En México, la validez de un Comprobante Fiscal Digital por Internet (CFDI) no depende únicamente de su emisión técnica, sino de un proceso formal de validación y certificación regulado estrictamente por la autoridad fiscal.
Este proceso es realizado por los Proveedores de Certificación de CFDI (PCCFDI) figura que sustituyó al antiguo PAC, regulados por el artículo 29-Bis del Código Fiscal de la Federación y por la Resolución Miscelánea Fiscal vigente. Su actuación está sujeta a supervisión permanente del Servicio de Administración Tributaria y al cumplimiento de requisitos técnicos, jurídicos y de seguridad establecidos en el Anexo 29 de la RMF.
Entre estas obligaciones destacan la solvencia financiera, la infraestructura tecnológica propia, la firma de una carta compromiso de confidencialidad y el resguardo estricto de la información fiscal de los contribuyentes. El incumplimiento de estas condiciones puede derivar en la revocación inmediata de la autorización.
El surgimiento del modelo MultiPAC
En contraste con este marco regulado, algunos proveedores tecnológicos e integradores han promovido en años recientes un esquema denominado “MultiPAC”. Bajo este modelo, una empresa que no cuenta con autorización como PCCFDI actúa como intermediario entre el contribuyente y varios proveedores autorizados, recibiendo los CFDI en sus propios servidores y reenviándolos a distintos certificadores para su timbrado.
Aunque se presenta como una solución de continuidad operativa o alta disponibilidad, este esquema no está contemplado en la legislación fiscal.
La normativa es clara: la certificación de CFDI debe prestarse de forma directa por el proveedor autorizado, sin intermediarios ni figuras análogas.
Prestación directa del servicio: un principio clave
La Regla I.2.7.2.5 de la RMF establece que los PCCFDI deben realizar directamente la validación de los requisitos del artículo 29-A del CFF, asignar el folio fiscal (UUID), incorporar el sello digital del SAT y entregar el CFDI certificado al contribuyente, enviando simultáneamente una copia a la autoridad.
Adicionalmente, el contribuyente debe reconocer expresamente quién es el PCCFDI que realiza el proceso de emisión y certificación, así como el responsable del resguardo de los XML, que a partir de 2026 será por un plazo mínimo de cinco años.
Este diseño normativo no es accidental: busca proteger la cadena de custodia de la información fiscal y asegurar que el tratamiento de los CFDI se realice únicamente dentro de entornos supervisados.
Obligaciones y garantías del PCCFDI
El Anexo 29 de la RMF impone a los PCCFDI una serie de obligaciones que constituyen garantías para el contribuyente.
Entre ellas se encuentran:
- La prestación directa del servicio, sin subcontratación del proceso de timbrado.
- La firma de una carta compromiso de confidencialidad, reserva y resguardo de la información.
- La obligación de ofrecer una plataforma gratuita para la emisión, consulta y conservación de CFDI.
- El cumplimiento de niveles mínimos de disponibilidad y tiempos de atención de soporte.
- La verificación diaria de la vigencia de los certificados de sello digital mediante la consulta de listas oficiales del SAT.
Estas obligaciones son auditables y su incumplimiento puede derivar en sanciones severas, incluida la revocación de la autorización.
Limitaciones y riesgos del esquema MultiPAC
El esquema MultiPAC, al no ser una figura reconocida, no está sujeto a estas obligaciones. Los integradores que lo operan no firman cartas de confidencialidad ante el SAT, no están obligados a ofrecer plataformas gratuitas reguladas ni a cumplir con niveles de servicio verificados por la autoridad.
Además, la información fiscal se intermedia en servidores que no forman parte de la infraestructura autorizada, lo que incrementa los riesgos en materia de seguridad de la información, protección de datos y trazabilidad.
Existe también un riesgo operativo relevante:
- Cuando un PCCFDI pierde su autorización, la revocación es inmediata. No hay periodos de gracia.
- En un esquema MultiPAC, esta situación puede provocar interrupciones súbitas del servicio, sin que el integrador tenga facultades legales para garantizar la continuidad.
Comparación directa: PCCFDI vs. MultiPAC
Desde el punto de vista jurídico, el contraste es claro:
- El PCCFDI es una figura reconocida, regulada y supervisada, con obligaciones explícitas y sanciones definidas.
- El MultiPAC es un esquema comercial no regulado, sin reconocimiento normativo y con riesgos elevados para el contribuyente.
Mientras el primero ofrece certeza jurídica, control fiscal y protección de la información, el segundo introduce un intermediario no autorizado que rompe la cadena de custodia y expone al contribuyente a contingencias fiscales.
Riesgo fiscal en el contexto 2026
Las reformas fiscales para 2026 refuerzan las facultades del SAT para combatir la facturación falsa, endurecen los requisitos para operar como PCCFDI y establecen mecanismos más ágiles para revocar autorizaciones y certificados.
Este nuevo entorno no crea ni valida la figura MultiPAC. Por el contrario, reafirma la prohibición de prestar el servicio de certificación por medio de terceros y eleva el nivel de fiscalización sobre esquemas no autorizados.
La certificación de CFDI no es un servicio tecnológico más: es una función fiscal delegada por el Estado. Por ello, solo puede ejercerse dentro de los márgenes que marca la ley.
Ante los retos de 2026, la recomendación es clara: los contribuyentes deben contratar directamente a uno o más PCCFDI autorizados y evitar esquemas de intermediación. Si se busca redundancia o alta disponibilidad, la propia RMF permite trabajar con varios proveedores, siempre que la relación sea directa y transparente.
En un entorno de fiscalización intensificada, la diferencia entre cumplimiento y riesgo puede estar en una decisión aparentemente técnica, pero con profundas implicaciones legales.
Si este análisis te resultó útil, te invito a compartir tu opinión en los comentarios y a abrir la conversación sobre los riesgos y responsabilidades reales en la facturación electrónica. En un entorno fiscal cada vez más supervisado, elegir correctamente al proveedor que certifica tus CFDI es una decisión estratégica.
Para operar con certeza jurídica, seguridad de la información y pleno cumplimiento normativo, puedes contactar a Diverza, proveedor autorizado de certificación, y conocer cómo contratar directamente un PAC/PCCFDI autorizado que respalde tu operación en 2026.
