En octubre del año 2018 y ante el imparable aumento de actividades financieras que involucran activos virtuales, el Grupo de Acción Financiera Internacional (GAFI) actualizó su Recomendación 15 sobre Nuevas Tecnologías para incorporar dentro de su ámbito de aplicación los activos virtuales y los servicios financieros relacionados.
Posteriormente, en junio de 2019, el GAFI adoptó formalmente el texto de la nueva Nota Interpretativa de la modificación de la Recomendación 15 para aclarar las indicaciones relacionadas con los activos virtuales. Junto a ésta publicó una actualización de la “Guía para un enfoque basado en el riesgo para los activos virtuales y los proveedores de servicios de activos virtuales”, basada en el documento de orientación que había publicado en 2015, con el fin de facilitar a países y proveedores de servicios de activos virtuales (PSAV) a comprender sus obligaciones en materia de en materia de prevención del blanqueo de capitales y de la financiación del terrorismo y a implementar de forma efectiva los requisitos que el GAFI aplica a este sector.
Así, el GAFI insta a los países a que regulen las actividades financieras que involucran activos virtuales y pone de manifiesto el riesgo que presentan respecto a la lucha contra el blanqueo de capitales y la financiación del terrorismo (PBC/FT, AML/CTF, por sus siglas en inglés).
¿Por qué las actividades financieras que involucran activos virtuales presentan riesgo de blanqueo de capitales y financiación del terrorismo?
Porque las actividades con activos virtuales facilitan, por sus características intrínsecas, un mayor anonimato y, por tanto, dificultan la identificación y verificación de la identidad del cliente, lo que las convierte en una herramienta idónea para ser utilizadas en actividades ilícitas. Como bien indica el GAFI en la mencionada Guía: “Los activos virtuales y los servicios financieros relacionados tienen el potencial de estimular la innovación financiera y la eficiencia y mejorar la inclusión financiera, pero también crean nuevas oportunidades para que delincuentes y terroristas blanqueen sus ganancias o financien sus actividades ilícitas”.
Por ello, al suponer mayores riesgos de blanqueo de capitales y de financiación del terrorismo, se precisa de la aplicación de medidas reforzadas de diligencia debida.
¿Cuáles son las recomendaciones del GAFI respecto a los activos virtuales?
En síntesis, el GAFI recomienda a los países que sigan las siguientes pautas: evaluar y mitigar los riesgos asociados con actividades relacionadas con activos virtuales; otorgar licencias o registrar proveedores de servicios relacionados y someterlos a supervisión o monitorización, implementar sanciones y otras medidas de cumplimiento cuando los proveedores de servicios relacionados fallen al cumplir con sus obligaciones en PBC/FT.
A continuación, analizaremos algunas de las recomendaciones más relevantes a efectos de prevención en relación con las actividades que involucran el uso de activos virtuales.
- Evaluación y mitigación de los riesgos asociados a las actividades con activos virtuales
El GAFI insta a que los países apliquen un enfoque basado en el riesgo para garantizar que las medidas para luchar contra el blanqueo de capitales y la financiación del terrorismo sean proporcionales a los riesgos identificados en sus respectivas jurisdicciones.
Así mismo, se recomienda que los países creen políticas a corto y largo plazo, debido a que el sector de los activos virtuales se encuentra en continua evolución.
Además, deben exigir a los PSAV que identifiquen, evalúen y adopten medidas efectivas para mitigar los riesgos asociados con el suministro o la participación en actividades relacionadas con activos virtuales o con la oferta de productos o servicios asociados a los mismos.
- Licencia o registro
Se debe exigir a los PSAV que, como mínimo, tengan licencia o estén registrados en las jurisdicciones donde se crean con el fin de poder realizar una supervisión efectiva de los mismos. Además, el GAFI apunta que las jurisdicciones anfitrionas puedan exigir este requisito de licencia o registro a los PSAV que operen desde su jurisdicción u ofrezcan productos y/o servicios a clientes dentro de la misma.
Se requiere la adopción de medidas adecuadas y la aplicación de las sanciones correspondientes en el caso de personas físicas o jurídicas que lleven a cabo operaciones de activos virtuales sin la licencia o registro.
No es preciso que un país imponga sistemas de registro independientes en el caso de las instituciones financieras previamente autorizadas o registradas, pues ya están sujetas a todas las obligaciones recomendadas por el GAFI.
- Supervisión o Monitorización
Los PSAV deben estar sujetos a sistemas efectivos de supervisión y control para garantizar el cumplimiento de los requisitos nacionales sobre PBC/FT.
En este sentido, la autoridad de control de cada país llevará a cabo una supervisión desde un enfoque basado en el riesgo, y deberá contar con poderes suficientes para garantizar el cumplimiento por parte de los PSAV, con inclusión de un régimen inspector y sancionador disuasorio de índole civil, penal o administrativo aplicable a los mismos y a sus Órganos de administración y dirección.
- Medidas preventivas
Los países y los sujetos obligados deben diseñar procesos que permitan el cumplimiento de sus obligaciones de Diligencia Debida para cumplir con las Recomendaciones del GAFI y sus legislaciones nacionales. La aplicación de medidas de diligencia debida permite la identificación y conocimiento del cliente, incluidos los beneficiarios de las transferencias, así como del titular real o beneficiario último con carácter previo al inicio de la relación de negocio o a la realización de cualesquiera operaciones.
Adicionalmente, los países han de incluir entre dichas medidas la obtención de información adicional sobre el cliente y el propósito e índole de la relación de negocio, así como la obtención de información sobre el origen de los fondos, la motivación de las transacciones previstas o realizadas y la realización de un seguimiento continuado de la relación de negocio.
Se establece un umbral cuantitativo a partir del cual los PSAV deberán aplicar medidas de diligencia debida para todo tipo de transacciones con activos virtuales, incluyendo transacciones ocasionales por encima de 1.000 EUR/USD.
Asimismo, son de aplicación otros requisitos como la verificación de inclusión en listas de sanciones y la aplicación de contramedidas financieras como la congelación y bloqueo de fondos y la prohibición de transacciones con las personas y entidades designadas.
Por el elevado nivel de riesgo que comportan las distintas formas de intercambio entre criptomonedas y dinero fiduciario o de curso legal y otros activos virtuales, así como los servicios de custodia y/o administración que permiten su control, la participación y la prestación de servicios financieros asociados su comercio y otros riesgos inherentes a los mismos como el carácter pseudónimo o anónimo de las transacciones y los pagos recibidos de terceros no conocidos, el GAFI insta a los países a adoptar medidas reforzadas de diligencia debida como:
- comprobar la información aportada por el cliente relativa a su identidad, como el número de su documento de identidad, contrastándolo con bases de datos de terceros u otras fuentes fiables;
- rastrear la dirección IP del cliente; y
- buscar en Internet cualquier información complementaria que permita corroborar la coherencia de la actividad del cliente con su perfil de transaccional, respetando siempre la legislación aplicable en materia de protección de datos.
Otra importante medida preventiva es que los PSAV tengan sistemas de gestión de riesgos apropiados para determinar si los clientes o titulares reales son personas con responsabilidad pública (PRPs o PEPs) o familiares o allegados de las mismas y, si por lo tanto, se han de reforzar las medidas de diligencia debida.
Por otra parte, los países se deben asegurar de que los PSAV conserven todos los registros de transacciones y medidas de diligencia debida al menos durante cinco años, de tal manera que las transacciones individuales puedan ser reconstruidas quedando esta información a disposición las autoridades competentes. Estos registros incluirán, por ejemplo: información relacionada con la identificación de los intervinientes, las claves públicas y direcciones o cuentas empleadas (o identificadores equivalentes), naturaleza y fecha de las transacciones y cantidades transferidas.
- Transparencia de las personas jurídicas
Al considerar que los PSAV pueden ser tanto personas físicas como personas jurídicas, se recuerda a los países que deben adoptar las medidas adecuadas para evitar el uso indebido de las mismas.
Además, se requiere que los países se aseguren de que los proveedores de servicios también evalúen y mitiguen sus riesgos de BC/FT e implementen la gama completa de medidas preventivas siguiendo las Recomendaciones del GAFI.
Por último, no hay que olvidar la necesaria coordinación con las autoridades pertinentes para garantizar la compatibilidad de los requisitos necesarios a efectos de PBC/FG con las normas de protección de datos, privacidad y disposiciones similares.
El GAFI, en la Declaración pública sobre activos virtuales y proveedores relacionados de 21 de junio de 2019, hace un llamamiento a todos los países para que adopten medidas para la implementación de sus Recomendaciones en el contexto de las actividades relacionadas con los activos virtuales y reconoce que “la amenaza del uso delictivo y terrorista de los activos virtuales es grave y urgente”. Por ello, el GAFI ha informado que supervisará la implementación de los nuevos requisitos por parte de países y proveedores de servicios y realizará una revisión anual en junio de 2020.
En España, por el momento, la Autoridad competente (SEPBLAC o Banco de España) no se ha pronunciado sobre el Sector de las Criptomonedas o Activos Virtuales, ni se ha transpuesto la 5ª Directiva AML, cuyo plazo finalizaba el pasado 10 de enero de 2020 (art. 4 de la directiva) y que, si bien no incluye los Activos Virtuales, prevé la inclusión de los Exchagers o Plataformas de Cambio de Monedas Virtuales dentro del ámbito de aplicación de la Cuarta Directiva de Blanqueo 4AMLD.
La situación en la que nos encontramos actualmente respecto a este sector en España es que no se permite el Registro del Representante de Prevención de los Proveedores de Servicios de Monedas o Activos Virtuales, alegando que no se encuentran dentro del ámbito de aplicación de la Normativa Española de Blanqueo de Capitales (art. 2 de la Ley 10/2010 de Prevención de Blanqueo).
Podemos concluir que España tiene varias tareas pendientes en cuanto a la regulación de las criptomonedas: además de adoptar las medidas necesarias que incorporen las Recomendaciones del GAFI respecto a los Activos Virtuales, está obligada a modificar la normativa relativa al Blanqueo de Capitales para incluir dentro del ámbito de aplicación a las Plataformas de Cambio de monedas Virtuales y Proveedores de Monederos o Wallets de Monedas Virtuales.
No obstante, si ya se preveía un retraso considerable para la modificación de dichas normas como venía siendo habitual, la crisis en la que nos encontramos provocada por la COVID-19 no hace sino aumentar la sensación de inseguridad ante el vacío legal existente en el sector. En estos momentos, se hace especialmente necesario un pronunciamiento al respecto de la Autoridad Competente.
Alina Nastasache y Gonzalo de la Cruz
DPO&ITLaw (Integrado en Club Legal)