La EBA pone a consulta sus directrices sobre riesgos de blanqueo de capitales y de financiación del terrorismo con criptoactivos

15-06-2023 — AR/2023/069

La autoridad europea incorpora al ámbito de las nuevas directrices a los proveedores de servicios sobre criptoactivos, y matiza y aclara aspectos que las entidades de crédito y financieras deben tener en cuenta para identificar y mitigar los riesgos de blanqueo de capitales y financiación del terrorismo.

La Autoridad Bancaria Europea (ABE o EBA, por sus siglas en inglés) ha iniciado una consulta pública, que estará abierta hasta el 31-8-2023, para recopilar comentarios sobre las enmiendas a sus directrices sobre factores de riesgo de blanqueo de capitales y financiación del terrorismo (BCyFT) aplicables a entidades de crédito y financieras, definidas conforme a la directiva sobre la prevención de la utilización del sistema financiero para el BCyFT (conocida como Quinta Directiva).1

Los cambios que plantea:

  • amplían el alcance de estas directrices a los proveedores de servicios sobre criptoactivos,
  • introducen una directriz sectorial específica para estos (directriz 21), e
  • incorporan aclaraciones en las directrices aplicables a las entidades de crédito y financieras.

Exponemos a continuación algunos de los aspectos más relevantes de las futuras directrices.

Aplicación de las directrices

Contexto

Según el supervisor europeo, los criptoactivos:

  1. se caracterizan por su alta sensibilidad para la prevención del BCyFT, pues, dado su registro descentralizado y la posibilidad de transacciones anónimas, pueden utilizarse para ocultar el origen ilícito de fondos y facilitar actividades delictivas;
  2. generan, en consecuencia, riesgos de BCyFT y, por ello, es muy relevante evaluar los factores de riesgo de los servicios relacionados con ellos e implantar medidas de mitigación sólidas para prevenir y detectar casos de BCyFT.

Aplicación a los proveedores de servicios sobre criptoactivos

Las nuevas directrices extenderán el ámbito de aplicación a estos proveedores y a las operaciones realizadas por ellos.

Modificaciones aplicables al resto de sujetos obligados

El texto puesto a consultas recoge asimismo actualizaciones aplicables al resto de sujetos obligados, entre las que destacamos las siguientes:

  1. Ajuste de la directriz 2 para indicar que, al identificar factores de riesgo de BCyFT, las entidades financieras deben valorar si las actividades de sus clientes sobre criptoactivos pueden exponerlas a un riesgo superior.
  2. Modificación de la directriz 9 para dejar claro que los bancos deben ser conscientes de que algunos proveedores de servicios de criptoactivos permanecen fuera del ámbito de regulación y de supervisión de la Unión Europea o de otros países —incluido el de la prevención del BCyFT— y, por lo tanto, pueden presentar mayores riesgos en este terreno. De ahí que las nuevas directrices recojan ciertas medidas mínimas para mitigar esos riesgos.

Factores de riesgo de la operativa de criptoactivos

La EBA recaba comentarios sobre las variables, los factores de riesgo y las medidas que los proveedores de servicios sobre criptoactivos han de tener en cuenta al entablar una relación de negocio o realizar operaciones de criptoactivos con los clientes, aspectos que se abordan en la directriz 21.

Además de los factores de riesgo intersectoriales, las directrices se centran en los que pueden aumentar o reducir los riesgos en ámbitos diferentes cuando se prestan servicios sobre criptoactivos.

Resaltamos algunos de ellos a continuación.

Factores de riesgo y mitigadores relacionados con los productos, servicios y operaciones

Pueden aumentar el riesgo de BCyFT:

  • los productos ofrecidos por los proveedores que aumenten la privacidad u ofrezcan mayores garantías de anonimato;
  • la aplicación descentralizada de criptoactivos, que no esté controlada o influenciada por una persona física o jurídica (genéricamente conocida como finanzas descentralizadas o DeFi);
  • los productos que permitan operaciones entre la cuenta del cliente y direcciones autoalojadas (self-hosted addressess) o los denominados criptocajeros u otro hardware que implique el uso de efectivo o dinero electrónico; o
  • los productos que impliquen nuevas prácticas comerciales.

Contribuyen a reducir el riesgo:

  • productos que tienen una funcionalidad reducida (por ejemplo, volúmenes o valores de operaciones reducidos); o
  • productos que solo estén disponibles para determinadas categorías de clientes.

Factores de riesgo y mitigadores relacionados con el cliente

En relación con la naturaleza del cliente y su comportamiento, aumenta el riesgo que el cliente:

  • indique que el propósito de la relación de negocio es invertir:
    • en una initial coin offering (ICO), o
    • en un producto que ofrece una alta rentabilidad, o
    • en un criptoactivo que no esté respaldado por un whitepaper aprobado por el reglamento MiCA;2
  • pretenda abrir varias cuentas de criptoactivos con el proveedor;
  • intente eludir la aplicación de medidas de diligencia debida reforzadas mediante la transferencia de importes por debajo de los umbrales previstos en la normativa.

Ayudan a reducir el riesgo:

  • que el proveedor conozca adecuadamente al cliente por relaciones de negocio previas; o
  • que al realizar el cambio a moneda fiduciaria, el origen o el destino de los fondos sea la propia cuenta bancaria del cliente en una entidad de crédito de una jurisdicción considerada de bajo riesgo por el proveedor.

Factores de riesgo y mitigadores relacionados con el canal

Respecto al canal utilizado para iniciar las relaciones de negocio, aumenta el riesgo:

  • las relaciones iniciadas con soluciones de alta de clientes a distancia que no cumplan las directrices de la EBA sobre esta cuestión;3
  • la utilización de nuevos canales de alta de clientes o nuevas tecnologías para distribuir criptoactivos que no se hayan probado o usado antes; o
  • el inicio de la relación de negocio a través de criptocajeros, que aumenta el riesgo por el uso de efectivo.

Contribuye a mitigar el riesgo:

  • la aplicación de medidas reforzadas de diligencia debida por entidad situada en la Unión Europea.

Factores de riesgo y mitigadores en el ámbito geográfico

Aumenta el riesgo en este ámbito, además de los factores de riesgo ya conocidos de operar desde o hacia jurisdicciones consideradas de riesgo:

  • la participación en la minería de criptoactivos en jurisdicciones de alto riesgo o en una jurisdicción sujeta a medidas restrictivas o a sanciones financieras específicas.

Medidas de diligencia debida

Medidas reforzadas

Cuando el riesgo asociado a una operación con criptoactivos sea superior al promedio, los proveedores deberán tomar, entre otras, las siguientes medidas reforzadas de diligencia debida:

  1. Verificar la identidad del cliente y del titular real.
  2. Contrastar la identidad de los accionistas mayoritarios que no sean titulares reales.
  3. Obtener mayor información sobre el cliente y la naturaleza de la relación de negocio.
  4. Recabar evidencias sobre el origen de los fondos y el patrimonio de procedencia de los criptoactivos.
  5. Aumentar la supervisión de las operaciones sobre criptoactivos.
  6. Realizar un seguimiento reforzado de la relación de negocio, cuando el riesgo asociado a ella sea especialmente elevado.

Medidas simplificadas

Cuando una operación se califique como de bajo riesgo, los proveedores estarán facultados para tomar medidas simplificadas de diligencia debida, como las siguientes:

  1. Verificar la identidad de los clientes sujetos a un régimen legal de autorización y regulación de la Unión Europea.
  2. Actualizar la documentación sobre las medidas de diligencia debida reforzada, solo cuando se produzcan eventos específicos.
  3. Reducir la frecuencia del seguimiento de las operaciones para los productos que implican operaciones recurrentes, como en el caso de la gestión de carteras.

Mantenimiento de la documentación

Conservar la información sobre los clientes y operaciones con criptoactivos dentro de la tecnología de registro distribuido (TRD o DLT, en siglas inglesas) no exime a los sujetos obligados de cumplir con sus responsabilidades de conservación conforme a la Quinta Directiva.

Aplicación

Las directrices serán aplicables a los 6 meses de su publicación en la web de la EBA en todas las lenguas oficiales de la UE.


1 Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo, y la Directiva 2006/70/CE de la Comisión.
Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) n.º 1093/2010 y (UE) n.º 1095/2010, y las Directivas 2013/36/UE y (UE) 2019/1937.
3 Directrices EBA/GL/2022/15 sobre el uso de soluciones de alta de clientes a distancia con arreglo al artículo 13, apartado 1, de la Directiva (UE) 2015/849.