Gaceta Oficial N° 42.110: Normas Relativas a la Administración y Fiscalización de Legitimación de Capitales, Financiamiento al Terrorismo y Proliferación de Armas de Destrucción Masiva aplicables en el Sistema Integral de Criptoactivos

abril 21, 2021
Gaceta2

En Gaceta Oficial N° 42.110 de fecha 21 de abril de 2021 fue publicada una providencia mediante la cual se dictan las Normas relativas a la administración y fiscalización de los riesgos relacionados con la legitimación de capitales, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva, aplicables a los proveedores de servicios de activos virtuales y a las personas y entidades que proporcionen productos y servicios a través de actividades que involucren activos virtuales, en el Sistema Integral de Criptoactivos.

VICEPRESIDENCIA SECTORIAL DE ECONOMÍA

REPÚBLICA BOLIVARIANA DE VENEZUELA VICEPRESIDENCIA SECTORIAL DE ECONOMÍA SUPERINTENDENCIA NACIONAL DE CRIPTOACTIVOS Y ACTIVIDADES CONEXAS

Caracas, 21 de abril de 2021 211°, 162°y 22° PROVIDENCIA N° 044-2021

JOSELIT RAMÍREZ

Superintendente Nacional de Criptoactivos y Actividades Conexas

En ejercicio de las atribuciones conferidas por los articulos 7, 8, 10 y los numerales 2 y 5 del artículo 11 del Decreto Constituyente sobre el Sistema Integral de Criptoactivos, publicado en la Gaceta Oficial de la República Bolivariana de Venezuela N° 41.575, de fecha 30 de enero de 2019, se dictan las siguientes.

NORMAS RELATIVAS A LA ADMINISTRACIÓN Y FISCALIZACIÓN DE LOS RIESGOS RELACIONADOS CON LA LEGITIMACIÓN DE CAPITALES, EL FINANCIAMENTO DEL TERRORISMO Y EL FINANCIAMIENTO DE LA PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA, APLICABLES A LOS PROVEEDORES DE SERVICIOS DE ACTIVOS VIRTUALES YA LAS PERSONAS Y ENTIDADES QUE PROPORCIONEN PRODUCTOS Y SERVICIOS A TRAVÉS DE ACTIVIDADES QUE INVOLUCREN ACTIVOS VIRTUALES, EN EL SISTEMA INTEGRAL DE CRIPTOACTIVOS

Por cuanto

El ecosistema de los activos virtuales está evolucionando e incorporando una gama de nuevas tecnologías y servicios asociados a los mismos, así corno también está generando nuevos modelos de negocio y tipos de transacciones que conllevan riesgos inherentes de ser utilizados para que delincuentes y terroristas laven sus ganancias o financien sus actividades ilícitas, ya que proporcionan nuevos métodos de transmisión de valor a través de Internet.

Por cuanto

El alcance global de las actividades de los Proveedores de Servicios de Activos Virtuales, así como la naturaleza transfronteriza de los productos y servicios que involucran activos virtuales, permiten movilizar fondos o valores rápidamente a nivel mundial y su tecnología implícita podría facilitar transacciones con seudónimo o anonimato, lo cual hace que los delincuentes puedan querer abusar de los mismos para fines de delincuencia organizada, legitimación de capitales, financiamiento al terrorismo y financiamiento de la proliferación de armas de destrucción masiva.

Por cuanto

Los protocolos subyacentes sobre los cuales se basan varios de los nuevos productos de pago y servicios que involucran activos virtuales, no requieren ni proporcionan identificación y verificación de los participantes y los registros históricos de las transacciones generadas en la cadena de bloques (Blockchain) no están necesariamente asociados con la identidad en el mundo real, lo cual implica mayores riesgos en esta materia, que deben ser identificados y mitigados.

Por cuanto

Es obligación de la República Bolivariana de Venezuela prevenir que el Sistema Integral de Criptoactivos sea utilizado como canal para realizar actividades ilícitas relacionadas con la legitimación de capitales, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva y que la Superintendencia Nacional de Criptoactivos y Actividades Conexas (SUNACRIP) está facultada para velar por el apego del mencionado Sistema a las disposiciones y mejores prácticas que le resulten aplicables en materia de prevención, control y fiscalización de dichos riesgos.

Por cuanto

Las actividades, productos y servicios que involucran activos virtuales son susceptibles de ser utilizados indebidamente por la delincuencia organizada, como instrumentos para la legitimación de capitales, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva, lo cual podría afectar los procesos económicos, políticos y sociales del país.

En virtud de lo anterior:

La Superintendencia Nacional de Criptoactivos y Actividades Conexas (SUNACRIP), en uso de las atribuciones que le confieren los artículos 7, 8, 10 y los numerales 2 y 5 del artículo 11 del Decreto Constituyente sobre el Sistema Integral de Criptoactivos, resuelve dictar las siguientes normas:

TÍTULO I

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1: Esta Providencia tiene por objeto establecer las normas, actuaciones y controles que, como mínimo, deben adoptar y ejecutar los Sujetos Obligados para prevenir y mitigar el riesgo que sus actividades y operaciones sean utilizadas como mecanismos para legitimar capitales provenientes de actividades ilícitas o para financiar el terrorismo o la proliferación de armas de destrucción masiva, tomando en cuenta su nivel de riesgo determinado en base a sus respectivas evaluaciones.

Artículo 2: Esta norma está dirigida a las personas y entidades, públicas y privadas, que proporcionen a terceros productos y servicios a través de actividades que involucren activos virtuales o criptoactivos, en o desde el territorio de la República Bolivariana de Venezuela. Entre los Sujetos Obligados por esta norma se encuentran la Tesorería de Criptoactivos de Venezuela, S.A., que es competente para la comercialización, recaudación y distribución de activos virtuales, así como las Casas de Intercambio de Criptoactivos con licencia para operar en el territorio nacional, las cuales brindan infraestructura para la negociación de activos virtuales.

Están incluidos dentro de la categoría de Sujetos Obligados por estas normas, los Proveedores de Servicios de Activos Virtuales, los cuales, según la Guía para un Enfoque Basado en Riesgo de Activos Virtuales y Proveedores de Servicios de Activos Virtuales, elaborada por el Grupo de Acción Financiera Internacional, son definidos de la siguiente manera:

Proveedor de Servicios de Activos Virtuales: Cualquier persona física o jurídica que realice como conducta empresarial, una o más de las siguientes actividades u operaciones, para o en nombre de otro, sea persona natural o jurídica:

1.-) Intercambio entre activos virtuales y monedas fiduciarias,

2.-) Intercambio entre una o más formas de activos virtuales,

3.-) Transferencia de activos virtuales,

4.-) Custodia y/o administración de activos virtuales o de instrumentos que permitan el control sobre activos virtuales y

5.-) Participación y prestación de servicios financieros relacionados con la emisión, oferta y/o venta de un activo virtual.

Entre los Sujetos Obligados por esta norma se encuentran los proveedores de cuentas y billeteras de activos virtuales, así como también quienes, como conducta empresarial, albergan billeteras de terceros, mantienen la custodia o el control de activos virtuales, billeteras o claves privadas de otra persona física o jurídica, así como los propietarios, operadores y administradores de cajeros automáticos de activos virtuales.

Igualmente se encuentran obligados por estas normas, en todo cuanto les resulte aplicable, los propietarios, operadores y administradores de las plataformas tecnológicas y sitios web que, como conducta empresarial, participen en actividades o transacciones, para o en nombre de otro, que involucren activos virtuales y en la prestación de servicios de intermediación, préstamos, comercialización, intercambio y transferencia de valores representados en activos virtuales, que operen en o desde el territorio de la República Bolivariana de Venezuela. Estas plataformas tecnológicas y sitios web deben estar autorizadas por la Superintendencia Nacional de Criptoactivos y Actividades Conexas (SUNACRIP), para operar en o desde el territorio nacional.

Cuando existan diferencias significativas entre las leyes, regulaciones, normas y medidas sobre prevención de LC/FT/FPADM que aplican dichas plataformas tecnológicas y sitios web, conforme a su jurisdicción de origen y las leyes, regulaciones, normas y medidas venezolanas, sus propietarios, operadores y administradores deben implementar las medidas que se establecen en esta Providencia, agregando aquellas contenidas en las normas de su jurisdicción de origen, que resulten más estrictas que las exigidas en la República Bolivariana de Venezuela.

Los Proveedores de Servicios de Activos Virtuales y demás Sujetos Obligados por estas Normas, deben contar con las respectivas autorizaciones o licencias otorgadas por la Superintendencia Nacional de Criptoactivos y Actividades Conexas (SUNACRIP) para operar, ofrecer productos y brindar servicios a terceros, que involucren activos virtuales, en o desde el territorio de la República Bolivariana de Venezuela.

Artículo 3: Los Sujetos Obligados por estas normas deben establecer políticas, métodos y mecanismos internos de control, aprobados por la Junta Directiva o el órgano que ejerza funciones equivalentes, que les permitan prevenir, administrar y mitigar sus riesgos identificados en materia de LC/FT/FPADM, así como también deben demostrar que los han implementado y puesto en práctica, cuando les sea requerido por este Organismo. Igualmente, deben verificar y hacer seguimiento a la implementación efectiva de dichos controles internos e intensificarlos en caso de ser necesario.

Artículo 4: A los efectos de estas normas, los términos indicados en este artículo, tanto en mayúscula como en minúscula, singular o plural, masculino o femenino, tendrán los siguientes significados:

a. Activos Virtuales: Son una representación digital de valor que se puede comercializar o transferir digitalmente y puede utilizarse para fines de pago o inversión. Los activos virtuales no incluyen representaciones digitales de monedas fiduciarias.

b. Armas de Destrucción Masiva: Son aquellas armas diseñadas para matar a una gran cantidad de personas, dirigidas tanto a civiles como a militares, con efectos devastadores en las personas, infraestructura y medio ambiente, tales como las armas nucleares, biológicas y las químicas.

c. Casa de Intercambio de Criptoactivos: Son personas jurídicas que tienen como objetivo brindar la plataforma o infraestructura tecnológica de intermediación y negociación, para que personas naturales y jurídicas puedan realizar operaciones de intercambio y transferencia que involucren activos virtuales.

d. Beneficiario Final: El significado de este término depende del contexto en el que se utilice y puede ser:

d.1. La(s) persona(s) natural(es) que final y efectivamente, en forma directa o indirecta, posee(n) o controla(n) a un cliente o usuario ocasional que sea una estructura o persona jurídica.

d.2 La(s) persona(s) natural(es) que ejerce(n) influencia significativa sobre la cuenta o relación.

d.3. La(s) persona(s) natural(es) en cuyo nombre o beneficio se realiza una transacción.

e. Cliente: Persona natural o jurídica, pública o privada, que adquiere o contrata productos y/o servicios ofrecidos por un Sujeto Obligado, basados en activos virtuales o criptoactivos y sus tecnologías conexas.

f. Factor de Riesgo de Legitimación de Capitales, Financiamiento al Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva: Es toda circunstancia o situación que aumenta la probabilidad que el Sujeto Obligado sea utilizado consciente o inconscientemente para dichas actividades delictivas. Estos factores generadores de riesgo permiten identificar y analizar los riesgos y los agentes que los generan, así como diseñar la matriz de riesgo, entre los cuales se encuentran:

o Clientes. o Productos, negocios y servicios que involucren activos virtuales.

o Canales de distribución. o Uso de tecnologías nuevas o en desarrollo.

o Tipos de activos virtuales involucrados en las operaciones.

g.Financiamiento al Terrorismo: Es el acto de proporcionar, facilitar, resguardar, administrar, colectar o recabar fondos por cualquier medio, directa o indirectamente, con el propósito de que éstos sean utilizados en su totalidad o en parte por un terrorista individual o por una organización terrorista, o para cometer uno o varios actos terroristas, aunque los fondos no hayan sido efectivamente utilizados o no se haya consumado el acto o los actos terroristas.

h. Financiamiento de la Proliferación de Armas de Destrucción Masiva: Es el acto de proporcionar fondos o servicios financieros en cualquier forma o modalidad, que se utilizan, en todo o en parte, para la fabricación, adquisición, posesión, desarrollo, exportación, transbordo, corretaje, transporte, transferencia, almacenamiento o uso de armas nucleares, químicas o biológicas y sus vectores y materiales relacionados (incluidos ambos tecnologías y bienes de doble uso utilizados para fines no legítimos), en contravención de las leyes nacionales y acuerdos internacionales aplicables.


i. Fuentes Creíbles: Se refiere a información que es producida por organismos bien conocidos que generalmente son vistos como de buena reputación y que hacen esta información pública. Además del Grupo de Acción Financiera Internacional (GAFI) y sus homólogos, estas fuentes incluyen, pero no se limitan, a cuerpos supra nacionales o internacionales como el Grupo Egmon de Unidades de Inteligencia Financiera, así como también organismos gubernamentales nacionales. La información suministrada por estas fuentes creíbles no tiene efectos de una ley o reglamento y no debe considerarse como una determinación automática de que algo sea de mayor riesgo.


j.Gobierno Corporativo: Conjunto de reglas que ordenan de forma transparente las relaciones y el comportamiento de la Junta Directiva o del órgano que ejerza función equivalente del Sujeto Obligado, los accionistas, la Gerencia, los clientes, usuarios y otros participantes interesados. Estas reglas también definen los objetivos estratégicos de la institución, los medios, recursos y procesos para alcanzar dichos objetivos, así como los sistemas de verificación del seguimiento de las responsabilidades y controles correspondientes a cada nivel de la estructura de la entidad.


k. Métodos: Son las actuaciones o procedimientos implementados por el Sujeto Obligado para llevar a cabo una determinada actividad en el Sistema Integral de Administración de Riesgos de Legitimación de Capitales, Financiamiento al Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva.

I. Operación Compleja: Aquella que se compone de transacciones o elementos diversos, es decir, que contiene varias operaciones de diferente clasificación, configuradas por un conjunto o unión de éstas. Para determinar las condiciones inusitadas de complejidad de operaciones se debe tener en cuenta la clase de transacción, ya que ésta por su naturaleza puede no ser sencilla, pero para el empleado que opera activos virtuales o criptoactivos, esta situación habitual es convencional. Lo que determina la forma compleja de esta clase de operación, es la orden del cliente o usuario que pueda complicar una transacción normalmente simple.


m. Operación en Tránsito: Aquella por la cual el Sujeto Obligado sirve de escala entre el origen y el destino de la operación, ya sea esta nacional o internacional.


n. Operación Inusual: Aquella cuya cuantía o características no guarda relación con la actividad económica y perfil del cliente o por su número, por las cantidades transadas, o por sus características, se escapan de los parámetros de normalidad establecidos para un rango determinado de mercado.


o. Operación No Convencional: Aquella que no esté de acuerdo o en consonancia con los precedentes, costumbres o usos del ecosistema de los activos virtuales o criptoactivos y que no se ajusta a los procedimientos requeridos en esa clase de operaciones. Esta categoría también se puede aplicar cuando se comprenda que toda operación está integrada por un conjunto de fases, y se omite una o varias de ellas, o se sigue un procedimiento no establecido regulannente por la institución.

p. Políticas: Son los lineamientos generales que deben adoptar los Sujetos Obligados relacionados con el Sistema Integral de Administración de Riesgos de Legitimación de Capitales, Financiamiento al Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva. En cada una de sus etapas y elementos el citado sistema debe contar con unas políticas claras y efectivamente aplicables, dichas políticas deben permitir el eficiente, efectivo y oportuno funcionamiento del citado sistema y traducirse en reglas de conducta y métodos que orienten a la Gerencia en la implementación de controles efectivos.


q.Programa de Cumplimiento: Recopilación del conjunto de políticas, normas, métodos y controles intemos implementados por el Sujeto Obligado para mitigar y controlar los riesgos de legitimación de capitales, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva.

r. Riesgos Asociados a la Legitimación de Capitales, el Financiamiento del Terrorismo y el Financiamiento de la Proliferación de Armas de Destrucción Masiva: La posibilidad de sufrir pérdidas, daños o consecuencias perjudiciales, directa o indirectamente, a que están expuestos los Sujetos Obligados, si se materializan en sus actividades y operaciones la legitimación de capitales, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva. Incluye la posibilidad de sanciones contra los directivos y empleados del Sujeto Obligado, cuando las mencionadas actividades ilícitas hayan sido facilitadas por negligencia, impericia o inobservancia de la ley con que hayan actuado en el desempeño de sus obligaciones; estos riesgos son: reputacional, legal, operativo y de contagio.

s. Riesgo de Contagio: Es la posibilidad de pérdida o daño que un Sujeto Obligado puede sufrir, directa o indirectamente, por una acción o experiencia de un relacionado o asociado. El relacionado o asociado incluye personas naturales o jurídicas que tienen la posibilidad de ejercer influencia sobre el Sujeto Obligado.

t. Riesgo de Legitimación de Capitales, Financiamiento al Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva: Es la posibilidad que un Sujeto Obligado sea utilizado directamente o a través de sus actividades y operaciones, como instrumento para la legitimación de capitales, el financiamiento al terrorismo y el financiamiento de la proliferación de armas de destrucción masiva.

u. Riesgo Inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

v. Riesgo Legal: Es la contingencia o posibilidad de pérdida que emana del incumplimiento, por parte del Sujeto Obligado, de las leyes, normas, reglamentos, prácticas prescritas o normas de ética de cualquier jurisdicción en la que lleva a cabo sus actividades.

w. Riesgo Operacional: Es la posibilidad de sufrir daños potenciales y pérdidas, motivados en la forma de organización del Sujeto Obligado y en la estructura de sus métodos de gestión, debilidades en sus controles internos, errores en el procesamiento de sus operaciones, fallas de seguridad e inexistencia o desactualización de sus planes de contingencia del negocio, así como la potencialidad de sufrir pérdidas inesperadas por sistemas inadecuados, fallas administrativas, eventos externos, deficiencias en sus controles intemos y sistemas de información originadas, entre otros, por errores humanos, fraudes, incapacidad para responder de manera oportuna o impedir que los intereses del Sujeto Obligado se vean comprometidos de cualquier manera.

x. Riesgo de Reputación: Es la posibilidad de sufrir pérdidas o daños derivados de la opinión negativa ocasionada por la afectación de la imagen de un Sujeto Obligado, al verse involucrado voluntaria o involuntariamente en transacciones o relaciones de negocios ilícitos con clientes o usuarios ocasionales, así como por cualquier otro evento externo.

y. Riesgo Residual o Neto: Es el nivel resultante del riesgo después de aplicar los controles o medidas de mitigación.

z. Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).

aa. Señales de Alerta: Es el conjunto de indicadores cualitativos y cuantitativos que permiten identificar, oportuna y prospectivamente, comportamientos atípicos de las variables relevantes, previamente determinadas por el Sujeto Obligado.

bb. Sospecha: Aquella apreciación fundada en conjeturas, en apariencias o avisos de verdad (indicios), que determinará hacer un juicio negativo de la operación por quien recibe y analiza la inforrnación, haciendo que desconfíe, dude o recele de una persona por la actividad profesional o económica que desempeña, su perfil financiero, sus costumbres o personalidad, así la ley no determine criterios en función de los cuales se puede apreciar el carácter dudoso de una operación. Es un criterio subjetivo basado en las normas de máxima experiencia de hecho.

cc. Sujetos Obligados: A los efectos de estas normas, son las personas públicas y privadas a que hace referencia el artículo 2 de las presentes normas, las cuales se encuentran sometidas a la inspección, supervisión, vigilancia, regulación, control y sanción de la Superintendencia Nacional de Criptoactivos y Actividades Conexas.

dd. Transacción Estructurada: Esquema para intentar evadir los requisitos de reportes o declaraciones que sean fijados por las autoridades competentes, mediante el método de dividir grandes cantidades de fondos o valores representados en activos virtuales, en múltiples montos por debajo del umbral de reporte o declaración. Bajo este esquema, montos relativamente pequeños de fondos o valores representados en activos virtuales pueden ser depositados y movilizados en numerosas cuentas y billeteras virtuales de uno o varios titulares.

ee. Usuarios y usuarias: Toda persona natural o jurídica que, sin ser cliente, eventualmente adquiere o utiliza productos y/o servicios ofrecidos por un Sujeto Obligado, basados en activos virtuales o criptoactivos y sus tecnologías conexas Artículo 5: A los efectos de estas normas, las siglas y abreviaturas señaladas en este artículo tendrán los siguientes significados:



TÍTULO II

ADMINISTRACIÓN INTEGRAL DE RIESGOS DE LCIFT/FPADM

CAPÍTULO I

SISTEMA INTEGRAL DE ADMINISTRACIÓN DE RIESGOS DE LEGITIMACIÓN DE CAPITALES, FINANCIAMIENTO AL TERRORISMO Y FINANCIAMIENTO DE LA PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA (SIAR LCIFT/FPADM)

Artículo 6: El Sujeto Obligado debe formular, adoptar, implementar y desarrollar un Sistema Integral de Administración de Riesgos de Legitimación de Capitales, Financiamiento al Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva (SIAR LC/FT/FPADM), soportado en soluciones informáticas y herramientas tecnológicas que, entre otros aspectos, permitan el manejo y análisis de grandes volúmenes de datos, para la toma de decisiones que involucren activos virtuales o criptoactivos. Dicho Sistema Integral debe ser formulado e implementado en concordancia con el nivel de sus riesgos de LC/FT/FPADM, en cumplimiento de las disposiciones legales que rigen la materia y de estas normas.

Artículo 7: El SIAR LC/FT/FPADM debe:

  1. Brindar capacitación a los empleados del Sujeto Obligado para identificar los riesgos de LC/FT/FPADM y sus factores, detectarlos, mitigarlos y reportarlos, con particular énfasis en la comprensión del manejo de herramientas tecnológicas y soluciones informáticas para la aplicación de medidas y controles en materia de prevención, administración y mitigación de dichos riesgos.
  2. Contar con herramientas tecnológicas y soluciones informáticas que faciliten el análisis y manejo de datos e igualmente permitan aplicar medidas y controles de prevención, administración y mitigación de riesgos de LC/FT/FPADM, igualmente, debe contar con el personal suficiente que permita atender en forma oportuna las alertas de actividades sospechosas que arrojen los sistemas de monitoreo.
  3. Mantener un enfoque de prevención y control basado en el riesgo, que incluya políticas, normas, métodos y controles intemos, matrices de riesgos, sistemas de monitoreo, así como planes operativos, los cuales deben cumplir y ajustarse, en lo que les sea aplicable, al marco jurídico vigente, así como a la normativa, instrucciones y directrices emitidas por este Organismo, al Código de Ética, a las guías y mandatos corporativos, recomendaciones de auditoría, evaluaciones y autoevaluaciones, entre otros, que estén relacionados con la administración de los riesgos de LC/FT/FPADM.

Las mejores prácticas y estándares intemacionales constituyen pautas y referencias que se deben tener en cuenta para fortalecer el SIAR LC/FT/FPADM, siempre que no colidan con la normativa nacional vigente.

Artículo 8: Las políticas, métodos, normas y controles intemos que adopte e implemente el Sujeto Obligado deben ser incluidos en el respectivo Manual de Administración de Riesgos de Legitimación de Capitales, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva, el cual será de obligatorio cumplimiento para el Sujeto Obligado.

Artículo 9: Las políticas que adopte el Sujeto Obligado deben cumplir, como mínimo, con los siguientes requisitos:

a. Señalar los lineamientos que adoptará el Sujeto Obligado frente a los factores de riesgo y los riesgos asociados de LC/FT/FPADM.

b. Garantizar la reserva de la información de las personas reportadas.

c. Consagrar la exigencia de que los funcionarios y empleados antepongan el cumplimiento de las normas en materia de administración de riesgos de LC/FT/FPADM al logro de las metas comerciales.

Artículo 10: Los métodos y actuaciones que en esta materia asuma y ejecute el Sujeto Obligado deben cumplir como mínimo con los siguientes requisitos:

a. Identificar la evolución de los perfiles de riesgo de transacciones, clientes, negocios, productos y servicios, actividad económica y activos virtuales involucrados en las operaciones.
b. Implementar las metodologías para la detección y análisis de operaciones inusuales y sospechosas y establecer el proceso para informar de manera oportuna a las autoridades competentes.
c. Establecer los procesos para llevar a cabo un efectivo, eficiente y oportuno conocimiento de los clientes actuales y potenciales, siendo que dichos procesos deben estar soportados en soluciones tecnológicas seguras que permitan identificar a los clientes en forma remota, así como verificar la información suministrada y sus correspondientes soportes.

Artículo 11: El SIAR LC/FT/FPADM tomará en cuenta las tareas básicas que se detallan a continuación:
La aplicación de políticas, métodos, normas y controles internos para el adecuado conocimiento de transacciones, clientes, empleados y terceros relacionados, complementado con una constante información, capacitación y entrenamiento del personal del Sujeto Obligado, conforme a las políticas de capacitación previstas en esta Providencia.

Control y detección de actividades que se pretendan realizar o se hayan realizado, para dar apariencia de legalidad a operaciones vinculadas a la LC/FT/FPADM, mediante la implementación de controles y herramientas tecnológicas de monitoreo adecuadas, oportunas y efectivas.
Reporte oportuno, eficiente y eficaz, de operaciones detectadas que se pretendan realizar o se hayan realizado y que se sospeche estén relacionadas con la LC/FT/FPADM.

Conservación por el plazo establecido en estas normas, de todos los archivos, registros de transacciones y documentación, en forma física o digital, derivados de las tareas precedentes, destinados a proporcionar a las autoridades competentes información cuando sea requerido para adelantar sus investigaciones. 5. Resguardo de la información obtenida por medios digitales o físicos, relacionada con las operaciones que involucran activos virtuales o criptoactivos.

Artículo 12: El SIAR LC/FT/FPADM estará integrado por: 1. La Junta Directiva o el órgano que ejerza función equivalente. 2. El Presidente del Sujeto Obligado o quien haga sus veces.

El Oficial de Cumplimiento de prevención de legitimación de capitales, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva (en adelante Oficial de Cumplimiento).
Las personas naturales o jurídicas que otorguen créditos o financiamiento o efectúen inversiones mediante recursos o valores propios representados en activos virtuales, no estarán obligados a establecer un SIAR de LC/FT/FPADM, pero estarán obligados a proporcionar a esta Superintendencia los datos estadísticos, estados financieros y demás datos o información periódica u ocasional que esta les solicite.

CAPÍTULO II

OBLIGACIONES Y FUNCIONES DE LA JUNTA DIRECTIVA O EL ÓRGANO QUE EJERZA FUNCIÓN EQUIVALENTE

Artículo 13: La Junta Directiva o el órgano que ejerza función equivalente del Sujeto Obligado, tendrá las siguientes obligaciones y funciones:

Asegurar el establecimiento y mantenimiento del SIAR LC/FT/FPADM, proporcionando para ello la infraestructura organizativa, funcional y presupuestaria idónea para que pueda ser eficiente y eficaz.

Aprobar las políticas, normas, métodos, planes, programas, controles intemos, parámetros de segmentación y cualquier otro instrumento vinculado con la administración de riesgos de LC/FT/FPADM, así como supervisar su cumplimiento.

Establecer y aprobar una partida presupuestaria específica e identificable dentro del presupuesto general del Sujeto Obligado, designada anualmente para garantizar la ejecución de las tareas vinculadas con la PCLC/FT/FPADM, dirigiendo especial atención a los programas de capacitación y a la adquisición y mejora de sistemas informáticos y herramientas tecnológicas adecuados para la prevención y mitigación de riesgos de LC/FT/FPADM.

Asegurar que el Oficial de Cumplimiento cuente con suficiente autoridad y recursos (humanos, financieros y tecnológicos) para administrar un programa de cumplimiento contra LC/FT/FPADM eficaz, conforme al perfil de riesgo del Sujeto Obligado. 5. Recibir y analizar los informes trimestrales y anuales elaborados por el Oficial de Cumplimiento, relacionados con PCLC/FT/FPADM, tomando las decisiones más significativas y las acciones correctivas, en caso que le sean planteadas deficiencias y debilidades, lo cual debe reflejarse como una función relacionada con el Gobiemo Corporativo.

Asumir en forma individual y por escrito, el Compromiso Institucional para prevenir la LC/FT/FPADM, el cual deberá estar inserto en el expediente de cada uno de los miembros.

CAPÍTULO III

OBLIGACIONES Y FUNCIONES DEL PRESIDENTE DEL SUJETO OBLIGADO

Artículo 14: El Presidente del Sujeto Obligado o quien haga sus veces, será responsable de:
Asegurar que el SIAR LC/FT/FPADM funcione debidamente y que las políticas, normas, métodos y controles internos, así como las decisiones emanadas de la Junta Directiva o el órgano que ejerza función equivalente, sean conocidos y aplicados por las instancias que corresponda.
Conocer los informes anuales y trimestrales presentados por el Oficial de Cumplimiento a la Junta Directiva o al órgano que ejerza función equivalente.

CAPÍTULO IV

EL OFICIAL DE CUMPLIMIENTO

Artículo 15: La persona que ejerce el cargo de Oficial de Cumplimiento debe:

Ser un empleado de alto nivel, con poder de decisión, que dependa y reporte directamente a la Junta Directiva o al órgano que ejerza función equivalente.

Estar jerárquicamente un nivel por debajo del Presidente del Sujeto Obligado o quien haga sus veces, en la estructura organizativa del Sujeto Obligado.

Ser una persona de reconocida solvencia moral y ética, conocer la legislación y reglamentación vigente relativa a la materia de PC LC/FT/FPADM, conocer y comprender la estructura del Sujeto Obligado, los negocios, productos y servicios que ofrece, los canales de distribución o comunicación que utiliza, clientes, las tecnologías utilizadas y las nuevas tecnologías o en desarrollo que el Sujeto Obligado pretende utilizar, así como los tipos de activos virtuales involucrados en las operaciones del Sujeto Obligado y los riesgos potenciales de LC/FT/FPADM que están asociados a los mismos.

Estar dedicado en forma exclusiva a las funciones de prevención y control de los riesgos relacionados con LC/FT/FPADM. Artículo 16: La autoridad funcional y las decisiones que en el marco de la ejecución de sus actividades ejerza o adopte el Oficial de Cumplimiento, serán de observancia obligatoria por parte de todos los ejecutivos, empleados y unidades del Sujeto Obligado, una vez que dichas decisiones sean aprobadas por la Junta Directiva o el órgano que ejerza función equivalente.

Artículo 17: El Oficial de Cumplimiento tendrá entre sus obligaciones y funciones:

1.Promover el cumplimiento de las políticas, métodos, disposiciones y controles aprobados por la Junta Directiva del Sujeto Obligado, relacionados con el funcionamiento del SIAR LC/FT/FPADM.

2.Conocer los informes, observaciones y recomendaciones en materia de PC LC/FT/FPADM, producto de las inspecciones realizadas por este Organismo y los exámenes practicados por los Auditores independientes, a fin de dar seguimiento a las acciones correctivas relacionadas con las deficiencias o debilidades detectadas.

3.Diseñar un POA PC LC/FT/FPADM, el cual deberá ser presentado a la Junta Directiva o al órgano que ejerza función equivalente, para su aprobación, basado en las políticas, programas, métodos y normas de prevención y control de LC/FT/FPADM.

4. Coordinar y supervisar el cumplimiento de la non-nativa vigente y de los controles internos, por parte de las dependencias que tienen responsabilidad en la ejecución de los planes, programas y normas de prevención y control de riesgos de LC/FT/FPADM.

5. Presentar infonnes de gestión trimestrales y anuales a la Junta Directiva o al órgano que ejerza función equivalente. Dichos informes periódicos deberán contener como mínimo los siguientes aspectos:

5.1 Diseño de las políticas, métodos, estrategias, planes, programas y normas internas en materia de PC LC/FT/FPADM, así como información de la gestión cumplida.
5.2 Estadísticas relacionadas con: 5.2.1 Número de alertas generadas. 5.2.2 Casos analizados. 5.2.3 Casos pendientes de análisis.
5.3 Descripción de nuevas tendencias o tipologías utilizadas para cometer hechos ilícitos a través del uso de activos virtuales o criptoactivos, sus productos y servicios asociados, a fin de adoptar las medidas orientadas a la mitigación de los riesgos derivados de ellas.
5.4 Recomendaciones para el mejoramiento de los métodos y controles internos adoptados por el Sujeto Obligado en materia de PC LC/FT/FPADM.

6.Elaborar el Programa Anual de Capacitación de acuerdo con lo establecido en esta Providencia, así como otros programas y actividades de capacitación no contempladas en el Programa Anual de Capacitación, que se consideren necesarias o convenientes.

7. Coordinar las actividades de formación y capacitación del personal del Sujeto Obligado, en lo relativo a la legislación, reglamentación y controles internos vigentes, incluyendo los aspectos relativos a la política Conozca a su Empleado, así como las políticas y procedimientos relacionados con la PC LC/FT/FPADM.

8. Desarrollar estrategias comunicacionales de información y sensibilización, dirigidas a los clientes y empleados, en relación con la materia de PC LC/FT/FPADM.

9. Elaborar normas y métodos de verificación de datos físicos o digitales y análisis de información, con la finalidad de desarrollar indicadores que permitan determinar comportamientos transaccionales inusuales o sospechosos de clientes y usuarios, para ser aplicados por el Sujeto Obligado, relacionados con la prevención, control y detección de operaciones sospechosas de LC/FT/FPADM.

10. Analizar las alertas de Actividades Sospechosas, debiendo decidir la pertinencia de elaborar y remitir a la Unidad Nacional de Inteligencia Financiera (UNIF), el formulario denominado Reporte de Actividades Sospechosas (RAS) o archivarlo y hacerle seguimiento al caso, así como dejar constancia en un informe sobre la decisión adoptada y las opiniones que la sustentaron.

11. Enviar a la UNIF los Reportes de Actividades Sospechosas que considere necesario, así como también enviar las respuestas a las solicitudes de información relacionadas con la materia que esta y otras autoridades competentes requieran, dentro de los plazos establecidos por las leyes y comunicaciones de solicitud de información.

12. Informar a la SUNACRIP acerca de las tipologías o modelos de actuación que vaya identificando el Sujeto Obligado en las operaciones de sus clientes, como modus operandi para la LC/FT/FPADM, respetando en todo momento la reserva y confidencialidad de los datos de identificación de las personas naturales o jurídicas involucradas en los Reportes de Actividades Sospechosas a la UNIF.

13. Conocer y evaluar el funcionamiento de los nuevos esquemas de negocio, productos y servicios que involucren activos virtuales o criptoactivos y en caso de considerarlo conducente, recomendar la adopción de medidas de PC LC/FT/FPADM, previo al lanzamiento de dichos nuevos esquemas de negocio, productos y servicios. Esta misma evaluación deberá realizarse en caso que el Sujeto Obligado pretenda utilizar nuevas tecnologías o en desarrollo, debiendo aplicar el Enfoque Basado en Riesgo para mitigar y administrar los riesgos identificados.

14. Mantener las relaciones institucionales con esta Superintendencia y la UNIF, así como con otras autoridades competentes, organizaciones no gubernamentales e instituciones dedicadas a la prevención, represión y control de LC/FT/FPADM.

15. Representar al Sujeto Obligado en convenciones, eventos, foros, comités y actos oficiales nacionales e internacionales relacionados con la materia de PC LC/FT/FPADM, cuando sea designado por la Junta Directiva del Sujeto Obligado.

16. Mantener debidamente actualizados los documentos, formularios e información vinculados con la materia de prevención y control de LC/FT/FPADM, tales como Código de Ética, Compromiso Institucional, Manual para la Administración de Riesgos de LC/FT/FPADM, Ficha de Identificación del Cliente, Declaración Jurada de origen y destino de fondos, entre otros. Los comentarios sobre las acciones realizadas al respecto deberán incluirse en el informe de gestión correspondiente (trimestral o anual) que debe presentar el Oficial de Cumplimiento ante la Junta Directiva o el órgano que ejerza función equivalente del Sujeto Obligado.

17. Solicitar la incorporación activa de cualquier directivo o empleado del Sujeto Obligado, a objeto de ejecutar eficientemente las tareas inherentes al SIAR LC/FT/FPADM.

18. Otras estrictamente relacionadas con la materia de prevención y control de riesgos de LC/FT/FPADM, a juicio de la Junta Directiva o el órgano que ejerza función equivalente del Sujeto Obligado.

19. Evaluar el cumplimiento del POA PC LC/FT/FPADM, con el propósito de asegurar que los objetivos, actividades y tareas incluidas en el mismo se estén cumpliendo adecuadamente. Asimismo, deberá presentar un informe trimestral a la Junta Directiva o al órgano que ejerza función equivalente en relación al cumplimiento del mencionado plan. De igual forma, deberá presentar informes adicionales en caso de sobrevenir circunstancias o eventos imprevistos que afecten el cumplimiento del POA PC LC/FT/FPADM, o ameriten realizar cambios en el mismo.

20. Elaborará el Manual para la Administración de Riesgos de LC/FT/FPADM y lo revisará al final de cada año, a los fines de mantenerlo actualizado de acuerdo a los cambios en la normativa vigente, nuevas tendencias, situación económico financiera del país y cualquier otro factor que pudiese modificar su contenido, las evidencias documentales de la precitada revisión deberán insertarse en el manual. El Oficial de Cumplimiento deberá estar dotado de una estructura organizativa, tecnológica y presupuestaria idónea para que pueda ejecutar sus labores.

Artículo 18: En caso de ausencias temporales del Oficial de Cumplimiento, la Junta Directiva o el órgano que ejerza función equivalente deberá designar un suplente. Estas ausencias temporales no podrán exceder de un lapso de sesenta (60) días continuos, si transcurrido este lapso subsistiere la falta, se considerará falta absoluta.

En caso de falta absoluta, la designación del nuevo Oficial de Cumplimiento deberá efectuarse dentro de los treinta (30) días continuos siguientes a la fecha en que sea declarada la falta absoluta por el Presidente del Sujeto Obligado o quien haga sus veces.

CAPÍTULO V

ANÁLISIS, CONTROL Y DETECCIÓN DE OPERACIONES SOSPECHOSAS DE LCIFTIFPADM

Artículo 19: El análisis, control y detección de operaciones sospechosas de LC/FT/FPADM estará a cargo del área operativa que maneja las plataformas tecnológicas y sistemas informáticos mediante los cuales se proporcionan productos financieros y servicios a través de actividades que involucran activos virtuales o criptoactivos. Dicha área operativa tendrá la misión de analizar, controlar y detectar la posible LC/FT/FPADM en las actividades y operaciones del Sujeto Obligado; le reportará al Oficial de Cumplimiento toda la información relativa a las operaciones o hechos que puedan estar relacionados con la LC/FT/FPADM. La Junta Directiva o el órgano que ejerza función equivalente implementará las medidas necesarias para que dicha área operativa esté dotada del personal especializado, así como de los recursos materiales, técnicos y el entrenamiento adecuado para el cumplimiento de sus funciones en materia de análisis, control y detección de operaciones sospechosas de LC/FT/FPADM.

Artículo 20: El área operativa encargada del análisis, control y detección de operaciones sospechosas de LC/FT/FPADM tendrá las siguientes obligaciones y funciones:

  1. Analizar las señales de alerta emitidas por las herramientas tecnológicas y sistemas informáticos, a los fines de determinar si hay indicios suficientes para calificar los hechos o transacciones como actividades sospechosas de LC/FT/FPADM.
  2. Informar al Oficial de Cumplimiento los hechos o transacciones calificados como actividades sospechosas de LC/FT/FPADM, siendo que el Oficial de Cumplimiento deberá informar a la SUNACRIP sobre tipologías o modelos de actuación que vaya identificando el Sujeto Obligado en las operaciones de sus clientes, como modus operandi para la LC/FT/FPADM, respetando en todo momento la reserva y confidencialidad de los datos de identificación de las personas naturales o jurídicas involucradas en los Reportes de Actividades Sospechosas a la UNIF.
  3. Utilizar programas automatizados para el monitoreo de operaciones y la detección de actividades sospechosas de LC/FT/FPADM.
  4. Diseñar conjuntamente con el Oficial de Cumplimiento, desarrollar y aplicar los parámetros de segmentación de los diferentes factores de riesgo de LC/FT/FPADM, del Sujeto Obligado.
  5. Determinar conjuntamente con el Oficial de Cumplimiento y aplicar las directrices que se otorgarán a las herramientas informáticas utilizadas por el Sujeto Obligado para la emisión de señales de alerta.
  6. Establecer con base al conocimiento razonable que se tenga de la operatividad del cliente, listas de exceptuados de las señales de alertas regularmente emitidas por las herramientas informáticas destinadas para tal fin.
  7. Asignar las respectivas calificaciones a los diferentes factores de riesgo, considerando las directrices establecidas en esta norma, en concordancia con cualquier base conceptual que el Sujeto Obligado estime prudente aplicar.
  8. Analizar los diferentes factores de riesgo de LC/FT/FPADM para evaluarlos y clasificarlos cualitativamente y establecer las medidas de mitigación a ser aplicadas según el nivel de dichos riesgos.
  9. Aplicar herramientas tecnológicas que permitan realizar un seguimiento para detectar tendencias, cambios en el perfil financiero y actividades inusuales de las operaciones de los clientes.
  10. Emitir mensualmente estadísticas relacionadas con:

a.Número de alertas generadas.
b. Casos analizados.
c.Casos remitidos a la UNIF mediante los Reportes de Actividades Sospechosas (RAS) y los casos que se mantendrán bajo seguimiento y evaluación.
d. Casos pendientes de análisis.
e. Tipologías o modelos de actuación que vaya identificando el Sujeto Obligado en las operaciones de sus clientes, como modus operandi para la LC/FT/FPADM, las cuales deben ser informadas a la Sunacrip.

  1. Recabar y transmitir la información que, en materia de PC LC/FT/FPADM, se debe enviar a este Organismo, garantizando la calidad de la data y la oportunidad de su remisión.
  2. Otras a juicio del Oficial de Cumplimiento o de la Junta Directiva o del órgano que ejerza función equivalente del Sujeto Obligado.

CAPÍTULO VI

EXCEPCIÓN PARA LA DESIGNACIÓN DEL OFICIAL DE CUMPLIMIENTO

Artículo 21: El Sujeto Obligado que considere que puede cumplir satisfactoriamente con estas normas sin designar un Oficial de Cumplimiento, podrá presentar ante este Organismo, para su revisión, las justificaciones respectivas, a los fines de evaluar su viabilidad y aprobación.


Artículo 22: En el caso del artículo anterior, el socio, accionista o directivo que desempeñe el cargo de mayor jerarquía, cumplirá adicionalmente las funciones de Oficial de Cumplimiento y asumirá las responsabilidades correspondientes al control, prevención, detección y reporte previstas en esta Providencia.

CAPÍTULO VII

OTROS ELEMENTOS DEL SISTEMA INTEGRAL DE ADMINISTRACIÓN DE RIESGOS DE LC/FTIFPADM
"SECCIÓN A" PLAN OPERATIVO ANUAL DE PREVENCIÓN Y CONTROL DE RIESGOS DE LC1FT/FPADM (POA PC LCIFTIFPADM)

Artículo 23: El Sujeto Obligado diseñará anualmente un plan estratégico para prevenir y mitigar los riesgos de LC/FT/FPADM, que se denominará Plan Operativo Anual de Prevención y Control de LC/FT/FPADM (POA PC LC/FT/FPADM), donde se incluirán todas aquellas actividades a desarrollarse durante el ejercicio económico, todo ello, a los fines de garantizar el cumplimiento de las políticas, normas y controles internos en materia de PC LC/FT/FPADM, dicho plan debe ser elaborado durante el último trimestre del año anterior a su ejecución y estará a la disposición de esta Superintendencia los primeros quince (15) días hábiles del año de su vigencia. El referido plan debe ser aprobado por la Junta Directiva o el órgano que ejerza función equivalente.

Asimismo debe incluir, de acuerdo con las necesidades determinadas, la adquisición, implementación o perfeccionamiento de los sistemas informáticos de monitoreo y detección de operaciones inusuales y sospechosas, programas de capacitación para los trabajadores, planes de supervisión y auditoría independiente, perfeccionamiento de mecanismos de control interno, perfeccionamiento de los programas informáticos y desarrollo de soluciones basadas en tecnología para incrementar la eficiencia y eficacia en la administración de los riesgos de LC/FT/FPADM. La ejecución del POA PC LC/FT/FPADM debe ser flexible y ajustarse a las necesidades del Sujeto Obligado con ocasión de los cambios que experimenten los factores de riesgos asociados a los clientes, productos, negocios y servicios que involucren activos virtuales, canales de distribución utilizados, uso de tecnologías nuevas o en desarrollo y tipos de activos virtuales involucrados en sus operaciones.

Artículo 24: El POA PC LC/FT/FPADM, a fin de facilitar la emisión de estadísticas que permitan asegurar el control, seguimiento y ejecución de las actividades planteadas, debe contener los aspectos mencionados a continuación:

  1. Actividades: Describir las acciones, tareas o labores que el Sujeto Obligado se plantea realizar durante el período de vigencia del POA PC LC/FT/FPADM.
  2. Objetivo: Establecer el propósito específico que se espera alcanzar con cada actividad del POA PC LC/FT/FPADM, para fortalecer el SIAR LC/FT/FPADM.
  3. Responsables: Indicar la persona o la unidad administrativa responsable de la ejecución de cada actividad del POA PC LC/FT1FPADM.
  4. Unidad de medida: Establecer en forma cualitativa las actividades del POA PC LC/FT/FPADM. Por ejemplo: informe, memorando, personas capacitadas, inspecciones, entre otros.
  5. Meta: Cuantificar las unidades de medida que se esperan alcanzar con la ejecución del POA PC LC/FT/FPADM.
  6. Insumos: Señalar los recursos que serán aplicados en la ejecución de las actividades previstas en el POA PC LC/FT/FPADM (humanos, materiales, técnicos, entre otros).
  7. Tiempo de ejecución: Señalar la fecha de inicio y culminación de cada actividad planteada.
  8. Indicadores: Identificar el nombre del indicador, descripción del indicador, responsable del indicador, frecuencia de medición, meta efectiva esperada, fórmula de cálculo, área responsable del seguimiento del indicador.

Artículo 25: El Oficial de Cumplimiento debe elaborar un informe sobre la ejecución del POA PC LC1FT/FPADM, por lo menos trimestralmente, el cual señalará el porcentaje de cumplimiento de cada aspecto de su contenido. Este documento debe formar parte de los informes anuales y/o trimestrales que el Oficial de Cumplimiento presentará a la Junta Directiva del Sujeto Obligado o al órgano que ejerza funciones equivalentes; adicionalmente, debe actualizar este informe a la fecha de cualquier auditoría o inspección de este Ente Regulador.

"SECCIÓN B"

CÓDIGO DE ÉTICA Y EL COMPROMISO INSTITUCIONAL

Artículo 26: El Sujeto Obligado debe adoptar un Código de Ética, de carácter general, el cual incluirá aspectos concernientes a la prevención y control de los riesgos de LC/FT/FPADM y el consumo de drogas, de obligatorio conocimiento y cumplimiento para todo su personal, que permita crear un clima de elevada moral y poner en práctica medidas encaminadas a aumentar la sensibilidad de su personal ante los efectos y riegos de la LC/FT/FPADM.

Artículo 27: El Código de Ética será aprobado por la Junta Directiva o el órgano que ejerza función equivalente y estará disponible para los funcionarios de este Organismo durante las inspecciones que practique, asimismo, deberá remitirlo el Sujeto Obligado a esta Superintendencia, para su revisión, en caso que le sea requerido.

Artículo 28: El Código de Ética deberá ser publicado en la intranet del Sujeto Obligado, se debe hacer entrega de un ejemplar a cada uno de los trabajadores del Sujeto Obligado y archivar en el respectivo expediente del trabajador la constancia de su recepción.

Artículo 29: Todos los miembros de la Junta Directiva o del órgano que ejerza función equivalente (principales y suplentes) del Sujeto Obligado, deberán asumir individualmente por escrito un Compromiso Institucional, donde declaren su identificación y fidelidad con las metas y valores éticos de la organización en materia de PC LC/FT/FPADM, el cual debe actualizarse anualmente y archivarse en el respectivo expediente de los referidos miembros.

"SECCIÓN C"

MANUAL DE ADMINISTRACIÓN DE RIESGOS DE LEGITIMACIÓN DE CAPITALES, FINANCIAMIENTO AL TERRORISMO Y FINANCIAMIENTO DE LA PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA (MANUAL AR LC/FT1FPADM)

Artículo 30: El Sujeto Obligado debe diseñar políticas, normas y métodos para mitigar y controlar los riesgos en materia de LC/FT/FPADM, los cuales serán consolidados en un Manual de Administración de Riesgos de LC/FT/FPADM, que podrá ser elaborado en formato físico o digital y debe ser aprobado por la Junta Directiva o el órgano que ejerza función equivalente. Dicho Manual debe ser diseñado considerando las características propias del Sujeto Obligado, así como los diferentes productos y servicios que ofrece a sus clientes, entre otros aspectos pertinentes.

El alcance de dichas políticas, normas, métodos y controles internos debe estar acorde con la dimensión, estructura, riesgos y complejidad del Sujeto Obligado, por tanto, la elaboración del referido Manual deberá basarse en una evaluación previa de los riesgos de LC/FT/FPADM del Sujeto Obligado, siendo que dicha evaluación deberá mantenerse a disposición de esta Superintendencia para las revisiones que considere necesarias.

Artículo 31: El Manual de Administración de Riesgos de LC/FT/FPADM deberá contener como mínimo los siguientes aspectos, en lo aplicable:

  1. Información y especificaciones de las herramientas tecnológicas y sistemas informáticos utilizados por el Sujeto Obligado para el monitoreo y la detección de actividades sospechosas de LC/FT/FPADM y flujograma de los procesos de dichos sistemas y herramientas.
  2. Indicación de las medidas de seguridad para el acceso y manejo de las herramientas tecnológicas y sistemas informáticos utilizados por el Sujeto Obligado para el monitoreo y la detección de actividades sospechosas de LC/FT/FPADM.
  3. Estructura Organizacional del SIAR LC/FT/FPADM, especificando los deberes de cada uno de los actores que lo conforman.
  4. Políticas y actuaciones para la administración del riesgo de LC/FT/FPADM, detallando la metodología para su administración (identificación, calificación, control interno, mitigación y monitoreo de los riesgos).
  5. Normas y métodos para la aplicación de la Política Conozca su Cliente.
  6. Normas y métodos para la aplicación de la Política Conozca su Empleado.
  7. Normas y métodos para la aplicación de la Política Conozca sus Terceros Relacionados.
  8. Métodos de detección y Reporte de Actividades Sospechosas.
  9. Trámites para las notificaciones periódicas a esta Superintendencia.
  10. Trámites para satisfacer las solicitudes de información de las autoridades.
  11. Métodos para la parametrización de los factores de riesgo y la asignación de categorías de riesgo. Deberá indicarse cuales son los parámetros y factores aplicados.
  12. Metodología para la realización de la Evaluación de Riesgos de LC/FT/FPADM.
  1. Señalar la obligación de mantener por cinco (05) años, en forma física o digital, la información y registros que comprueben la realización de las operaciones, que permitan la reconstrucción de las transacciones y transferencias y la identificación de sus códigos o referencias, así como la determinación del tipo de activo virtual y moneda fiduciaria involucrados. Asimismo, establecer la obligación de mantener por el mismo lapso, en forma física o digital, la información y registros que comprueben las relaciones de negocios de los clientes, así como la información exigida para su identificación.
    Esta obligación de mantenimiento abarca muy especialmente la obtención, registro y conservación de la información sobre el originador y el beneficiario de transferencias e intercambios que involucren criptoactivos.
  2. Señalar la obligación de aplicar medidas de seguridad de la información en formato digital, que garanticen su integridad e inviolabilidad.
  3. Políticas y métodos para la administración de riesgos de LC/FT/FPADM aplicables a las relaciones de custodia, administración y fideicomiso que involucren activos virtuales o instrumentos virtuales que permiten el control sobre activos virtuales, en caso que el Sujeto Obligado brinde este tipo de servicios.
  4. Políticas y métodos para la administración de riesgos de LC/FT/FPADM aplicables a las transacciones digitales y las operaciones de intercambio y transferencia que involucren activos virtuales, en caso que el Sujeto Obligado brinde este tipo de servicios.
  5. Políticas y métodos para la administración de riesgos de LC/FT/FPADM aplicables a la participación y prestación de servicios relacionados con la emisión, oferta y/o venta de activos virtuales y las políticas y actuaciones concernientes a la administración de riesgos de LC/FT/FPADM aplicables a relaciones con Personas Expuestas Políticamente.
  6. Políticas, normas y métodos de administración y mitigación de riesgos específicos de que las operaciones y servicios del Sujeto Obligado sean utilizados para financiar actividades terroristas y la proliferación de armas de destrucción masiva.
  7. Señalar la prohibición para los Sujetos Obligados y sus empleados o trabajadores, de advertir o revelar a los clientes o a terceros, sobre verificaciones, notificaciones o reportes efectuados a la UNIF u otras autoridades.
  8. Normas y actuaciones para la aplicación de las Resoluciones del Consejo de Seguridad de la Organización de las Naciones Unidas (ONU), relativas a la prevención y represión del terrorismo, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva, así como para el congelamiento o bloqueo preventivo de fondos y activos virtuales relacionados con personas o entidades designadas por estar vinculadas con dichas actividades. Los Sujetos Obligados deben reportar a la UNIF información sobre los activos virtuales congelados o bloqueados preventivamente y las acciones ejecutadas en cumplimiento de las referidas Resoluciones del Consejo de Seguridad de la Organización de las Naciones Unidas (ONU).

El Manual de Administración de Riesgos de LC/FT/FPADM deberá ser revisado periódicamente por el Oficial de Cumplimiento, a fin de mantenerlo actualizado de acuerdo a los cambios en la normativa vigente, nuevas tendencias, situación económico-financiera del país y cualquier otro factor que pudiese modificar su contenido. Las evidencias documentales de la precitada revisión deberán insertarse en el manual.

TÍTULO III

POLÍTICAS, MEDIDAS Y CONTROLES PARA LA ADMINISTRACIÓN DE LOS RIESGOS DE LCIFT/FPADM

CAPÍTULO I

Artículo 32: En sus métodos o procesos para gestionar sus riesgos de LC/FT/FPADM, el Sujeto Obligado debe aplicar un Enfoque Basado en Riesgo (EBR) que comprenda los siguientes pasos:

  1. Identificar riesgos: La gestión comienza por identificar los riesgos de la organización, entendiendo por organización la misma y su contexto, comprendiendo sus necesidades y las de sus partes interesadas.
  2. Analizar y evaluar riesgos: Una vez identificados los riesgos, deben prevenirse estimando la posibilidad de que ocurran y sus consecuencias.
  3. Toma de acciones: Luego de realizada la evaluación, se deben definir las acciones de mejora que hagan frente a estos riesgos que se han identificado y cuantificado, integrándolas e implantándolas en los procesos del sistema de gestión.
  4. Evaluación de las acciones ejecutadas: La etapa final consiste en evaluar la eficacia y efectividad de las acciones ejecutadas, mediante el seguimiento y la revisión.

Existen diversas herramientas para evaluar los riesgos, sin embargo, el Sujeto Obligado aplicará la metodología que considere conveniente de acuerdo a los factores de riesgos que le son propios.

Artículo 33: Los Sujetos Obligados deben identificar y evaluar los riesgos de LC/FT/FPADM que surgen de sus actividades y operaciones que involucran activos virtuales, sus productos y servicios asociados, además, deben ejecutar medidas encaminadas a prevenir, gestionar y mitigar tales riesgos efectivamente, bajo un Enfoque Basado en los Riesgos identificados, el cual implica que las medidas para prevenir y mitigar dichos riesgos sean proporcionales a los mismos.

Antes de lanzar nuevos productos, servicios y adoptar nuevas prácticas comerciales, nuevos mecanismos de entrega o utilizar tecnologías nuevas o en desarrollo, los Sujetos Obligados deben hacer la respectiva identificación y evaluación de los riesgos de LC/FT/FPADM asociados y ejecutar medidas para gestionarlos y mitigarlos, igualmente deben gestionar y mitigar los riesgos derivados de participar en actividades que implican el uso de tecnologías que propendan al anonimato o en mecanismos y tecnologías que ofusquen u oculten la identidad del remitente, destinatario, titular o beneficiario efectivo de activos virtuales. Si el Sujeto Obligado no puede administrar y mitigar adecuadamente los riesgos que implica participar en tales actividades, entonces no debe involucrarse o participar en las mismas.

Artículo 34: El Sujeto Obligado debe efectuar, durante el último trimestre del ejercicio económico, la evaluación anual de su nivel de riesgo, aplicable para el siguiente período y someterla a la aprobación de la Junta Directiva o del órgano que ejerza función equivalente.

No obstante, los Sujetos Obligados deben estar atentos a los nuevos acontecimientos que involucren activos virtuales, a los fines de actualizar oportunamente su nivel de riesgo.

Los métodos utilizados para la evaluación anual del nivel de riesgo deben incluirse en el Manual de Administración de Riesgos de LC/FT/FPADM. El resultado de dicha evaluación deberá permanecer en el Sujeto Obligado a disposición de este Organismo durante las inspecciones o cuando éste lo solicite, asimismo, la citada evaluación servirá de base para el diseño y actualización de su Manual de Administración de Riesgos de LC/FT/FPADM, el cual constituye un elemento relevante que incide en el Gobiemo Corporativo del Sujeto Obligado.

Artículo 35: El Sujeto Obligado debe realizar anualmente y documentar, su evaluación de riesgos de LC/FT/FPADM, considerando las variaciones de los factores que influyen en los niveles de riesgo, tales como introducción de nuevos modelos de negocio, productos y servicios, nuevos mecanismos de entrega, nuevos clientes, mejoras en los equipos tecnológicos, uso de tecnologías nuevas o en desarrollo, entre otros.
Partiendo de esta evaluación, el Sujeto Obligado debe aplicar un Enfoque Basado en el Riesgo, a fin de asegurar que las medidas para prevenir o mitigar los riesgos de LC/FT/FPADM sean proporcionales a los riesgos identificados y para la asignación eficaz de recursos, siendo que, frente a riesgos mayores, los Sujetos Obligados deben ejecutar medidas intensificadas o mejoradas para administrar y mitigar tales riesgos y cuando estos sean menores, pueden aplicar medidas simplificadas. No se permiten medidas simplificadas si existen sospechas de LC/FT/FPADM.

Artículo 36: El Sujeto Obligado aplicará las categorías de riesgo en todas las áreas de negocios, atendiendo a los diferentes factores de riesgo de LC/FT/FPADM relacionados con sus empleados, clientes, canales de distribución que utilice, modelos de negocio, productos y servicios que ofrece, estructura y tamaño de la entidad, uso de tecnologías nuevas o en desarrollo, tipos de activos virtuales involucrados en sus operaciones. Dichas categorías quedan establecidas en: a) Riesgo Bajo, b) Riesgo Moderado y c) Riesgo Alto.

Artículo 37: El Sujeto Obligado aplicará factores o categorías relevantes que deben ser considerados de Alto Riesgo, sin perjuicio de los que adicionalmente puedan incluirse y calificarse en esta categoría, de acuerdo con los métodos de calificación de riesgo de LC/FT/FPADM propios de cada Sujeto Obligado, o conforme lo instruya una autoridad con competencia en la materia, o según las mejores prácticas internacionales de prevención y control de LC/FT/FPADM; para tal fin deberá considerar los siguientes factores o categorías, los cuales se mencionan a título meramente enunciativo y no taxativo:

  1. Clientes y actividades económicas de Riesgo Alto: Personas con las siguientes características o dedicadas a los siguientes tipos de negocios o actividades:

a. Organizaciones Sin Fines de Lucro que principal y habitualmente se dediquen a la recolección de fondos, tanto representados en dinero fiduciario como en activos virtuales, para diversos fines.
b. Personas Expuestas Políticamente (PEP), incluyendo a familiares cercanos, asociados y estrechos colaboradores de dichas personas.
c. Personas jurídicas y estructuras jurídicas constituidas o establecidas en países, zonas geográficas o jurisdicciones que posean un sistema fiscal diferenciado entre residentes y nacionales, cuya legislación facilita el secreto bancario o el secreto de registro, carezca de tratados internacionales en materia de PC LC/FT/FPADM, o no aplican regulaciones contra la legitimación de capitales, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva similares a las vigentes en la República Bolivariana de Venezuela o que las mismas sean insuficientes, así como también que contemplen tributos reducidos o inexistentes (paraísos fiscales).
d. Personas jurídicas o estructuras jurídicas constituidas o establecidas en zonas libres o francas, o cuya situación geográfica sea cercana a los centros de consumo, producción o tránsito de drogas ilícitas, o en zonas o territorios que frecuentemente son mencionados en los Reportes de Actividades Sospechosas de LC/FT/FPADM.

e. Clientes no residentes.
f. Sociedades mercantiles que tengan accionistas nominales o esté representado su capital social en acciones de tipo al portador.
g. Clientes que participan en negocios o actividades que utilizan cuantías elevadas de dinero en efectivo.
h. Personas jurídicas o estructuras jurídicas que son vehículos de tenencia de activos personales.
i. Sociedades civiles o mercantiles cuyas estructuras de participación o titularidad parecen ser inusuales o complejas, con respecto al carácter de las actividades que desarrollan.

2. Productos y servicios de Riesgo Alto:

a. Servicios de intercambio entre activos virtuales y monedas fiduciarias

b. Servicios de intercambio entre una o más formas de activos virtuales

c. Servicios de transferencia electrónica y envío de remesas o fondos representados en criptoactivos.
d. Servicios que facilitan intercambios directos entre pares (igual a igual).
e. Servicios que facilitan intercambios a través de quioscos o cajeros automáticos.
f. Servicios o actividades que involucren seudónimos o transacciones anónimas y pagos recibidos de terceros desconocidos.
g. Custodia y servicios de administración de criptoactivos o de instrumentos virtuales que permiten el control sobre criptoactivos.
h. Participación y prestación de servicios financieros relacionados con la emisión, oferta y/o venta de un activo virtual.
i. Cuentas y billeteras virtuales abiertas a nombre de intermediarios o agentes que actúan en nombre de terceros.

3. Canales de distribución o mecanismos de entrega de Riesgo Alto:

a. Operaciones virtuales por internet, que conllevan negocios o transacciones que no son efectuados "cara a cara" y no implican la presencia física de las partes.
b. Cajeros Automáticos.

c. Negocios o transacciones a través de agentes o intermediarios.

4.Países, jurisdicciones y zonas geográficas de Riesgo Alto: Los Sujetos Obligados por estas normas deben considerar como de Riesgo Alto los siguientes factores geográficos y aplicar en consecuencia medidas de Debida Diligencia Intensificada a aquellas relaciones comerciales, transacciones y operaciones con personas naturales y jurídicas procedentes de los siguientes países, jurisdicciones y zonas geográficas calificadas como de Riesgo Alto:

a. Países, zonas geográficas y jurisdicciones identificadas por el Grupo de Acción Financiera Internacional (GAFI) u otras fuentes verosímiles (como los Informes de Evaluación Mutua y los Informes de Seguimiento, por ejemplo), como de Alto Riesgo, No Cooperadores, con sistemas o regulaciones inadecuados, mínimos o inexistentes en materia de prevención y control de riesgos de LC/FT/FPADM, o con deficiencias estratégicas para combatir el lavado de dinero, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva, así como las jurisdicciones, países y zonas geográficas sujetos a un llamado a la acción o colocados bajo un mayor monitoreo y supervisión.
b. Países, zonas geográficas y jurisdicciones identificados por la Organización de las Naciones Unidas como de alta incidencia en la producción, tráfico y consumo de drogas ilícitas y en el tráfico de personas.
c. Países, zonas geográficas y jurisdicciones señalados por fuentes creíbles como poseedores de niveles significativos de percepción relacionada con el fenómeno del crimen organizado.
d. Países, zonas geográficas y jurisdicciones identificados por los Sujetos Obligados de acuerdo con su experiencia, por el historial de transacciones monitoreadas, por los reportes de organismos especializados en la lucha contra la delincuencia organizada y por la cantidad de Reportes de Actividades Sospechosas detectadas que guarden relación con ese determinado país, zona geográfica o jurisdicción.

5. Tipo de activo virtual involucrado:

El riesgo de LC/FT/FPADM inherente a los criptoactivos resulta incrementado en los casos de activos virtuales cuyas características y tecnologías asociadas conllevan exposición a anonimizadores del Protocolo de Internet (IP) y a otros mecanismos susceptibles de ofuscar las transacciones, los flujos y contrapartes, así como de ocultar la fuente de los fondos representados en criptoactivos o de inhibir la capacidad para identificar a clientes y usuarios propietarios de los mismos.

Todos los factores o categorías relevantes anteriormente mencionados a título simplemente enunciativo y no taxativo, deben ser considerados de Alto Riesgo por los Sujetos Obligados y conllevan la necesidad de aplicar respecto de ellos medidas de Debida Diligencia Intensificada.

Artículo 38: El Sujeto Obligado puede considerar, entre otras, las siguientes variables específicas mencionadas a título enunciativo, no taxativo, que pueden modificar el nivel de riesgo que haya determinado para un cliente o una transacción en particular:

  1. El propósito de la relación comercial puede influir en el nivel de riesgo evaluado, por ejemplo, las cuentas y billeteras virtuales que son abiertas para facilitar transacciones de consumidores tradicionales, pueden presentar un menor riesgo que las cuentas y billeteras virtuales abiertas para facilitar transacciones con altas sumas de fondos representados en activos virtuales de una entidad comercial desconocida.
  2. La cantidad de activos virtuales que deposite un cliente o el volumen de las operaciones realizadas. El volumen de transacciones inusualmente grandes, en comparación con lo que pudiese esperarse razonablemente del cliente, puede ser un indicador que deba ser clasificado como Riesgo Alto, aun cuando inicialmente no haya sido clasificado como tal. A la inversa, los bajos niveles de transacciones realizadas por un cliente que haya sido clasificado como de riesgo alto, pueden permitir que el Sujeto Obligado trate al cliente como de menor riesgo.
  3. Las relaciones de larga duración, con contacto frecuente con los clientes a lo largo de las mismas, presentan menos riesgos desde el punto de vista de LC/FT/FPADM.
  4. El nivel de regulación y régimen de supervisión al que esté sometido el cliente. Un cliente de un Sujeto Obligado, que se encuentre ubicado en un país, zona geográfica o jurisdicción donde existan normas adecuadas en materia de prevención y control de LC/FT/FPADM, o que forma parte de un grupo cuya sociedad matriz lo somete a una regulación y supervisión adecuada, presentará menos riesgos en esta materia que un cliente no regulado o sometido únicamente a una regulación mínima en materia de prevención y control de LC/FT/FPADM.
  5. El uso por parte de los clientes, de empresas intermediarias u otras estructuras, sin ningún fundamento claro de índole comercial o de otro tipo, o que aumenten innecesariamente la complejidad de la operación o impliquen una falta de transparencia. Dichas estructuras aumentarán el riesgo en materia de LC/FT/FPADM, a menos que se considere que sean lo suficientemente transparentes y se justifique su utilización.

CAPÍTULO II

POLÍTICAS, MEDIDAS Y CONTROLES PARA LA ADMINISTRACIÓN DE RIESGOS DE LC/FT/FPADM DERIVADOS DE LOS CLIENTES

Artículo 39: Los Sujetos Obligados se abstendrán de iniciar o mantener relaciones económicas y prestar servicios o ejecutar actividades, operaciones y transacciones que involucren activos virtuales, con personas naturales o jurídicas cuya identidad no pueda ser determinada plenamente, o lo estén con nombres ficticios, o con claves o números que sustituyan la verdadera identidad y no resulte posible establecer la identidad real del cliente o usuario; tampoco podrán mantener cuentas y billeteras virtuales anónimas, innominadas o con nombres obviamente ficticios. Igualmente se abstendrán de realizar operaciones con usuarios ocasionales no identificados, o cuando exista sospecha de LC/FT/FPADM, o cuando tengan dudas acerca de la veracidad o idoneidad de la información suministrada.

Los Sujetos Obligados deben establecer por todos los medios posibles la verdadera identidad de sus clientes, beneficiarios finales y de los terceros participantes en las actividades, servicios y transacciones que involucren activos virtuales.

Los Sujetos Obligados, en función de la naturaleza de sus negocios y del riesgo inherente a sus operaciones, deben implementar políticas, normas, métodos y controles internos para desarrollar adecuada y continuamente, una Política de Debida Diligencia para el Conocimiento del Cliente (DDC), siempre aplicando las disposiciones mínimas que se señalan en esta Providencia.

El adecuado conocimiento del cliente permitirá establecer razonablemente su nivel de riesgo de LC/FT/FPADM, considerando factores tales como los antecedentes del cliente, su país de origen, si ocupa un cargo relevante en el sector público o privado, las cuentas y billeteras virtuales vinculadas, actividad de negocios u otros indicadores de riesgo. Sobre la base de sus propios criterios, el Sujeto Obligado debe evaluar si un cliente presenta un riesgo mayor de LC/FT/FPADM y si existen circunstancias que pudieran llevarle a establecer que determinados clientes presenten un riesgo de LC/FT/FPADM de menor nivel.

Es importante que la política de aceptación del cliente no sea demasiado restrictiva y termine negando el acceso del público en general a los servicios del Sujeto Obligado.

Artículo 40: Los Sujetos Obligados deben diseñar y ejecutar procesos efectivos de Debida Diligencia para el conocimiento del Cliente (DDC), para establecer y mantener relaciones comerciales con sus clientes, para realizar transacciones ocasionales que involucren activos virtuales por encima del umbral mínimo de un mil Euros (1.000 EUR), o cuando exista sospecha de LC/FT/FPADM, o cuando se tengan dudas sobre la veracidad o idoneidad de los datos de identificación del cliente obtenidos previamente.

Las medidas de Debida Diligencia del Cliente comprenden, entre otros aspectos, identificar al cliente y verificar su identidad, así como también la del propietario o beneficiario final en caso que el cliente sea persona jurídica. La verificación de la identidad del cliente puede efectuarse mediante bases de datos, información o documentación confiable de fuentes independientes.

Los Sujetos Obligados podrán aplicar medidas de Debida Diligencia para la identificación y verificación de la identidad del cliente, no cara a cara, sino corroborando la información de identidad recibida del cliente (como su nombre, dirección, número de identificación nacional, fecha de nacimiento, correo electrónico, número telefónico, por ejemplo), con información en bases de datos públicas o de terceros o con información de fuentes confiables e independientes.

Los Sujetos Obligados también podrán aplicar las siguientes medidas de Debida Diligencia para el Conocimiento del Cliente:

  • Rastrear las direcciones de Protocolo Internet (IP) de los equipos usados por el cliente y llevar un registro de dichas direcciones.
  • Buscar en la web para corroborar información de actividad coherente con el perfil de transacciones del cliente.
  • Examinar las transacciones llevadas a cabo a lo largo de la relación comercial, para asegurar que las transacciones que se realizan sean consistentes con el conocimiento que se tiene sobre el cliente, su actividad comercial y su perfil de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos involucrados en operaciones con activos virtuales o criptoactivos.
  • Efectuar la identificación de las demás partes involucradas en las operaciones y la de los usuarios ocasionales. El proceso de DDC también incluye entender la estructura de titularidad y control de los clientes que sean personas jurídicas o estructuras jurídicas, así como comprender el propósito y el carácter que se pretende dar a la relación comercial y obtener más información en situaciones de mayor riesgo, para aumentar el grado de conocimiento que se tenga del cliente y sus actividades.

Artículo 41: Para las transferencias de activos virtuales por montos mayores a un mil Euros (1.000 EU R) o su equivalente, los Sujetos Obligados deben incluir en las mismas:

a. Nombre del originador y del beneficiario b. Un número de cuenta o billetera virtual para cada uno, cuando dichas cuentas o billeteras virtuales se usen para procesar la transacción o en ausencia de cuenta o billetera, un único número de referencia de la transacción que permita rastrearla. c. Dirección del originador o su número de identidad nacional o el número de identificación del cliente o la fecha y lugar de su nacimiento.

Los Sujetos Obligados, al realizar transferencias de activos virtuales por montos mayores a un mil Euros (1.000 EUR) o su equivalente, deben transmitir de inmediato y de forma segura, la información requerida del originador y del beneficiario. Esta información requerida debe ser enviada simultáneamente o concurrentemente, con la transferencia misma del activo virtual.

Tanto el Sujeto Obligado ordenante de la transferencia, como el Sujeto Obligado beneficiario de la misma, deben conservar esta información requerida y ambos deben tomar las medidas para congelar sin demora fondos y activos virtuales que son propiedad o estén controlados o que estén a disposición, directa o indirectamente, o para el beneficio de personas y entidades designadas por las Resoluciones del Consejo de Seguridad de las Naciones Unidas que exhortan a los Estados miembros a prevenir y reprimir el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva. Se debe informar a la UN IF acerca de los fondos y activos virtuales congelados, así como las acciones realizadas en cumplimiento de dichas Resoluciones.

Los Sujetos Obligados no deben realizar transacciones u operaciones con personas y entidades designadas por las referidas Resoluciones del Consejo de Seguridad de la Organización de las Naciones Unidas.
Por cuanto no todas las transferencias de activos virtuales involucran a dos Sujetos Obligados, en aquellos casos en que la transferencia involucre a un solo Sujeto Obligado en cualquier extremo de la misma, este último debe cumplir con los requisitos relacionados con la información requerida con respecto a su cliente (el originador o beneficiario, según sea el caso).

Artículo 42: Los Sujetos Obligados intermediarios que faciliten las transferencias de activos virtuales como elemento intermedio de una cadena de transferencias, deben acompañar a la transferencia con la información del originador, del beneficiario y asegurarse que esta información requerida se transmita a lo largo de la cadena de transferencias, debiendo mantener su registro.

Esta información requerida del originador y del beneficiario no necesita ser comunicada como parte (como incorporada) de la transferencia en blockchain u otra plataforma de registro distribuida, el envío de esta información requerida, al Sujeto Obligado beneficiario, puede ser por un proceso totalmente distinto del de la cadena de bloques y de registro distribuido, siendo que cualquier tecnología, solución de software o herramienta es aceptable, siempre que permita cumplir con esta obligación en forma efectiva, inmediata y segura.

Artículo 43: Los Sujetos Obligados intermediarios deben identificar y reportar transacciones sospechosas, tomar medidas de congelamiento y evitar transacciones u operaciones con personas y entidades designadas por las Resoluciones del Consejo de Seguridad de las Naciones Unidas que exhortan a los Estados miembros a prevenir el Financiamiento del Terrorismo y de la Proliferación de Armas de Destrucción Masiva.

Artículo 44: Si durante el establecimiento o en el curso de la relación comercial o cuando se realizan transacciones, el Sujeto Obligado sospecha o tiene motivos razonables para sospechar, que las transacciones están relacionadas a LC/FT/FPADM, o existan dudas sobre la veracidad o idoneidad de los datos de identificación del cliente obtenidos, se debe tratar de identificar y verificar la identidad del cliente y del beneficiario final, independientemente del umbral arriba designado y hacer un Reporte de Actividad Sospechosa a la UNIF.

Artículo 45: El Sujeto Obligado aplicará la Política Conozca a su Cliente (PCSC) de manera diferenciada, de acuerdo con la sensibilidad y nivel de riesgo de LC/FT/FPADM, conforme a sus propios métodos o procesos de evaluación de riesgos y en consideración a circunstancias y factores de riesgos, cuando el nivel de riesgo sea:

a. Alto, le corresponde una DDC intensificada. b. Moderado, le corresponde una DDC mejorada. c. Bajo, le corresponde una DDC estándar.

Las medidas de DDC intensificadas para mitigar los riesgos potencialmente más altos, pueden consistir, entre otras, en:

1.Actualizar los datos de identificación del cliente y verificarlos con información existente en bases de datos de terceros u otras fuentes fiables.

2. Obtener información adicional sobre el cliente, el beneficiario final y la naturaleza prevista de la relación comercial o sobre el carácter que se pretende dar a esta última.

3. Rastrear las direcciones Protocolo de Internet (IP) de los equipos usados por el cliente y llevar un registro de dichas direcciones.

4. Buscar en intemet información que corrobore las actividades del cliente de manera consistente con su perfil de transacción.

5. Obtener información sobre la fuente u origen de los fondos o valores representados en activos virtuales del cliente que son utilizados para realizar intercambios, transferencias y actividades que involucren activos virtuales, así como obtener información sobre la fuente de riqueza del cliente y los motivos o razones de las transacciones y transferencias intentadas o realizadas.

6. Incrementar el grado y variar la naturaleza del seguimiento o monitoreo de la relación comercial y efectuar el examen de las transacciones y transferencias llevadas a cabo, para asegurar que las mismas sean consistentes con el conocimiento que tiene el Sujeto Obligado sobre el cliente, su actividad comercial y el perfil de riesgo.

7. Examinar los antecedentes y el propósito de las transacciones u operaciones complejas, inusuales grandes y los patrones inusuales de transacciones, que no tengan un propósito económico o lícito aparente.

8. Para las transacciones y transferencias ocasionales por montos mayores al umbral de un mil Euros (1.000 EUR) o su equivalente, limitar la fuente de los fondos fiduciarios a una cuenta bancaria o tarjeta de crédito a nombre del cliente.

Artículo 46: El Sujeto Obligado debe:

  1. Determinar el nivel de riesgo del cliente al momento que se establece la relación de negocios y actualizarlo cuando considere que existan elementos suficientes para ello. El universo de clientes debe evaluarse globalmente cada doce (12) meses, a fin de aplicar el nivel apropiado de DDC en cada caso y mantener consistencia entre los métodos o procesos aplicados. La calificación del cliente podrá modificarse al momento que las características del cliente experimenten cambios significativos con respecto a la información aportada al Sujeto Obligado, ya sea al inicio de la relación comercial, como producto de la actualización efectuada por éste o como consecuencia del cambio de su perfil transaccional que haya generado las alertas respectivas.
  2. Poner en práctica medidas y controles apropiados para mitigar el riesgo potencial de LC/FT/FPADM, de aquellos clientes que se hayan determinado de Riesgo Alto.
  3. Establecer registros individuales, en forma física o digital, de cada uno de sus clientes, con el fin de obtener y mantener actualizada la información necesaria para determinar fehacientemente su identificación y las actividades económicas a las que se dedican. Asimismo, debe adoptar parámetros de segmentación, a los efectos de definir el perfil financiero del cliente, de modo que dicho perfil facilite la identificación de las operaciones inusuales o sospechosas, siendo que una adecuada segmentación permitirá determinar el rango en el cual se desarrollan normalmente las operaciones que realizan los clientes y las características del mercado en que participan.
  4. Mantener actualizados los datos de los clientes.
  5. Aplicar medidas de DDC cuando exista sospecha de LC/FT/FPADM, siendo prudente llevar a cabo en estos casos actualización de datos del cliente, solicitud de información que avale sus operaciones, declaraciones juradas, entre otros que se considere convenientes, siempre y cuando tales medidas no constituyan una alerta sobre la investigación, en tales casos, corresponderá efectuar un Reporte de Actividades Sospechosas a la UNIF y participar a la SUNACRIP acerca de la tipología o modelo de actuación relacionada con dicha actividad sospechosa. Estas participaciones o notificaciones a la SUNACRIP se harán respetando en todo momento la reserva y confidencialidad de los datos de identificación de las personas naturales o jurídicas involucradas en los Reportes de Actividades Sospechosas a la UNIF.

Artículo 47: Los Sujetos Obligados podrán identificar de forma remota (no presencial) a sus clientes y usuarios, a través de sistemas tecnológicos de identificación digital idóneos, confiables e independientes, con lo cual se facilita la inclusión financiera y se reducen costos para los Sujetos Obligados. Dichos sistemas deben permitir el mantenimiento de registros en formato digital, de las gestiones de Debida Diligencia del Cliente realizadas a través de ellos y además deben ser auditables y transparentes.
Cuando los Sujetos Obligados utilicen sistemas tecnológicos para identificación digital remota, deberán asegurarse que los métodos implementados sean acordes con los estándares para la identificación remota de clientes aplicados en la industria financiera.

Gaceta2

La IATA pidió a los gobiernos que anulen de inmediato las prohibiciones de viajes en respuesta a la variante Ómicron finanzasdigital.com/2021/12/la-iat… a través de @finanzasdigital

Costa Rica registró una inflación de 0,82% en noviembre 2021 finanzasdigital.com/2021/12/costa-… a través de @finanzasdigital

menu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram