INTERNACIONAL

Riesgos de lavado de dinero de los Activos Virtuales y los Proveedores de Servicios de Activos Virtuales

Guía rápida | Según la Actualización específica de 2025 sobre la implementación de los estándares del GAFI sobre VA y VASP, si bien ha habido algunos avances en el cumplimiento, muchas jurisdicciones aún tienen dificultades para implementar algunos de los requisitos fundamentales de la R.15, en particular la realización de una evaluación de riesgos. | Redacción "Prevenciondelavado.com"

El GAFI lanza un kit de herramientas de Evaluación Nacional de Riesgos para ayudar a los países a identificar los mayores riesgos de lavado de dinero.

En ese contexto, publicó recientemente una serie de Guías Rápidas, de las cuales -en esta oportunidad-, haremos hincapié en cómo evaluar los riesgos de lavado de dinero de los activos virtuales (VA por sus siglas en inglés) y los proveedores de servicios de activos virtuales (VASP por sus siglas en inglés).

A continuación, se detallan los aspectos principales de la publicación oficial.

¿Prohibir o permitir la actividad de los VA/VASP?

Los países que decidan prohibir o limitar los VA/VASP deben comprender los riesgos de lavado de dinero asociados con ellos y con cualquier actividad sin licencia. Los países deben contar con un proceso detallado de toma de decisiones que evidencie la base sobre la cual han adoptado su enfoque para abordar los riesgos de lavado de dinero vinculados a los VASP. Esto puede incluir la prohibición total, la restricción de las actividades permisibles de VA/VASP o la aplicación de un proceso de autorización de VA/VASP. Debe incluir el análisis realizado para evaluar el impacto que el enfoque elegido podría tener en los posibles riesgos de lavado de dinero vinculados a los VA/VASP que operan en o desde el país. También debe considerar que los riesgos asociados con el sector y la capacidad para hacer cumplir dicha prohibición o limitación pueden evolucionar rápidamente, y un plan para continuar evaluando los riesgos, incluidos los riesgos emergentes, de forma continua.

Independientemente de si un país decide prohibir la actividad de los VASP/VASP, podrían ser necesarias medidas adicionales de mitigación de riesgos, como la identificación de los VASP que operan ilegalmente en la jurisdicción, la evaluación del riesgo de los servicios de VASP/VASP ofrecidos en el país por un VASP con sede en el extranjero y la aplicación de sanciones proporcionadas y disuasorias a dichas entidades. Según el perfil de riesgo de un país, la restricción de la actividad de los VASP/VASP, ya sea mediante una prohibición o restricciones, también debe respaldarse con medidas de mitigación continuas, como la divulgación al sector privado sobre dichos riesgos y las medidas de cumplimiento en caso de incumplimiento de dichas restricciones, así como con estrategias de mitigación de riesgos que consideren el componente transfronterizo de las actividades de los VASP y las operaciones de los VASP [38].

Consideraciones al evaluar los riesgos de lavado de dinero de VA/VASP

Para evaluar los riesgos de ML de VA/VASP, los países podrían considerar lo siguiente:

• Análisis tanto de VA como de VASP en la evaluación de riesgos

A menudo, los países evalúan los riesgos de los VASP y los VASP en el mismo documento, ya sea como parte de la ENR o de una evaluación de riesgos sectorial. Es fundamental que los países consideren los riesgos de ambos y sus vínculos en sus evaluaciones de riesgos. En primer lugar, conviene comprender los tipos de VASP existentes, su funcionamiento y su uso con fines legales y penales. Posteriormente, pueden analizar los VASP: por ejemplo, su cartera de clientes, los tipos de servicios de VASP que ofrecen, la existencia de VASP constituidos en el extranjero en la jurisdicción, las regulaciones y controles existentes y su eficacia, y las vulnerabilidades del sector.

• Asegúrese de que la autoridad competente dirija la evaluación

Los países deben elegir la autoridad adecuada para liderar la evaluación de riesgos de los VA/VASP considerando sus circunstancias particulares. En algunos casos, una autoridad central que no sea ni la UIF ni el supervisor es la más indicada para liderar esta evaluación. Es beneficioso que la UIF y el supervisor principal del VASP participen en la evaluación de riesgos de los VA/VASP, ya sea como parte de una ARN o de una evaluación de riesgos sectorial independiente, incluso si no la lideran, dados los datos y la experiencia a los que tienen acceso.

UIF:

1.  La UIF se encuentra en el centro del marco nacional ALD/CFT y se encuentra en una posición única cuando se trata de VA/VASP debido a su capacidad de detectar actividades sospechosas y sin licencia a través de STR presentados por bancos u otras entidades informantes que pueden entrar en contacto con la actividad de VA/VASP, incluso si la actividad de VA/VASP está prohibida en la jurisdicción.
2.  Las UIF son especialistas en el análisis de datos financieros, lo que las hace muy adecuadas para identificar vulnerabilidades en el sistema financiero que podrían ser explotadas para el lavado de activos, incluso a través de VA/VASP.
3.  Las UIF facilitan el intercambio de información entre autoridades nacionales y a menudo han establecido relaciones con UIF de otros países, ayudando a la cooperación internacional, reuniendo información y compartiendo las mejores prácticas con respecto a la evaluación de riesgos de VA/VASP y las tipologías y riesgos emergentes.

Supervisor de VASP:

1.  Los supervisores de VASP pueden proporcionar información y datos sobre el sector VASP, por ejemplo, tendencias de riesgo de todo el sector e indicadores de alerta, volúmenes de transferencias de VA, riesgos geográficos, riesgos de lavado de dinero emergentes relacionados con VA/VASP, datos de cumplimiento y tipologías de abuso del sector.
2.  Pueden identificar vulnerabilidades más amplias del sector en el país, ya que participan en la evaluación del cumplimiento de los proveedores de servicios de valor añadido (VASP). Saben dónde existen lagunas regulatorias o deficiencias en el cumplimiento.

Los países podrían considerar incluir a las siguientes partes interesadas:

1.  Sector público: supervisores del sector financiero y de VASP, UIF, autoridades locales, bancos centrales, reguladores de tecnología y tecnología financiera, autoridades de ciberseguridad.
2.  Sector privado: VASP, bolsas de VA, académicos, asociaciones de tecnología financiera, empresas de ciberseguridad y empresas de análisis de blockchain. 

• Establecer el contexto del país

Se recomienda realizar un análisis de los VA/VASP presentes y en funcionamiento en el país para comprender el alcance y la naturaleza de su actividad. Para una evaluación de riesgos de VA/VASP, es conveniente comenzar con una visión general del panorama de riesgos en la jurisdicción para comprender el nivel de actividad de VA/VASP y los marcos relacionados con estos sectores. Algunos ejemplos de información que podrían incluirse al describir el contexto de VA/VASP en un país incluyen, entre otros: 

1.  Los principales tipos de productos y servicios VA/VASP utilizados y en funcionamiento en la jurisdicción.
2.  Desglose de la actividad de VASP/VASP en términos de VASP con licencia o registrados frente a la actividad estimada sin licencia o sin registro. Presencia de VASP extranjeros en la jurisdicción [40]. 
3.  Desglose de los tipos de personas jurídicas que operan como VA/VASP en y desde el país, incluido el número de personas jurídicas establecidas, controladas o propiedad de partes fuera del país; desglose del número de personas jurídicas activas que operan como VA/VASP en comparación con las que ya no están activas o se disolvieron.
4.  Vacíos regulatorios en la jurisdicción, incluyendo vacíos en el alcance de los VASP que están cubiertos (consulte la definición de VASP del GAFI en el glosario de los Estándares del GAFI). 
5.  Apetito de la población local por los productos VA/VASP, evidenciado por los niveles de actividad conocidos y los tipos de productos a los que se accede con mayor frecuencia. 
6.  Prevalencia del uso del VA como moneda para pagos o para inversión. 
7.  Tamaño de la actividad del mercado VA/VASP en el país en relación con la actividad que tiene lugar en la región y a nivel mundial. 
8.  ¿Qué procesos de licencia y registro se han implementado para el sector? Identifique los posibles factores que impulsan la presencia de VA/VASP en la jurisdicción, por ejemplo, la rapidez y facilidad para constituir personas jurídicas, la ausencia de un marco de prevención del blanqueo de capitales y la financiación del terrorismo para VA/VASP, la ausencia de obligaciones tributarias sobre las transferencias de VA y una economía con un fuerte componente de innovación. Las comparaciones con otros países podrían mostrar evidencia de arbitraje regulatorio, lo que facilita la comprensión contextual para la evaluación de riesgos. 
9.  Niveles de inclusión financiera, ya que unos niveles bajos de inclusión financiera pueden llevar a una mayor adopción de VA.
10.  Flujos de transferencia detectables (es decir, recibe/envía transferencias, es un conducto para la actividad de transferencia posterior, se utiliza para la conversión de VA a moneda fiduciaria, maneja principalmente transacciones de VA a VA, etc.) 
11.  Interrelación entre la actividad del VA y otras entidades reguladas, por ejemplo, uso de bancos, uso de proveedores de servicios de pago (en línea) y uso de proveedores de servicios monetarios/remesas. 
12.  Un resumen de los delitos predicados analizados en la última NRA u otra actividad de evaluación de riesgos para permitir la comparación cuando los delitos predicados se evalúen en relación con VA/VASP más adelante en el proceso. 

• Analizar amenazas y vulnerabilidades

Considere los componentes clave de riesgos, amenazas y vulnerabilidades, preferiblemente por separado. Los países deberían explorar los vínculos entre la actividad de VA/VASP y los delitos subyacentes clave, así como los sectores vulnerables. Por ejemplo, el uso de VA/VASP en casos de ransomware o fraude para apoyar el delito, la inteligencia artificial (IA) para ayudar a los delincuentes a navegar mediante VA y el posible abuso de VA en el metaverso, en las redes sociales o en la dark web.

Para VA:

1.  Considere las características que pueden hacerlos atractivos para los criminales y, por lo tanto, vulnerables al abuso para el aprendizaje automático (es decir, los factores que llevan a un criminal a elegir un VA sobre otro para fines de aprendizaje automático).
2.  Consideremos las amenazas que surgen del alcance de las actividades ilegales que se llevan a cabo o que son facilitadas por la red oscura, donde se realizan muchos pagos en VA.
3.  Prevalencia de delitos predicados de múltiples etapas en la jurisdicción, por ejemplo, trata de personas, fraude de inversiones y estafas de relaciones románticas/en línea que involucran inversión en VA o pago en VA. 
4.  Consideremos la prevalencia del uso de VA con fines delictivos.

Para VASP:

1.  Los países también pueden consultar la sección sobre vulnerabilidades sectoriales de la guía de la NRA sobre el ML, que establece que la existencia de sectores sin licencia o no regulados debe considerarse un factor en el análisis de vulnerabilidad, y que los negocios y servicios informales no regulados pueden ser más frecuentes en el sector de los VASP. También deben considerarse las vulnerabilidades en relación con las características del marco para la creación de entidades o estructuras jurídicas y su disolución, por ejemplo, la rapidez de constitución, el bajo costo de constitución de empresas, los requisitos limitados para la constitución y la posibilidad de constituirse utilizando una entidad jurídica internacional como único accionista o director.
2.  Consideremos la prevalencia del uso indebido de los VASP con fines delictivos, incluido el lavado de dinero. 
3.  Considere también las amenazas extranjeras, especialmente si el país es un centro financiero internacional. Las actividades de VA/VASP son transfronterizas, por lo que debe analizarse el riesgo de que VASP extranjeros operen en la jurisdicción.
4.  Los países deben considerar las razones por las que los VASP deciden operar en su jurisdicción (p. ej., exención de impuestos sobre el VA, facilidad de constitución y economía propensa a la innovación) y si interactúan con otros proveedores de servicios con sede o que operan en la jurisdicción (p. ej., proveedores de servicios de pago, bancos) y cómo lo hacen. Los países deben considerar los riesgos de que los VASP que operan en la jurisdicción utilicen servicios fuera de ella (donde la regulación puede ser menor), lo cual podría aumentar el riesgo.
5.  Arbitraje regulatorio en el sector en diferentes países, cuando los VASP se incorporan en jurisdicciones extranjeras con regulaciones laxas, lo que les permite operar y ofrecer servicios a nivel mundial sin adherir a mecanismos adecuados de cumplimiento ALD/CFT.

• Fuentes de datos

Los datos sobre la actividad de los VA/VASP pueden variar significativamente entre países. Esto se aplica especialmente a los sectores de los VA/VASP que no están regulados o que se han convertido recientemente en entidades informantes. Antes de iniciar la evaluación de riesgos, los países deben identificar las posibles fuentes de datos e información sobre los VA/VASP, determinar las lagunas en sus datos y qué otras fuentes podrían utilizarse para complementar la información recopilada. Los países pueden considerar complementar sus datos existentes con otras fuentes. Esto podría incluir, entre otras:

1.  Autoridades Nacionales de Rehabilitación (ARN) de otros países y evaluaciones de riesgos supranacionales, si están disponibles. Esto podría incluir evaluaciones de riesgos en las que se hayan observado vínculos entre la Administración de Veteranos (VA) y la Administración de Servicios de Veteranos (VASP) con la jurisdicción o región evaluadora.
2.  Estudios nacionales, regionales e internacionales sobre VA/VASP elaborados por el sector público. Informes de organizaciones internacionales (p. ej., GAFI, FSRB, UNODC). 
3.  Participación y retroalimentación de la industria, por ejemplo, mediante cuestionarios, debates, grupos focales y colaboración directa con el sector privado, incluyendo proveedores de servicios de valor añadido (VASP). Debates con expertos en la materia, incluyendo académicos que realizan investigaciones basadas en la evidencia sobre los riesgos del lavado de dinero. 
4.  Datos de los supervisores de VASP, incluyendo los niveles de cumplimiento de las leyes de prevención del blanqueo de capitales. Si aún no se ha asignado un supervisor de VASP para la prevención del blanqueo de capitales y la financiación del terrorismo, es posible que otras autoridades involucradas en la regulación de la actividad de VA puedan proporcionar información para la evaluación de riesgos.
5.  Datos de los supervisores de inversiones y del mercado de capitales sobre la cantidad y los tipos de productos de inversión, actividades de corretaje y gestión de activos que se sabe que involucran alguna forma de VA, ya sea como un producto directo (es decir, ofertas iniciales de monedas) o como un producto en el que el valor subyacente se establece frente a un VA (por ejemplo, monedas estables).
6.  Cooperación internacional informal, por ejemplo, mediante cuestionarios enviados a socios estratégicos clave sobre amenazas/vulnerabilidades y posibles vínculos con el país evaluador, así como sobre la percepción de los niveles de riesgo de lavado de dinero vinculados a la actividad de VA/VASP en dicho país. Se recibieron y enviaron solicitudes de Interpol y Egmont relacionadas con VA/VASP para obtener información sobre investigaciones internacionales, intercambio de inteligencia y esfuerzos de colaboración para combatir la delincuencia organizada transnacional y los flujos financieros ilícitos. 
7.  Cooperación internacional formal, por ejemplo, revisión de solicitudes de MLA recibidas y enviadas que involucran a VA/VASP [41].
8.  Información e informes recibidos o producidos por la UIF – Reportes de Actividades Sospechosas (SAR)/STR y otros informes regulares, catálogo o lista de VASP que operan en el país o región, vecindad si se conoce, tipologías e informes de análisis estratégico. 
9.  Solicitudes de información recibidas o enviadas en el marco de la Organización Internacional de Comisiones de Valores (OICV) a los supervisores financieros, por ejemplo, en relación con supuestas ventas fraudulentas por parte de corredores que operan en sus jurisdicciones.
10.  Datos de investigación y casos manejados por las autoridades locales y el poder judicial (por ejemplo, jurisprudencia) en los que se han utilizado indebidamente VA/VASP con fines delictivos, incluido el lavado de dinero procedente del delito, para identificar tipologías.
11.  Estadísticas gubernamentales sobre el sector (por ejemplo, del Ministerio de Economía, Ministerio de Comercio), su tamaño, crecimiento y generación de ingresos en relación con el PIB nacional, casos tributarios administrativos presentados ante las autoridades tributarias nacionales por no declaración de activos o ingresos vinculados a la inversión o ganancias derivadas de la venta de VA.
12.  Datos del registro de la empresa o BO relativos al número de personas jurídicas identificadas como participantes en la actividad VA/VASP, la jurisdicción de residencia de quienes poseen y controlan dichas entidades e información financiera relevante de las cuentas anuales, etc. 
13.  Quejas de consumidores recibidas por autoridades supervisoras y policiales relacionadas con la actividad de VA/VASP.
14.  Inteligencia de fuentes abiertas (OSINT) e información sobre la actividad de los VASP en, desde o vinculada a la jurisdicción, como la accesibilidad de los productos de VASP a los residentes, los flujos anuales de transferencias o la actividad de sitios web en o desde la jurisdicción evaluadora, sitios web fiables para consumidores que denuncian estafas o VASP no fiables vinculados al país, y empresas de análisis de blockchain [42]. La información también puede estar disponible en foros, chats o servicios de mensajería. Es probable que los VASP, incluidos los ilegales, utilicen internet para publicitar sus servicios.

Como ocurre con todos los datos, es importante evitar sesgos y garantizar que provengan de fuentes fiables y acreditadas. Los países que actualmente no recopilan sus propios datos deberían considerar hacerlo en el futuro, asegurándose de que se recopilen de forma que puedan utilizarse fácilmente durante la evaluación de riesgos. Esto debe incluir una evaluación continua de los datos recopilados, su proceso de almacenamiento y actualización, y un análisis de deficiencias para determinar qué datos faltan y cómo obtenerlos.

• Inclusión del sector privado

Incluir al sector privado en el proceso de evaluación de riesgos de VA/VASP es una buena práctica y puede contribuir tanto a proporcionar datos donde existan lagunas como a explicar cómo se utilizan o abusan productos y servicios específicos de VA/VASP. La experiencia de cada país confirma que, en ocasiones, es la manera más eficiente de obtener información fiable sobre los riesgos. En jurisdicciones donde la actividad de VA/VASP está prohibida o limitada, los bancos y otras instituciones financieras, como las empresas de pagos electrónicos, inversiones y remesas, pueden disponer de información sobre actividades informales o ilegales de VA/VASP vinculadas al país. 

• Incluir indicadores de riesgo de bandera roja

Los indicadores de alerta que complementan la evaluación de riesgos del país pueden ayudar tanto a las autoridades como al sector privado a detectar y reportar actividades sospechosas. La publicación del GAFI de 2020, Indicadores de Alerta de Activos Virtuales de LA/Financiación del Terrorismo (FT) [43], puede utilizarse como referencia para complementar la evaluación de riesgos del país y ayudar a las autoridades y al sector privado a detectar actividades sospechosas. La UIF y el supervisor de los proveedores de servicios de valor añadido (PSVA) pueden desarrollar sus propios indicadores presentes en el país, revisándolos periódicamente y actualizándolos según sea necesario para incorporar las tendencias emergentes en este sector dinámico.

• Impacto en la supervisión basada en riesgos

Toda evaluación de riesgos que incluya el análisis de VA/VASP debe alimentar la supervisión basada en riesgos de los VASP, incluso para informar la frecuencia y el enfoque de las inspecciones in situ y fuera del sitio. 

• Comunicación de los resultados de la evaluación de riesgos

Los VASP son las entidades informantes más recientes en incorporarse a los Estándares del GAFI y, por lo tanto, podrían no estar familiarizados con las obligaciones en materia de prevención del blanqueo de capitales y tener dificultades para comprender los resultados de las evaluaciones de riesgo de blanqueo de capitales. La comunicación de los resultados de la evaluación de riesgos debe tener esto en cuenta y enmarcar las conclusiones en el contexto de las obligaciones en materia de prevención del blanqueo de capitales de los VASP.

Redacción "Prevenciondelavado.com"