Recordatorio para los exchanges de crtipomonedas: el cumplimiento de los requisitos KYC puede ser una ventaja competitiva

La empresa de análisis blockchain, CipherTrace, publicó un estudio el 1 de octubre que informa que más de la mitad de los exchanges de criptomonedas del mundo tenían procesos de identificación de clientes y contra el lavado de dinero deficientes. El mismo día, el gobierno de Estados Unidos anunció formalmente que presentaba cargos contra BitMex, uno de los principales proveedores de servicios de activos digitales, por «no implementar los procedimientos requeridos contra el lavado de dinero», entre otras cosas.

Los dos acontecimientos, seguramente no relacionados entre sí, parecen, sin embargo, formar parte de un emergente panorama de cumplimiento. Dmitri Laush, CEO de GetID, un proveedor de soluciones de verificación de identidad, le dijo a Cointelegraph: «La reciente demanda de la Comisión de Negociación de Futuros de Productos Básicos de los Estados Unidos contra BitMEX es un buen ejemplo de que los reguladores se toman estos asuntos en serio».

Se debería esperar un escrutinio más regular de los proveedores de servicios de activos virtuales, o VASP, sugirió Laush, y probablemente no se limitará a los exchages de criptomonedas centralizados. Thomas Hardjono, jefe de tecnología de MIT Connection Science and Engineering, dijo a Cointelegraph: «Creo que los exchanges descentralizados tendrán inevitablemente que cumplir con las regulaciones de la Ley de Secreto Bancario estadounidenses y las recomendaciones del Grupo de Acción Financiera (iniciado por el G7)». En cuanto al informe de cumplimiento global de CipherTrace, Laush declaró, «desafortunadamente eso no me sorprende en absoluto». Comentó además:

“Incluso Binance, uno de los exchanges de criptomonedas más grandes y famosos, solía no requerir KYC para retiros por debajo de 2 Bitcoin. Muchos exchanges de cripto a cripto, incluso aquellos con un alto volumen de operaciones, como Huobi y HitBTC, no requieren que los usuarios se sometan a ningún proceso de verificación de identidad».

«Algunos se han quedado rezagados»

Las regulaciones de «Conozca a su cliente» (KYC por sus sigla en inglés) están diseñadas para dificultarle a los criminales ocultar los orígenes del dinero obtenido ilegalmente. Las normas KYC a menudo están vinculadas con las regulaciones contra el lavado de dinero (AML por sus siglas en inglés), pero las AML son más amplias y puede incluir, además de un proceso KYC, pasos como la evaluación de riesgos, la capacitación para el cumplimiento, el monitoreo continuo y las auditorías internas. Elena Hughes, directora de asesoría de cumplimiento en el exchange Gemini, le dijo a Cointelegraph que los hallazgos del informe no son sorprendentes:

«La fuerza y la eficacia del panorama normativo de la lucha contra el lavado de dinero varía ampliamente de una jurisdicción a otra y, si bien muchas jurisdicciones han hecho grandes progresos en el avance de los marcos regulatorios para abordar los singulares aspectos de las criptomonedas, algunas siguen estando rezagadas».

Como ejemplo de cómo KYC puede frustrar a los posibles actores malintencionados, el estudio CipherTrace relató cómo un VASP exigió que el titular de cuenta sospechosa participara en una videollamada para verificar la identidad del individuo, «el titular de la cuenta se negó, impidiéndole utilizar el VASP para lavar fondos», decía el estudio. Además, los procesos KYC pueden ir más allá de la simple comprobación de la identidad para incluir «documentos que demuestren tu dirección. por ejemplo, factura de servicios públicos o la fuente de ingresos, como un contrato laboral», según Laush, quien luego añadió:

«Cuando se trata de grandes clientes que desean comerciar o retirar grandes cantidades de dinero, se pueden aplicar procedimientos de diligencia debida con respecto al cliente, que incluyen comprobaciones de listas de vigilancia de sanciones y de listas de personas políticamente expuestas, entre otras cosas».

Hardjono también dijo que no estaba sorprendido por los hallazgos del estudio, dado que la industria de los VASP está todavía en sus primeras etapas: «La industria cripto debería darse un plazo o una fecha límite, es decir, un punto en el que deberían cumplir con las normas KYC al mismo grado que los bancos y las instituciones financieras tradicionales». Añadió además que «la industria cripto podría acordar que para finales de 2023 la mayoría cumplirá con las regulaciones KYC de los Estados Unidos».

Claramente los exchanges deben mejorar, continuó Hardjono. Primero, deben invertir en la construcción de sus infraestructuras internas de cumplimento KYC. «Esto puede significar la adopción de normas emergentes, como la Alianza para el intercambio de información de la Regla de viaje que permitan la identificación de VASP a VASP». Segundo, cree que necesitarán invertir en soluciones de protección y privacidad de datos para la información de los clientes, particularmente porque algunas jurisdicciones, como la Unión Europea, tienen fuertes regulaciones de privacidad.

¿Una paradoja europea?

Cunado se trata de Europa, el estudio CipherTrace encontró que el 60% de los VASP europeos tenían procesos KYC «débiles o porosos», y seis de los diez países más deficientes en términos de KYC eran europeos. ¿Cómo se puede conciliar un entorno regulatorio generalmente sólido en Europa con tantos VASP que no cumplen? Hardjono le dijo a Cointelegraph:

«Creo que esto apunta a la nascencia de toda la industria cripto, y al hecho de que las redes blockchain no están limitadas geográficamente. Esta es posiblemente la razón por la que las regulaciones de los mercados de criptoactivos se están desarrollando en la UE. La verdadera pregunta es cómo se harán cumplir las regulaciones de MiCA en todas las naciones de la UE, desde Europa Occidental hasta Europa Oriental».

Laush señaló que la regulación de la criptomonedas está evolucionando rápidamente en Europa: «Después del escándalo del lavado de dinero del banco Danske el año pasado, las regulaciones para cada institución financiera se endurecieron en Europa». Por ejemplo, el gobierno estonio ha hecho más difícil la obtención de licencias de empresas cripto.

Dado que los reguladores de los Estados Unidos y Europa pueden estar concentrándose en los exchanges de criptomonedas, ¿qué deberían hacer los VASP para impulsar el cumplimiento de las normas KYC y AML? Pawel Kuskowski, CEO de la plataforma de análisis blockchain Coinfirm, le dijo a Cointelegraph, «El origen de los fondos y el monitoreo de las transacciones con criptomonedas son críticos. Hay una transferencia de fondos ilícita muy rápida que debe ser detenida cuando llega a los exchanges».

En el informe de 2020 sobre delitos con criptomonedas de Chainalysis, la empresa sugirió que los exchanges de criptomonedas necesitan extender el escrutinio KYC para las mesas de comercio de venta libre, que, aunque están vinculadas a los exchanges, a menudo actúan de forma independiente. Jesse Spiro, jefe global de políticas de Chainalysis, le dijo a Cointelegraph que los exchanges de criptomonedas deberían buscar implementar varias herramientas: “Fuera del cumplimiento de la Regla de Viaje, los exchanges deben implementar sistemas de fraude y AML de manera más amplia. Eso podría incluir un mejor KYC y herramientas mejoradas de diligencia necesarias, servicios de proveedores, monitoreo de transacciones y control de sanciones».

Los reguladores pueden hacer más

También hay medidas que los propios reguladores podrían tomar para facilitar que los exchanges cumplan con los requisitos KYC y el AML. Según Kuskowski: «Los reguladores deberían acordar umbrales para las transacciones y los controles relacionados». Por ejemplo, el KYC podría no ser necesario para las transacciones con criptomonedas por un monto menor a USD 100, sólo habría que supervisar el origen de los fondos. Para las transacciones por un valor entre USD 100 y USD 1,000, sólo se requeriría KYC simple. Esto ayudaría a los encargados de cumplimento y a centrarse en los casos más grandes y significativos.

Spiro desearía que las autoridades reguladoras proporcionaran más asesoramiento y orientación. Éstos «han sido extremadamente beneficiosos para la industria, ya que proporcionan información específica relacionada con los riesgos, las tipologías y más». Ciertas agencias como la FinCEN producen un flujo constante de tal documentación. Otros organismos podrían hacer lo mismo, propuso:

«En términos más generales, la aplicación de las regulación AML por las jurisdicciones es importante para apoyar los exchanges. La implementación y adopción de la regulación ha sido irregular a nivel jurisdiccional, un año después de que el GAFI publicara sus recomendaciones sobre los activos digitales».

Dave Jevans, CEO de CipherTrace, le dijo a Cointelegraph que «los reguladores deberían moverse rápidamente para crear leyes claras de AML y KYC para las criptomonedas y establecer expectativas realistas para el momento de la aplicación de la regulación de activos digitales. Naciones como Singapur han adoptado rápidamente y ya están haciendo cumplir las regulaciones de Regla de Viaje».

Los exchanges descentralizados no estarán exentos

Los exchanges descentralizados, o DEX por sus sigla en inglés, un tipo de aplicación de DeFi, plantean problemas particulares para los reguladores. Según el estudio de CipherTrace, «a menudo carecen de un claro cumplimiento de las regulaciones», por lo que «DeFi puede convertirse fácilmente en un refugio para los lavadores de dinero». Los exchanges descentralizados pueden incluso haber inclinado algunas de las conclusiones del estudio.

¿Los DEX también tendrán que cumplir inevitablemente con las regulaciones del tipo BSA? Dado que los DEX se basan en el comercio entre pares, así como en las normas y protocolos incorporados en el software, la implementación de procesos KYC ha sido en gran medida ignorada. Entre los 21 DEX para los que CipherTrace pudo identificar su país sede (ya que la mayoría de los 51 DEX examinados en el estudio eran efectivamente «sin país»), el 81% no contaban con ningún proceso CYC.

Jevans dijo a Cointelegraph: «El jurado aún no ha decidido cómo se tratarán los DEX, pero lo más probable es que se les exija que cumplan con los regulaciones del tipo de la BSA, en particular los DEX operados por grandes empresas y organizaciones bien capitalizadas y centralizadas». Europa, en particular, puede resultar problemática para los actores del «DeFi puro» porque los emisores de criptoactivos en virtud de la nueva directiva MiCA «necesitarán tener una entidad jurídica para hacer negocios con los ciudadanos de Europa».

En marzo de 2019, Coinfirm examinó 216 exchanges de criptomonedas y encontró que el 69% de ellos carecían de procedimientos KYC «completos y transparentes». Kuskowski habló de los progresos realizados: «Un buen número de esos exchanges han mejorado sus políticas y procedimientos. Sin embargo, hay nuevos actores, incluso en el sector DeFi, que hacen caso omiso a AML/KYC».

Kuskowski, ex jefe global de fuciones AML en el gigante de la banca comercial RBS, escribió previamente un artículo citando al consultor Adam Cochran con respecto a las empresas de DeFi: «Muchas personas presumen que hay algún tipo de exención mágica ‘entre pares’ que existe en estas leyes. No estoy seguro de dónde viene ese mito».

El KYC tiene sus limitaciones

Estos procesos tienen sus limitaciones, ya que «el KYC no puede salvarte de los hackers», observó Laush, «necesitas tener especialistas en seguridad cibernética en el equipo del exchange de criptomonedas para evitar que las billeteras de los usuarios sean hackeadas». El hackeo de Mt. Gox, el robo más conocido de la industria del cripto, fue realizado por hackers que encontraron vulnerabilidades en el algoritmo de transacción del exchange nipón.

«El KYC es una primera línea de defensa crucial, y no tener requisitos de KYC da la bienvenida a los malos actores», dijo Spiro a Cointelegraph. Sin embargo, las políticas KYC por sí solas no bastan, los datos en cadena podrían ofrecer indicadores de riesgo más fuertes, dijo.

En general, los exchanges de criptomonedas necesitan mostrar que son parte del sistema financiero y que están listos para adherirse a las regulaciones actuales, incluyendo la implementación de un sólido KYC, dijo Laush, confirmando que revisar la identidad de un cliente podría hacer el proceso de incorporación un poco más largo, añadiendo:

«Pero tiene sus innegables beneficios. En primer lugar, los reguladores verán que un exchange de criptomonedas en particular es un negocio legítimo, o legal, que cumple con las leyes. En segundo lugar, creará más confianza con los clientes».

Hughes de Gemini le dijo a Cointelegraph: «Las recientes medidas regulatorias contra los exchanges que no cumplen ponen de manifiesto que la confianza es difícil de ganar, pero fácil de perder». Gemini fue uno de los primeros exchanges de criptomonedas en llevar a cabo un proceso KYC antes de permitir que cualquiera usara su plataforma. En su página de acuerdo de usuario se enumeran 13 leyes y regulaciones a los que el usuario debe atenerse, incluidas las disposiciones relativas a la lucha contra el lavado de dinero y la financiación del terrorismo.

Cointelegraph le preguntó a Hughes si la existencia de tantos exchanges de criptomonedas que no cumplían, como se identificó en el estudio CipherTrace, ponía a Gemini en una desventaja competitiva. Ella respondió: «Un mayor cumplimiento tiene un costo, pero también tiene el potencial de atraer a muchos más participantes del mercado. […] Creemos que el enfoque de Géminis de ‘el cumplimiento primero’ es una ventaja competitiva».

En resumen, se avecinan más regulaciones para los VASP, y probablemente será más costoso para los exchanges de criptomonedas cumplir con las normas KYC y AML, pero el cumplimiento también ofrece sus beneficios a largo plazo, como la capacidad de atraer a inversores más conservadores.

Sigue leyendo: