COLUNAS

  1. Home >
  2. Colunas >
  3. Criptogalhas >
  4. GAFI e os desafios à regulação de criptoativos

GAFI e os desafios à regulação de criptoativos

sexta-feira, 1 de dezembro de 2023

Atualizado às 08:35

"Nas atualização de suas diretrizes, o GAFI tentou enfrentar alguns desafios regulatórios mais urgentes, provocados pelas inovações trazidas pelos ativos virtuais, como transferências P2P e carteiras não custodiadas."

GAFI ou FAFT

O GAFI - O Grupo de Ação Financeira Internacional -, conhecido no exterior como FATF  - Financial Action Task Force -, foi criado como uma força-tarefa global de ação financeira intergovernamental cujo objetivo é o combate à lavagem de dinheiro e ao financiamento do terrorismo.

Com representantes não-eleitos, indicados pelos países integrantes, que tem a missão de criar políticas e recomendações de vigilância financeira não vinculativas,  o GAFI não é considerado um órgão democrático.

Entretanto, um país que se recuse a adotar suas diretrizes regulatórias está sujeito a graves consequências diplomáticas e econômicas como, por exemplo, não receber financiamento do FMI, perder direito de voto em outros órgãos internacionais, dentre outras.

Assim, as recomendações do GAFI são objeto de discussão nos Parlamentos de suas países integrantes, como recentemente ocorreu aqui no Brasil, por ocasião da aprovação do Marco Legal das Criptomoedas.

As orientações do GAFI destinadas aos ativos virtuais

As primeiras orientações foram publicadas em 2015, e posteriormente atualizadas em 2019, em 2020 e 2021.

Em 2020, foi publicado o "12 Month Review of Revised FATF Standards" - atualização sobre provedores de serviços de ativos virtuais - e também um relatório para o G20 sobre stablecoins.

Por fim, em outubro de 2021, o GAFI publicou uma última atualização de suas diretrizes chamada de "Updated Guidance for a Risk-based approach - Virtual Assets and Virtual Asset Service Providers".

As diretrizes do GAFI basicamente espelham as políticas existentes para o combate à lavagem de dinheiro do regulador americano FinCEN.

Em sua atualização de 2019, o GAFI orientou que os países fizessem um forte monitoramento do mercado de criptoativos, equiparando provedores de produtos e serviços relacionados a criptoativos às instituições financeiras tradicionais.

Aqui, vale destacar que ao contrário das políticas sobre sigilo bancário e diretrizes do FinCEN existentes nos EUA desde 2013, em 2015 e em 2019 o GAFI não sugeriu políticas rígidas ou invasivas de privacidade.

Em 2021,  o GAFI sugeriu aos países a criação de dois requisitos em suas respectivas legislações que introduziam práticas de compliance do sistema bancário no mercado de criptoativos, bem como impactavam profundamente a privacidade no mercado cripto.

É o que veremos a seguir.

"Travel Rule" ou regra de viagem

Segundo o GAFI, não basta que os "provedores de serviços de ativos virtuais" (VASPs) compartilhem dados de clientes uns com os outros. Também é preciso que seja realizada a devida diligência sobre outros VASPs, com os quais seus clientes fazem transações.

Por isso, o GAFI acrescentou às suas diretrizes outros requisitos de informação que deveriam acompanhar as transferências de criptoativos -  o que está consagrado na Recomendação nº 16 do GAFI como "travel rule" ou "regra de viagem" em português:

"Recommendation 16. As noted in Section III, providers in this space must comply with the requirements of Recommendation 16 (i.e. the 'travel rule'). This includes the obligation to obtain, hold, and submit required originator and beneficiary information associated with VA transfers in order to identify and report suspicious transactions, take freezing actions, and prohibit transactions with designated persons and entities. The requirements apply to both VASPs and other obliged entities such as FIs when they send or receive VA transfers on behalf of a customer."

A regra de viagem não exige que estas informações sejam coletadas para cada transferência individual, mas que um VASP (ou outra entidade regulamentada) realize a devida diligência em um VASP, antes de efetuar a primeira transação com ele pela primeira vez, comprovando se existe:

  • Evidências de que o VASP é regulamentado;
  • Mídia adversa, incluindo se o VASP foi submetido a alguma ação regulatória; e
  • Evidência de que o VASP possui estrutura adequada e satisfatória às políticas de combate à lavagem de dinheiro e ao financiamento ao terrorismo (AML/CFT): por exemplo, se ele executa verificações KYC e possui uma política AML/CFT, ou facilita transações com contrapartes de alto risco.

Aqui, o GAFI adota uma abordagem neutra em termos de tecnologia e não prescreve uma tecnologia específica ou abordagem de software que os provedores devam implantar para cumprir a Recomendação 16.

Logo, qualquer tecnologia ou solução de software é aceitável, desde que permita que a instituição ordenadora e a instituição beneficiária (quando presente na transação) cumpram suas obrigações de AML/CFT

A regra de viagem é, portanto, o primeiro requisito que os países deveriam incorporar em suas respectivas legislações.

Quanto ao segundo requisito, como veremos a seguir, aconselha políticas mais rígidas e, para muitos, excessivamente invasivas à privacidade dos indivíduos.

Imposição de Identificação do clientes e coleta de dados

Aqui, as diretrizes do GAFI também determinam que as corretoras de criptoativos coletem informações específicas sobre a quem seus clientes estão pagando, ou por quem seus clientes estão sendo pagos, o que também está consagrado na Recomendação nº 16, após a atualização de 2021:

"294. VASPs must transmit relevant originator and beneficiary information as set out in the INR.16."

Assim, os VASPs devem transmitir informações relevantes sobre o originador e o beneficiário, conforme estabelecido na INR. 16.

Os países podem até estipular um limite mínimo para transferências de criptoativos, abaixo do qual a verificação das informações do cliente e do beneficiário não é necessária, a menos que haja suspeita de lavagem de dinheiro ou financiamento ao terrorismo.

Por exemplo, para transferências ocasionais de VA abaixo de USD/EUR 1.000, ou o valor equivalente em moeda local, ou conforme definido nas regulamentações locais, os requisitos da Recomendação nº 16 se aplicam.

Então, será exigido que os provedores de serviços de criptoativos:

  1. Informem às autoridades o nome do originador e do beneficiário da transferência de criptoativos;
  2. Informem às autoridades um endereço de carteira para cada um ou um número de referência de transação exclusivo.
  3. verifiquem as informações relativas ao cliente, sempre que houver circunstâncias suspeitas relacionadas a lavagem de dinheiro e financiamento ao terrorismo.

Note que essa recomendação do GAFI já era exigida no Brasil desde 2019, através da primeira normativa sobre criptoativos no país. Cuida-se da Instrução Normativa da Receita Federal nº 1888/2019, expedida pela Receita Federal, que criou uma definição sobre ativos digitais e ao mesmo tempo criou a obrigação de reporte sobre operações com criptoativos para as exchanges sobre movimentações de seus clientes.

Nessa linha, os titulares envolvidos na transação, quantidade de criptoativos, valor da operação e valor das possíveis taxas de serviço devem ser reportados à autoridade tributária brasileira, sob pena de multa.

Neste contexto, ao atualizar suas diretrizes sobre criptoativos e orientar a prática da devida diligência da contraparte do cliente, o GAFI sugere - na mesma linha da IN nº 1888/2019 - que os governos exijam dos provedores de serviços relacionados a criptoativos as mesmas práticas de compliance comuns às instituições financeiras.

Desafios gerados pelas inovações trazidas pelos criptoativos

Nas atualização de suas diretrizes, o GAFI tentou enfrentar alguns desafios regulatórios mais urgentes, provocados pelas inovações trazidas pelos ativos virtuais.

Vejamos, a seguir, quais são essas dificultades regulatórias.

¾ As transações Peer-to-Peer (P2P) ou via exchange descentralizada (DEX)

Apesar da maioria das pessoas transacionarem criptoativos via corretoras centralizadas (CEXs), os detentores de criptoativos podem realizar transac¸o~es diretas, ponto a ponto (chamadas também de transferências P2P / peer-to-peer), ou através de corretoras descentralizadas (apelidadas de DEXs ou Decentralized Exchanges).

Tanto nas transferências P2P, como nas DEXs, a possibilidade de exige^ncia regulato'ria e' baixa. Isto porque, nesse tipo de plataforma, ha' negociac¸a~o direta dos criptoativos entre os usua'rios, efetivada apenas pelo software que realiza o encontro das ordens de compra e venda, sem a necessidade de supervisa~o humana.

Tendo isto em conta, a abordagem da natureza peer-to-peer (P2P) dos ativos virtuais é uma questão que em intrigado o GAFI.

No setor financeiro tradicional, onde as normas do GAFI são aplicadas há mais de três décadas, não são possíveis transações eletrônicas P2P completas. Consequentemente, as normas do GAFI nunca abordaram como gerenciar eventuais riscos associados às transferências eletrônicas P2P que são a principal inovação do bitcoin.

Por não envolverem a presença de entidades reguladas, o GAFI têm classificado as transações P2P como de alto risco, porque tais transações ocorrem fora da esfera de supervisão "tradicional" de órgãos de fiscalização.

Por consequência, desde a publicação de suas primeiras diretrizes para o mercado de criptoativos em 2015, o GAFI se propôs a abordar os riscos relacionados às transferências P2P, por entender que este tipo de transação oferece aos atores ilícitos um método ideal para transferir fundos.

Após críticas de muitos players da indústria de criptoativos e organismos internacionais como o Coin Center - que se propõe a educar os formuladores de políticas e a defender abordagens regulatórias sensatas para criptoativos - , o GAFI abrandou sua abordagem.

O GAFI decidiu não estender suas diretrizes a usuários individuais de ativos virtuais, ou recomendar uma fiscalização direta pelos governos das transferências P2P, optando por uma abordagem diferente:

"VASPs should be aware of the risk posed by VA transfers to/from unhosted wallets and related P2P transactions."

Daí, o GAFI passou a recomendar aos países que considerem administrar os riscos relacionados às transferências P2P, mas através de uma regulação que estipule como intermediários devem interagir com carteiras não custodiadas.

¾  Carteiras não custodiadas [hardwallets]

Carteiras não custodiadas, conhecidas como hardwallets, são aquelas não hospedadas por um provedor de serviço relacionado a criptoativos, ou outra entidade regulamentada.

E em relação às carteiras não custodiadas, o GAFi sugere uma série de medidas que os países devem tomar para enfrentar os riscos das transações P2P, em especial a exigência de que os provedores de serviços cripto apresentem relatórios de transações monetárias, quando seus clientes fazem transações com hardwallets. Observe que tal diretriz é uma tentativa de impor um paradigma regulatório similar ao exigido de instituições financeiras  no setor de ativos virtuais.

Pensamentos finais

O GAFI peca ao pautar suas diretrizes na suposição de que as transações envolvendo carteiras de hardware, por não envolverem contrapartes regulamentadas, oferecem riscos mais altos que transações realizadas através dos provedores de serviços relacionados a criptoativos.

Primeiro, porque o fato de tais transações P2P serem realizadas fora da esfera de supervisão "tradicional" não necessariamente significa impossibilidade de fiscalização. Na maioria das vezes, os órgãos fiscalizadores não conta com tecnologia de ponta para o exercício da fiscalização.

Já existem recursos na própria tecnologia que podem ajudar a solucionar a incrementar a fiscalização, como as ferramentas de análise - disponibilizadas por empresas como Elliptic e Chainalysis, que possibilitam rastrear cada transação em todo o ecossistema cripto.

Segundo, porque os dados nos mostram um contexto diferente. A grande maioria das atividades transacionais P2P em criptos é legítima e não envolve interação com entidades ilícitas.

Pesquisa realizada pela empresa de análises on-chain Elliptic mostrou que apenas 0,6% das transações P2P em Bitcoin foram enviadas ou recebidas por uma entidade ilícita em 2020.

Na mesma linha, em 2023, em relatório sobre as diretrizes revisadas dos fatores de risco de lavagem de dinheiro e financiamento do terrorismo, a ConsenSys apontou que o uso de carteiras não custodiadas não é, em si, um fator que, por si só, mereça a aplicação da due diligence aprimorada (EDD).

Logo, a orientação do GAFI para que os países proíbam o uso de hardwallets ou imponham controles mais rigorosos pelos VASPs a clientes que se utilizem de carteiras não custodiadas é desproporcional ao quadro real de risco. A pesquisa da Elliptic indica que aproximadamente 80% dos lucros criminosos em Bitcoin são lavados através de corretoras de criptoativos e outros VASPs.

De outro lado, proibir VASPs de terem qualquer interação com cold wallets é inviável. A natureza não permissionada e imutável dos VASPs de código aberto torna impossível a rejeição de transferências de fundos recebidos de hard wallets. Apesar de possível o bloqueio ou restrição ao acesso dos clientes a esses fundos após recebê-los, um VASP não pode evitar recebê-los de uma carteira auto custodiada.

O uso de uma hardwallet é semelhante ao uso de um navegador da Web. Da mesma forma que os navegadores da Web permitem que os consumidores tenham amplo acesso à Internet, as carteiras não custodiadas são essenciais para que os usuários acessem e operem no espaço da Web3