Preguntas frecuentes sobre la PUI para instituciones obligadas

El Manual Técnico es específico: debe ser el representante legal cuya CURP esté asociada al certificado de la e.Firma de la persona moral ante el SAT. No puede ser cualquier representante legal — tiene que ser el mismo que está vinculado a la e.Firma institucional. Si hay varios representantes, el que registró o renovó la e.Firma de la empresa es quien debe hacer el trámite en Llave MX.

En cuanto al tipo de poderes, se recomienda que sea el representante con poderes amplios de administración o quien tenga facultades para actos de dominio. Para dudas específicas sobre poderes, consulta con el área jurídica o notario de la empresa.

Sí, exactamente. El Manual Técnico es explícito: la cuenta Llave MX debe pertenecer al representante legal cuya CURP esté asociada al certificado de la e.Firma institucional. No puede ser otra persona, aunque también sea representante legal. Si la empresa tiene varios representantes, debe usarse específicamente quien esté vinculado a la e.Firma de la persona moral ante el SAT.

Cuando contratas a un proveedor como KYC PUI, ellos te proporcionan tres datos que necesitas para inscribirte en la PUI:

• URL del Webhook — la dirección donde la PUI enviará las solicitudes de búsqueda
• IP del Servidor — la IP pública desde donde responde el proveedor
• Credenciales de autenticación — usuario y contraseña del webhook

Esos datos los encuentras en el panel de configuración de la plataforma del proveedor. Si desarrollas tu propia solución, esos datos los genera tu equipo de TI al desplegar el servidor.

Sí. La IP y la URL del webhook son datos registrados en la plataforma de la PUI al momento de la inscripción. Si cambias de proveedor o desarrollas tu propia solución, simplemente actualizas esos datos en el portal de inscripción de la PUI.

Lo que debes asegurarte es que el nuevo sistema pase las pruebas de conectividad y los reportes SAST/DAST/SCA antes de hacer el cambio en producción.

Si decides desarrollar tu propia solución, necesitas un servidor propio accesible desde internet. La IP pública la asigna tu proveedor de hosting o nube (AWS, Azure, GCP, servidor dedicado, etc.) y tu equipo de TI es quien configura eso.

Sin proveedor especializado, necesitas ingenieros que desarrollen los endpoints según el Manual Técnico, configuren la seguridad y generen los reportes SAST/DAST/SCA — ese es precisamente el costo y tiempo que un proveedor SaaS como KYC PUI elimina.

El Manual Técnico para Instituciones Diversas sí está publicado — se publicó en el DOF el 23 de enero de 2026. Lo que podría faltar es el Manual de Operación para el Servicio Nacional de Identificación Personal, que es un documento distinto.

Para la integración técnica de las instituciones privadas, el Manual Técnico publicado contiene todas las especificaciones necesarias: endpoints, estructura de datos, autenticación JWT, requisitos de seguridad y flujo de búsqueda.

La obligación de conectarse a la PUI no deriva del registro como Actividad Vulnerable ante la UIF — son marcos legales distintos. La obligación PUI deriva del Artículo 12 Bis de la Ley General en Materia de Desaparición Forzada, que aplica por el sector al que perteneces y por el hecho de manejar bases de datos de personas, independientemente de tu estatus ante la UIF.

Si aún no inicias operaciones formalmente, la aplicación práctica puede ser diferente. Se recomienda consultar con un abogado especialista en la materia.

La obligación de conectarse a la PUI es independiente de la LFPIORPI. No tiene que ver con reportar operaciones vulnerables a la UIF — tiene que ver con permitir que la PUI busque CURPs en tus registros de clientes. Son dos obligaciones paralelas con distintos fundamentos legales.

Si tu actividad vulnerable implica manejar datos de personas (como casi todas lo hacen), la obligación PUI muy probablemente aplica.

La obligación es conectarse y responder con la información que tengas. Si un cliente no tiene CURP en tu base de datos, simplemente no habrá coincidencia — la PUI no te penaliza por eso. Lo que sí debes hacer es cargar en tu sistema a todos los clientes de los cuales sí tienes CURP.

Los centros cambiarios, por regulación, solo recaban CURP a partir de ciertos umbrales; la base de datos conectada a la PUI reflejará exactamente eso. Se recomienda documentar la política interna de captura de CURP para acreditar cumplimiento ante una eventual revisión.

Esta es una pregunta jurídica especializada sin respuesta única. Lo que sí se puede decir es que la obligación de conectarse a la PUI es de origen legal federal y no es opcional.

Respecto a si la transmisión de datos de clientes al proveedor requiere autorización de la CNBV en el caso de IFPEs, la respuesta depende de la interpretación específica de las disposiciones secundarias aplicables. Se recomienda firmemente consultar con el área jurídica o un abogado regulatorio especializado en fintech antes de contratar al proveedor, y verificar que el proveedor cuente con los contratos de confidencialidad y protección de datos que exige tu regulador.

La PUI opera a través de RENAPO (Dirección General del Registro Nacional de Población e Identidad), adscrita a la Secretaría de Gobernación. El apoyo técnico lo brinda la Agencia de Transformación Digital y Telecomunicaciones (ATDT).

El Transitorio Tercero de los Lineamientos establece que el plazo de 45 días hábiles inicia a partir de la publicación de los 3 manuales citados en el Transitorio Segundo. Hasta la fecha se han publicado 2 de 3: el Manual Técnico para Instituciones Diversas y el Manual Técnico para Instituciones Públicas (DOF 23 enero 2026). El Manual de Operación de la PUI para el SNIP sigue pendiente.

Técnicamente, el plazo formal no ha comenzado a correr. Sin embargo, los manuales técnicos ya están publicados y la autoridad espera que las instituciones avancen con la integración. Lo prudente es preparar la integración técnica ahora para estar listo cuando el plazo inicie.

El portal oficial de inscripción es:

www.plataformadebusqueda.gob.mx/inscripcion

Accede con tu cuenta Llave MX del representante legal.

La inscripción completa se realiza en un solo portal: www.plataformadebusqueda.gob.mx/inscripcion. Primero inicias sesión con Llave MX, luego cambias al perfil de Persona Moral, y en esa misma plataforma ingresas los datos técnicos — IP del servidor, URL del webhook y credenciales de autenticación — que te proporciona tu proveedor o tu equipo de TI.

Una vez que tienes tu perfil de Persona Moral activo en Llave MX, el siguiente paso es:

1. Contar con los datos técnicos de tu webhook (IP, URL y credenciales) — ya sea de tu proveedor o de tu equipo de TI
2. Ingresar a www.plataformadebusqueda.gob.mx/inscripcion
3. Iniciar sesión con Llave MX, cambiar al perfil de Persona Moral y completar el formulario de inscripción
4. Realizar la prueba de webhook desde la misma plataforma
5. Guardar el folio de inscripción que el sistema genera al finalizar