillas internas: solicitudes, validaciones, actas/justificaciones.
Reglas de nomenclatura y versionado (aunque sea básico).
Semana 5–8: trazabilidad + reportes
Bitácora y control de accesos.
Flujo de aprobaciones.
Reporte de auditoría: “expediente por operación”, “expediente por cliente”, “faltantes”.
El objetivo: que el cumplimiento deje de ser “un esfuerzo heroico” y se convierta en un proceso repetible.
7) Conclusión: el resguardo a 10 años puede ser tu mejor defensa
El incremento del plazo no es solo un “costo regulatorio”: es una invitación (forzada) a profesionalizar el cumplimiento. La empresa que logra expedientes audit-ready, trazabilidad sólida y reportes consistentes no solo reduce riesgo, también gana velocidad operativa y control interno.
NEVER MISS A THING!
Subscribe and get freshly baked articles. Join the community!
Join the newsletter to receive the latest updates in your inbox.
