CNBV: ¿Los bancos almacenarán tu rostro y huellas?
Créditos de la imágen: Imagen generada con Gemini pro
La CNBV incorporó la biometría facial a la verificación de identidad en bancos. Conoce en qué operaciones aplicará y cuál es su alcance
El uso de datos biométricos en los bancos ha vuelto a generar dudas entre los usuarios tras la publicación el 1o., de julio de 2026 en el Diario Oficial de la Federación (DOF) de una nueva Resolución que modifica las Disposiciones de carácter general aplicables a las instituciones de crédito.
El documento, emitido por la Comisión Nacional Bancaria y de Valores (CNBV), incorpora la biometría facial a los mecanismos de verificación de identidad para determinadas operaciones bancarias y establece las condiciones bajo las cuales las instituciones podrán integrar bases de datos biométricas de sus clientes. ¿Qué cambia realmente y en qué casos podrá solicitarse esta información? A continuación, los detalles.
Hasta antes de esta reforma, las disposiciones contemplaban la verificación de los usuarios mediante huellas dactilares para ciertos procedimientos de identificación.
Con la modificación publicada por la CNBV, la biometría facial se incorpora expresamente como un elemento adicional para verificar la identidad de los clientes durante determinadas operaciones bancarias.
Además, las instituciones de crédito podrán integrar una base de datos biométrica propia, conformada —por ahora— únicamente por huellas dactilares y biometría facial, siempre que previamente hayan validado esa información con registros oficiales.
¿En qué operaciones podrán solicitar biometría?
Uno de los puntos que más confusión ha provocado es pensar que cualquier trámite bancario requerirá el registro del rostro o de las huellas. La resolución no contempla eso.
Las nuevas disposiciones aplican principalmente a operaciones presenciales relacionadas con:
operaciones pasivas relacionadas con cuentas bancarias nivel 4, y
operaciones activas, de servicios o medios de pago que estén relacionados con cuentas bancarias niveles 3 y 4, cuando dichas cuentas estén aperturadas en la propia institución o en otras
En otras palabras, la reforma está dirigida a procesos de identificación para operaciones que la regulación considera de mayor riesgo o que requieren un nivel adicional de autenticación.
¿Los bancos podrán crear una base de datos con el rostro y las huellas de sus clientes?
Se autoriza a las instituciones de crédito a conformar su propia base de datos biométrica. Sin embargo, esa información no puede incorporarse simplemente capturando una fotografía o una huella.
Antes de almacenarla, el banco de que se trate deberá verificar que la biometría del cliente coincide con los registros del Instituto Nacional Electoral (INE), la Secretaría de Relaciones Exteriores (SRE), una autoridad fiscal mexicana u otra dependencia federal que cuente con un servicio de verificación biométrica.
Solo después de esa validación podrá integrarse a la base de datos del propio banco.
Las bases de datos biométricas no podrán venderse, transferirse, compartirse, intercambiarse ni reutilizarse entre instituciones financieras o con terceros para realizar los procesos de verificación de identidad previstos en las disposiciones.
Esto significa que cada institución administrará su propia base de datos y deberá utilizarla únicamente para los fines autorizados por la regulación.
La resolución sí permite que los bancos contraten a terceros para prestar servicios tecnológicos relacionados con la conformación de esas bases de datos, pero ello no significa que dichos terceros puedan utilizar libremente la información biométrica de los clientes.
La reforma no solo autoriza el uso de biométricos. También incorpora un anexo con requisitos técnicos específicos para proteger esa información.
Entre otras obligaciones, las instituciones deberán implementar:
infraestructura tecnológica dedicada para almacenar los biométricos
cifrado de la información durante su almacenamiento y transmisión
controles de acceso para personal autorizado
registros de auditoría
pruebas periódicas para detectar vulnerabilidades
mecanismos para prevenir intentos de suplantación de identidad, y
procedimientos de eliminación segura de la información cuando corresponda
Asimismo, la CNBV podrá supervisar el cumplimiento de estos requisitos e incluso ordenar la suspensión del uso de la base biométrica si detecta incumplimientos graves o reiterados.
La resolución entró en vigor el 2o., de julio de 2026, un día después de su publicación en el DOF.
No obstante, las instituciones de crédito disponen de un plazo máximo de 90 días hábiles para adecuar sus procesos y cumplir con las nuevas disposiciones.
Aunque la resolución incorpora medidas de seguridad, la información biométrica tiene una característica distinta a otros mecanismos de autenticación: no puede cambiarse.
Si una contraseña queda expuesta, puede sustituirse por otra. En cambio, una huella dactilar o los rasgos biométricos del rostro forman parte de la identidad permanente de una persona. Por esa razón, el almacenamiento de este tipo de datos siempre implica una responsabilidad mayor para quienes los resguardan y exige medidas de seguridad especialmente estrictas para evitar accesos no autorizados o posibles filtraciones.