La Autoridad Bancaria Europea (ABE o EBA, por sus siglas en inglés) ha iniciado una consulta pública para recopilar comentarios sobre las enmiendas a sus directrices sobre factores de riesgo de blanqueo de capitales y financiación del terrorismo (BCyFT) aplicables a entidades de crédito y financieras, definidas conforme a la directiva sobre la prevención de la utilización del sistema financiero para el BCyFT (conocida como Quinta Directiva). Esta consulta estará abierta hasta el 31 de agosto de 2023.
Esta actuación plantea diferentes cambios, entre ellos ampliar el alcance de estas directrices a los proveedores de servicios sobre criptoactivos; introducir una directriz sectorial específica para estos (directriz 21) e incorporar aclaraciones en las directrices aplicables a las entidades de crédito y financieras.
FinReg360 expone algunos de los aspectos más relevantes de las futuras directrices.
Aplicación de las directrices
Según el supervisor europeo, los criptoactivos se caracterizan por su alta sensibilidad para la prevención del BCyFT, pues, dado su registro descentralizado y la posibilidad de transacciones anónimas, pueden utilizarse para ocultar el origen ilícito de fondos y facilitar actividades delictivas; generan, en consecuencia, riesgos de BCyFT y, por ello, es muy relevante evaluar los factores de riesgo de los servicios relacionados con ellos e implantar medidas de mitigación sólidas para prevenir y detectar casos de BCyFT.
Las nuevas directrices extenderán el ámbito de aplicación a estos proveedores y a las operaciones realizadas por ellos. El texto puesto a consultas recoge asimismo actualizaciones aplicables al resto de sujetos obligados, entre las que destacamos las siguientes:
1.- El ajuste de la directriz 2 para indicar que, al identificar factores de riesgo de BCyFT, las entidades financieras deben valorar si las actividades de sus clientes sobre criptoactivos pueden exponerlas a un riesgo superior.
2.- Modificación de la directriz 9 para dejar claro que los bancos deben ser conscientes de que algunos proveedores de servicios de criptoactivos permanecen fuera del ámbito de regulación y de supervisión de la Unión Europea o de otros países —incluido el de la prevención del BCyFT— y, por lo tanto, pueden presentar mayores riesgos en este terreno. De ahí que las nuevas directrices recojan ciertas medidas mínimas para mitigar esos riesgos.
Factores de riesgo de la operativa de criptoactivos
La EBA recaba comentarios sobre las variables, los factores de riesgo y las medidas que los proveedores de servicios sobre criptoactivos han de tener en cuenta al entablar una relación de negocio o realizar operaciones de criptoactivos con los clientes, aspectos que se abordan en la directriz 21.
Además de los factores de riesgo intersectoriales, las directrices se centran en los que pueden aumentar o reducir los riesgos en ámbitos diferentes cuando se prestan servicios sobre criptoactivos.
Pueden aumentar el riesgo de BCyFT los productos ofrecidos por los proveedores que aumenten la privacidad u ofrezcan mayores garantías de anonimato; la aplicación descentralizada de criptoactivos, que no esté controlada o influenciada por una persona física o jurídica (genéricamente conocida como finanzas descentralizadas o DeFi); los productos que permitan operaciones entre la cuenta del cliente y direcciones autoalojadas (self-hosted addressess) o los denominados criptocajeros u otro hardware que implique el uso de efectivo o dinero electrónico; o los productos que impliquen nuevas prácticas comerciales.
Contribuyen a reducir el riesgo productos que tienen una funcionalidad reducida (por ejemplo, volúmenes o valores de operaciones reducidos); o productos que solo estén disponibles para determinadas categorías de clientes.
En relación con la naturaleza del cliente y su comportamiento, aumenta el riesgo que el cliente indique que el propósito de la relación de negocio es invertir: en una initial coin offering (ICO), o en un producto que ofrece una alta rentabilidad, o en un criptoactivo que no esté respaldado por un whitepaper aprobado por el reglamento MiCA; pretenda abrir varias cuentas de criptoactivos con el proveedor; intente eludir la aplicación de medidas de diligencia debida reforzadas mediante la transferencia de importes por debajo de los umbrales previstos en la normativa.
Ayudan a reducir el riesgo que el proveedor conozca adecuadamente al cliente por relaciones de negocio previas; o que al realizar el cambio a moneda fiduciaria, el origen o el destino de los fondos sea la propia cuenta bancaria del cliente en una entidad de crédito de una jurisdicción considerada de bajo riesgo por el proveedor.
Respecto al canal utilizado para iniciar las relaciones de negocio, aumenta el riesgo las relaciones iniciadas con soluciones de alta de clientes a distancia que no cumplan las directrices de la EBA sobre esta cuestión; la utilización de nuevos canales de alta de clientes o nuevas tecnologías para distribuir criptoactivos que no se hayan probado o usado antes; o el inicio de la relación de negocio a través de criptocajeros, que aumenta el riesgo por el uso de efectivo.
Contribuye a mitigar el riesgo la aplicación de medidas reforzadas de diligencia debida por entidad situada en la Unión Europea.
Aumenta el riesgo en este ámbito, además de los factores de riesgo ya conocidos de operar desde o hacia jurisdicciones consideradas de riesgo la participación en la minería de criptoactivos en jurisdicciones de alto riesgo o en una jurisdicción sujeta a medidas restrictivas o sanciones financieras específicas.
Medidas de diligencia debida
Cuando el riesgo asociado a una operación con criptoactivos sea superior al promedio, los proveedores deberán tomar, entre otras, las siguientes medidas reforzadas de diligencia debida: verificar la identidad del cliente y del titular real, contrastar la identidad de los accionistas mayoritarios que no sean titulares reales, obtener mayor información sobre el cliente y la naturaleza de la relación de negocio, recabar evidencias sobre el origen de los fondos y el patrimonio de procedencia de los criptoactivos, aumentar la supervisión de las operaciones sobre criptoactivos y realizar un seguimiento reforzado de la relación de negocio, cuando el riesgo asociado a ella sea especialmente elevado.
Cuando una operación se califique como de bajo riesgo, los proveedores estarán facultados para tomar medidas simplificadas de diligencia debida, como las siguientes: verificar la identidad de los clientes sujetos a un régimen legal de autorización y regulación de la Unión Europea, actualizar la documentación sobre las medidas de diligencia debida reforzada, solo cuando se produzcan eventos específicos y reducir la frecuencia del seguimiento de las operaciones para los productos que implican operaciones recurrentes, como en el caso de la gestión de carteras.
Mantenimiento de la documentación
Conservar la información sobre los clientes y operaciones con criptoactivos dentro de la tecnología de registro distribuido (TRD o DLT, en siglas inglesas) no exime a los sujetos obligados de cumplir con sus responsabilidades de conservación conforme a la Quinta Directiva.
Por Funds Society, Madrid
