XICO), Secretaría de Hacienda y Crédito Público (SHCP) y Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), entre otras autoridades, bajo un marco específico: la Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech) y su regulación secundaria.
La Ley Fintech incorporó a las instituciones de tecnología financiera (ITF) al sistema financiero nacional y facultó a la CNBV y a BANXICO para emitir disposiciones de carácter general sobre autorización, operación, seguridad de la información, continuidad de negocio y contratación con terceros (proveedores). Esto significa que, al comprar una fintech, no estás frente a una adquisición cualquiera: asumes obligaciones y expectativas similares a las de otras entidades financieras supervisadas.
Para un comprador institucional, el reto en cualquier operación de M&A de negocios regulados es claro: capturar el valor estratégico de la fintech sin heredar riesgos legales que puedan comprometer el retorno de la inversión, la reputación del grupo o incluso su relación con el regulador. En ese contexto, un due diligence bien diseñado y el acompañamiento de un despacho corporativo con experiencia regulatoria marcan una diferencia tangible en la forma en que se estructura, negocia y ejecuta la transacción.
Antes de hablar de red flags, conviene tener claro qué está realmente sobre la mesa cuando quieres comprar una fintech. No se trata únicamente de una plataforma tecnológica o de una base de usuarios, sino de un conjunto de elementos que incluyen la licencia o autorización para operar como institución de fondos de pago electrónico (IFPE), institución de financiamiento colectivo (IFC) u otra figura regulada por la Ley Fintech; las autorizaciones, opiniones o registros vinculados al modelo de negocio —por ejemplo, disposiciones aplicables a instituciones de fondos de pago electrónico en temas de seguridad de la información, continuidad operativa y contratación con terceros—; y la relación histórica de la fintech con la CNBV y demás autoridades, considerando visitas de inspección, requerimientos, observaciones, medidas correctivas, modelos de autocorrección y eventuales sanciones.
La regulación secundaria establece, además, requisitos estrictos sobre estructura accionaria, origen de los recursos de quienes pretenden tener participación en el capital de una ITF, así como reglas específicas para adquirir o gravar acciones de estas entidades. En otras palabras, en cualquier operación de M&A de negocios altamente regulados, las autoridades no solo evalúan a la fintech objetivo; también analizan con detalle al comprador institucional y al nuevo grupo de control que quedará detrás de la licencia.
Las disposiciones de carácter general aplicables a las ITF detallan la información y documentación que deben presentar quienes pretenden mantener participación en su capital, incluyendo situación patrimonial, origen de recursos, historial crediticio y trayectoria de negocios. En una operación para comprar una fintech suele ser necesario obtener autorización previa de la CNBV para cambios relevantes en la estructura accionaria, acreditar que el nuevo grupo de control tiene la capacidad técnica, financiera y de cumplimiento para operar un negocio regulado, y coordinar el cierre de la transacción con los tiempos de la autoridad, lo que impacta la forma en que se diseñan las condiciones suspensivas y la mecánica de closing en M&A.
Si el due diligence no mapea correctamente los supuestos de autorización, los requisitos de información y las obligaciones post-cierre, el comprador puede terminar con una operación que está “cerrada” entre las partes desde la óptica contractual, pero que en la práctica permanece trabada en el plano regulatorio.
Una primera red flag al comprar una fintech es asumir que su situación regulatoria está completa y valorar el negocio como si ya estuviera plenamente consolidado. Esto ocurre cuando la licencia ha sido solicitada pero todavía no existe autorización formal de la CNBV; cuando la autorización ya fue otorgada, pero está condicionada al cumplimiento de ciertos requisitos en plazos específicos; o cuando el modelo de negocio se ha venido operando bajo una figura distinta —por ejemplo, a través de un tercero regulado— sin regularizarse como ITF, pese a cumplir de facto con los supuestos de la Ley Fintech.
En M&A de negocios regulados, estos matices son críticos. Si pagas como si la fintech tuviera una licencia robusta, pero en realidad opera en una zona gris o bajo un régimen transitorio, el valor que crees comprar depende de eventos futuros y no de una posición regulatoria consolidada. Un due diligence serio debe revisar el expediente completo de autorización, los oficios de la CNBV y los plazos pendientes o condicionantes; confirmar que las actividades que hoy realiza la fintech coinciden con el ámbito de su licencia y con la interpretación regulatoria vigente; identificar si hay operaciones que en realidad deberían estar reservadas a entidades con otro tipo de autorización —por ejemplo, esquemas cercanos a captación de recursos del público en figuras no previstas—; y comprobar que la reportería regulatoria se encuentra al día, sin amonestaciones ni multas que anticipen un cambio de postura por parte de la autoridad.
En adquisiciones de negocios regulados, el historial de supervisión es tan relevante como los estados financieros. La regulación de ITF parte de que la CNBV debe salvaguardar la estabilidad del sistema y los intereses de los usuarios de los servicios financieros, imponiendo, cuando corresponda, medidas correctivas y sanciones. Por eso, al analizar la compra de una fintech, conviene revisar con lupa las visitas de inspección y sus resultados, los oficios de observaciones que siguen abiertos o que se atendieron de manera parcial, las sanciones económicas que se hayan impuesto, los compromisos asumidos con la autoridad en materia de remediación o autocorrección —incluyendo cambios de procesos y ajustes tecnológicos—, así como cualquier indicio de reportería regulatoria inconclusa, presentada fuera de plazo o con hallazgos que razonablemente derivarán en sanciones.
Un due diligence enfocado solo en contratos y estados financieros, que no se detiene a analizar el expediente regulatorio, deja al comprador institucional expuesto a heredar una relación complicada con la CNBV y con otras autoridades supervisoras que ya tienen a la entidad en su radar.
Las disposiciones aplicables a las ITF requieren que quienes pretenden mantener participación en su capital cumplan requisitos de honorabilidad, situación patrimonial y origen lícito de recursos. Al mismo tiempo, el regulador espera estructuras de gobierno corporativo que sean coherentes con el tamaño, la complejidad y los riesgos del modelo de negocio. En este contexto, al comprar una fintech, es una señal de alerta encontrar accionistas relevantes o beneficiarios controladores que no fueron debidamente revelados a la CNBV, convenios entre accionistas que contradicen los estatutos o las condiciones de autorización, o una gobernanza formal —consejo, comités y facultades— que no coincide con la manera en que se toman las decisiones en la operación diaria.
En la adquisición de negocios regulados, este tipo de inconsistencias no es un simple problema de organización interna: puede implicar que las autorizaciones concedidas por la CNBV se otorgaron sobre una fotografía incompleta o incorrecta. El due diligence de la fintech debe reconstruir el control efectivo y verificar que está alineado con lo declarado al regulador y con la estructura que resultará después del cierre, de modo que no haya sorpresa regulatoria cuando la autoridad revise el nuevo mapa de control.
La Ley Fintech y sus disposiciones secundarias se coordinan con la legislación antilavado y con las facultades de la CNBV para exigir que las ITF establezcan sistemas de prevención de lavado de dinero y financiamiento al terrorismo (PLD/FT) acordes a sus riesgos. Cuando se evalúa comprar una fintech, es indispensable mirar mucho más allá del manual de PLD/FT y de la simple existencia de políticas internas.
La revisión debe abarcar la calidad de los expedientes KYC (conocimiento del cliente) y de los procesos de onboarding, la relación entre el volumen de alertas generadas y las alertas efectivamente analizadas y reportadas, el historial de reportes a la autoridad —operaciones inusuales, preocupantes, relevantes— y la consistencia de los criterios aplicados, así como las observaciones o sanciones previas por temas de PLD/FT y el grado real de avance en su remediación. También importa verificar que el sistema automatizado está correctamente implementado y que el Oficial de Cumplimiento cuente con nombramiento formal, independencia funcional y las certificaciones correspondientes.
En M&A, los riesgos legales por PLD/FT son especialmente sensibles porque pueden detonar investigaciones que alcancen al grupo comprador. Un due diligence limitado al plano documental, sin pruebas de estrés sobre datos, operaciones y procesos, difícilmente captura la exposición real ni permite dimensionar el costo de poner al día el sistema de prevención.
Las disposiciones aplicables a instituciones de fondos de pago electrónico dedican capítulos completos a la seguridad de la información, la infraestructura tecnológica, la continuidad de negocio y la contratación con terceros, incluyendo servicios de cómputo en la nube. Para un comprador, esto implica que la evaluación tecnológica no puede limitarse a aspectos de performance o escalabilidad: tiene que dialogar con las exigencias prudenciales y de supervisión.
Al comprar una fintech, el due diligence debe tomar en cuenta la forma en que la entidad contrata servicios tecnológicos críticos —por ejemplo, soluciones en la nube, core transaccional, herramientas de KYC digital y sistemas antifraude— y confirmar si esas contrataciones requieren autorizaciones o avisos a la CNBV y a Banco de México, especialmente cuando está en juego información sensible de los usuarios. También es relevante verificar el cumplimiento de obligaciones de notificar incidentes de seguridad de la información y contingencias operativas que superen ciertos umbrales, así como la existencia y actualización de planes de continuidad de negocio que el regulador pueda revisar.
En M&A de negocios regulados, se convierte en red flag encontrar una dependencia extrema de un solo proveedor sin contratos robustos ni alineados con la regulación aplicable, ausencia de evidencia sobre pruebas de continuidad y protocolos de manejo de incidentes, o un historial de caídas relevantes que no fueron debidamente notificadas a la autoridad ni gestionadas frente a los usuarios. Los riesgos, en este frente, combinan componentes tecnológicos, regulatorios, comerciales y reputacionales.
Muchas estrategias para comprar una fintech se justifican por el acceso a datos: comportamiento transaccional, scoring alternativo, patrones de gasto, algoritmos de riesgo. Sin embargo, esos datos están sujetos a reglas de protección de datos personales, secreto bancario y, crecientemente, a esquemas de open finance que implican intercambios de información con terceros bajo criterios específicos.
En un contexto de M&A, preocupa encontrar que no exista un inventario claro de datos personales, bases de datos y flujos de información; que no haya un mapeo estructurado de transferencias de datos a terceros —proveedores, socios comerciales, grandes plataformas tecnológicas, procesadores de pago—; o que las políticas de privacidad y avisos al usuario no reflejen lo que la fintech realmente hace con la información. Un due diligence completo revisa contratos con proveedores de datos, esquemas de consentimiento, bases legales para el tratamiento, medidas de seguridad implementadas y antecedentes de incidentes o brechas. Cada brecha en este punto puede traducirse en procedimientos ante el INAI, la CNBV, la CONDUSEF o incluso en litigios colectivos.
Las disposiciones aplicables a ITF regulan, entre otros aspectos, la contratación con terceros que prestan servicios a las fintech, incluyendo proveedores, comisionistas y corresponsales, y exigen transparencia en los términos bajo los cuales se atiende a los clientes. Por eso, al analizar una posible compra de una fintech, tiene sentido revisar con detalle el ecosistema contractual que sostiene el modelo de negocio.
Esto implica analizar los contratos de adhesión con usuarios finales —en particular, la claridad de comisiones, responsabilidades y mecanismos de reclamación, así como su debido registro, cuando corresponda,— y los contratos con socios estratégicos como marketplaces, comercios afiliados, bancos corresponsales o agregadores. También conviene entender los esquemas de distribución de ingresos y, sobre todo, la forma en que se reparten las responsabilidades y los costos en escenarios de fraude, caídas de servicio o errores operativos.
En M&A de negocios regulados, una base contractual mal alineada puede derivar en conflictos con aliados respecto de quién responde frente al usuario en un incidente relevante, y en riesgos de sanciones por mala información al cliente o por cláusulas desequilibradas. Parte esencial del due diligence fintech es probar escenarios: qué ocurre si hay un incidente grave, quién se comunica con los usuarios, quién absorbe el impacto económico y quién debe reportar a la autoridad, con qué plazos y bajo qué protocolo.
Una operación de M&A requiere un due diligence diseñado a la medida del negocio, de la licencia y del perfil del comprador. El checklist estándar de corporativo y fiscal es un punto de partida, pero no es suficiente. La revisión regulatoria debe abarcar la licencia y las disposiciones aplicables, los expedientes con CNBV, BANXICO, SHCP y CONDUSEF, las visitas de inspección, los oficios y las medidas correctivas o sanciones impuestas. En lo corporativo, es necesario revisar la estructura accionaria, los convenios entre accionistas, la identificación de beneficiarios controladores, los poderes, el gobierno corporativo y su alineación con los requisitos de la Ley Fintech.
En el plano tecnológico, el análisis debe cubrir la infraestructura, la seguridad de la información, los planes de continuidad de negocio, los contratos con proveedores críticos y el cumplimiento de requisitos prudenciales. En PLD/FT, importa entender la figura y el rol del Oficial de Cumplimiento, la calidad de políticas y procedimientos, la situación de los expedientes, el flujo de alertas y los reportes generados, así como las observaciones asociadas. En datos y privacidad, hay que mirar a las personas responsables, el marco normativo aplicado, las brechas previas, los mecanismos de consentimiento y los flujos de datos a terceros. Finalmente, en operación y contratos, toca revisar los instrumentos celebrados con clientes, proveedores, alianzas estratégicas y corresponsales, y su congruencia con las obligaciones regulatorias y con la propuesta de valor de la fintech.
El due diligence solo agrega valor si sus hallazgos se traducen en decisiones concretas de negocio. A partir de esos hallazgos, suele ser necesario ajustar la valuación en función de los riesgos legales identificados y del costo de remediarlos, definir condiciones suspensivas vinculadas a autorizaciones de la CNBV o a la corrección de temas críticos antes del cierre, y diseñar estructuras de indemnidad, retenciones, mecanismos de escrow y esquemas de earn-out que alineen incentivos entre vendedor y comprador. Cerrar sin haber incorporado estas variables en el contrato de compraventa es asumir riesgos que serán muy difíciles de renegociar una vez que el control haya cambiado de manos.
Un despacho corporativo con experiencia en fintech debe poder moverse con soltura en dos planos que se cruzan todo el tiempo. Por un lado, el plano propio de M&A: negociación del SPA, estructura de precio, indemnizaciones, condiciones suspensivas, covenants y demás elementos contractuales de la transacción. Por otro, el plano regulatorio: lectura fina de la Ley Fintech y de sus disposiciones de carácter general, conocimiento de las prácticas de supervisión y sensibilidad de la CNBV frente a cambios de control y a la entrada de nuevos grupos económicos.
En la práctica, su aportación en una operación para comprar una fintech incluye definir el perímetro y la profundidad del due diligence fintech, priorizando temas críticos y tiempos realistas; traducir hallazgos técnicos —por ejemplo, brechas en seguridad de la información o en continuidad operativa— en cláusulas contractuales concretas y mecanismos de mitigación; y diseñar, junto con el comprador, un plan de integración regulatoria post-cierre que contemple notificaciones, ajustes de procesos, actualización de políticas internas y fortalecimiento del gobierno corporativo.
Para no heredar riesgos legales innecesarios al comprar una fintech, el enfoque debe abarcar toda la vida de la transacción. Antes de la firma, resulta clave mapear las autorizaciones y los tiempos probables ante la CNBV y otras autoridades, y diseñar una estructura —compra de acciones, adquisición de activos, fusiones u otras figuras— que sea coherente con la Ley Fintech y con la regulación financiera aplicable. Entre la firma y el cierre, el trabajo se centra en la coordinación con la CNBV y las demás autoridades relevantes para obtener autorizaciones y no objeciones, así como en la implementación de las correcciones urgentes identificadas en el due diligence, priorizando aquellas que la autoridad verá con mayor sensibilidad.
Después del cierre, la atención se desplaza hacia la integración de los sistemas de cumplimiento y PLD/FT a los estándares del grupo comprador, la revisión y actualización de contratos con usuarios, proveedores y socios para alinear la distribución de riesgos, y el reforzamiento del gobierno corporativo y de la cultura regulatoria dentro de la fintech adquirida. Un despacho que entiende la lógica de M&A de negocios regulados no se limita a reaccionar ante observaciones puntuales, sino que anticipa cómo va a interpretar la operación la autoridad y estructura la transacción en consecuencia.
Cuando estás evaluando comprar una fintech en México, sirve tener a la mano algunas preguntas clave para dimensionar el nivel de riesgo y la calidad de la preparación:
Si no tienes respuestas claras a estas preguntas, es probable que la operación esté sobre una base frágil. En ese escenario, la decisión no tiene por qué ser dejar de comprar, sino replantear cómo comprar una fintech: ampliar el alcance del due diligence, negociar precio y condiciones y apoyarte en asesores que se muevan con comodidad en el terreno de M&A de negocios regulados y en la interlocución con el regulador financiero.
.png)
.webp)
