Conformidade KYC e AML para VASP na Uniao Europeia

Introducao a Conformidade VASP na Uniao Europeia

Os Prestadores de Servicos de Ativos Virtuais (VASPs) representam uma categoria ampla de empresas que facilitam transacoes com criptoativos na Uniao Europeia. Desde exchanges e custodiantes ate provedores de carteiras e servicos de transferencia, os VASPs estao sujeitos a um conjunto robusto de requisitos de KYC (Know Your Customer) e AML (Anti-Money Laundering) que continuam a evoluir com a legislacao europeia.

A conformidade para VASPs na UE e moldada por multiplas camadas regulatorias, incluindo as Diretivas Anti-Lavagem de Dinheiro (AMLD), o Regulamento de Transferencia de Fundos (TFR), o Regulamento MiCA e, em breve, o novo pacote AML da UE que estabelecera a Autoridade Europeia de Combate a Lavagem de Dinheiro (AMLA).

Marco Regulatorio para VASPs na UE

Diretivas Anti-Lavagem de Dinheiro

A Quinta Diretiva Anti-Lavagem de Dinheiro (5AMLD) trouxe os VASPs para o perimetro regulatorio europeu, exigindo que se registrassem junto as autoridades nacionais competentes. A Sexta Diretiva (6AMLD) ampliou os crimes antecedentes de lavagem de dinheiro e aumentou as penalidades. O novo pacote AML da UE esta substituindo as diretivas por um regulamento diretamente aplicavel, criando um regime mais harmonizado.

Regulamento de Transferencia de Fundos (TFR)

O TFR reformulado estende as obrigacoes da Travel Rule a todas as transferencias de criptoativos, exigindo que VASPs coletem e transmitam informacoes sobre o originador e o beneficiario. Diferentemente das regras anteriores, o TFR nao estabelece limites minimos de valor, aplicando-se a todas as transferencias.

Interacao com o MiCA

Enquanto o MiCA estabelece o marco de autorizacao e operacao para prestadores de servicos de criptoativos, os requisitos de AML e KYC sao complementados pelo TFR e pela legislacao AML da UE. Os VASPs devem cumprir ambos os conjuntos de requisitos simultaneamente.

Requisitos de KYC para VASPs

Identificacao e Verificacao de Clientes

Os VASPs na UE devem implementar procedimentos abrangentes de KYC que incluam a coleta de informacoes de identificacao completas para pessoas fisicas e juridicas. Para pessoas fisicas, isso inclui nome completo, data e local de nascimento, endereco residencial, numero de identificacao nacional e documento de identidade com foto. Para pessoas juridicas, sao necessarios a denominacao social, forma juridica, endereco da sede, prova de constituicao, poderes de representacao e identificacao dos beneficiarios finais.

A Joinble oferece uma solucao integrada de KYC que automatiza a verificacao de identidade para ambos os tipos de clientes, utilizando tecnologias avancadas de biometria, OCR e verificacao em bancos de dados publicos e privados.

Beneficiarios Finais (UBO)

A identificacao do beneficiario final e um requisito critico para VASPs na UE. Toda pessoa juridica que se torna cliente deve ter seus beneficiarios finais identificados e verificados. O limiar padrao na UE e de 25% de participacao ou controle, mas alguns estados membros aplicam limiares mais baixos.

Os VASPs devem consultar os registros nacionais de beneficiarios finais e nao podem confiar exclusivamente nessas informacoes, devendo realizar sua propria due diligence. A nao identificacao do beneficiario final impede o estabelecimento da relacao comercial.

Origem dos Fundos e Patrimonio

Os VASPs devem compreender a origem dos fundos e do patrimonio de seus clientes, especialmente em situacoes de due diligence reforçada. Isso inclui solicitar documentacao que comprove a origem dos criptoativos e da moeda fiduciaria utilizada nas transacoes, analisar o historico de transacoes on-chain quando relevante e avaliar a coerencia entre o perfil do cliente e os volumes transacionados.

Abordagem Baseada em Risco

Avaliacao de Risco Institucional

Os VASPs devem realizar uma avaliacao de risco institucional que identifique e analise os riscos de lavagem de dinheiro e financiamento do terrorismo a que estao expostos. Essa avaliacao deve considerar os tipos de clientes atendidos, os produtos e servicos oferecidos, as areas geograficas de atuacao, os canais de distribuicao e as tecnologias utilizadas.

Perfil de Risco do Cliente

Cada cliente deve receber um perfil de risco que determine o nivel de due diligence aplicavel. Os fatores de risco incluem o pais de residencia ou nacionalidade, a natureza da atividade profissional, o volume e frequencia das transacoes, o tipo de criptoativos negociados e a complexidade das estruturas de transacao.

A Joinble permite que VASPs configurem modelos de scoring de risco personalizados que atribuem automaticamente perfis de risco com base em multiplos fatores, garantindo consistencia e eficiencia no processo de avaliacao.

Due Diligence Reforçada

A due diligence reforçada (EDD) e obrigatoria para clientes de alto risco e deve incluir a obtencao de informacoes adicionais sobre o proposito da relacao comercial, a verificacao detalhada da origem dos fundos e patrimonio, a aprovacao da alta administracao para iniciar ou manter a relacao e o monitoramento intensificado das transacoes.

Monitoramento e Reporte

Monitoramento Continuo

O monitoramento continuo e uma obrigacao fundamental dos VASPs e inclui a vigilancia permanente das transacoes para detectar atividades incomuns, a atualizacao periodica das informacoes de KYC dos clientes, a reavaliacao do perfil de risco quando circunstancias mudam e a analise de transacoes on-chain para identificar conexoes com enderecos de alto risco.

Relatorios de Transacoes Suspeitas

Os VASPs devem reportar transacoes suspeitas as FIUs nacionais sem atraso. O conceito de "suspeita" e amplo e inclui transacoes que nao tem justificativa economica aparente, transacoes envolvendo jurisdicoes de alto risco, padroes indicativos de structuring ou layering e transacoes envolvendo enderecos associados a atividades ilicitas.

Retencao de Dados

Todos os dados de KYC, registros de transacoes e documentacao de due diligence devem ser retidos por no minimo cinco anos apos o termino da relacao comercial. Os dados devem ser armazenados de forma segura e estar acessiveis as autoridades competentes mediante solicitacao.

Governanca e Controles Internos

Responsavel pela Conformidade

Os VASPs devem designar um responsavel pela conformidade de nivel gerencial com autoridade e recursos adequados para supervisionar o programa de AML e KYC. Essa pessoa deve ter acesso direto a alta administracao e ao conselho, quando aplicavel.

Politicas e Procedimentos

Os VASPs devem manter politicas e procedimentos documentados que cubram todos os aspectos do programa de KYC e AML, incluindo verificacao de identidade, avaliacao de risco, monitoramento de transacoes, reporte de suspeitas e retencao de dados. Esses documentos devem ser revisados e atualizados regularmente.

Treinamento

Todos os funcionarios relevantes devem receber treinamento regular sobre KYC e AML, adaptado as suas funcoes e responsabilidades. O treinamento deve cobrir os requisitos legais, os procedimentos internos, a identificacao de sinais de alerta e o processo de reporte de suspeitas.

Desafios Especificos para VASPs

Transacoes Peer-to-Peer

As transacoes peer-to-peer e as interacoes com wallets nao hospedadas representam desafios significativos para os VASPs. O TFR exige medidas adicionais para transferencias envolvendo wallets nao hospedadas, incluindo a verificacao de que a wallet pertence ao cliente.

Criptoativos com Privacidade Reforçada

Criptoativos com caracteristicas de privacidade reforçada, como Monero e Zcash, apresentam desafios adicionais para conformidade. Muitos VASPs na UE optam por nao listar esses ativos devido a dificuldade de realizar monitoramento adequado de transacoes.

Conformidade Transfronteirica

Operar em multiplos estados membros, mesmo com o passaporte MiCA, exige atencao as particularidades nacionais em materia de AML, ja que a implementacao das diretivas pode variar entre paises.

Perguntas Frequentes

Qual e a diferença entre um VASP e um CASP sob a legislacao europeia?

VASP (Virtual Asset Service Provider) e o termo utilizado pelo GAFI e adotado nas diretivas AML da UE, enquanto CASP (Crypto-Asset Service Provider) e o termo utilizado pelo MiCA. Na pratica, ambos se referem a entidades que prestam servicos relacionados a criptoativos, mas o CASP tem uma definicao mais especifica e detalhada sob o MiCA.

Os VASPs na UE precisam de autorizacao em cada estado membro?

Nao. Sob o MiCA, um VASP autorizado como CASP em um estado membro pode utilizar o mecanismo de passaporte para oferecer servicos em toda a UE. No entanto, deve notificar as autoridades dos estados membros onde pretende operar e cumprir as obrigacoes locais de AML quando aplicavel.

Como a Joinble ajuda VASPs a cumprir obrigacoes de Travel Rule?

A Joinble oferece solucoes integradas para Travel Rule que automatizam a coleta e transmissao de informacoes do originador e beneficiario, suportam protocolos padrao como TRISA e OpenVASP, realizam verificacao automatica de wallets nao hospedadas e garantem conformidade com os requisitos do TFR da UE.

Quais sao as penalidades para VASPs que nao cumprem os requisitos de KYC na UE?

As penalidades variam conforme a jurisdicao, mas podem incluir multas de ate 5 milhoes de euros para pessoas fisicas e 10% do faturamento anual para pessoas juridicas, suspensao ou revogacao da autorizacao, proibicao de exercicio de funcoes de gestao e responsabilidade penal em casos graves.

Os VASPs devem verificar transacoes com wallets nao hospedadas?

Sim. O TFR exige que VASPs apliquem medidas de verificacao para transferencias de e para wallets nao hospedadas. Para transferencias acima de 1.000 euros, o VASP deve verificar se a wallet pertence ou e controlada pelo cliente, e aplicar medidas de mitigacao de risco apropriadas para todas as transacoes.