En función del cumplimiento de la normatividad vigente en Colombia y la observancia de ciertos aspectos de índole corporativo, proponemos revisar la viabilidad jurídica para que una entidad vigilada por la Superintendencia Financiera de Colombia (SFC) pueda ofrecer servicios de compraventa de criptomonedas, a través de sus canales.
Marco Regulatorio Vigente
El desarrollo de la regulación sobre criptomonedas en Colombia, inició por la propia SFC que se ha pronunciado con normativas de rango reglamentario donde señaló, en la Circular 29 de 2014 que “las monedas virtuales no se encuentran reguladas por la ley, ni sujetas al control, vigilancia o inspección de la SFC, razón por la cual implican riesgos e inexistencia de mecanismos para obligar al cumplimiento de las transacciones pactadas”. De allí que, para ese momento, estableció que las entidades vigiladas por la SFC tenían prohibido custodiar, invertir o intermediar con “monedas digitales”.
En 2016, el Banco de la República indicó en el Concepto No. 20348 de 2016, que el único medio de pago de curso legal en el país es el peso colombiano. Con lo cual, consideró que “las criptomonedas son un activo que no puede ser considerado una divisa, debido a que no cuenta con el respaldo de los bancos centrales de otros países, por lo que no se puede utilizar para el pago de las operaciones del régimen cambiario”.
Adicionalmente, en la Carta Circular 52 de 2017, la SFC ratificó los pronunciamientos de 2014 y 2016 sobre las criptomonedas, resaltando que no existe obligatoriedad de recibirlas como medio de cumplimiento de los compromisos financieros.
De acuerdo con lo anterior, pese a que las criptomonedas no tienen una naturaleza definida en el régimen legal colombiano, no pueden considerarse “ilegales” porque su uso no se encuentra expresamente prohibido; de allí que, las personas naturales o jurídicas pueden utilizarlas como medio de negociación directa en sus actividades, siempre que su objeto social no este ligado a actividades bajo la vigilancia de la SFC.
Desde 2021 a 2024 se llevó a cabo el sandbox regulatorio para criptomonedas en Colombia, conocido como “la Arenera”, generando una serie de conclusiones importantes que están moldeando el futuro de la regulación y adopción de las criptomonedas en el país, pues se generaron las condiciones para que el regulador colombiano pudiera ver y medir el funcionamiento de este mercado y lograr mayor insumo de información para una futura regulación específica.
Hoy, en Colombia, las normas de rango reglamentario y los conceptos de entidades gubernamentales, emitidos hasta el momento, se orientan a concebir las criptomonedas como un activo que se usa como medio pago para la satisfacción de obligaciones contraídas entre las partes de una negociación.
En tal sentido, se puede resumir el estado actual del ámbito regulatorio colombiano en los siguientes 3 puntos:
Ausencia de Regulación Específica: Actualmente, no existe una regulación específica en Colombia que permita o prohíba de manera explícita a las entidades vigiladas ofrecer servicios de compraventa de criptomonedas.
Principios de la SFC: La SFC ha emitido advertencias y comunicados sobre los riesgos asociados a las criptomonedas, enfatizando que no son consideradas activos financieros ni divisas. Sin embargo, no ha prohibido su comercialización.
Proyectos de prueba: La SFC ha autorizado proyectos de prueba en el Sandbox Regulatorio para explorar la interacción entre el sistema financiero tradicional y las criptomonedas, lo que indica una posible apertura hacia su futura regulación específica.
Cumplimiento corporativo y operacional
Para que una entidad vigilada por la SFC pueda ofrecer, a través de sus canales, servicios de compraventa de criptomonedas en Colombia, es fundamental observar una serie de requisitos que garanticen el cumplimiento corporativo y la seguridad de las operaciones, la protección de los usuarios y el cumplimiento de la normatividad vigente. A continuación, se detallan los principales requisitos:
Independencia y autonomía corportiva, operacional y financiera
La entidad vigilada debe contar con una independencia y autonomía total en materia corporativa, operativa y financiera respecto de la entidad prestadora del servicio de compraventa de criptomonedas. Esto garantiza el cumplimiento de la normativa vigente, en particular la Circular 29 de 2014 de la SFC, que prohíbe a las entidades vigiladas custodiar, invertir o intermediar con “monedas digitales”.
Adicionalmente, la entidad prestadora del servicio de compraventa de criptomonedas debe asegurar a la entidad vigilada el cumplimiento corporativo sobre los siguientes aspectos:
Tecnología y Seguridad: La entidad debe contar con políticas, procesos, infraestructura tecnológica y las medidas de seguridad necesarias para garantizar la protección de los activos de los usuarios, a través de la disponibilidad y la integridad de las operaciones.
Capital y Liquidez: La entidad debe mantener niveles adecuados de capital y liquidez para hacer frente a los riesgos asociados a la compraventa de criptomonedas, especialmente en situaciones de alta volatilidad para casos de criptomonedas que no estén atadas a algún activo o moneda fiduciaria en específico, lo que no sucede con el caso de las llamadas “criptomonedas estables” (stablecoins, según su denominación en inglés) cuya valoración está respaldada con alguna moneda fiduciaria, como es el caso del Theter o el USDC respecto del dólar estadounidense.
Cumplimiento Tributario: La entidad debe cumplir con las obligaciones tributarias relacionadas con la compraventa de criptomonedas, incluyendo la declaración de ingresos y el pago de las obligaciones tributarias correspondientes de conformidad con el r´wgimen y normativa que, a tal efecto, establezca la Dirección de Impuestos y Aduanas Nacionales (DIAN).
Participación de entidades autorizadas para ofrecer servicios relacionados con criptomonedas
Es recomendable que la prestación del servicio se dé a través de una entidad regulada, con licencia y registro especial para compraventa de criptomonedas, de manera de ofrecer mayor garantía de cumplimiento corporativo y asegurar la separación operativa entre la entidad vigilada y la que presta los servicios relacionados con criptomonedas. Esto garantiza que la entidad vigilada nunca manejará directa o indirectamente los fondos en criptomonedas, sino que actuará como facilitadora, poniendo a disposición de sus usuarios un servicio específico que podrán utilizar o no, según su elección.
Análisis de Riesgos
La entidad prestadora del servicio de compraventa de criptomonedas debe realizar un análisis detallado de los riesgos relacionados con la compraventa de criptomonedas, incluyendo:
Lavado de activos y financiación del terrorismo (LA/FT): Identificar y mitigar los riesgos relacionados con la utilización de las criptomonedas para actividades ilícitas.
Fraude: Establecer medidas para prevenir y detectar fraudes, como estafas, phishing, robo y/o suplantación de identidad.
Volatilidad de precios: Informar a los clientes sobre la volatilidad de los precios de las criptomonedas (en los casos que corresponda) y los riesgos asociados.
Riesgos tecnológicos: Proteger la infraestructura tecnológica y los datos de los usuarios contra ciberataques y fallas técnicas producidos por eventos internos y/o externos de la entidad.
Políticas y Procedimientos
La entidad prestadora del servicio de compraventa de criptomonedas debe poseer políticas y procedimientos claros relacionados con el abordaje de las operaciones, asegurando la gestión de los riesgos identificados, destacando las siguientes:
Debida diligencia de clientes (KYC): Verificar la identidad de los clientes, hacer verificación y consultas en listas restrictivas y evaluar su perfil de riesgo.
Monitoreo de transacciones: Supervisar las transacciones para detectar actividades sospechosas y cumplir con las obligaciones de reporte. Para realizar el proceso de monitoreo del riesgo transaccional y mitigar los riesgos relacionados a los servicios y medios de pagos que se utilizan en la entidad prestadora de los servicios, se debe contar con una herramienta que permita verificar las transacciones realizadas en billeteras criptográficas en tiempo real y ver el perfil de riesgo holístico de cualquier billetera de la empresa y sus clientes, verificando todas las transacciones en los principales protocolos blockchain.
Seguridad informática: Establecer medidas de seguridad robustas para proteger la información y los activos de los usuarios, bajo principios y estándares internacionales, como la Norma ISO 27001.
Información Transparente y protección al usuario
La entidad prestadora de los servicios de compraventa de criptomonedas, debe asegurar comunicación clara frente a los usuarios del servicio, entre otras, sobre:
Riesgos en el uso de las criptomonedas: Explicar, en los Términos y Condiciones del Servicio, los riesgos asociados a la utilización de criptomonedas, incluyendo la volatilidad (en los casos que corresponda), los aspectos regulatorios y la responsabilidad del usuario en el manejo de claves que pueden tener algún impacto en la pérdida de los activos.
Características de los servicios: Describir detalladamente los servicios ofrecidos, incluyendo las condiciones de compraventa, las comisiones y tarifas aplicables, y los mecanismos de resolución de conflictos entre los usuarios y la entidad prestadora del servicio.
Derecho a la información: Proporcionar información clara, veraz y suficiente sobre los servicios ofrecidos y los riesgos asociados.
Transparencia en las operaciones: Realizar las operaciones de manera transparente, informando a los usuarios sobre las condiciones y los costos asociados.
Resolución de conflictos: Establecer mecanismos efectivos para la resolución de conflictos con los usuarios.
La entidad prestadora del servicio de compraventa de criptomonedas debe asegurarse de que esta información sea fácilmente accesible para los usuarios, esté redactada en un lenguaje claro y comprensible, y se actualice periódicamente para reflejar cualquier cambio en las condiciones del mercado o en los servicios ofrecidos.
Prevención de LA/FT
La entidad prestadora del servicio de compraventa de criptomonedas debe poseer políticas y procedimientos claros relacionados con la prevención de lavado de activos y financiación del terrorismo (LA/FT), destacando las siguientes:
Cumplimiento normativo: Cumplir rigurosamente con las normas de LA/FT establecidas por la Unidad de Información Financiera (UIF) y otras autoridades competentes del país donde la entidad prestadora del servicio de compraventa de criptomonedas se encuentre registrada.
Identificación y verificación de clientes: Implementar procedimientos de KYC para conocer a los clientes y evaluar su nivel de riesgo.
Reporte de operaciones sospechosas (ROS): Reportar cualquier transacción inusual o sospechosa a la UIF y notificar debidamente a la entidad vigilada por la SFC con la que tenga el convenio para ofrecer, a través de sus canales, los servicios de la entidad que prestará el servicio de compraventa de criptomonedas.
Medidas preventivas: Adoptar medidas y buenas prácticas del Grupo de Acción Financiera Internacional (GAFI) para evitar que las criptomonedas sean utilizadas para actividades ilícitas, como el establecimiento y parametrización de límites de transacción y la restricción de operaciones con países de alto riesgo.
De esta manera, al día de hoy, una entidad vigilada por la SFC puede ofrecer servicios de compra y venta de criptomonedas a través de sus canales, siempre y cuando adopte un enfoque prudente y cumpla con los requisitos legales y regulatorios aplicables. Para ello, es recomendable que el servicio sea prestado directamente por una entidad regulada, con licencia y registro especial para compraventa de criptomonedas y servicios relacionados, asegurando, con ello, una mayor garantía de cumplimiento corporativo y la separación operativa total entre la entidad vigilada y la que presta los servicios relacionados con criptomonedas.
En este marco, será fundamental que la entidad vigilada por la SFC realice un análisis exhaustivo de los riesgos, valide y verifique las políticas y procedimientos adecuados, en materia de operaciones, seguridad de la información, prevención de LA/FT y protección al usuario, que permita garantizar la prestación del servicio con altos niveles de transparencia y trazabilidad operacional.
En conjunción con lo anterior, considero oportuno resaltar que actualmente pareciera haber un cambio de percepción por parte del sector de las entidades supervisadas que, apalancándose en la normatividad vigente en Colombia, han decidido avanzar con el ofrecimiento y promoción, a través de sus canales, del servicio de compraventa de criptomonedas a sus usuarios, como es el caso de Bancolombia (con Wenia) y Lulo Bank (con Lulo X). Esto, sin duda, es un indicio claro de hacia dónde se irá moviendo el mercado en el corto y mediano plazo que acompaña, sin duda, la masificación en el uso de diferentes expresiones de tecnología financiera que demanda la dinámica social.
Por Tulio Nuñez
Head of Legal de Koibanx