Actualización de la Guía del GAFI de un Enfoque Basado en Riesgo para Activos Virtuales y Proveedores de Servicios de Activos Virtuales.
Diego Ramos Castillo
El pasado 28 de octubre de 2021, el Grupo de Acción Financiera Internacional (“GAFI”) publicó su Guía Actualizada para el Enfoque Basado en el Riesgo para Activos Virtuales y Proveedores de Servicios de Activos Virtuales (“Guía”), aplicable a los proveedores que prestan servicios de criptoactivos. Esta Guía forma parte del monitoreo continuo del GAFI del sector de Activos Virtuales (“VA”) y tiene como objetivo ayudar a las autoridades nacionales a interpretar y desarrollar respuestas regulatorias y de supervisión a los Proveedores de Servicios de Activos Virtuales (“VASP”), así como apoyar a las entidades privadas que buscan participar en el sector de VA, para comprender los requisitos de lucha contra el lavado de dinero y el financiamiento del terrorismo que les son aplicables.
De esta forma, la Guía brinda a los países y al sector privado herramientas para implementar las Recomendaciones del GAFI, de acuerdo a las características de los VA y VASP.
¿Cuáles son las áreas clave?
La Guía menciona en seis áreas clave identificadas respecto de los estándares revisados del GAFI sobre AV y VASP.
1. Aclaración de las definiciones de “VA” y “VASP” para enfatizar que éstas deben interpretarse de manera amplia.
2. Estándares del GAFI aplicables a las Stablecoin.
3. Los riesgos y las herramientas disponibles para las transacciones peer-to-peer.
4. Proporcionar orientación actualizada sobre la concesión de licencias y el registro de VASP.
5. La regla de viaje.
6. Proporcionar orientación sobre los principios de intercambio de información y cooperación entre supervisores de VASP.
¿Qué se establece sobre las CBDC?
El GAFI hace la aclaración de que las Stablecoin de los bancos centrales, conocidas como CBDC, no se consideran VA, ya que son representación digital de monedas fiduciarias aunque las Recomendaciones del GAFI se aplicarían a ellas de manera similar a cualquier otra forma de moneda fiduciaria emitida por un banco central. También destaca que todas las variedades de VASP, independientemente de su modelo de negocio, deben ser tratadas en igualdad desde una perspectiva regulatoria y de supervisión.
¿Cuál es la definición de VA?
GAFI define a los VA como: “Representación digital de valor que se puede negociar o transferir digitalmente y se puede utilizar con fines de pago o inversión. Los activos virtuales no incluyen representaciones digitales de monedas fiduciarias, valores y otros activos financieros que ya están cubiertos en otras partes de las Recomendaciones del GAFI”.
¿Cuál es la definición de VASP?
GAFI define a los VASP como: “Cualquier persona física o moral que no esté cubierta en otra parte por las Recomendaciones y como empresa realice una o más de las siguientes actividades u operaciones para o en nombre de otra persona física o jurídica:
1. Intercambio entre VA y monedas fiduciarias.
2. Intercambio entre una o más formas de VA.
3. Transferencia de VA.
4. Custodia y/o administración de activos o instrumentos virtuales que permitan el control sobre VA.
5. Participación y prestación de servicios financieros relacionados con la oferta y/o venta de un activo virtual por parte de un emisor.
De esta forma, la definición establecida por el GAFI abarca a los intercambios, el mercado Over Ther Counter (por ejemplo, Kraken OTC o OSL), exchanges (por ejemplo, Binance o Uniswap), operadores de cajeros automáticos, custodios de billeteras, fondos de cobertura, entre otros.
¿Un NFT se considera VA?
Un Non Fungible Token (“NFT”) generalmente no se considera como un VA, conforme la citada definición. No obstante, algunas NFT podrían considerarse VA si se utilizan con fines de pago o inversión. Las NFT que son representaciones digitales de otros activos financieros cubiertos por las Recomendaciones del GAFI no se consideran VA. El GAFI recomienda un “enfoque funcional” para regular este tipo de activos, por tal motivo los países deberían considerar la aplicación de las Recomendaciones del GAFI a los NFT caso por caso.
¿Un software DeFi se considera VASP?
Se establece que cuando una aplicación descentralizada o distribuida (“DApp”) puede facilitar o llevar a cabo el intercambio o la transferencia de un VA, y ésta ofrece servicios como los ofrecidos por los VASP, se usará el término Decentralized Finance (“DeFi”). Sin embargo, el software o aplicación de DeFi no es un VASP, pero los creadores, propietarios, operadores o personas que tienen el control o la influencia suficiente sobre el acuerdo DeFi podrían considerarse un VASP cuando están proporcionando o facilitando activamente los servicios y, por lo tanto, tendrían que cumplir con la regulación aplicable, siendo posible que necesiten obtener los permisos de funcionamiento correspondientes.
Retomando la definición de un VASP, un Exchange Descentralizado (“DEX”) y las plataformas o aplicaciones descentralizadas son consideradas VASP por GAFI, por ejemplo, es preciso mencionar a Open Sea, un DEX en el sector NFT, el cual es un intercambio descentralizado construido sobre la red de Ethereum, donde pueden ejecutarse operaciones de compraventa al instante. Los DEX también desempeñan un importante papel en el ecosistema DeFi.
¿Las ICO pueden ser consideradas VASP?
La interpretación de la definición de VASP al ser considerada en un sentido amplio cubre las actividades relacionadas con una Initial Coin Offering (“ICO”). Las ICO son generalmente un medio para recaudar fondos para nuevos proyectos de los primeros patrocinadores, abarcando en particular a las personas que participan en la oferta y/o venta de VA de los emisores o prestan servicios financieros conexos a través de actividades como las ICO.
Los proveedores de servicios que participan o prestan servicios financieros relacionados con la emisión, oferta, venta y/o distribución de un emisor, como en el contexto de las ICO, pueden involucrar a uno o más regulaciones de un país, temas como en relación con la transmisión de dinero, valores, materias primas y/o actividades de derivados. Se aplica la definición de VASP a las entidades en una ICO, sin embargo, serán los hechos y circunstancias subyacentes a un activo, actividad o servicio los que determinarán la categorización, en lugar de cualquier etiqueta o terminología utilizada por los participantes del mercado.
¿Cómo aplicar una metodología EBR a los VA y VASP?
La Recomendación 1 del GAFI establece que los países deben aplicar un Enfoque Basado en Riesgo (“EBR”) para garantizar que las medidas para prevenir y mitigar los riesgos de lavado de dinero y financiamiento al terrorismo, sean proporcionales a los riesgos identificados en sus respectivas jurisdicciones.
Los países que identifiquen comprendan y evalúen sus riesgos deberán implementar medidas destinadas a mitigar y administrar los mismos. Las autoridades nacionales deben llevar a cabo una evaluación coordinada de los riesgos de las actividades, productos y servicios de AV que debe permitir a todas las autoridades comprender cómo funcionan, y promover un tratamiento similar con perfiles de riesgo similares.
Al desarrollar nuevos productos, los VASP y otras entidades obligadas deben evaluar los riesgos de lavado de dinero y financiamiento al terrorismo, antes de comercializarlos, así como poner en marcha medidas de mitigación antes del lanzamiento.
¿Qué controles implementar en transacciones P2P?
El GAFI hace un llamado a los países y a los VASP para que comprendan los riesgos asociados con las transacciones peer-to-peer (“P2P”), que son transacciones que no involucran a ninguna entidad obligada, por lo que no están explícitamente sujetas a los controles de prevención de lavado de dinero y financiamiento al terrorismo bajo las Recomendaciones del GAFI. Los países deberán comprender los riesgos, tipos y factores asociados con las transacciones P2P en su jurisdicción y considerar la implementación de controles que faciliten la visibilidad, como el EBR, debida diligencia del cliente y presentación de reportes de operaciones sospechosas.
Por lo anterior, las medidas para brindar orientación adicional sobre los riesgos y herramientas disponibles para que los países aborden los riesgos para de lavado de dinero y financiamiento al terrorismo para las transacciones P2P, incluyen:
· Llevar a cabo actividades de divulgación al sector privado, incluidos los VASP y los representantes del sector P2P.
· Capacitación del personal de supervisión de la Unidad de Inteligencia Financiera.
· Fomentar el desarrollo de metodologías y herramientas, como el análisis de blockchain, para recopilar y evaluar métricas de mercado P2P y soluciones de mitigación de riesgos, metodologías de riesgo para identificar operaciones sospechosos.
· Medidas para mitigar los riesgos.
· Obligar a los VASP a facilitar las transacciones únicamente hacia/desde los VASP y otras entidades obligadas.
¿Qué VASP deben tener licencia o registrarse?
Como mínimo, se debe exigir que los VASP tengan licencia o se registren en la(s) jurisdicción(es) donde se crean. En los casos en que el VASP sea una persona física, se le debe exigir que esté autorizado o registrado en la jurisdicción donde se encuentra su lugar de negocios. Las jurisdicciones también pueden requerir que los VASP que ofrecen productos y/o servicios a los clientes en su jurisdicción o que realizan operaciones desde su jurisdicción tengan licencia o estén registrados en esta jurisdicción.
Se establece que los países también deben designar una autoridad responsable de identificar y sancionar los VASP sin licencia o no registrados, con la finalidad de que tomen medidas para identificar a las personas físicas o morales que llevan a cabo actividades u operaciones de VA sin la licencia o el registro requeridos y aplicar las sanciones correspondientes.
¿En qué consiste la Regla del Viaje?
La Guía del GAFI proporciona claridad adicional a las entidades obligadas, como los VASP o las Instituciones Financieras (“IF”), en cuanto a la correcta implementación de la Recomendación 16 y su Nota Interpretativa (INR. 16) (la “Regla de Viaje”), indicando que los países deben asegurarse de que los VASP y las IF incluyan la información requerida y precisa sobre el originador, y la información
requerida sobre los beneficiarios, en las transferencias de VA y que se obtenga, mantenga y transmita de forma segura e inmediata.
Derivado de lo anterior la Regla de Viaje se aplican a los VASP siempre que sus transacciones en moneda fiduciaria o VA impliquen
1. Una transferencia bancaria tradicional.
2. Una transferencia VA entre un VASP y otra entidad obligada.
3. Una transferencia VA entre un VASP y una entidad no obligada (unhosted wallet).
Los criterios anteriores resultan necesarios para identificar y reportar operaciones sospechosas, tomar medidas de congelación y prohibir transacciones con personas y entidades designadas. La Regla de Viaje intenta introducir la centralización, que es un concepto ajeno a la tecnología de blockchain, lo cual trae consecuencias para las aplicaciones de DeFi, la cual se caracteriza por tener un alto grado de anonimato.
La Regla de Viaje requiere que los VASP reúnan información específica de forma segura cuando se hace una transacción entre dos VASP. La información reunida se comunica entonces de un lado a otro entre los VASP.
¿Quién tiene que cumplir la Regla del Viaje?
Cualquiera que esté enviando 1,000 o más dólares en AV en VASP o IF a otra plataforma tendrá que cumplir la nueva Regla de Viaje y proporcionar la información requerida y precisa del ordenante y del beneficiario requerido, como pueden ser su dirección física, número de identificación, número de cliente, o fecha y lugar de nacimiento.
Al implementar la Regla de Viaje se debe de tener en cuenta que los VASP, operan en varios países, por lo que las leyes en algunos casos difieren, lo cual es importante para el tratamiento que se le otorga a los datos personales de los clientes. Un VASP o IF deberá de garantizar a sus clientes el tratamiento de datos personales cumpliendo con leyes en materia de privacidad, por ejemplo el Reglamento General de Protección de Datos de la Unión Europea (“GDPR”).
La Regla de Viaje establece que un VASP transmita la información requerida a otro VASP, es necesario identificar y llevar a cabo la debida diligencia sobre su VASP contraparte antes de transmitir la información requerida. Los VASP no necesitan llevar a cabo el proceso de la debida diligencia VASP de contraparte para cada transferencia individual de VA cuando se trata de VASP para los que han realizado previamente la debida diligencia, a menos que haya un historial de operaciones sospechosas u otra información como medios adversos, información publicada sobre sanciones regulatorias o penales que indique que deberían hacerlo.
La Regla de Viaje establece que un VASP transmita la información requerida a otro VASP, es necesario identificar y llevar a cabo la debida diligencia sobre su VASP contraparte antes de transmitir la información requerida. Los VASP no necesitan llevar a cabo el proceso de la debida diligencia VASP de contraparte para cada transferencia individual de VA cuando se trata de VASP para los que han realizado previamente la debida diligencia, a menos que haya un historial de operaciones sospechosas u otra información como medios adversos, información publicada sobre sanciones regulatorias o penales que indique que deberían hacerlo.
¿En qué consiste la obligación de debida diligencia del cliente?
Los VASP y otras entidades obligadas deben contar con procedimientos de debida diligencia del cliente que implementen y utilicen efectiva para identificar y verificar, sobre una base de riesgo, la identidad de un cliente, cumpliendo los requisitos establecidos por la legislación nacional.
Además, deben establecer el monitoreo continuo sobre una base de riesgo, examinando las operaciones para determinar si éstas son consistentes con la información del cliente con la que cuenta el VASP.
¿Qué papel juega la cooperación internacional?
El GAFI ha desarrollado Principios de Intercambio de Información y Cooperación entre Supervisores VASP. Estos principios no son vinculantes, pero tienen por objeto:
1. Proporcionar una comprensión común del tipo de información de supervisión y otros conocimientos básicos para que las autoridades compartan información.
2. Esbozar los posibles desencadenantes para el intercambio proactivo de información/solicitudes.
3. Establecer posibles métodos de intercambio y tipos de asistencia/retroalimentación de supervisión que podrían adoptarse en determinadas circunstancias.
4. Establecer posibles funciones y expectativas cuando varios supervisores estén trabajando juntos en un caso o problema específico.
5. Sugerir posibles directrices para las jurisdicciones, cuando se trate de problemas con VASP en jurisdicciones que no tienen marcos regulatorios establecidos, o cuando se trate de facilitar la cooperación de supervisión.
6. Establecer las mejores prácticas en relación con los tipos de información que los países deben mantener en los VASP autorizados/registrados.
Para información adicional, o para obtener una copia de la “Guía para la prevención de lavado de dinero para operaciones con activos virtuales” preparada por nuestro equipo, puedes comunicarte con cualquiera de los miembros del equipo Fintech y Criptoactivos.
Diego A. Ramos Castillo
dramos@rrs.com.mx
RAMOS, RIPOLL & SCHUSTER
Antonio Casas Vessi
acasas@rrs.com.mx
RAMOS, RIPOLL & SCHUSTER
Paulina Martínez Chávez
pmartinez@rrs.com.mx
RAMOS, RIPOLL & SCHUSTER
Frida Sofía Rojas Cuéllar
srojas@rrs.com.mx
RAMOS, RIPOLL & SCHUSTER
Rodrigo Ramos Hopkins
ramosr@rrs.com.mx
RAMOS, RIPOLL & SCHUSTER
Daniela Morales González
dmorales@rrs.com.mx
RAMOS, RIPOLL & SCHUSTER
