Biometría facial en la banca mexicana: qué exige la nueva resolución de la CNBV y cómo llegar a noviembre en regla
La resolución publicada el 1 de julio en el Diario Oficial de la Federación autoriza el reconocimiento facial como factor de verificación para las operaciones de mayor riesgo y fija, en el nuevo Anexo 71, especificaciones técnicas vinculantes. Para las instituciones de crédito no es una noticia de producto: es un proyecto de cumplimiento con reloj. Esto es lo que la norma exige, el debate público que sus equipos tendrán que gestionar y cómo se traduce cada requisito en una arquitectura auditable.
El 1 de julio de 2026, la Comisión Nacional Bancaria y de Valores (CNBV) modificó las Disposiciones de carácter general aplicables a las instituciones de crédito para incorporar de forma expresa el reconocimiento facial al conjunto de mecanismos de verificación de identidad, junto a la huella dactilar ya autorizada. La resolución entró en vigor el 2 de julio y abre una cuenta regresiva concreta para las áreas de cumplimiento, riesgo y tecnología: 90 días hábiles para alinear procesos e infraestructura.
Conviene ir al detalle operativo, porque de ahí depende el plan de trabajo.
El alcance: qué operaciones y en qué cuentas
La norma no exige biometría para cualquier trámite. Se dirige a operaciones presenciales de mayor riesgo: operaciones pasivas asociadas a cuentas nivel 4 y operaciones activas, de servicios o medios de pago vinculadas a cuentas nivel 3 y 4, abiertas en la propia institución o en otras.
Para ubicar el perímetro, conviene recordar qué son esos niveles dentro del esquema de expediente simplificado de la CNBV:
- – Nivel 3. Cuenta de expediente de identificación reforzado (nombre, identificación oficial, comprobante de domicilio y datos de contacto), con un límite de abonos de aproximadamente 10,000 UDIs al mes. Disponible para personas físicas y morales.
- – Nivel 4. La cuenta tradicional, con expediente de identificación completo y sin límite de depósitos. Es el segmento de mayor exposición al lavado de dinero y al fraude.
En otras palabras, el regulador concentra la verificación biométrica exactamente donde una suplantación tiene mayores consecuencias. Para el banco, esto define el universo de flujos, alta remota, autenticación reforzada, autorización de operaciones de alto monto, sobre los que hay que actuar.
Dos condiciones estructurales completan el marco. Primero, un dato biométrico solo puede incorporarse a la base propia de la institución después de cotejarlo contra registros oficiales (INE, SRE, autoridad fiscal u otra dependencia federal con servicio de verificación biométrica) con una coincidencia mínima del 90 %. Segundo, esas bases no pueden venderse, transferirse, compartirse ni interoperar con otras instituciones o terceros, y por ahora solo admiten huella y rostro.
Desde Facephi vemos bastante diferencia entre correr y solo cumplir la ley y cumplir el Anexo 71 pero protegerse de verdad. Los detalles de implementación son clave: cómo se realiza el cotejo contra INE/SRE, cómo se detecta un deepfake, trazabilidad para la inspección, etc cómo se tokeniza y se resguarda la plantilla, dónde residen los datos y cómo queda todo trazado para la inspección, etc. El provedor correcto elegido para tal fin es fundamental
Agende una demo para su equipo de cumplimiento y le mostramos, paso a paso, cómo cada requisito de la CNBV se traduce en un proceso que sus áreas de riesgo y auditoría pueden verificar.
Polémicas ciudadanas de la resolución
El debate público ya se está dejando oír : «tu cara será tu firma», «¿los bancos almacenarán tu rostro y huellas?» , “¿y los hackeos”?, etc.
Detrás del titular hay un argumento técnicamente correcto que los equipos de cumplimiento harán bien en anticipar, porque llegará en forma de preguntas de clientes, de prensa: una contraseña filtrada se sustituye; un rostro o una huella, no. La biometría es un identificador permanente, y su resguardo no admite un estándar de seguridad promedio.
La resolución asume ese riesgo y lo traslada a obligaciones concretas. El nuevo Anexo 71 no autoriza el uso del rostro en abstracto: condiciona esa autorización a demostrar controles segregación lógica, cifrado, prueba de vida, trazabilidad, borrado irreversible. Para la institución, la lectura correcta no es «cumplir para poder usar biometría», sino «usar biometría de una forma que, por diseño, ya cumpla». La diferencia entre ambas lecturas es la que separa un hallazgo de inspección de un control efectivo.
El reloj de cumplimiento ya corre
Para las áreas de cumplimiento, las fechas son concretas:
- ~1 de agosto de 2026 (30 días naturales): las instituciones con una base biométrica activan deben presentar el aviso correspondiente mediante el formato del Anexo 75, indicando fechas de creación y tipos de biométricos. Sin costo ni sanción por el aviso.
- Finales de octubre / inicios de noviembre de 2026 (90 días hábiles): alineación completa con los artículos modificados y con la infraestructura del Anexo 71, incluidos los sistemas de biometría facial.
El contexto internacional añade presión sobre la mesa del oficial de cumplimiento: México mantiene su estatus ante el GAFI pero enfrenta su evaluación in situ en 2026, y las sanciones de FinCEN de junio de 2025 contra instituciones mexicanas dejaron claro que lo que se examina es la efectividad práctica de los controles, no su existencia en el papel.
Un sistema de verificación biométrica que documenta cada decisión y resiste auditoría es, en ese contexto, parte de la evidencia con la que una institución demuestra que sus controles funcionan.
Preguntas frecuentes
¿Qué establece la nueva resolución de la CNBV sobre biometría facial?
La resolución, publicada en el Diario Oficial de la Federación el 1 de julio de 2026, autoriza formalmente el reconocimiento facial como factor de verificación de identidad en la banca mexicana y sustituye el Anexo 71 con especificaciones técnicas vinculantes. Aplica a las operaciones presenciales de mayor riesgo en cuentas nivel 3 y 4.¿Cuándo entra en vigor y qué plazo tienen los bancos para cumplir?
Entró en vigor el 2 de julio de 2026, un día después de su publicación. Las instituciones de crédito disponen de 90 días hábiles —hasta finales de octubre o principios de noviembre de 2026— para alinear por completo procesos e infraestructura con el Anexo 71, incluidos los sistemas de biometría facial.¿A qué cuentas y operaciones aplica la verificación biométrica facial?
Aplica a operaciones pasivas de cuentas nivel 4 y a operaciones activas, de servicios o de medios de pago de cuentas nivel 3 y 4. La cuenta nivel 3 exige expediente reforzado con un límite de abonos de unas 10,000 UDIs al mes; la nivel 4 es la cuenta tradicional, sin límite de depósitos.¿Qué es el Anexo 71 de la CNBV?
Es el anexo técnico que la resolución sustituye por completo. Define los requisitos de verificación por huella dactilar (Sección I) y por biometría facial (Sección II): cotejo 1:1 contra registros oficiales, prueba de vida, cifrado, segregación de bases y borrado seguro. Es la especificación que un banco debe demostrar para cumplir.¿Qué es el aviso del Anexo 75 y cuándo vence?
Las instituciones con una base biométrica activa deben presentar un aviso a la CNBV mediante el formato del Anexo 75, indicando fechas de creación y tipos de biométricos. El plazo es de 30 días naturales —vence alrededor del 1 de agosto de 2026— y no conlleva costo ni sanción.¿Los bancos van a almacenar mi rostro? ¿Es seguro?
Un sistema correctamente diseñado no guarda una fotografía del rostro, sino una plantilla tokenizada: un vector matemático irreversible del que no puede reconstruirse la cara. Además, el dato se valida contra registros del INE o la SRE y la norma prohíbe venderlo, transferirlo o compartirlo entre instituciones.¿Qué requisitos técnicos exige el Anexo 71 para el reconocimiento facial?
Exige cotejo facial 1:1 contra INE/SRE con coincidencia mínima del 90 %, detección de ataques de presentación (liveness) conforme al estándar ISO/IEC 30107-3, deduplicación referida a NIST FRVT, cifrado en tránsito y en reposo, segregación lógica de las bases y borrado irreversible al cese de operaciones.¿Puede un deepfake engañar al reconocimiento facial del banco?
Por eso la norma obliga a incorporar detección de ataques de presentación bajo ISO/IEC 30107-3. La prueba de vida —hoy pasiva y sin fricción— distingue a una persona real de una fotografía, un video o un rostro sintético, y la detección de inyección de imagen aborda el vector de fraude más actual.¿Qué pasa si una institución no cumple con la resolución de la CNBV?
El incumplimiento expone a la institución a hallazgos en las visitas de inspección de la CNBV y a riesgo regulatorio y reputacional, especialmente en un año de evaluación in situ del GAFI. Lo que la supervisión examina es la efectividad práctica de los controles, no su mera existencia documental.