La semana pasada, el sector de las criptomonedas recibió una sacudida significativa, cuando el Banco Central de Irlanda (BCI) anunció un Acuerdo de Resolución Alternativa (ASP, «por sus siglas en inglés») con Coinbase Europe Limited (CBEL), la filial europea de Coinbase, uno de los mayores criptointercambios del mundo, tras imponerle una multa de 21.5 millones de euros por fallos en la lucha contra el blanqueo de capitales, según el comunicado del banco central irlandés.
Esta sanción, una de las más cuantiosas dictadas por un regulador financiero europeo a una entidad de criptomonedas por fallos de cumplimiento, que no solo marca un precedente, sino que subraya la intensificación de la vigilancia regulatoria en un continente que avanza hacia el marco más estricto del mundo, la regulación Markets in Crypto-Assets Regulation (MiCA).
La multa no fue el resultado de una conducta maliciosa o un encubrimiento intencional, sino la consecuencia directa de una serie de errores técnicos de programación que, durante casi dos años, mermaron la eficacia de los sistemas internos de prevención de blanqueo de capitales (AML, «por sus siglas en inglés») de la compañía.
La obligación fundamental de toda institución financiera, incluidas las plataformas de criptomonedas registradas en Europa, es implementar sistemas robustos que monitoreen las transacciones de los clientes para detectar actividades sospechosas que puedan estar relacionadas con el blanqueo de capitales o la financiación del terrorismo.
Para cumplir con esto, CBEL desarrolló un Sistema de Monitoreo de Transacciones (TMS, «por sus siglas en inglés»), un sofisticado software diseñado para escanear flujos de dinero digital, pero el problema residió en la ejecución.
Entre 2021 y 2022, el TMS de Coinbase adoleció de tres errores de programación inadvertidos, aunque de naturaleza técnica, tuvieron repercusiones críticas en el cumplimiento regulatorio, cómo: Fallo de Escenarios, Ignorancia de Caracteres Especiales y Análisis Parcial.
El primero de estos errores, denominado Fallo de Escenarios, mostró que en cinco de los 21 “escenarios” o reglas de detección que formaban el TMS no funcionaron a su máxima capacidad. Estos escenarios están diseñados para buscar patrones específicos de alto riesgo.
El segundo de estos errores, denominado Ignorancia de Caracteres Especiales, se puede observar en un ejemplo citado por Coinbase en su propio comunicado, fue que el sistema no lograba detectar o procesar correctamente las direcciones de criptomonedas que estaban separadas por caracteres especiales.
Y el tercer y último de estos errores de programación, denominado Análisis Parcial, que se pudo observar en el resultado neto del software, del cual una porción significativa de las transacciones—se estima que más de 30 millones, representando cerca del 31% del volumen de CBEL en el periodo—fueron analizadas pero solo parcialmente o con datos incompletos.
El comunicado del BCI, detalla tras explicar el motivo de la multa, dijo que: “como proveedor de servicios de activos virtuales, Coinbase Europe está obligada a supervisar las transacciones de sus clientes de forma continua”.
“Si Coinbase Europe sospecha que una transacción facilita el blanqueo de capitales o la financiación del terrorismo, debe presentar un Informe de Transacción Sospechosa (ITS) ante la Unidad de Inteligencia Financiera (UIF) y la Agencia Tributaria lo antes posible”.
De hecho, el BCI fue claro al señalar que este incumplimiento constituye una violación grave de las obligaciones de CBEL tiene como criptointercambio, en virtud de la legislación irlandesa contra el blanqueo de capitales.
La sanción inicial, que ascendía a 30.7 millones de euros, fue rebajada a 21.5 millones tras considerar la cooperación de CBEL en la resolución y el hecho de que la compañía misma detectó y corrigió los errores.
La rigurosa respuesta del Banco Central de Irlanda no es una excepción; es la ejecución de la política regulatoria que se gesta en Bruselas. La relación entre esta multa y las políticas de AML y Conoce a tu Cliente (KYC, «por sus siglas en inglés»), es la clave para entender el futuro de la industria cripto en Europa.
AML se refiere al conjunto de procedimientos, leyes y regulaciones diseñadas para detener la práctica de generar ingresos mediante actividades ilegales, mientras que KYC es el primer pilar de AML, que obliga a las instituciones a verificar la identidad de sus clientes antes de hacer negocios.
En el contexto cripto, la preocupación regulatoria es triple: la anonimidad de las carteras, la velocidad de las transferencias transfronterizas y la dificultad para rastrear los fondos una vez que salen de la plataforma regulada.
Es por ello, que Europa ha adoptado una postura de “riesgo cero” ante estos desafíos, lo que se manifiesta en dos grandes iniciativas: 1) La Ley MiCA (Markets in Crypto-Assets) y 2) La Directiva de Lucha contra el Blanqueo de Capitales (AMLD, «por sus siglas en inglés») y la AMLA.
- La Ley MiCA (Markets in Crypto-Assets): Aunque la multa se basa en la legislación AML irlandesa existente, su magnitud anticipa la era MiCA. Este marco regulatorio, pionero a nivel global, exige a los Proveedores de Servicios de Criptoactivos (CASP, «por sus siglas en inglés») obtener licencias de operación y adherirse a estándares de gobernanza y control de riesgo extremadamente altos.
En la era MiCA, fallos técnicos como los presentó la filial de Coinbase en Europa, no solo acarrearán multas, sino que podrían poner en riesgo la licencia operativa de la entidad en toda la UE.
- La Directiva de Lucha contra el Blanqueo de Capitales (AMLD) y la AMLA: La Unión Europea está fortaleciendo su arsenal AML. Las nuevas directivas y, crucialmente, el establecimiento de la Autoridad de Lucha contra el Blanqueo de Capitales (AMLA), centralizarán la supervisión y aplicarán estándares uniformes.
Esto significa que un fallo en el TMS de una plataforma ya no será solo un problema en una jurisdicción (como Irlanda), sino una violación paneuropea que será sancionada por una entidad con capacidad y mandato para imponer multas aún más severas que las nacionales.
Tras detectar los errores, Coinbase Europe tomó medidas, corrigiendo el software y embarcándose en la titánica tarea de revisar retroactivamente todas las transacciones afectadas. Este proceso de diligencia tardía culminó con la presentación de aproximadamente 2.700 ITS a las autoridades irlandesas, por un valor acumulado de 13 millones de euros.
Si bien la colaboración de Coinbase fue fundamental para mitigar la sanción, la multa del BCI es ineludible, ya que la responsabilidad de tener sistemas de cumplimiento funcionales y a prueba de fallos reside enteramente en la empresa.
La naturaleza de los activos que manejan los criptointercambios—activos que pueden ser utilizados para mover dinero ilícito con facilidad—exige una diligencia superior a la de la banca tradicional.
La multa de 21.5 millones de euros a Coinbase no es simplemente una cifra; es una advertencia, que ha llegado en un momento en que la industria cripto busca desesperadamente legitimidad institucional, mientras Europa está estableciendo el listón.
La era de la permisividad regulatoria ha terminado, y las empresas que operan en este continente deben ver en el caso de Coinbase la confirmación de que la inversión en ingeniería de cumplimiento es tan crucial, y potencialmente más costosa, que cualquier otra área del negocio.
El futuro de las criptomonedas en Europa no será de acceso libre, sino de acceso regulado, y cualquier grieta en los sistemas AML/KYC costará millones.