Recientemente, un artículo de Bloomberg con un titular bastante sensacionalista causó bastante revuelo entre la comunidad de e-Residents. Leyendo el artículo en profundidad, en realidad no presenta a Estonia bajo una perspectiva negativa. Por el contrario, muestra por qué Estonia está reforzando las regulaciones AML / KYC para las empresas crypto, es decir, las empresas que proporcionan un servicio de crypto-wallet o prestan servicios de intercambio de moneda crypto-fiat.

En este artículo, explicamos por qué Estonia está endureciendo sus regulaciones contra el lavado de dinero y asegurándose de que las empresas que operan con licencias crypto y que ofrecen servicios de intercambio crypto-fiat, o servicios de crypto-wallet, operen en la legalidad más estricta. También describimos algunas de las nuevas regulaciones que entraron en vigencia recientemente y cómo podéis cumplirlas.

¿Por qué está Estonia introduciendo estos cambios?

En 2017, Estonia, junto con Letonia, Rusia y otros países, se vio afectada por un escándalo relacionado con blanqueo de capitales de la sucursal estonia de un banco de Dinamarca, Danske Bank. Puedes leer sobre el incidente, posiblemente considerado el mayor escándalo de blanquéo de dinero en Europa, aquí.

A pesar de que no tenía nada que ver con la e-Residency per se (en prensa o fuentes de información confiables, ni siquiera se menciona el programa e-Residency), sino con las actividades de la sucursal local de Danske Bank, este escándalo golpeó la reputación de Estonia. Afortunadamente, la transparencia del sistema empresarial de Estonia y la reacción decisiva de Estonia ayudaron a disipar cualquier duda sobre la legitimidad del ecosistema financiero de Estonia.

Desde entonces, Estonia se ha centrado en revisar y mejorar sus protocolos y mecanismos de control AML para evitar el blanquéo de capitales. El último paquete de medidas fue aprobado y entró en vigencia a principios de 2020, dirigido especialmente a las empresas destinadas a ofrecer servicios que requieren una licencia crypto, ya sea:

  • una licencia para proporcionar servicios de intercambio de una moneda virtual contra una moneda fiduciaria (FVR, o licencia crypto-exchange para abreviar)
  • una licencia para proporcionar servicios de billetera de moneda virtual (FRK, o licencia crypto-wallet para abreviar)

¿Por qué centrarse en las empresas de crypto?

Desafortunadamente, las criptomonedas a menudo se asocian con actividades ilegales o de lavado de dinero. Según los datos de las autoridades fiscales y la FIU, de 56 inspecciones de supervisión en 2019, 34 (60%) fueron a empresas de moneda virtual. Es, sin duda, uno de los campos más susceptibles al lavado de dinero si no se aplican los protocolos AML y KYC adecuados.

Estas medidas intentan aumentar el control sobre estas empresas para asegurarse no solo de que sus intenciones son legítimas (hacer un negocio legal), sino también que los clientes de estas empresas no puedan usar sus servicios para el blanquéo de dinero, financiación del terrorismo, u otras actividades ilegales.

Y esto algo positivo para todos. Todas estas medidas solo nos ayudan a tener un ecosistema empresarial más fuerte, más seguro y más fiable. Si vuestra empresa quiere realizar una actividad completamente legítima y legal, se le debe permitir, con las necesarias medidas de control para evitar que vuestros clientes abusen de vuestra plataforma o negocio para realizar actividades ilegales ellos mismos. No solo protegemos así el ecosistema de empresas, sino que establecemos medidas para ayudaros a evitar el abuso de vuestros propios clientes.

¡Pero estas medidas son demasiado estrictas!

Algunos miembros de empresas crypto, especialmente aquellos que han perdido sus licencias, se quejan de la rigurosidad de las nuevas regulaciones. Es, por supuesto, comprensible. Para obtener estas licencias, posiblemente invirtieron mucho dinero y esfuerzo. Pero estas personas necesitan entender qué tipo de negocio tienen entre manos. Las licencias FVR y FRK permiten a una entidad actuar básicamente como un «banco» crypto.

Imaginad que encontráis un banco y estáis considerando invertir vuestros ahorros en él. Indagando acerca de la empresa, os enteráis de que está fundada por tres amigos veinteañeros, con ninguna experiencia previa en Fintechs, y sin una oficina en el país, ni empleados conocidos trabajando allí. Su empresa ni siquiera ha demostrado tener un capital mínimo para garantizar vuestros ahorros.  ¿Os sentiríais seguros de invertir vuestro dinero en su banco? (por muy buenas que sean sus intenciones) ¿Dejaríais vuestros ahorros en sus manos? Posiblemente no. Nosotros mismos somos early-adopters y partidarios de las alternativas bancarias modernas, como Revolut Business, Transferwise, etc., pero estas empresas tienen un equipo sólido, los recursos adecuados, expertos (o un departamento incluso) dedicadas al anti-blanqueo de capitales, y han demostrado que cumplen las regulaciones y protocolos AML necesarios.

Eso no implica que no haya nuevas iniciativas para fundar plataformas de intercambio crypto, exchanges o lanzar una nueva moneda y una ICO, pero deben realizarse por un equipo que pueda llevarlas adelante con seguridad.

Si queréis fundar un negocio tan delicado, por tanto, tenéis que garantizar seguridad y confianza a vuestros clientes. Estas personas y entidades necesitan saber que tenéis una oficina real con empleados reales donde pueden verificar lo que estáis haciendo. Necesitan saber que tenéis recursos suficientes (y 12,000 € es una cantidad ridícula de dinero en el campo Fintech), y necesitan saber que la empresa, o alguien del equipo, sabe lo que está haciendo, y cómo prevenir actividades de ilegales y blanqueo de capitales. Por ejemplo, obtener las licencias y no mostrar actividad en medio año o más, no dice mucho acerca de vuestras intenciones, incluso si son legítimas.

Estas medidas están ahí para garantizar que, si abrís un negocio crypto, es porque queréis comenzar una actividad legítima cuanto antes, y tenéis el conocimiento, empleados, recursos y experiencia necesarios.

¿Cuáles son estas medidas?

Estos son los cambios más importantes con respecto a las empresas que desean solicitar o conservar sus licencias de criptocomercio y billetera criptográfica:

  • El capital social mínimo es de 12,000 € para las empresas que solicitan estas licencias.
  • La contribución del capital social debe hacerse efectiva y registrarse en el registro de comercio electrónico, es decir, el pago de al menos 12,000 € debe hacerse y registrarse antes de proceder con la solicitud de licencia.
  • Se requerirá una presencia real y constante en Estonia. Eso significa poseer o alquilar locales en Estonia, posiblemente empleados que trabajan allí, etc.
    Anteriormente, solo se aplicaban medidas de diligencia debida de rutina para los usuarios de vuestra plataforma. Ahora, como parte de vuestras políticas de AML, se os pedirá que realicéis controles más estrictos que también incluyan a las personas relacionadas con los usuarios de la plataformas, como sus familiares y socios inmediatos.
  • El control y la gestión de las actividades anti-blanqueo de capitales de la empresa deben llevarse a cabo desde Estonia. Esto implica tener un director y un oficial AML en Estonia.
  • Se solicitarán copias de antecedentes penales y pasaportes de los directores / procuradores / beneficiarios reales para todas sus ciudadanías (en caso de miembros con más de una nacionalidad). Anteriormente, solo se solicitaban para una de las ciudadanías. Estos registros deben estar apostillados y traducidos al estonio o al inglés.
  • Los directores / procuradores pueden estar obligados a proporcionar certificados educativos, CVs e incluso un documento que describa la «idoneidad para el puesto» si así lo requiere la FIU.

Si analizáis estos nuevos requisitos, veréis que han sido diseñados para, en primer lugar, filtrar solo a aquellas empresas «serias» con intenciones legítimas, que entienden las implicaciones y los riesgos de las licencias, y en segundo lugar, para permitir un mayor control sobre sus actividades y las actividades de sus clientes. Las autoridades quieren saber quiénes son los miembros de la empresa, saber dónde encontrarlos y asegurarse de que comprenden sus responsabilidades para evitar actividades de blanqueo de dinero.

¿Cómo os afecta y cómo podéis cumplirlas?

Si vuestra empresa obtuvo una de estas licencias, o estáis considerando solicitarlas, deberéis cumplir con estas regulaciones. Hay dos grandes áreas que debéis considerar:

Primero, necesitáis una oficina en Estonia, donde se realice la actividad AML de la empresa. Esta actividad debe ser realizada por un oficial de AML que resida en Estonia. Por lo tanto, vuestra primera consideración debería ser alquilar un espacio allí y contratar a un empleado que actúe de oficial AML.

Además, también necesitáis al menos un director que resida en Estonia. Si uno de los miembros del consejo administración actuales puede vivir en Estonia y trabajar allí en vuestras instalaciones, es una situación ideal. Esta persona debe estar familiarizada con la legislación contra el blanquéo de dinero y asegurarse de que los puntos de control adecuados estén establecidos adecuadamente en la empresa para evitar actividades ilegales. Esta persona también se encargará de revisar la actividad de vuestros clientes, establecer protocolos para detectar irregularidades y elaborar informes regularmente para que el consejo de administración compruebe cómo se están cumpliendo los protocolos y las medidas.

El oficial AML no puede trabajar sin un conjunto bien establecido de reglas para comprender los riesgos involucrados en la actividad de la empresa, los protocolos para prevenir actividades ilegales, cómo identificar adecuadamente a sus clientes y una guía para mantener actualizadas estas medidas.

Por eso vuestra empresa necesita elaborar documentos AML y KYC.

¿Qué son los documentos AML y KYC?

El documento AML contiene las reglas que dictan cómo vuestra empresa define, identifica, previene y reacciona ante las actividades de blanqueo de dinero.

El documento AML debe ser redactado con la ayuda de un abogado o verificado por uno para asegurarse de que cumpla con las regulaciones de Estonia en materia de AML. La legislación oficial que cubre estos temas se puede encontrar en la Ley de Prevención de Blanqueo de capitales y Fianciación del Terrorismo.

El documento KYC (Know Your Customer, o «Conoce a tu cliente» por sus siglas en inglés). Debe describir la información que vuestro sistema recopila de vuestros usuarios en diferentes momentos, la naturaleza y el propósito de dicha recopilación de información, y opcionalmente un formulario que ilustra cómo se solicita esta información al usuario.

Este documento obviamente varía mucho de una empresa a otra, según la actividad de la misma, la información recopilada, lo que permite que hagan vuestros clientes en vuestra plataforma, etc.

En Tu Empresa En Estonia, hemos elaborado nuestros propios documentos AML y KYC. Incluso si no ofrecemos crypto servicios, algunos de nuestros clientes sí lo hacen, y nuestra actividad implica la posibilidad de estar expuestos o detectar actividades de lavado de dinero de cualquiera de nuestros clientes. Como proveedor oficial del programa e-Residency, y orgullosos miembros del e-Residency marketplace, estamos comprometidos con la lucha y prevención del blanqueo de capitales y la financiación del terrorismo.

Cosas a tener en cuenta al elaborar o actualizar vuestro documento AML.

Como mencionamos, es recomendable contratar a un abogado profesional para que os ayude a elaborar vuestro documento AML, pero es perfectamente posible realizar el primer borrador o escribir las ideas y medidas principales que deseáis que vuestra empresa implemente vosotros mismos. Os recomendamos, no obstante, que toquéis al menos estos puntos:

Evaluación de riesgos y apetito de riesgos

El apetito de riesgo (Risk appetite) de una empresa es el nivel de riesgo que esta empresa está dispuesta a aceptar mientras persigue sus objetivos, y antes de que se determine cualquier acción a implementar para reducir este riesgo. En pocas palabras, es la cantidad de riesgo que estáis dispuestos a tolerar en vuestra empresa. Este riesgo proviene de cosas como: el tipo de clientes que aceptáis, las actividades que estos clientes realizan utilizando vuestros servicios, productos o recursos, las actividades que vuestra propia empresa realiza por sí misma, las actividades de vuestros empleados, etc.

Debe definir claramente este concepto, junto con las categorías de riesgos que contempláis (geográfico, clientes, etc.) y los factores que reducen o incrementan este riesgo. También debéis identificar los riesgos asociados con las tecnologías, servicios o productos nuevos y existentes, utilizados por vuestra empresa o vuestros clientes (por ejemplo, una pasarela de pago).

Perfil de riesgo del cliente

Una vez que hayáis determinado qué constituye un riesgo para vuestra organización, y los tipos de riesgos que estáis dispuesto y no estáis dispuesto a tolerar, debéis definir una forma clara de determinar el perfil de riesgo de un cliente, de modo que podáis ubicar a este cliente en una categoría de riesgo. Posteriormente, esto os servirá para tomar saber qué información se necesita recopilar de este cliente, la revisión periódica de sus actividades o las medidas a implementar para limitar o restringir el acceso a ciertas partes de vuestro sistema.

Identificación de vuestros clientes

Es esencial que describáis qué información recopiláis de vuestros clientes y cómo esta información puede ayudaros a decidir la categoría de riesgo del cliente, e incluso si lo aceptáis como cliente. Es una buena idea tener dos secciones separadas: personas jurídicas (es decir: organizaciones y empresas) y personas físicas (es decir: individuos). Las medidas de identificación de vuestros clientes deben reflejarse también en vuestro documento KYC.

Se debe prestar especial atención a sujetos de sanciones internacionales (individuos, colectivos o incluso países).

Procedimiento para la aplicación de medidas (Due dilligence)

Debéis especificar las medidas que vais a aplicar para evitar el blanqueo de dinero y financiación del terrorismo. Estas deben incluir tanto protocolos para nuevos clientes como revisiones periódicas para los existentes. Es una buena idea elaborar dos tipos diferentes de medidas, un procedimiento simplificado para clientes de bajo riesgo y un procedimiento mejorado para clientes de alto riesgo. No olvidéis que la categoría de riesgo de sus clientes debe ser re-evaluada de vez en cuando.

Personas políticamente expuestas (PEPs)

Una persona políticamente expuesta (PEP) es una persona física a quien se le ha confiado funciones destacadas en la administración pública, así como los miembros de la familia y socios cercanos a dicha persona. ¿Por qué es importante esta distinción? Debido a que las PEP, dadas las funciones públicas (políticas, judiciales o administrativas) que tienen o han tenido, están expuestas a riesgos particulares.

Debéis establecer medidas especiales y requisitos de identificación extras para PEPs (así como para clientes de alto riesgo), y definir si aceptáis a estos clientes o no, y bajo qué circunstancias.

Monitorización continua

Las medidas para evitar el blanqueo de dinero, y la identificación y clasificación de vuestros clientes, no deben realizarse solo una vez, y olvidarse. El oficial AML debe asegurarse de que haya una monitorización continua de los clientes y sus actividades. También debe definir:

  • Lo que constituye irregularidades y diferencias significativas en lo que serían actividades «normales y legítimas» de usuarios y clientes
  • Lo que constituye una violación de confianza o desencadena un proceso de verificación (due dilligence)
  • Cuándo y cómo concluir una relación comercial como resultado de cualquiera de las situaciones anteriores
  • Cómo recopiláis y almacenáis datos de vuestros clientes y usuarios y cómo los protegéis
  • Si y bajo qué condiciones algunas de estas actividades pueden subcontratarse
  • Cómo realizáis el cumplimiento de la obligación de notificación de irregularidades a las autoridades

Una de las partes más importantes de vuestro documento es la que especifica cómo notificáis a las autoridades (Oficina de Hacienda, FIU, etc.) cuando se detecta una actividad sospechosa, o se determina que una o varias transacciones pueden incurrir en blanqueo de capitales o financiación del terrorismo. El oficial AML es la persona responsable de hacerlo, de acuerdo con las reglas contenidas en el documento de AML.

Instruir a vuestros empleados

Vuestros empleados deben conocer los protocolos AML de la empresa y saber cómo detectar actividades sospechosas y notificarlas. Tenéis la obligación de entrenarlos regularmente y actualizar sus conocimientos sobre las medidas AML, el protocolo KYC y la legislación. El oficial AML es el responsable de asegurarse de ello, además de ofrecer un informe a la junta de todas las medidas implementadas durante todo el año para asegurarse de que los empleados tienen los conocimientos de los protocols y medidas AML necesarios.

Conclusión

En este artículo, compartimos nuestros puntos de vista con respecto a las últimas medidas de Estonia en relación a las regulaciones AML / KYC, que exigen requisitos más estrictos a las empresas crypto. Como resultado de estas medidas, muchas empresas crypto han perdido sus licencias. Entendemos que este hecho pueda despertar frustración y enfado en esos emprendedores, pero desde nuestro punto de vista, mantener nuestro sistema empresarial seguro y garantizar que todas las empresas estonias (establecidas a través de la e-Residency o no) cumplan con la ley es beneficioso para todos nosotros.

También discutimos cómo podéis cumplir con las nuevas regulaciones y lo que necesitáis saber para elaborar vuestro documento AML.