Volver a página de inicio

Obligaciones en materia de blanqueo de capitales de los proveedores de servicios de criptoactivos tras la aprobación del Reglamento (UE) «TFR» 2023/1113

Javier Cuairán García

Abogado Senior ONTIER

Diario LA LEY, Nº 10327, Sección Tribuna, 13 de Julio de 2023, LA LEY

LA LEY 6205/2023

I. El Reglamento TFR

Después de un periplo legislativo de casi tres años, y tras la aprobación por Parlamento Europeo el 20 de abril de 2023, con 517 votos a favor frente a 38 en contra, y posterior ratificación del Consejo, el pasado 9 de junio de 2023 se publicó en el Diario Oficial de la Unión Europea (DOUE) el Reglamento relativo a los mercados de criptoactivos, conocido como elReglamento «MiCA»(por sus siglas en inglés,Markets in Crypto-Assets) con el firme propósito de poner coto a las prácticas abusivas de mercado,

De igual manera, ese mismo día se publicó un segundo Reglamento en el DOUE, tramitado en paralelo a MICA, relativo a la lucha contra el blanqueo de capitales y financiación del terrorismo en materia de criptoactivos que ha pasado más desapercibido.

Se trata del Reglamento TFR (por sus siglas en inglés, Transfer of Funds Regulation) «relativo a la información que acompaña a las transferencias de fondos y de determinados criptoactivos» e inspirado en la Recomendación 16 del Grupo de Acción Financiera Internacional (GAFI) sobre transferencias electrónicas (1) , denominada coloquialmente «Travel Rule» («Regla de Viaje»).

II. Antecedentes normativos

El Reglamento TFR refunde el Reglamento (UE) 2015/847, de 20 de mayo de 2015 (LA LEY 9452/2015), relativo a la información que acompaña a las transferencias de fondos, adoptado para garantizar la aplicación uniforme en toda la Unión de los requisitos del GAFI sobre los proveedores de servicios de transferencias electrónicas y, en particular, la obligación de los proveedores de servicios de pago de acompañar las transferencias de fondos de información sobre el ordenante y el beneficiario.

Este Reglamento (UE) 2015/847 (LA LEY 9452/2015) fue posteriormente complementado por las Recomendaciones revisadas del GAFI, de 21 de junio de 2019, sobre nuevas tecnologías, orientadas a regular los activos virtuales y los proveedores de servicios de activos virtuales.

III. Ratio essendi

El Reglamento FTR nace con el fin de combatir la facilidad comisiva que entraña el (mal) uso de los criptoactivos para ocultar el rastro del dinero de origen ilícito, en la tendencia internacional de lucha contra el blanqueo de capitales y la financiación del terrorismo.

Por un lado, las transferencias de criptoactivos presentan los riesgos propios de la tecnología blockchain como es el hecho de que se lleva a cabo de manera pseudoanónima, en múltiples países o territorios y a mayor escala y velocidad que las transferencias FIAT y, por otro lado, presentan al mismo tiempo una mayor dificultad para seguir su trazabilidad al posibilitar la estructuración de una gran transacción en cantidades más pequeñas, al servirse de múltiples direcciones basadas en la tecnología de registro distribuido aparentemente no relacionadas (especialmente, las direcciones basadas en la tecnología de registro distribuido de un solo uso) y al emplear procesos automatizados, sin contar la dificultad para detectar transacciones relacionadas que lleva implícita su alta volatilidad y fluctuación de valor.

IV. Objeto

El Reglamento TFR impone dos obligaciones fundamentales a los proveedores de servicios de criptoactivos: (i) la de acompañar a las transferencias de activos virtuales la información sobre los ordenantes (denominados «originantes» en el Reglamento) y los beneficiarios de dichas transferencias, manteniendo y compartiendo esa información con su contraparte y poniéndola a disposición, si fuera el caso, de las autoridadescompetentes, previa solicitud de éstas para prevenir, detectar e investigar operaciones inusuales o sospechosas; (ii) así como la de establecer políticas, procedimientos y controles internos eficaces para reducir los riesgos de las conductas tipificadas como infracción o delito de blanqueo de capitales y financiación del terrorismo a las que están expuestos.

V. Ámbito objetivo y subjetivo de aplicación

Hasta la aprobación del Reglamento TFR, la normativa existente contaba con dos claras limitaciones:

• • En primer lugar, la Directiva (UE) 2015/849 (LA LEY 9450/2015), a pesar de que fue modificada por la Directiva (UE) 2018/843 (LA LEY 9923/2018) (la conocida como «Quinta Directiva» en materia de blanqueo de capitales y financiación del terrorismo), únicamente recogíados categorías de proveedores de servicios de criptoactivos como sujetos obligados: (i) los proveedores de servicios de custodia de monederos electrónicos (ii) y los proveedores que prestan servicios de cambio de monedas virtuales por monedas fiduciarias.

  El Reglamento TFR incluye ahora una gama más amplia de proveedores de servicios de criptoactivos con el fin de garantizar que todos estén sujetos a los mismos requisitos y al mismo nivel de supervisión que las entidades de crédito y financieras siempre que, al menos uno de los proveedores de servicios participantes en una transferencia de criptoactivos tenga su domicilio social en un Estado miembro. Así, se entiende por entidades prestadoras servicios de criptoactivos las que realicen funciones de:

  • ○ custodiayadministraciónde criptoactivos por cuenta de terceros;
  • ○ explotación de una plataforma de negociaciónde criptoactivos;
  • ○ canje de criptoactivos por una moneda FIATde curso legal;
  • ○ canje de criptoactivos por otros criptoactivos;
  • ○ ejecución de órdenes relacionadas con criptoactivospor cuenta de terceros;
  • ○ colocaciónde criptoactivos;
  • ○ recepción y transmisión de órdenesrelacionadas con criptoactivos por cuenta de terceros; y,
• • Por otro lado, el Reglamento (UE) 2015/847 (LA LEY 9452/2015) únicamente se aplica a las transferencias de fondos, esto es, a los billetes y las monedas, el dinero escritural y el dinero electrónico. El Reglamento TFR amplía también su ámbito de aplicacióna las transferencias de activos virtuales, en el entendimiento de que estas últimas son igualmente utilizadas por los ciberdelincuentes para dañar la integridad, estabilidad y reputación del mercado interior de la Unión, aprovechando la libre circulación de capitales del espacio comunitario.

VI. Obligaciones impuestas a los proveedores de criptoactivos

El Reglamento TFR hace hincapié en la importancia del seguimiento de las transferencias de criptoactivos como herramienta particularmente valiosa en la prevención, detección e investigación del blanqueo de capitales y de la financiación del terrorismo, motivo por el que impone a los proveedores de servicios de criptoactivos (intermediarios (2) o no) las siguientes dos obligaciones:

(i) En primer lugar, la obligación de acompañar las transferencias de criptoactivosde informaciónsobre el originante y el beneficiario, con independencia de su importe (3) (a diferencia de lo que ocurre con las transferencias de fondos, cuyo deber de verificación se encuentra situado en el umbral de los 1.000€), especialmente cuando se efectúen transacciones con entidades no pertenecientes a la Unión Europea que no estén reguladas, registradas ni autorizadas en ningún tercer país, o con direcciones autoalojadas (4) .

Esta obligación de información debe aplicarse atodas las transferencias, incluidas las realizadas hacia o desde una dirección autoalojada siempre queparticipeun proveedor de servicios de criptoactivos (5) , así como las realizadas mediante los criptocajeros automáticos que permiten a los usuarios realizar transferencias de criptoactivos a una dirección de criptoactivos mediante un depósito en efectivo, a menudo sin ninguna forma de identificación ni verificación del cliente, lo que favorece el anonimato, convirtiéndolos en un vehículo idóneo para la comisión de actividades ilícitas al ofrecer la posibilidad de operar libremente con dinero en efectivo de origen desconocido.

Descendiendo al detalle de estas obligaciones de información, de un lado, el proveedor de servicios de criptoactivos del originante deberá asegurarse de que las transferencias de criptoactivos vayan acompañadas de la siguiente información respecto a las transferencias de criptoactivos que se produzcan desde la Unión Europea a terceros Estados:

• a) el nombre del originante y del beneficiario;
• b) ladirección de registro distribuido del originante y del beneficiario, en los casos en los que una transferencia de criptoactivos haya sido registrada en una red que utilice tecnología de registro distribuido o una tecnología similar y el número de cuenta de criptoactivosdel originante y del beneficiario, cuandodichacuentaexista yse utilice para tramitar la operación;
• c) el número de cuenta de criptoactivos del originante y del beneficiario, en los casos en los que una transferencia de criptoactivos no haya sido registrada en una red que utilice tecnología de registro distribuido o una tecnología similar;
• d) la dirección del originante,incluido el nombre del país, el número del documento oficial de identidadyel número de identificación o,alternativamente, su fecha y lugar de nacimiento; y
• e) cuando exista el campo necesario en el formato de mensaje pertinente y el originante lo facilite a su proveedor de servicios de criptoactivos, el LEI (6) actual del originante y el beneficiario o, a falta de este, cualquier otro identificador oficial equivalente del originante y del beneficiario de que se disponga.

Esta información debe presentarse de manera segura y previamente a la transferencia de criptoactivos o al mismo tiempo que esta.

Con carácter previo a realizar una transferencia de criptoactivos, el proveedor de servicios de criptoactivos del originante deberá verificar la exactitud de la información por medio de documentos, datos o información proveniente de una fuente fiable e independiente, no permitiendo el inicio de ningunatransferencia de criptoactivos,ni mucho menos su ejecuciónsin antes cerciorarse de que la información se encuentra completa.

De otro lado, el proveedor de servicios de criptoactivos del beneficiario determinará, en función de un análisis previo de riesgos, si ha de ejecutarse, rechazarse, devolverseo suspenderseuna transferencia de criptoactivos que no contenga toda la información requerida sobre el originante y el beneficiario. En todo caso, solicitará la información requerida sobre el originante y el beneficiario antes de poner los criptoactivos a disposición del beneficiario y si, de forma reiterada, el proveedor de servicios de criptoactivos no facilitara esta información, el proveedor de servicios de criptoactivos del beneficiario estará facultado para rechazar directamente toda transferencia decriptoactivosque provenga o tenga como destino dicho proveedor de servicios de criptoactivos e, incluso, poner fin a la relación comercial con él.

(ii) En segundo lugar, la obligación de disponer de políticas, procedimientos y controles internos eficaces, basados en el riesgo, al objeto de garantizar la aplicación de estas medidas restrictivas, y con el fin de minorar los factores de riesgo enumerados en el anexoIII de la Directiva (UE)2015/849 (7) .

No hay distinción. Al igual que el resto de entidades obligadas, los proveedores de servicios de criptoactivos deberán evaluar y supervisar los riesgos relacionados con sus clientes, productos y canales de entrega, especialmente:

ii.i. cuando realicen transferencias hacia o desde direcciones autoalojadas, las cuales deberán estar sometidas a medidas reforzadas de diligencia debida en caso de que la información sobre el originante o el beneficiario sea inexacta, o cuando se observen patrones inusuales o sospechosos en las operaciones;

ii.ii. en la medida en que no existe uniformidad en la aplicación de las normas del GAFI a escala mundial en lo que respecta a las transferencias de criptoactivos, las relaciones establecidas entre los proveedores de servicios de criptoactivos y las entidades establecidas en terceros países a efectos de ejecutar transferencias de criptoactivos o la prestación de servicios similares de criptoactivos, deberán estar sujetas a medidas reforzadas de diligencia debida similares a las aplicadas en el contexto de los servicios bancarios y financieros tradicionales, esto es, la identificación y evaluación de la exposición al riesgo de dicha entidad sobre la base de su reputación, la calidad de la supervisión y sus controles en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo; y,

ii.iii. como se ha dicho, el proveedor de servicios de criptoactivos del beneficiario deberá aplicar procedimientos eficaces para detectar los casos en los que reciban transferencias de criptoactivossin información o con información incompleta sobre el originante o el beneficiarioy, en consecuencia, decidir si se ejecuta, se rechaza o se suspende la transferencia, así como determinar las oportunas medidas, esto es, si debe considerarse inusual y si debe informarse de ello a la Unidad de Inteligencia Financiera (en España, el SEPBLAC) de conformidad con la Directiva (UE) 2015/849 (LA LEY 9450/2015) y el apartado 1 del artículo tercero del Real Decreto-Ley 7/2021 (LA LEY 9105/2021) que la traspone en nuestro país (8) .

En consonancia con la Directiva comúnmente conocida como Whistleblowing, y su transposición a nuestro ordenamiento mediante la entrada en vigor de la reciente Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (LA LEY 1840/2023), el Reglamento RTF establece que los proveedores de servicios de pago y los proveedores de servicios de criptoactivos, en cooperación con las autoridades competentes, implantarán los procedimientos internos adecuados para que sus empleados o aquellas personas que ocupen una posición similar, comuniquen las infracciones a nivel interno a través de un canal seguro, independiente, específico y anónimo, proporcional al tipo y al tamaño del proveedor de servicios de pago o del proveedor de servicios de criptoactivos de que se trate.

El Reglamento también menciona que la Autoridad Europea de Supervisión (ABE) deberá emitir directrices para orientar a los proveedores de servicios de criptoactivos sobre cómo llevar a cabo la diligencia debida reforzada cuando interactúen con entidades no registradas o no autorizadas que presten servicios de criptoactivos, así como para instaurar procedimientos eficaces con el fin de detectar casos en los que reciban transferencias de criptoactivossin información o con información incompleta sobre el originante o el beneficiario, tomando las medidasefectivascorrespondientes.

VII. Exclusiones

El Reglamento TFR no aplica a (i) las personas que únicamente proporcionan infraestructuras auxiliares, como servicios de red e infraestructura de internet, servicios en la nube o desarrolladores de programas informáticos que permitan a otra entidad prestar servicios de transferencia de criptoactivos, a menos que realicen transferencias de criptoactivos; (ii) ni a las transferencias de criptoactivos entre particulares realizadas sin la participación de un proveedor de servicios de criptoactivos, ni en los casos en que tanto el originante como el beneficiario sean proveedores de servicios de transferencias de criptoactivos que actúen por cuenta propia; (iii) ni, por último, a los criptoactivos únicos y no fungibles (NFTs), a menos que estén clasificados como criptoactivos de conformidad con lo dispuesto en el Reglamento MiCA.

VIII. Tratamiento de datos personales y conservación de la información

Respecto al tratamiento de datos personales, el Reglamento TFR debe cumplir plenamente con lo dispuesto en el Reglamento (UE)2016/679, por lo que se prohíbe expresamente el tratamiento de datos de carácter personal con fines comerciales.

Los proveedores de servicios de criptoactivos deben conservar la información del originante y del beneficiario durante un plazo de cinco años, salvo que la legislación nacional disponga lo contrario.Solo si resultara necesario a los efectos de prevenir, detectar o investigar las infracciones o delitos de blanqueo de capitales y de financiación del terrorismo, y tras llevar a cabo una evaluación de la necesidad y la proporcionalidad de la medida, los Estados miembros podrán conservar los registros por un plazo adicional de no más de cinco años, «sin perjuicio de las disposiciones del Derecho penal nacional en materia de pruebas aplicables a las investigaciones penales y los procedimientos judiciales en curso».

IX. Régimen sancionador

Finalmente, los Estados miembros deben establecer sanciones y medidas administrativas que resulten eficaces, proporcionadas y disuasorias. A este respecto, ha de resaltarse que el Reglamento TFR considerará responsables a todas aquellas personas que, «actuando a título particular o como parte de un órgano de la persona jurídica, ostente un cargo directivo en el seno de dicha persona jurídica» (9) , hayan hecho posible la comisión, por una persona bajo su autoridad, y en beneficio de dicha persona jurídica, de alguna de las siguientes infracciones, en el mismo sentido que el actual artículo 31 bis de nuestro Código Penal (LA LEY 3996/1995):

• a) el incumplimiento repetido o sistemático por parte de los proveedores de servicios de criptoactivos dela obligación de acompañar a la transferencia de fondos la información obligatoria sobre el originante o el beneficiario;
• b) el incumplimiento repetido, sistemático o grave por parte de los proveedores de servicios de criptoactivos de la obligación de conservar la información; y,
• c) el incumplimiento por parte de los proveedores de servicios de criptoactivos de la obligación de implantar procedimientos eficaces, basados en el riesgo.

X. Entrada en vigor

Ambos Reglamentos, MiCA y TFR, fueron aprobados por el Parlamento Europeo el 20 de abril de 2023 primero, y por el Consejo el 16 de mayo de 2023 después, habiéndose publicado el 9 de junio de 2023 en el Diario Oficial de la Unión Europea, por lo que entrará en vigor transcurridos veinte días desde su publicación (29 de junio de 2023) y será de aplicación tras un período de adaptación de entre 12 y 18 meses, según el caso, para que las empresas puedan cumplir con sus exigencias.

(1)

«Transferencias electrónicas:

Los países deben asegurar que las instituciones financieras incluyan la información sobre el originador que se requiere, y que ésta sea precisa, así como la información requerida sobre el beneficiario, en las transferencias electrónicas y mensajes relacionados, y que la información permanezca con la transferencia electrónica o mensaje relacionado a lo largo de toda la cadena de pago.

Los países deben asegurar que las instituciones financieras monitoreen las transferencias electrónicas con el propósito de detectar aquellas que carezcan de la información requerida sobre el originador y/o beneficiario, y tomar las medidas apropiadas.

Los países deben asegurar que, en el contexto del procesamiento de las transferencias electrónicas, las instituciones financieras tomen medidas para congelar y deben prohibir la realización de transacciones con personas y entidades designadas, según las obligaciones plasmadas en las resoluciones pertinentes del Consejo de Seguridad de las Naciones Unidas, como la Resolución 1267 (1999) y sus resoluciones sucesoras, y la Resolución 1373 (2001), relativa a la prevención y represión del terrorismo y el financiamiento del terrorismo».

Ver Texto

(2)

«Proveedor de servicios de criptoactivos intermediario» es todo proveedor de servicios de criptoactivos, que no sea el proveedor de servicios de criptoactivos del originante ni el del beneficiario, y que reciba y transmita una transferencia de criptoactivos por cuenta del proveedor de servicios de criptoactivos del originante o del beneficiario o de otro proveedor de servicios de criptoactivos intermediario. En consonancia con las normas internacionales, los proveedores de servicios de criptoactivos intermediarios también deben estar sujetos a los requisitos establecidos en el Reglamento TFR, de forma análoga a las obligaciones que recaen sobre los proveedores de servicios de pago intermediarios.

Ver Texto

(3)

Considerando 30 del TFR

Ver Texto

(4)

Una «dirección autoalojada» esuna dirección de registro distribuido no vinculada a un proveedor de servicios de criptoactivos, ni a una entidad no establecida en la Unión que presta servicios similares a los de un proveedor de servicios de criptoactivos

Ver Texto

(5)

La obligación en este caso únicamente es de obtención de la información sobre el originante y sobre el beneficiario, mientras que si se envía o recibe una transferencia superior a 1.000€ en nombre de un cliente de un proveedor de servicios de criptoactivos hacia o desde una dirección autoalojada, dicho proveedor de servicios de criptoactivos debe verificar si dicha dirección autoalojada es propiedad de ese cliente o está bajo su control efectivo.

Ver Texto

(6)

LEI es el identificador de entidad jurídica (por sus siglas en inglés) o, en otras palabras, el código de referencia alfanumérico único basado en la norma ISO17442 asignado a una entidad jurídica.

Ver Texto

(7)

ANEXO III de la Directiva (UE)2015/849:

A continuación, figura una lista no exhaustiva de los factores y tipos de datos para la identificación de situaciones potencialmente de mayor riesgo, contemplados en el artículo 18, apartado 3:

• 1) Factores de riesgo en función del cliente:
  • a) relación de negocios desarrollada en circunstancias excepcionales;
  • b) clientes residentes en las áreas geográficas de mayor riesgo establecidas en el punto 3;
  • c) personas o estructuras jurídicas que constituyen vehículos de gestión del patrimonio personal;
  • d) sociedades con accionistas nominales o acciones al portador;
  • e) empresas que hacen uso intensivo de efectivo;
  • f) estructura de propiedad de la empresa poco habitual o excesivamente compleja, habida cuenta de la naturaleza de sus actividades.
• 2) Factores de riesgo en función del producto, servicio, transacción o canal de distribución:
  • a) banca privada;
  • b) productos o transacciones que podrían favorecer el anonimato;
  • c) relaciones o transacciones comerciales a distancia, sin ciertas salvaguardias, por ejemplo las firmas electrónicas;
  • d) pagos recibidos de desconocidos o terceros no asociados;
  • e) nuevos productos y nuevas prácticas comerciales, incluidos nuevos mecanismos de entrega, y utilización de tecnologías nuevas o en desarrollo para productos nuevos o ya existentes.
• 3) Factores de riesgo en función del área geográfica:
  • a) sin perjuicio de lo dispuesto en el artículo 9, países que, conforme a fuentes fiables como informes de evaluación mutua o de evaluación detallada o informes de seguimiento publicados, no dispongan de sistemas eficaces de lucha contra el blanqueo de capitales y la financiación del terrorismo;
  • b) países que, según fuentes dignas de crédito, tengan niveles significativos de corrupción u otras actividades delictivas;
  • c) países objeto de sanciones, embargos o medidas similares adoptadas, por ejemplo, por la Unión o por las Naciones Unidas;
  • d) países que ofrezcan financiación o apoyo a actividades terroristas, o en cuyo territorio operen organizaciones terroristas designadas.

Ver Texto

(8)

Apartado 1 del artículo tercero del Real Decreto-Ley 7/2021 (LA LEY 9105/2021), de transposición de directivas de la Unión Europea en las materias de competencia, prevención del blanqueo de capitales, entidades de crédito, telecomunicaciones, medidas tributarias, prevención y reparación de daños medioambientales, desplazamiento de trabajadores en la prestación de servicios transnacionales y defensa de los consumidores: «Los sujetos obligados identificarán a cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones.

En ningún caso los sujetos obligados mantendrán relaciones de negocio o realizarán operaciones con personas físicas o jurídicas que no hayan sido debidamente identificadas. Queda prohibida, en particular, la apertura, contratación o mantenimiento de cuentas, libretas de ahorro, cajas de seguridad, activos o instrumentos numerados, cifrados, anónimos o con nombres ficticios».

+

Ver Texto

(9)

Artículo 29.5 del Reglamento TFR.

Ver Texto