Con base en lo expuesto, se considera necesario que en México existan reglas claras que tengan como objetivo prevenir el uso de activos virtuales en actividades tales como el lavado de dinero y el combate al financiamiento, así como reglas que busquen la protección de los consumidores. De esta manera, el Banco de México, derivado de las atribuciones que le otorga la Ley para Regular las Instituciones de Tecnología Financiera, así como de su rol como regulador del Sistema de Pagos Electrónicos Interbancarios (SPEI), ha emitido regulación que busca la consecución de estos objetivos.
Se considera que aunado a las deficiencias expuestas anteriormente, en caso de que una institución financiera ofreciera servicios al público en general que involucren activos virtuales, gracias a la reputación de dichas instituciones, se podría generar una percepción de que los riesgos asociados a los activos son menos relevantes de lo que en realidad representan. Asimismo, los activos virtuales aún representan un riesgo considerable en materia de prevención de lavado de dinero y financiamiento al terrorismo debido al anonimato que provee este tipo de activos en la realización de transacciones, la facilidad para transferir los activos virtuales a distintos países, así como la ausencia de controles y medidas homogéneas a nivel global.
Pese a lo expuesto anteriormente, el Banco Central no busca restringir el uso de tecnologías que pudieran tener un beneficio desde la perspectiva de eficiencia o funcionalidad, siempre y cuando estas tecnologías sean utilizadas en el contexto de la operación interna de las Instituciones de Tecnología Financiera (ITF) e Instituciones de Crédito (IC) y esto a su vez no implique un aumento significativo en los riesgos operativos o financieros de las mismas. Es decir, la utilización de tecnología como registros distribuidos, cadena de bloques o incluso los propios activos virtuales en sus procesos internos podría llegar a ser factible previa autorización del Banco de México, siempre y cuando los riesgos de los activos virtuales no impacten al consumidor final.
Es por eso que el Banco de México presentó una regulación en la que se establece un mecanismo de solicitudes de autorización en la que se requiere a las instituciones interesadas presentar la forma en que atenderán los riesgos asociados a la operación con activos virtuales en caso de que decidan utilizarlos para su operación interna, sin considerar algún tipo de autorización que implique la operación con activos virtuales de cara al cliente, pues se considera que la provisión de servicios relacionados con activos virtuales al público en general por parte de las instituciones financieras no es conveniente y los riesgos asociados a los activos virtuales no deben impactar al usuario final.
Es importante destacar que, a pesar de que las ITF o IC no estén autorizadas para ofrecer al público en general operaciones con activos virtuales, esto no implica que otras empresas distintas a éstas no puedan ofrecer servicios relacionados con activos virtuales. Tal es el caso de las casas de cambio de activos virtuales que ofrecen el servicio de compra-venta de activos virtuales al público, las cuáles, siempre y cuando no realicen actividades de captación o custodien recursos en moneda nacional o divisas de sus clientes, podrían continuar ofreciendo sus servicios. De esta forma, en México se podría acceder a los servicios de compra-venta de activos virtuales bajo el riesgo de quien decida realizar dichas operaciones y con la claridad de que no están respaldados por alguna institución financiera.
Actualmente, no hay un régimen de prevención de operaciones con recursos de procedencia ilícita o de financiamiento al terrorismo que aplique a aquellas personas distintas a las entidades financieras que, de manera habitual y profesional, ofrezcan el intercambio de activos virtuales a través de plataformas electrónicas, digitales o similares, que dichas personas administren u operen, facilitando o realizando operaciones de compra o venta de dichos activos propiedad de sus clientes o bien, provean medios para custodiar, almacenar, o transferir activos virtuales. No obstante, mediante reformas a la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, publicadas el 9 de marzo de 2018, estas personas quedarán sujetas al régimen de dicha Ley a partir de septiembre de 2019. Esta regulación define como actividad vulnerable la operación de entidades no financieras con activos virtuales y establece una serie de requisitos como identificación de los clientes de dichas empresas, así como el llenado de reportes y avisos a la SHCP cuando el monto de la operación sea igual o mayor a 645 UMAs.
El SPEI, al ser el sistema a través del cual se operan la mayoría de las transacciones electrónicas del país, es a su vez el perímetro de seguridad del sistema financiero. Por lo tanto, es necesario establecer en todo momento reglas que mantengan los recursos procedentes de actividades ilícitas al margen del sistema de pagos, así como reglas que permitan la contención de fraudes y eventos de ciberseguridad que puedan afectar a los participantes.
Con el propósito de que los usuarios del SPEI y el propio sistema no se vean afectados por el mayor riesgo inherente a los activos virtuales, en relación con las transferencias de fondos que realizan por medio de dicho sistema, ha sido necesario tomar medidas adicionales para identificar plenamente a los clientes finales que realizan dichas transferencias de manera que todos los participantes en el sistema que participan en una transacción que involucra activos virtuales (envío, procesamiento o recepción) estén plenamente conscientes de quienes son los beneficiarios últimos de las operaciones. Esto incluye identificar plenamente a las contrapartes finales de las transferencias en todo su trayecto a través del sistema y tener esquemas de validación de identidad robustos.
Durante 2018, el Banco de México modificó las reglas para los participantes del SPEI con el fin de prevenir operaciones no autorizadas legítimamente, así como de establecer medidas para la identificación plena de los clientes y las operaciones relacionadas con los pagos efectuados a través de dicho sistema para la compraventa de activos virtuales, en línea con su objetivo de propiciar el buen funcionamiento de los sistemas de pago, así como en su carácter de administrador del SPEI para tomar las medidas necesarias para procurar que las operaciones que se realizan a través de este sistema sean seguras, legítimas y no estén asociadas a actividades ilícitas. Dichas acciones son consistentes con lo observado por diversas organizaciones internacionales encargadas de velar por la estabilidad del sistema financiero y la prevención de lavado de dinero y financiamiento al terrorismo consideran que debe priorizarse la identificación y mitigación de los riesgos asociados al uso de activos virtuales en el sistema financiero, derivado de su rápido desarrollo, creciente funcionalidad y adopción, así como su naturaleza global29,30.
En relación con el ámbito de aplicación de las circulares que modifican las Reglas del SPEI, es importante aclarar que las medidas establecidas en el referido sistema de pagos para permitir la identificación y rastreabilidad de operaciones relacionadas con activos virtuales aplican únicamente a los participantes en el SPEI que realizan transferencias de fondos relacionadas con clientes que ofrecen de manera profesional y habitual el intercambio o compraventa de activos virtuales; actividad que se considera como vulnerable conforme a la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita. Consecuentemente, con el propósito de que los usuarios del SPEI y el propio sistema no se vean afectados por el mayor riesgo inherente a los activos virtuales, ha sido necesario tomar medidas para prevenir la realización de operaciones no autorizadas legítimamente así como para identificar plenamente a los clientes finales que realizan dichas transferencias de manera que todos los participantes en el sistema que participan en una transacción que involucra activos virtuales (envío, procesamiento o recepción) estén plenamente conscientes de quienes son los beneficiarios últimos de las operaciones. Esto incluye identificar plenamente a las contrapartes finales de las transferencias en todo su trayecto a través del sistema y tener esquemas de validación de identidad robustos.
En particular, con el fin de reducir la probabilidad de que los activos virtuales sean utilizados como canal para extracción de recursos producto de ciberataques u otras actividades ilícitas, se incluyó en la regulación del SPEI que las transferencias realizadas a través de dicho sistema dirigidas a clientes de participantes que realicen tales operaciones se acrediten después de 24 horas. Lo anterior aumenta el tiempo para reaccionar en caso de ser necesario y permite a los participantes realizar validaciones adicionales para verificar la legitimidad de la transferencia, en beneficio de los clientes.
Adicionalmente, para realizar transferencias de fondos hacia proveedores de servicios de compraventa de activos virtuales que, a su vez, sean clientes de un participante en el SPEI, es necesario que el participante involucrado en estas operaciones conozca la información de los usuarios finales de los proveedores involucrados en la operación. Esto implica que el referido participante que envía la transferencia debe solicitar a su cliente identificar al originador de la transferencia conforme a la normatividad aplicable. Las medidas establecidas para las entidades referidas que ofrecen servicios relacionados con activos virtuales son consistentes con las que se establecen para los clientes de los demás participantes del SPEI, en particular los bancos, que deben identificar a sus clientes de acuerdo a su nivel de operación.
Por una parte, los participantes deberán validar la información de los usuarios finales a través de la información extraída de un Comprobante Electrónico de Pago (CEP) para comprobar que quien recibe la transferencia sí es el poseedor de la cuenta, para aquellas personas cuyos abonos en un mes no excedan 8,000 UDI.
Por otra parte, para usuarios cuyas operaciones estén entre 3,000 y 8,000 UDI, además de la documentación requerida para niveles de operación menores, se incluye el requerimiento de solicitar y validar la información contenida en la credencial de elector, así como validar la huella digital con el servicio de validación del INE con el fin de tener una adecuada identificación de los clientes en tanto las transacciones que realizan, al ser de mayor monto, pueden implicar un mayor riesgo.
Si bien solicitar y validar la información contenida en la credencial de elector, así como la validación de la huella digital con el servicio de validación del INE puede ser un sistema efectivo para la identificación de usuarios, se consideró necesario una identificación más exhaustiva de aquellos usuarios que operen cantidades mayores a 8,000 UDI sin límite superior, pues estos montos podrían implicar un riesgo mayor desde la perspectiva de lavado de dinero, o bien, podrían implicar una mayor afectación en lo que se refiere a las transferencias no autorizadas legítimamente. Debido a lo anterior, se consideró que además de requerir la documentación correspondiente a lo establecido para cuentas bancarias sin límite de abonos, es necesario establecer la obligación de la firma de un contrato presencial o por vía remota mediante la firma electrónica avanzada, emitida por el SAT, la cual se emite después de un proceso de identificación exhaustivo presencial y, por lo tanto, es viable como sustituto de la identificación presencial, para cubrir las necesidades de identificación de los usuarios finales.
En lo que se refiere a la inclusión financiera, es importante destacar que las restricciones emitidas no afectan de ninguna manera a personas que operan con montos reducidos, sino que solo afectan a aquellos individuos que operan con montos elevados. En este sentido, se establecen requisitos de identificación superiores únicamente a aquellos clientes que, por los montos de sus operaciones de ingreso de recursos, se les debe realizar un proceso de conocimiento de cliente más exhaustivo de manera que se pueda determinar si representan un mayor riesgo de lavado de dinero, financiamiento al terrorismo y otras actividades ilícitas. En específico, el esquema no requiere información adicional a personas cuyos abonos en un mes no excedan 3,000 UDI, alrededor de 20,000 pesos en la cuenta respectiva, es decir, la inmensa mayoría de los mexicanos excluidos del sistema financiero. De esta manera, el esquema establecido es una flexibilización respecto de la normatividad vigente para cuentas de instituciones de crédito, puesto que previo a la emisión de las circulares únicamente se permitía la apertura de cuentas con este nivel de operación de forma presencial.
Por otro lado, es importante contextualizar el umbral a partir del cual se requiere una identificación exhaustiva del cliente. De acuerdo a la Encuesta Nacional de Ingresos y Gastos de los Hogares de 2016, menos del 10% de los hogares en México tienen un ingreso per cápita mensual superior a las 3,000 UDI31. Es importante notar que esta cifra únicamente considera los ingresos y no los gastos, por lo que se subestima de forma significativa la proporción de la población que dispone de al menos 3,000 UDI al mes para operar con activos virtuales, en adición a otros gastos que incurra el hogar. Asimismo, es relevante mencionar que el valor promedio de remesas recibidas osciló entre 307 y 343 dólares entre enero y noviembre de 2018, equivalente a aproximadamente un tercio de las 3,000 UDI32. Es decir, la medida afectaría a una reducida proporción de la población con mayores ingresos del país, con lo que se puede inferir que no existiría un impacto sobre la inclusión financiera, pero sí un impacto sobre la trazabilidad de las operaciones que permitiría a las autoridades identificar actividades potencialmente ilegales.
Las medidas establecidas pretenden permitir la identificación exhaustiva para empresas cuyo modelo de negocio, por ser de una naturaleza digital, no es compatible con la firma presencial de un contrato, buscando prevenir adecuadamente riesgos relacionados con actividades ilícitas a la vez que se permite la innovación y el uso de nuevas tecnologías. Es por esta consideración que se buscó una alternativa remota con la misma validez jurídica y confiabilidad. La posibilidad de recabar, de forma opcional, la firma electrónica en lugar de requerir la firma presencial de un contrato busca replicar el esquema de CETES Directo que utiliza el Gobierno Federal para permitir al público en general invertir en sus activos. CETES Directo permite invertir hasta 3,000 UDI al mes bajo la modalidad de "Contrato Exprés". Para invertir cualquier monto superior se requiere presentarse físicamente, o bien, identificarse por internet mediante la firma electrónica emitida por el SAT33. Con este antecedente, en el que el propio Gobierno Federal permite al público identificarse con la firma electrónica para invertir en activos por medios digitales, el Banco de México consideró factible ofrecer la misma posibilidad para identificar a los clientes que deseen operar con activos virtuales.
Abonando tanto a la prevención de lavado de dinero como a la contención de fraudes y eventos de ciberseguridad, se establece la obligación de vincular las cuentas de los usuarios finales que operan bajo estos esquemas y que realicen abonos mensuales menores a 8,000 UDI de tal forma que solo se puedan enviar y recibir fondos a dicha cuenta, de forma que se limite a los usuarios finales de poder realizar pagos que provienen de recursos relacionados con activos virtuales dentro del sistema financiero. Lo anterior es consistente con el objetivo de mantener una sana distancia entre la operación de activos virtuales y el sistema financiero, puesto que las instituciones financieras autorizadas para la provisión de servicios de pago están reguladas con base en los riesgos derivados de dicha actividad, por ejemplo, estas instituciones no pueden ofrecer servicios de compraventa e intercambio de activos virtuales. En este sentido, el requisito de vinculación es consistente con las finalidades que corresponden a las empresas que se dedican a la provisión de servicios relacionados con activos virtuales.
Por último, es importante aclarar que el requisito de identificación presencial o mediante firma electrónica únicamente aplica para el ingreso de recursos a cuentas de personas que ofrezcan servicios profesionales de compraventa o intercambio de activos virtuales y no aplican para el retiro, que en ningún caso se podrá negar con independencia del monto. Asimismo, a partir de la entrada en vigor de estos requisitos de identificación en caso que algún cliente no se haya identificado, a través la validación de su credencial para votar y su huella digital para operaciones o, en su caso, con firma electrónica o presencial podrá seguir operando por debajo del umbral de las 3,000 UDI mensuales. Es decir, se requieren mecanismos de identificación más robustos únicamente para ingresar un monto superior.
29/ Véase: Financial Action Task Force, "Guidance for a Risk-Based Approach to Virtual Currencies", junio de 2015, en http://www.fatf-gafi.org/publications/fatfgeneral/documents/guidance-rba-virtual-currencies.html.
30/ Véase "Regulation of virtual assets" en http://www.fatf-gafi.org/publications/fatfrecommendations/documents/regulation-virtual-assets.html.
31/ Equivalente a $16,347.26, considerando el valor promedio de la UDI durante 2016 (5.4491).
32/ Datos del Banco de México, disponibles en: https://www.banxico.org.mx/SieInternet/consultarDirectorioInternetAction.do?sector=1&accion=consultarCuadro&idCuadro=CE81&locale=es.
33/ Información disponible en: http://www.cetesdirecto.com/sites/portal/inicio.