Descubra los riesgos ocultos de las criptomonedas

El NYDFS emitió una orden de consentimiento contra Block, Inc, la empresa matriz de Cash App, citando fallos significativos de cumplimiento en sus operaciones contra el blanqueo de capitales (AML) y de moneda virtual. Block acordó pagar una multa de 40 millones de dólares y contratar a un supervisor independiente para supervisar sus esfuerzos de corrección.

El DFS descubrió que Block, Inc. no aplicó umbrales adecuados basados en el riesgo, señalando específicamente cómo configuraron sus herramientas analíticas de blockchain. Por ejemplo, citaron que a menos que la exposición a carteras vinculadas al terrorismo superara el 10%, las cuentas no se bloquearían y que cualquier cantidad de exposición debería haber sido motivo de acción. Los controles KYC y de diligencia debida del cliente de la empresa también eran deficientes: Block carecía de un proceso formal de actualización KYC y permitía a los usuarios abrir múltiples cuentas restringidas utilizando diferentes credenciales, lo que permitió a una red criminal rusa operar más de 8.300 cuentas fraudulentas. Además, Block sufría retrasos masivos en la presentación de SAR, con alertas acumuladas de más de 169.000 e informes que tardaban una media de 129 días en presentarse, al tiempo que clasificaba erróneamente transacciones de mezcladores de alto riesgo como de riesgo medio, exponiendo a la plataforma a una actividad ilícita sostenida.

El regulador financiero alemán BaFin prohibió a Ethena GmbH emitir o distribuir su token USDe a clientes alemanes, alegando la emisión no autorizada de dinero electrónico en virtud del Reglamento sobre Mercados de Criptoactivos (MiCAR) de la UE. La BaFin también congeló los activos de Ethena en Alemania y advirtió a los consumidores sobre la falta de supervisión reguladora del producto stablecoin. Esta acción pone de relieve el aumento de la actividad de aplicación de la MiCAR, especialmente en relación con las stablecoins comercializadas o distribuidas sin la debida autorización en la UE.

El personal de cumplimiento debe tener en cuenta que, en virtud de la MiCAR, la emisión o distribución de stablecoins como USDe sin la debida autorización puede desencadenar medidas coercitivas inmediatas -incluida la congelación de activos y la prohibición de ventas-, incluso si el emisor tiene su sede fuera de la UE. Las empresas que comercializan sus productos a residentes en la UE deben asegurarse de que sus criptoactivos entran en las categorías de dinero electrónico o fichas referenciadas a activos de la MiCAR y obtener previamente la autorización necesaria. Este caso pone de relieve la urgencia de realizar una evaluación del perímetro normativo antes de lanzar o promocionar productos tokenizados en jurisdicciones de la UE.

FINRA sancionó a Robinhood Financial y Robinhood Securities con una multa de 26 millones de dólares y más de 3,75 millones de dólares en restitución por fallos generalizados de supervisión durante casi una década. Robinhood engañó a sus clientes "collarizando" órdenes de mercado -convirtiéndolas en órdenes limitadas- sin la debida información, lo que provocó pérdidas millonarias en ejecuciones. La empresa también carecía de sistemas eficaces de AML y KYC, permitiendo aperturas de cuentas fraudulentas y sin controlar 300 millones de dólares en transferencias de terceros. El sistema de compensación de Robinhood falló repetidamente durante las subidas del mercado, incluido un pico vinculado al comercio de Bitcoin, y la empresa bloqueó indebidamente 116.000 transferencias de cuentas, algunas debido a que los clientes tenían criptomonedas en la filial Robinhood Crypto LLC, violando las normas de FINRA.

El programa de lucha contra el blanqueo de capitales de Robinhood carecía de controles para detectar operaciones preestablecidas con valores a bajo precio y actividades sospechosas con opciones; las empresas deben asegurarse de que sus herramientas de vigilancia cubren de forma exhaustiva estos comportamientos de alto riesgo. El hecho de que no se vigilaran las transferencias de terceros por valor de 300 millones de dólares y de que no se detectaran las discordancias de nombres en la ACH pone de manifiesto la necesidad de una sólida vigilancia de las transacciones que incorpore señales de verificación de la identidad. Robinhood no disponía de sistemas para detectar la usurpación de cuentas, una capacidad esencial dadas las advertencias de FinCEN desde hace tiempo, lo que subraya la importancia de integrar la detección de ciberamenazas en los protocolos de lucha contra el blanqueo de capitales. La dotación de personal era muy insuficiente, con solo dos analistas que gestionaban casi un millón de operaciones diarias; las empresas deben invertir en equipos de lucha contra el blanqueo de capitales que se adapten al volumen y a la complejidad de los casos de uso. Los informes de vigilancia se interrumpieron debido a limitaciones técnicas, lo que sugiere la necesidad de una infraestructura escalable y una auditoría periódica de la eficacia de la vigilancia. Por último, el CIP de Robinhood no rechazó las cuentas con identidades no coincidentes; las instituciones financieras deben implantar controles sólidos de verificación de identidad y realizar revisiones periódicas para garantizar su eficacia.