Lineamientos para acceso en tiempo real a la información fiscal (Art 30-B CFF)

En el actual ecosistema económico, la prestación de servicios digitales y la intermediación entre terceros a través de plataformas tecnológicas han transformado la fiscalidad en México. Con la publicación de la Resolución Miscelánea Fiscal (RMF) para 2026 del día 28 de Diciembre de 2025, se consolidan y detallan las obligaciones para los residentes en el extranjero sin establecimiento permanente en el país y para las plataformas de intermediación que operan en territorio nacional.

Para el caso de las plataformas digitales que se prestan por residentes en el extranjero sin establecimiento permanente en el país, se debe poner a disposición en tiempo real para cada una de las transacciones:

1. Tipo de servicios u operaciones.
2. RFC del cliente, cuando se solicite el comprobante respectivo por el servicio digital proporcionado.
3. Precio pagado por el cliente sin IVA.
4. IVA trasladado.
5. Precio pagado final con IVA.
6. Folio fiscal del CFDI o, en su caso, información que permita identificar cada comprobante emitido a dichos receptores, cuando esté obligado a proporcionarlo. En este punto, es relevante destacar que para las operaciones de comercio electrónico la Ley Federal de Protección al Consumidor de forma general exige el comprobante de la compra, aunque de la NMX-COE-001 establece que se pueden prestar servicios de forma anónima.
7. Método de pago de los receptores.

En el caso de las plataformas digitales que sean intermediarias, que en este caso no solo aplica para extranjeros sino para residentes en México, además de lo anterior se debe poner a disposición:

1. Nombre o denominación del vendedor
2. Clave RFC o identificador fiscal del vendedor
3. CURP del vendedor, cuando se trate de personas físicas residentes en México.
4. Domicilio fiscal o lugar de residencia o nacionalidad del vendedor
5. Institución financiera y CLABE o número de cuenta bancaria o de depósito nacional o extranjera, donde se reciban los depósitos correspondientes al pago.
6. Monto de la operación celebrada con su intermediación por cada vendedor
7. Tratándose de los servicios de hospedaje, la dirección completa del inmueble.
8. Tratándose de enajenación de bienes, indicar por cada operación si se trata de una importación y, en su caso, el monto de los aranceles u otros.

Con base en la RMF 2026 la puesta a disposición se debe realizar en un sistema, interfaz o aplicativo del contribuyente obligado, que debe mantener la información de forma permanente al menos 5 años, la puesta a disposición debe permitir el almacenamiento y procesamiento individual o masivo, misma que debe ser protegida por medio de un usuario y contraseña(factor de autenticación) que será proporcionada a la autoridad fiscal mediante un escrito libre que deberá ser entregado a más tardar el 30 de abril de 2026 en oficialía de partes de la Administración General de Planeación y cada que se realice un cambio a los factores de autenticación en un plazo no mayor  10 días del cambio.

Es importante destacar que la información debe estar disponibles en la plataforma que se ponga a disposición al día siguiente de la transacción y cada uno de los elementos de identificación deben ser claros, por lo que a continuación se realizan las siguientes sugerencias técnicas:

• Documentar la plataforma para la puesta a disposición que sea clara y con lenguaje simple
• Los nombres de los campos que sean referentes a los establecidos en las obligaciones ya sea separado por  “_” o con identificadores de mayúscula por palabra, ejemplo: Precio_Pagado_Sin_IVA/PrecioPagadoSinIVA.
• Los nombres de los campos deben ser iguales en la base de datos que en la representación del sistema
• Generar una estampa de tiempo por cada registro de información y generar un hash que incluya la estampa de tiempo sobre cada transacción.
• Generar bitácoras de transacciones (consultas individuales y masivas) y resguardarlas por el mismo periodo de tiempo de 5 años, esto servirá para la compulsa de las operaciones realizadas.
• Mantener respaldos probados por el periodo de tiempo de retención de 5 años
• Generar un plan de continuidad sobre la plataforma de puesta a disposición que sea probada al menos una vez por mes, con un RTO sugerido de 30 minutos y un RPO sugerido de 12 horas.
• Mantener bitácora de autenticación que incluya la dirección IP de autenticación, para mantener un monitoreo constante de los accesos.
• Mantener una política de controles de acceso en donde se cambie la contraseña al menos 3 veces por año la contraseña y que esta incluya el proceso de puesta a disposición del factor de autenticación a la autoridad.
• Mantener un programa de gestión de cambios en la plataforma de tal manera que se informe a la autoridad los cambios que repercutan en la operación para darlos a conocer como parte de los manuales .
• Mantener actualizados los certificados digitales con certificados TLS 1.3 o  superior
• Integrar la aplicación a las pruebas de penetración y análisis de vulnerabilidades.
• Mantener actualizada la plataforma.