Impacto das diretrizes do Gafi na regulação global de criptoativos

O Financial Action Task Force (FATF), conhecido no Brasil como Gafi (Grupo de Ação Financeira Internacional), é uma força-tarefa global de ação financeira intergovernamental, criada para combater a lavagem de dinheiro e o financiamento do terrorismo.

Seus integrantes são representantes indicados pelos países integrantes que tem a missão de criar políticas e recomendações de vigilância financeira não vinculativas. Como são indicados e não eleitos, o Gafi não é considerado um órgão democrático.

Pexels

Todavia, caso um país que se recuse a adotar suas diretrizes regulatórias, poderá sofrer graves consequências diplomáticas, como alertado na audiência pública sobre criptoativos e tecnologia blockchain, na Câmara dos Deputados em 9 de dezembro de 2019.

Por isso, inúmeras recomendações do Gafi são constantemente objeto de discussão nas duas casas do Parlamento brasileiro, que recentemente aprovou o Marco Legal das Criptomoedas.

A seguir, vejamos as orientações do Gafi sobre o mercado de criptoativos.

Diretrizes do Gafi sobre criptoativos
As primeiras orientações do Gafi a respeito de criptoativos foram publicadas em 2015, atualizadas em 2019 no relatório “FAFT draft guidance on a risk-based approach to virtual assets and virtual asset service providers (VASPs)”.

No ano seguinte, o Gafi se comprometeu a atualizar novamente suas orientações, o que resultou no “12 Month Review of Revised FATF Standards” — relatório de 2020 sobre ativos virtuais e provedores de serviços de ativos virtuais — e no Report to the G20 finance Ministers andCentral Bank Governors — relatório para o G20 sobre stablecoins.

Por fim, o Gafi publicou uma atualização de suas diretrizes em outubro de 2021, no relatório Updated Guidance for a Risk-based approach – Virtual Assets and Virtual Asset Service Providers.

Basicamente, tais diretrizes espelham basicamente as políticas existentes para o combate à lavagem de dinheiro do regulador americano FinCEN.

Em sua atualização de 2019, o Gafi orientou que os países fizessem um forte monitoramento do mercado de criptoativos, equiparando provedores de produtos e serviços relacionados a criptoativos às instituições financeiras tradicionais.

Importante observar, aqui, que ao contrário das políticas sobre sigilo bancário e diretrizes do FinCEN existentes nos Estados Unidos desde 2013, em 2015 e em 2019 o GAFI não sugeriu políticas rígidas ou invasivas de privacidade.

Em 2021,  no entanto, o GAFI aprovou suas últimas diretrizes sobre criptoativos, com profundos impactos do ponto de vista da privacidade e a introdução de práticas de compliance do sistema bancário no mercado de criptoativos.

Para tanto, o Gafi sugeriu aos países a criação de dois requisitos em suas respectivas legislações:

1) a regra de viagem;
2) a identificação da contraparte do cliente e imposição de uma coleta significativa de dados.

Recomendação nº 16 do Gafi
Travel Rule (regra de viagem)
De acordo com o Gafi, não é suficiente que os “provedores de serviços de ativos virtuais” (Vasps) compartilhem dados de clientes uns com os outros; é também preciso que seja realizada a devida diligência sobre outros Vasps, com os quais seus clientes fazem transações.

Daí porque, foram acrescentados às diretrizes do Gafi outros requisitos de informação que devem acompanhar as transferências de criptoativos — o que é conhecido como travel rule, “regra de viagem” em português, e está consagrada na Recomendação nº 16 do Gafi.

“Recommendation 16. As noted in Section III, providers in this space must comply with the requirements of Recommendation 16 (i.e. the ‘travel rule’). This includes the obligation to obtain, hold, and submit required originator and beneficiary information associated with VA transfers in order to identify and report suspicious transactions, take freezing actions, and prohibit transactions with designated persons and entities. The requirements apply to both Vasps and other obliged entities such as FIs when they send or receive VA transfers on behalf of a customer.”

Aqui, importante destacar que a Recomendação nº 16 não exige que estas informações sejam coletadas para cada transferência individual, mas que um Vasp (ou outra entidade regulamentada) realize a devida diligência em um Vasp, antes de efetuar a primeira transação com ele pela primeira vez, comprovando se existe:

– Evidências de que o Vasp é regulamentado;
– Mídia adversa, incluindo se o Vasp foi submetido a alguma ação regulatória; e
– Evidência de que o Vasp possui estrutura adequada e satisfatória às políticas de combate à lavagem de dinheiro e ao financiamento ao terrorismo (AML/CFT): por exemplo, se ele executa verificações KYC e possui uma política AML/CFT, ou facilita transações com contrapartes de alto risco.

O Gafi adota uma abordagem neutra em termos de tecnologia e não prescreve uma tecnologia específica ou abordagem de software que os provedores devam implantar para cumprir a Recomendação 16.

Deste modo, qualquer tecnologia ou solução de software é aceitável, desde que permita que a instituição ordenadora e a instituição beneficiária (quando presente na transação) cumpram suas obrigações de AML/CFT

Assim, conforme as orientações do Gafi, a regra de viagem é o primeiro requisito que os países deveriam incorporar em suas respectivas legislações.

Já o segundo requisito, como veremos a seguir, sofreu muitas críticas por aconselhar políticas mais rígidas e, para muitos, excessivamente invasivas à privacidade dos indivíduos.

Identificação da contraparte do cliente e imposição de coleta significativa de dados
A última atualização de diretrizes do Gafi também determina que as corretoras de criptoativos coletem informações específicas sobre a quem seus clientes estão pagando, ou por quem seus clientes estão sendo pagos, o que também está consagrado na Recomendação nº 16, após a atualização de 2021:

“294. Vasps must transmit relevant originator and beneficiary information as set out in the INR.16.”

Nesse sentido, os Vasps devem transmitir informações relevantes sobre o originador e o beneficiário, conforme estabelecido na INR 16. E é possível que os países adotem um limite mínimo para transferências de criptoativos, abaixo do qual a verificação das informações do cliente e do beneficiário não é necessária, a menos que haja suspeita de lavagem de dinheiro ou financiamento ao terrorismo.

Ou seja, para transferências ocasionais de VA abaixo de US$ 1.000 ou euros, ou o valor equivalente em moeda local, ou conforme definido nas regulamentações locais, os requisitos da Recomendação nº 16 se aplicam. Dessa forma, será exigido que os provedores de serviços de criptoativos:

– Informem às autoridades o nome do originador e do beneficiário da transferência de criptoativos;
– Informem às autoridades um endereço de carteira para cada um ou um número de referência de transação exclusivo.
– verifiquem as informações relativas ao cliente, sempre que houver circunstâncias suspeitas relacionadas a lavagem de dinheiro e financiamento ao terrorismo.

Tal recomendação do Gafi já era exigida no Brasil desde 2019, através da primeira normativa sobre criptoativos no país. Cuida-se da Instrução Normativa da Receita Federal nº 1888/2019, expedida pela Receita Federal, que criou uma definição sobre ativos digitais e ao mesmo tempo criou a obrigação de reporte sobre operações com criptoativos para as exchanges sobre movimentações de seus clientes.

Dados como titulares envolvidos na transação, quantidade de criptoativos, valor da operação e valor das possíveis taxas de serviço devem ser reportados à autoridade tributária do Brasil, sob pena de multa.

Neste contexto, ao atualizar suas diretrizes sobre criptoativos e orientar a prática da devida diligência da contraparte do cliente, o Gafi sugere — na mesma linha da IN nº 1888/2019 — que os governos exijam dos provedores de serviços relacionados a criptoativos as mesmas práticas de compliance comuns às instituições financeiras.

Desafios regulatórios diante das inovações trazidas pelos criptoativos
A atualização das diretrizes do Gafi também tentou enfrentar alguns dos desafios regulatórios mais urgentes envolvendo as inovações trazidas pelos ativos virtuais.

Nessa linha, vejamos as dificuldades regulatórias quanto a inovações como transferências P2P e carteiras não custodiadas.

Transações Peer-to-Peer (P2P) ou via DEXs
Conquanto a maioria das pessoas transacionem criptoativos via corretoras centralizadas — as chamadas CEXs —, os detentores de criptoativos podem utilizar os usuários podem realizar transações diretas, ponto a ponto – conhecidas como transferências P2P, peer-to-peer —, ou através de corretoras descentralizadas — as famosas DEXs ou Decentralized Exchanges.

Tanto nas transferências P2P, como nas DEXs, a possibilidade de exigência regulatória é baixa. Isto porque, nesse tipo de plataforma, há negociação direta dos criptoativos entre os usuários, efetivada apenas pelo software que realiza o encontro das ordens de compra e venda, sem a necessidade de supervisão humana.

Nesse passo, a abordagem da natureza peer-to-peer (P2P) dos ativos virtuais é uma questão que em intrigado o GAFI.

No setor financeiro tradicional, onde as normas do Gafi são aplicadas há mais de três décadas, não são possíveis transações eletrônicas P2P completas. Consequentemente, as normas do Gafi nunca abordaram como gerenciar eventuais riscos associados às transferências eletrônicas P2P que são a principal inovação do bitcoin.

Por não envolverem a presença de entidades reguladas, o Gafi têm classificado as transações P2P como de alto risco, porque tais transações ocorrem fora da esfera de supervisão “tradicional” de órgãos de fiscalização.

Em consequência disto, desde a publicação de suas primeiras diretrizes para o mercado de criptoativos em 2015, o Gafi se propôs a abordar os riscos relacionados às transferências P2P, por entender que este tipo de transação oferece aos atores ilícitos um método ideal para transferir fundos.

Após críticas de muitos players da indústria de criptoativos e organismos internacionais como o Coin Center — que se propõe a educar os formuladores de políticas e a defender abordagens regulatórias sensatas para criptoativos —, o Gafi abrandou sua abordagem.

O GAFI decidiu não estender suas diretrizes a usuários individuais de ativos virtuais, ou recomendar uma fiscalização direta pelos governos das transferências P2P, optando por uma abordagem diferente:

“VASPs should be aware of the risk posed by VA transfers to/from unhosted wallets and related P2P transactions.”

Isto é, o Gafi passou a recomendar aos países que considerem administrar os riscos relacionados às transferências P2P, mas através de uma regulação que estipule como intermediários devem interagir com carteiras não custodiadas.

Carteiras não custodiadas [hardwallets]
Carteiras não custodiadas, conhecidas como hardwallets, são aquelas não hospedadas por um provedor de serviço relacionado a criptoativos, ou outra entidade regulamentada.

E em relação às carteiras não custodiadas, o Gafi sugere uma série de medidas que os países devem tomar para enfrentar os riscos das transações P2P, em especial a exigência de que os provedores de serviços cripto apresentem relatórios de transações monetárias, quando seus clientes fazem transações com hardwallets. Observe que tal diretriz é uma tentativa de impor um paradigma regulatório similar ao exigido de instituições financeiras  no setor de ativos virtuais.

Notas finais
O GAFI peca ao pautar suas diretrizes na suposição de que as transações envolvendo carteiras de hardware, por não envolverem contrapartes regulamentadas, oferecem riscos mais altos que transações realizadas através dos provedores de serviços relacionados a criptoativos.

Primeiro, porque o fato de tais transações P2P serem realizadas fora da esfera de supervisão “tradicional”não necessariamente significa impossibilidade de fiscalização.Na maioria das vezes, os órgãos fiscalizadores não conta com tecnologia de ponta para o exercício da fiscalização.

Já existem recursos na própria tecnologia que podem ajudar a solucionar a incrementar a fiscalização, como as ferramentas de análise — disponibilizadas por empresas como Elliptic e Chainalysis, que possibilitam rastrear cada transação em todo o ecossistema cripto.

Segundo, porque os dados nos mostram um contexto diferente. A grande maioria das atividades transacionais P2P em criptos é legítima e não envolve interação com entidades ilícitas.

Pesquisa realizada pela empresa de análises on-chain Elliptic mostrou que apenas 0,6% das transações P2P em bitcoin foram enviadas ou recebidas por uma entidade ilícita em 2020.

Na mesma linha, em 2023, em relatório sobre as diretrizes revisadas dos fatores de risco de lavagem de dinheiro e financiamento do terrorismo, a ConsenSys apontou que o uso de carteiras não custodiadas não é, em si, um fator que, por si só, mereça a aplicação da due diligence aprimorada (EDD).

Logo, a orientação do Gafi para que os países proíbam o uso de hardwallets ou imponham controles mais rigorosos pelos Vasps a clientes que se utilizem de carteiras não custodiadas é desproporcional ao quadro real de risco. A pesquisa da Elliptic indica que aproximadamente 80% dos lucros criminosos em Bitcoin são lavados através de corretoras de criptoativos e outros Vasps.

De outro lado, proibir Vasps de terem qualquer interação com cold wallets é inviável. A natureza não permissionada e imutável dos Vasps de código aberto torna impossível a rejeição de transferências de fundos recebidos de hard wallets. Apesar de possível o bloqueio ou restrição ao acesso dos clientes a esses fundos após recebê-los, um Vasp não pode evitar recebê-los de uma carteira auto custodiada.

O uso de uma hardwallet é semelhante ao uso de um navegador da Web. Da mesma forma que os navegadores da Web permitem que os consumidores tenham amplo acesso à Internet, as carteiras não custodiadas são essenciais para que os usuários acessem e operem no espaço da Web3.