La reciente propuesta de la Unión Europea de que los intercambios de criptomonedas centralizados y los proveedores de billeteras de custodia deben recopilar y verificar datos personales de los titulares de billeteras con custodia propia demuestra los peligros de reciclar las reglas financieras tradicionales (TradFi) y aplicarlas a las criptomonedas sin tener en cuenta las diferencias conceptuales. Podemos esperar ver más de esto a medida que los países intenten aplicar la regla de viaje del Grupo de Acción Financiera Internacional (GAFI), originalmente diseñada para las remesas, a la transferencia de criptoactivos.
El eslabón (perdido) entre la autodeterminación, el control y la identidad
El objetivo de las normas propuestas por la UE es “garantizar que los criptoactivos puedan rastrearse de la misma manera que las transferencias de dinero tradicionales”. Esto supone que cualquier monedero con custodia propia puede vincularse a la identidad verificable de una persona, y esa persona necesariamente controla el monedero. Esta suposición es incorrecta.
Relacionada: Las autoridades están tratando de llenar el vacío en las billeteras no alojadas
En TradFi, una cuenta bancaria está vinculada a la identidad verificada de su propietario, dándole control sobre esa cuenta. Por ejemplo, si comparte sus datos bancarios en línea con su socio, no se convierte en el titular de la cuenta. Incluso si su socio cambia sus credenciales, puede recuperar el control identificándose en el banco y restableciendo los detalles. Su identidad le otorga el máximo control que no puede perderse ni ser robado de forma permanente. A cambio de la protección de custodia del banco, naturalmente pierde la soberanía sobre sus activos.
La autocustodia de criptoactivos es diferente. El control (es decir, la capacidad de realizar transacciones) sobre la billetera de autocustodia recae en quien tenga las claves privadas de esa billetera. El control no está ligado a la identidad de nadie y no hay nadie para probar su identidad. Todo lo que tiene que hacer es descargar una pieza de software y almacenar de forma segura sus claves privadas. A cambio de esa responsabilidad, conservas la propiedad soberana de ti mismo.
Aplicación de las normas propuestas
Veamos cómo un proveedor de monederos de depósito cumpliría con la propuesta de la UE. Supongamos que Alice desea enviar 0,3 Ether (ETH) desde su cuenta de billetera de custodia a la billetera de autocustodia de Bob para pagar los servicios de consultoría de Bob. Antes de realizar la transferencia, el proveedor de custodia de la billetera deberá 1) recopilar el nombre de Bob, la dirección de la billetera, la dirección residencial, el número de identificación personal y la fecha y lugar de nacimiento; y 2) verificar la exactitud de dicha información. En términos generales, se requerirían los mismos detalles para una transferencia desde la billetera de Bob a la cuenta de la billetera Depot de Alice. Alice probablemente tendría que pedirle a Bob que le enviara sus datos, y Alice luego se los proporcionaría al proveedor de la cartera de custodia, como lo recomendó recientemente un proveedor de la cartera de custodia en un contexto similar.
Las reglas se aplicarían incluso a las transacciones más pequeñas: no hay un umbral mínimo. Es posible que los proveedores de billeteras con custodia también deban retener las transferencias entrantes (lo que genera mayores riesgos de custodia) y devolverlas a la billetera con custodia propia si la verificación no tiene éxito.
Relacionado:Crypto en Canadá: ¿dónde estamos hoy y hacia dónde nos dirigimos?
Identidad no es igual a control, lo que hace imposible el cumplimiento
Si bien la recopilación de datos y la posible retención de transferencias entrantes es engorrosa desde el punto de vista operativo, los riesgos de los requisitos de verificación pueden ser completamente imposibles de cumplir. En TradFi, el punto de verificación de identidad es garantizar que la persona que afirma controlar una cuenta bancaria es la misma. Pero, ¿cómo podría el proveedor de la billetera con custodia cumplir con el requisito de verificación si el control de la billetera con custodia propia de Bob no depende de su identidad?
Incluso si el proveedor de custodia pudo confirmar que Bob es quien dice ser, eso no significa que controle la billetera. Podría estar controlado por una organización autónoma descentralizada que redistribuya los pagos a miembros como Bob o un grupo criminal, siendo Bob simplemente su mula de dinero. No hay un tercero para probar la identidad de Bob para realizar transacciones: quien controla las claves privadas es el “banco”.
Exponer a los usuarios legítimos a riesgos de seguridad desproporcionados
Supongamos que los proveedores de billeteras de depósito logran cumplir con las reglas propuestas o una versión menos estricta de las mismas que no requiere verificación. Los proveedores de billeteras con custodia necesitarían mantener grandes bases de datos de usuarios de billeteras con custodia propia, lo que expondría a los usuarios al riesgo de filtraciones de datos. Para los usuarios legítimos, es decir, aquellos que revelan su verdadera identidad y realmente controlan la billetera de autocustodia asociada, este riesgo tiene consecuencias mucho mayores que la recopilación de datos de TradFi (por ejemplo, la política de viajes del GAFI sobre remesas).
En TradFi, si un delincuente compromete la cuenta bancaria o la tarjeta de alguien, no llegará muy lejos ya que el banco puede congelar la cuenta. Por definición, las billeteras con custodia propia carecen de esta característica. Decenas de millones de usuarios en todo el mundo consideran que la propiedad soberana propia asegurada por la criptografía y la propia vigilancia del usuario es un beneficio, incluidos los que están excluidos del sistema bancario. Sin embargo, la auto-soberanía presupone privacidad.
Una vez que se compromete la privacidad, por ejemplo, al piratear la base de datos del proveedor de billetera autogestionado, los usuarios corren un riesgo injusto en comparación con TradFi. Conocer el nombre, la dirección, la fecha de nacimiento y el número de identificación de una persona junto con su actividad en la cadena facilitaría que los delincuentes lanzaran ataques de phishing altamente personalizados que apuntan a los dispositivos de los usuarios para obtener claves privadas o chantajearlos, incluidas las amenazas. a la seguridad física. Una vez que las claves privadas se ven comprometidas, el usuario pierde irrevocablemente el control de su billetera.
Relacionada: La pérdida de privacidad: por qué debemos luchar por un futuro descentralizado
Dado que los delincuentes encontrarán formas de eludir las reglas, por ejemplo, al ejecutar sus propios nodos para interactuar con la cadena de bloques sin tener que depender nunca de los proveedores de carteras de custodia o del software de carteras con custodia propia, solo los usuarios legítimos tendrán que soportar esta seguridad. riesgos
Incoherencias con el propio marco político de la UE
Aparte de la seguridad, la propuesta plantea preocupaciones más amplias sobre la privacidad. La obligación de informar entraría en conflicto con los principios del Reglamento General de Protección de Datos (GDPR), como la minimización de datos, que exige que los datos recopilados sean adecuados, pertinentes y limitados a lo necesario para el propósito para el que fueron recopilados. Ignorando por un momento el argumento de que la recopilación de datos sirve de poco, dada la falta de conexión entre el control de autocustodia y la identidad, es difícil ver, incluso para los estándares de TradFi, qué tan importante o necesario es el domicilio, la fecha de nacimiento y el número de identificación. son de una persona son para una referencia. Si bien los bancos almacenan regularmente dichos datos sobre los titulares de sus cuentas, como titular de la cuenta no es necesario que pregunte (¡y sepa!) estos detalles al enviar dinero o pagar por un servicio.
Tampoco está claro cuánto tiempo necesitarían los proveedores de monederos de depósito para almacenar los datos; de acuerdo con el RGPD, los datos personales solo deben conservarse durante el tiempo que sea necesario para cumplir con el propósito de la recopilación. Tampoco está claro cómo se pueden respetar los derechos individuales de los usuarios en virtud del RGPD, como el “derecho al olvido” y el “derecho a la rectificación”, si sus datos personales están vinculados a su historial en cadena que no ha cambiado. .
Relacionada: Las cookies del navegador no son consentimiento: La nueva forma de protección de datos según el reglamento de protección de datos de la UE falla
La falta de una evaluación basada en el riesgo o de un umbral mínimo (que no sea el umbral de 1000 € para las transferencias fiduciarias) tampoco está en consonancia con los principios políticos de la UE. La propuesta parece tratar todas las transferencias de criptomonedas con sospecha simplemente porque involucran activos criptográficos.
Ha llegado el momento de entablar un diálogo con los responsables políticos
Ante la perspectiva de desarrollar procesos de cumplimiento costosos que probablemente no harían cumplir las reglas de manera efectiva, y arriesgarse a sanciones por incumplimiento y posibles violaciones de datos, los proveedores de billeteras de custodia con sede en la UE podrían decidir restringir las transferencias hacia y desde billeteras de autocustodia por completo. También puede comenzar a brindar servicios a usuarios de la UE desde fuera de la UE. Esto envía malas señales a la criptoindustria y corre el riesgo de disuadir el talento tecnológico y el capital de la UE, de forma similar a la reciente salida de algunos operadores de criptografía del Reino Unido.
Relacionada: Consolidación y centralización: cómo la nueva regulación AML de Europa afectará a las criptomonedas
Más usuarios también pueden cambiar a transacciones entre pares y jugadores descentralizados para evitar las reglas onerosas. Si bien esto podría ser beneficioso para algunos usuarios, la UE debería fomentar una interconectividad fluida entre los actores centralizados y descentralizados y alentar la libertad de los usuarios para elegir cómo realizar transacciones.
La propuesta se encuentra ahora en negociaciones entre los colegisladores de la UE, a partir del 28 de abril, y se espera que el texto final esté listo para fines de junio. Si la regla se adopta en su forma actual, aún existe la oportunidad de revisarla dentro de los 12 meses posteriores a su entrada en vigor. Sin embargo, no podemos contar con eso: ahora es el momento de que la criptoindustria europea se coordine y colabore con los responsables políticos. En lugar de aplicar por la fuerza las reglas de TradFi a una tecnología en evolución, debemos fomentar políticas basadas en resultados que permitan el surgimiento de soluciones de cumplimiento novedosas que respeten la forma en que funciona la criptografía.
Este artículo no contiene ningún consejo o recomendación de inversión. Cada movimiento de inversión y comercio implica un riesgo y los lectores deben hacer su propia investigación al tomar una decisión.
Los puntos de vista, pensamientos y opiniones expresados aquí son únicamente del autor y no necesariamente reflejan o representan los puntos de vista y opiniones de Cointelegraph.
Natalie Linhart es asesora legal de ConsenSys, donde asesora sobre productos como MetaMask, experiencias NFT y participación institucional. También se centra en los problemas normativos europeos que afectan a la criptoindustria. Anteriormente, trabajó como consejera de derivados y regulación financiera en Clifford Chance London, asesorando a los clientes sobre el lanzamiento de productos financieros, el acceso a nuevos mercados y la mitigación del riesgo regulatorio. También trabajó en derivados y transacciones de mercados de capital de deuda, incluso en un banco de inversión global.
Dejar una contestacion