El sector de los criptoactivos ha experimentado un significativo crecimiento en los últimos años, siendo un reflejo de ello la reciente aprobación de los primeros fondos de inversión cotizados o ETFs de Bitcoin al contado en Estados Unidos. Paralelamente a ello, se ha producido un importante incremento en las regulaciones específicas —algunas anunciadas y otras ya en vigor— para los proveedores de servicios de criptoactivos (o «VASPs» por sus siglas en inglés), que se suman a su vez a las exigencias legales del cumplimiento normativo o corporate compliance que, en su conjunto, generan un entorno complejo que en ocasiones genera «parálisis por cumplimiento».
Las empresas del sector financiero buscan posicionarse como líderes en cumplimiento normativo y anticiparse a un marco regulatorio cada vez más estricto, no solo para garantizar mayor seguridad y evitar sanciones significativas, sino también para mantener su operatividad. Actualmente, se enfrentan a un «laberinto regulatorio» compuesto por tres bloques principales: regulaciones financieras, normativas fiscales y de prevención de blanqueo de capitales, y normativas transversales.
En primer lugar, respecto a la normativa regulatoria y financiera, encontramos las adaptaciones normativas, que son las más recientes y afectarán a todos los VASPs que realicen actividades de custodia o de intercambio de moneda fiat por criptoactivos, así como a los emisores de esta clase de activos, incluidos los considerados instrumentos financieros. Si bien las casuísticas son muy diversas, estos VASPs deberán cumplir con los nuevos Reglamentos Europeos «MICA», el Régimen Piloto, o el DORA, entre otros, y las nuevas adaptaciones normativas nacionales. Además, se suman nuevas regulaciones y criterios sobre la protección de los usuarios y de los inversores, así como a las medidas de seguridad con las que deben contar a nivel informático y a los requisitos registrales en cuanto a sus actividades. Es el bloque normativo más reciente y en desarrollo, siendo muchos de sus aspectos poco funcionales, o bien estando pendientes de desarrollar, lo que genera en ocasiones bloqueos a avances en el sector que no nos permiten ser competitivos con otras jurisdicciones.
En segundo lugar, el bloque relativo a la materia fiscal y de prevención del blanqueo de capitales y financiación del terrorismo, aunque más consolidado por su larga aplicación, sigue siendo complejo. Y es que los VASPs, dependiendo de su actividad y operativa, estarán sometidos en virtud de estas normativas a la implementación de procesos de KYC («Know your costumer») para identificar a sus usuarios, así como a establecer sistemas informáticos que permitan llevar a cabo un cumplimiento íntegro de la Ley 10/2010 (LA LEY 8368/2010) de prevención del blanqueo de capitales. A efectos fiscales también se introducen multitud de nuevas obligaciones, como la presentación obligatoria de modelos tributarios específicos para informar sobre las operaciones de los usuarios; o también la conocida como «Travel Rule», obligaciones que, si bien deben aumentar la protección del usuario, aumentan también sustancialmente su control.
En cuanto a la normativa transversal o común, se presentan nuevos retos jurídicos que deben abordarse de manera precisa y rigurosa
Por último, en cuanto a la normativa transversal o común, se presentan nuevos retos jurídicos que deben abordarse de manera precisa y rigurosa. Este será el caso, entre otros, de la implementación y cumplimiento de la normativa relativa a la Protección de Datos personales que, en el entorno de la blockchain plantea importantes retos en lo referido al ejercicio de derechos y en cuanto a la limitación del tratamiento. De ahí que sea esencial hacer un seguimiento a la posible implementación de nuevas soluciones, como lo pueden ser las tecnologías «Zero Knowledge», que en sintonía con los protocolos internos para el cumplimiento normativo pueden tener un impacto relevante en esta materia.
No obstante, los VASP normalmente no tienen el control de las blockchain y en lo referido a los servicios que estos prestan tratarán datos personales que comportan riesgos considerables, como lo son documentos de identidad, direcciones y datos de pago, entre otros, que deberán tratarse de conformidad con las regulaciones de protección de datos vigentes. De igual forma, a los VASPs les serán de aplicación otras obligaciones que tendrán que tener en cuenta a nivel de cumplimiento normativo, como lo puede ser el Canal de Denuncias establecido por la Ley 2/2023 (LA LEY 1840/2023) y las obligaciones relativas a la preparación e implementación de Planes de Igualdad establecidas por la Ley Orgánica 3/2007 (LA LEY 2543/2007) y el Real Decreto 901/2020 (LA LEY 18711/2020).
Definitivamente, los VASP no son ajenos a este contexto marcado por la amplia y compleja gama de obligaciones en materia de cumplimiento normativo, siendo la capacidad de adaptación determinante para su supervivencia.
Esto implica que los VASP deben llevar a cabo una constante vigilancia del entorno regulatorio, así como una implementación constante de sistemas y procesos que permitan una adaptación eficaz a estos cambios. Para ellos, un buen punto de partida sería utilizar la estructura de la norma ISO 37301 de Sistema de Gestión de Compliance.
En última instancia, el desafío de cumplir con las regulaciones es solo el comienzo. Los VASP que deseen destacar no solo deben cumplir, sino liderar y participar activamente en la definición del entorno regulatorio. Al hacerlo, moldearán el futuro de un ecosistema financiero más inclusivo y accesible, construyendo también una fuerte posición competitiva en el mercado.