Resolución 49/2024: Proveedores de Servicios de Activos Virtuales

Daniel Gerardo Perrotta | La Gestión Basada en Riesgos de LA y FT. | 27/03/2024

Introducción

La UIF mediante la Res UIF 49/2024, establece la regulación que materia de Prevención del Lavado de Activos y Financiamiento del Terrorismo y de la proliferación de armas de destrucción masiva (LA/FT/FP), alcanza a los proveedores de servicios de activos virtuales. 

Define las obligaciones a cumplir por las personas humanas o jurídicas que como negocio, realizan una o más de más de las siguientes actividades u operaciones para o en nombre de otra persona humana o jurídica: 

•    intercambio entre activos virtuales y monedas de curso legal (monedas fiduciarias); 

•    intercambio entre una o más formas de activos virtuales; 

•    transferencia de activos virtuales; 

•    custodia y/o administración de activos virtuales o instrumentos que permitan el control sobre los mismos; 

•    participación y provisión de servicios financieros relacionados con la oferta de un emisor y/o venta de un activo virtual. 

En esta entrega, abordaremos algunas definiciones y sugerencias para una adecuada implementación de las nuevas exigencias como así también los impactos que las mismas generan en la gestión y en los marcos de prevención y detección que deben adoptar las entidades.

Qué es la Gestión del Riesgo de LA y FT

La norma define "Riesgo de Lavado de Activos y Financiamiento del Terrorismo", como la posibilidad de que una operación ejecutada o tentada por el cliente sea utilizada para el lavado de activos, la financiación del terrorismo y/o el financiamiento de la proliferación de armas de destrucción masiva.

El objetivo de la gestión basada en riesgos entonces, consiste reducir la probabilidad de que la entidad sea utilizada como instrumento para cometer el delito de legalización de activos. También, tiene como fin el mitigar los riesgos de pérdida emergentes de otros riesgos vinculados, tales como de reputación, de cumplimiento, operacional y de contagio.

En consecuencia, el enfoque basado en riesgo consiste en definir y establecer una estrategia orientada a identificar, valorar, tratar y controlar eventos potenciales de Lavado de Activos y Financiamiento del Terrorismo, con el fin de prevenirlos, detectarlos y mitigarlos oportunamente.

Definiciones

La norma presenta, entre otras las siguientes definiciones:

• Activos Virtuales (AV): representación digital de valor que se puede comercializar y/o transferir digitalmente y utilizar para pagos o inversiones. En ningún caso se entenderá como activo virtual la moneda de curso legal en el territorio nacional y las monedas emitidas por otros países o jurisdicciones (moneda fiduciaria).
• Arbitrajistas: a los clientes que realicen intercambios de AV contra monedas de curso legal (monedas fiduciarias) o contra otro/s AV, entre distintos PSAV y/o Entre Pares (Peer to Peer), como actividad habitual.
• Billeteras autocustodiadas: al software que posibilita la interacción con una dirección en el sistema blockchain permitiendo la realización de operaciones de transferencias o recepción de AV, en las que el propio usuario asume la responsabilidad de asegurar sus claves privadas teniendo el control sobre los AV.
• Blockchain: a un tipo de tecnología de registro distribuido (Distributed Ledger Technology, o DLT).
• Clave pública y/o dirección de depósito o envío: a la dirección pública que se puede compartir con otros usuarios para depósitos o envíos de AV, consistente en un código alfanumérico único que se genera mediante la aplicación de un algoritmo criptográfico a la clave privada correspondiente.
• Sujetos Obligados: a los Proveedores de Servicios de Activos Virtuales registrados ante la Comisión Nacional de Valores (CNV). 

o Es decir que en forma previa a su registración ante la UIF, las entidades de marras deberán inscribirse en el registro público de Proveedores de Servicios de Activos Virtuales (PSAV), conforme lo establecido en la Resolución 994 de la mencionada CNV.

• Transferencias Entre Pares o Peer to Peer: al intercambio entre AV y monedas de curso legal (monedas fiduciarias) y/o entre éstos y otros AV, directo entre usuarios, donde las partes de la operación se contactan en un entorno seguro desarrollado por un PSAV al efecto.

El Sistema de Prevención de Lavado de Dinero

La norma establece que las "Entidades deben implementar un Sistema de Prevención de LA/FT, el cual deberá contener todas las políticas y procedimientos establecidos para la gestión de Riesgos a los que se encuentran expuestos y los elementos de cumplimiento".

El marco exige dos componentes:

•  Gestión de Riesgos: conformado por las políticas y procedimientos de identificación, evaluación, mitigación y monitoreo de riesgos, a los que se encuentra expuesta la propia Entidad, conforme su propia autoevaluación y las disposiciones de la UIF.
•  Gestión de Cumplimiento: incluye las políticas y procedimientos adoptados por las Entidades en el marco de los establecido por la Ley, la UIF y demás disposiciones sobre la materia.

Un paso fundamental: definir la Metodología y la Matriz de Riesgos

La norma, establece que los Sujetos Obligados deberán implementar "un Sistema de Prevención de LA/FT, con un enfoque basado en riesgo, que contendrá todas las políticas, procedimientos y controles a los fines de identificar, evaluar, monitorear, administrar y mitigar eficazmente los riesgos de LA/FT a los que se encuentra expuesto y cumplir con las obligaciones exigidas por la normativa vigente". 

También establece que se deberá identificar, evaluar y comprender los riesgos de LA/FT a los que se encuentra expuesto, a fin de adoptar medidas apropiadas y eficaces de administración y mitigación, por ende resulta necesario desarrollar una "metodología de identificación, evaluación y comprensión de riesgos acorde con la naturaleza y dimensión de su actividad comercial.

La Matriz de Riesgos, se ejecutará periódicamente y sus resultados expondrán el grado de exposición al riesgo de la compañía. Un modelo recomendado es el que mide el riesgo en dos dimensiones: probabilidad e impacto y el riesgo agregado surge como valor del riesgo calculado para cada uno de los clientes. 

Factores de Riesgo

La norma establece que la Matriz de Riesgos debe considerar como mínimo, los siguientes factores de riesgo:

•  Clientes: considerando sus antecedentes, actividades, comportamiento, volumen o materialidad de su/s operación/es, al inicio y durante toda la relación comercial. Debe también incorporar, entre otros, los siguientes elementos la nacionalidad, la actividad que realiza y la condición de PEP.
•  Productos y/o servicios ofrecidos.
•  Canales de distribución.
•  Zona geográfica: los riesgos de LA/FT asociados a las zonas geográficas en las que ofrecen sus productos y/o servicios, tanto a nivel nacional como internacional, tomando en cuenta sus índices de criminalidad, características económico-financieras y socio-demográficas y las disposiciones y guías que las autoridades competentes o el GAFI emitan con respecto a dichas jurisdicciones.

Se pone de manifiesto la importancia de contar con información completa del cliente incluyendo datos socio económicos e impositivos, para poder medir adecuadamente los riesgos y entender la licitud de origen de los fondos. 

El Informe Técnico

Dicha metodología y los resultados obtenidos de la ejecución de la Matriz, deben constar en un Informe Técnico elaborado por el Oficial de Cumplimiento, el cual debe ser remitido a la UIF, una vez aprobado por Órgano de Administración, antes del 30 de abril de cada año calendario y cuando se produzca una modificación en el nivel de riesgo del Sujeto Obligado.

El Informe, debe cumplir con las siguientes características:

• Considerar los factores de riesgo mencionados en el punto anterior, es decir clientes, productos, canales y zonas geográficas, en cada una de sus líneas de negocio, el nivel de riesgo inherente, el nivel y tipo apropiados de administración y mitigación a aplicar.

• Tener en cuenta la información suministrada por la UIF u otras autoridades competentes acerca de los riesgos de LA/FT, los resultados de las Evaluaciones Nacionales de Riesgo de LA/FT/FP y otros documentos en los que se identifiquen riesgos vinculados con el sector, tipologías y/o guías.

• Ser autosuficiente, estar documentado y conservarse junto con la metodología, la documentación, los datos estadísticos y la información que lo sustente.

• Ser actualizado anualmente y enviado a la UIF y a la CNV, junto con la metodología, una vez aprobado, antes del 30 de abril de cada año calendario, y cuando se produzca una modificación en el nivel de riesgo-

Implicancias del Informe

Este informe de Autoevaluación, presenta varias implicancias directas en la dirección y gestión de la Entidad, que no pueden ser soslayadas a la hora de su elaboración.

•  Impacta en la evaluación del Supervisor

La primera de ellas deviene de la obligación de ser presentado ante la UIF, siendo que seguramente el informe de marras, será uno de los componentes utilizados por el Supervisor para determinar el riesgo de cada Sujeto Obligado. Esta calificación de riesgo es sin duda uno de los criterios que, en los procesos de supervisión, definen la modalidad de inspección, es decir, la periodicidad, alcance, el formato extra situ o in situ, etc. Por supuesto esa información es complementada con otras, tales como la dimensión económica relativa dentro del sistema, la calidad del gobierno corporativo, las evaluaciones de terceros, etc., y conjuntamente definirán la calificación final de la entidad.

•  Expone la gestión de la Alta Dirección

La segunda de las implicancias es que la calidad y el ajuste a la realidad de este informe, revela a los Supervisores el compromiso y la gestión de la Dirección y del Oficial de Cumplimiento, valores que resultan claves en estos enfoques. Una entidad con prácticas robustas de gobierno corporativo e involucramiento directo del Oficial en la gestión de esta materia, debe ser evaluada como una entidad de menor riesgo.  

•  Condiciona la gestión operativa y comercial de la Entidad

También impacta en forma directa en la gestión operativa y comercial de la Entidad. Sus resultados serán determinantes para el cumplimiento de otras obligaciones, por ejemplo, la confección de la "Declaración de tolerancia al riesgo de LA/FT" y las "Políticas para la aceptación de Clientes que presenten un alto Riesgo". Condiciona a su vez, los niveles de debida diligencia, generando cambios en los procesos internos de la entidad, tales como el requerimiento de documentación la vinculación de un cliente, la periodicidad de actualización de sus legajos y el seguimiento de sus operaciones.

Los grados de la Debida Diligencia

La norma establece que la Entidad deberá adoptar medidas reforzadas, específicas o simplificadas, dependiendo del nivel de riesgo detectado. 

Esto requiere mantener relaciones con el Cliente, identificando en forma fehaciente su identidad, su actividad y origen de los fondos, utilizando además y de corresponder, esquemas de controles cruzados que permitan validar la información. Es decir que se vincula estrechamente con la Política de Conozca a su Cliente.

Las medidas ya sean controles o mitigantes, deben asegurar que el nivel de riesgo se mantenga dentro de los niveles y características aprobadas por el órgano de administración o máxima autoridad de la Entidad.

Políticas de Riesgo

Las Entidades deberán contar con:

• Una declaración de tolerancia al riesgo de LA/FT, aprobada por el órgano de administración o la máxima autoridad de la Entidad y debe reflejar el nivel de riesgo aceptado en relación a Clientes, productos y/ o servicios, canales de distribución y zonas geográficas, exponiendo las razones tenidas en cuenta para tal aceptación, así como las acciones mitigantes para un adecuado monitoreo de los mismos".

• Políticas para la aceptación de Clientes que presenten un alto Riesgo de LA/FT. Deben preverse condiciones generales y particulares de aceptación, niveles de aprobación y detalle de tipos de clientes con los que no se operará y las razones.  

Algunas consideraciones:

Una adecuada declaración de tolerancia o apetito de riesgo, exige una correcta medición del grado de exposición y un adecuado criterio de fijación, ya que errores en esos márgenes condicionan negativamente el negocio si son demasiado exigentes o pueden convertir a la entidad, en permeable al delito, cuando los límites son muy laxos. 

Lo mismo ocurre con las políticas de aceptación. Ninguna de las posturas extremas, se encuentran enmarcadas en el espíritu de la ley y la regulación vigente, ni la gestión laxa, donde no existen límites a la vinculación de clientes, ni el de Risking, que implica no aceptar clientes producto de la actividad que desarrolla, a pesar de que misma pueda ser lícita y legal. Debemos recordar que la regulación vigente exige una adecuada diligencia. En este marco, una adecuada política de aceptación para clientes de alto riesgo exige una efectiva valoración y un sustento robusto, a fin de evitar que la política de no operar con determinados clientes, pueda derivar en reclamos sustentados en la discriminación. 

Monitoreo de riesgos

Siguiendo lógica de la gestión de riesgos, la regulación exige un efectivo proceso de monitoreo. A tal fin la entidad deberá aplicar políticas de segmentación de Clientes en base a su riesgo.  Para esto se deberá contar con un sistema de calificación (modelo de scoring o modelo de rating, con factores cualitativos y/ o cuantitativos) de Riesgos de LA/FT. Esta misma lógica también sustenta los grados de aplicación de Debida Diligencia.

Plan de Implementación

La norma prevé un cronograma lógico de implementación, estableciéndose: 

• La resolución comenzará a regir a partir del día siguiente a su publicación, que fue el pasado viernes 22 de marzo. 

• Esto implica que la misma es de aplicación a partir del día 25 de marzo en todos sus términos, excepto para las obligaciones siguientes:

^_o El primer informe de autoevaluación y la metodología aplicada, antes del 30 de abril de 2025. Dicha autoevaluación deberá contemplar el análisis del período 2024.

^_o Primer informe del revisor externo independiente (artículo 19 inciso a) de la presente) antes del 31 de agosto de 2025. Dicho informe deberá contemplar el período 2024.

^_o Primer informe sistemático anual (artículo 39 inciso c) entre el 2 de enero y el 15 de marzo de 2025 y deberá contener la información solicitada respecto del año 2024.

Daniel Gerardo Perrotta
www.decisiola.com