+34 960 500 761

«Travel rule» para cripto en Europa: versión final

For English version click here

Hemos tenido conocimiento a través de varios europarlamentarios, que públicamente así lo han manifestado, que hoy se ha aprobado finalmente la nueva normativa sobre prevención de blanqueo de capitales (AML) que va a complementar MiCA (Markets in Crypto Assets) en Europa para las operaciones realizadas con criptoactivos.

Antes de entrar a valorar su contenido, realicemos una aproximación al contexto, que es muy importante:

La norma y su origen

La regulación 2015/847 es una propuesta de modificación de la regulación que establece normas sobre la información de los pagadores y beneficiarios (ordenantes y beneficiarios para las criptotransacciones), que acompañan a las transferencias de fondos y criptoactivos, con el fin de ayudar a prevenir, detectar e investigar el blanqueo de capitales y la financiación del terrorismo. Ya estaba en vigor para entidades no cripto, lo que se pretende ahora es hacerla extensiva a proveedores de servicios cripto (en adelante, CASPs).

Hasta hoy, las operaciones crypto-crypto quedaban en una especie de limbo legal a nivel de prevención de blanqueo (AML, en adelante), pese a que los CASPs si están obligados en casi todos los países europeos, a someterse a determinados registros (como en España, que deben registrarse ante Banco de España en virtud de la Ley 10/2010 de prevención de blanqueo de capitales y financiación del terrorismo), y por ende, deben hacer previamente todo el cumplimiento de AML. Es decir, sin un compliance total en blanqueo, es imposible poder registrarse y por tanto, prestar servicios como CASP te expone a una buena sanción. Pero la obligación de reportar, identificar..etc, este tipo de operaciones no estaba específicamente regulado. Hasta ahora. 

Recomendamos leer este post para tener más información sobre el contexto.

Si entramos a valorar los matices, la normativa del “Transfer of Funds” (TFR) ya se está aplicando en territorios como EEUU, y obliga a los CASPs a dar a las autoridades determinada información sobre sus usuarios, en virtud de las transferencias de criptoactivos que realicen. Para muestra, esto de Coinbase.

¿Qué es el travel rule?

Dentro de las obligaciones derivadas de cumplimiento con la normativa de blanqueo de capitales que se expone en los párrafos anteriores, en 2019 el GAFI propuso hace tiempo la llamada Travel Rule, es decir, la extensión de la regla a los «monederos no custodios«, o monederos personales/privados, que son monederos que no son emitidos ni controlados o alojados por un tercero (exchanges..etc). Esto obligaría a los CASPs a hacer un esfuerzo sobrehumano por identificar a personas dueñas de este tipo de wallets, que sin embargo NO son usuarios ni clientes suyos. Por ejemplo, si un usuario envía dinero desde un ledger a la dirección de un usuario mío, y soy un exchange custodio, tendré que identificarlo y, según el país, reportar la información. 

¿Qué dice la versión final de la norma TFR?

Hemos tenido acceso a lo que posiblemente sea el contenido final del TFR gracias a que uno de los eurodiputados que ha trabajado en ella, que además es español, ha filtrado algunos datos. Cuando la legislación se convierte en arma política, y no en voluntad de aportar valor a una jurisdicción, los resultados suelen no agradar a casi nadie.

  • HOSTED WALLETS.

La norma llama Hosted Wallets a los Wallets custodios de terceros (i.e, cualquier exchange centralizado). No hay debate aquí: se identificará a los usuarios y además aplicará el Travel Rule, que se describe en detalle en el siguiente apartado.

  • UNHOSTED WALLETS.

Wallets privados, o hardware wallets. Estos, han quedado excluidos de la normativa sobre AML solo cuando la transferencia de criptoactivos se produzca de un wallet privado a otro. 

Si la transferencia pretende realizarse desde un exchange centralizado o a uno de estos, desde un wallet privado, entonces aplica el Travel Rule al completo. De esta forma, un exchange que tenga la orden de enviar o recibir fondos a un wallet privado, por encima de 1.000 euros, deberá verificar la identidad del titular real. No del usuario que pueda decir que el propietario, sino del titular real. Además, aquí deberán aplicar medidas de diligencia reforzada. 

Además se creará un listado de aquellos CASPs que incumplan con lo anterior para crear una especie de circuito cerrado de proveedores permitidos en Europa. 

Lo anterior, ya ha sido cuestionado por algunos de nosotros, ya que es posible que este normativa vulnere uno de los grande principios de la UE: el principio de proporcionalidad. De hecho, el TJUE -Tribunal Supremo de la UE- acaba de resolver un caso sobre registros de nombres de pasajeros que ilustra muy bien esta cuestión.

En la decisión el TJUE reafirmó que el derecho de la UE y el derecho nacional deben ser compatibles con los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE. Las leyes destinadas a prevenir o combatir la delincuencia no están en absoluto exentas de este requisito. Y no se trata del GDPR, que es una ley ordinaria de la UE y puede ser sustituida por otras leyes ordinarias de la UE sino de una protección de derechos a nivel constitucional. Las leyes que no lo cumplen no son válidas o, más a menudo, se «reinterpretan» para cumplirlo.

El Tribunal señaló que el régimen de la legislación de la UE sobre los registros de nombres de los pasajeros (en el que usted participa involuntariamente cada vez que vuela en la UE) es un «régimen de vigilancia continuo, no selectivo y sistemático«.

¿Y qué similitudes tenía aquella normativa, con el Travel Rule del Transfer of Funds? En primer lugar, al igual que las normas AML, las normativa cuestionada imponía la retención de datos durante 5 años para los datos de todos los pasajeros, incluso sin ninguna prueba de riesgo – el Tribunal cuestionó esto. El Tribunal decidió que la retención de los datos de todos los pasajeros es desproporcionada, por lo que la legislación de la UE debe interpretarse como si nunca hubiera impuesto tal obligación.

Otro de los reproches del TJUE se refiere al acceso a los datos por parte del Gobierno. La Carta de la UE impone restricciones al uso de los datos, aunque se hayan recogido legalmente. Una de esas restricciones es que la autoridad que decida sobre el uso posterior de los datos debe, por ejemplo, no estar implicada en la investigación penal y tener una «postura neutral frente a las partes del proceso penal». El Tribunal sostuvo que las «UIP» (que son el equivalente del PNR a las Unidades de Inteligencia Financiera en la lucha contra el blanqueo de capitales) no cumplen este requisito. Si se aplica a la lucha contra el blanqueo de capitales, es probable que haya que introducir importantes cambios estructurales: el derecho a la privacidad ha sido un estandarte de la UE, que no puede ahora retorcerse. 

Por último, apuntar que esta norma entrará en vigor a los 18 meses de la entrada en vigor a su vez de MiCA, y que desde ATH21 estamos a vuestra disposición para realizar la adaptación obligatoria para todos los CASPs, una vez sea publicada la misma. No dudes en ponerte en contacto con nosotros aquí.

Sobre ATH21

ATH21 es la primera firma española de servicios legales integrales especializada en crypto y blockchain. Ofrecemos soluciones legales reales para los nuevos modelos de negocios, adaptándonos a cada proyecto, según la jurisdicción del momento en un entorno tan cambiante. Participamos en el desarrollo de proyectos internacionales basados en blockchain y criptoactivos desde 2010.

Artículo escrito por:

Cristina Carrascosa

Cristina Carrascosa

CEO ATH21

cristina@ath21.com

Related posts