O Banco de Portugal (doravante, “BdP”) é a autoridade nacional competente pelo registo das entidades que pretendam exercer atividades com ativos virtuais e pela verificação do cumprimento das disposições legais e regulamentares aplicáveis às entidades registadas em matéria de prevenção do branqueamento de capitais e do financiamento do terrorismo (doravante, “PBCFT”).
A competência do BdP neste âmbito, atribuída pela Lei n.º 83/2017, de 18 de agosto (doravante, “Lei BCFT”), circunscreve-se à PBCFT, não se alargando a outros domínios, de natureza prudencial, comportamental ou outra.
No uso desta competência, o BdP publicou o Aviso n.º 1/2023 (doravante, “Aviso”).
Com este Aviso, o BdP veio reforçar os deveres de informação e densificar o cumprimento dos deveres preventivos pelas entidades que exercem atividades com ativos virtuais, definindo, entre outros aspetos:
✓ Os procedimentos, instrumentos, mecanismos e formalidades inerentes ao cumprimento dos deveres preventivos e demais obrigações previstas na Lei BCFT; e
✓ Os meios e os mecanismos necessários ao cumprimento dos deveres previstos na Lei n.º 97/2017, de 23 de agosto (doravante, “Lei nº 97/2017”), tendo em vista a aplicação e a execução de medidas restritivas aprovadas pela Organização das Nações Unidas ou pela União Europeia.
Elencamos os principais aspetos do Aviso.
Função de controlo do cumprimento normativo, designação de membro do órgão de administração e responsável pelo cumprimento normativo
As entidades que exercem atividades com ativos virtuais devem assegurar a existência de uma função de controlo do cumprimento do quadro normativo em matéria de PBCFT, que garanta, de forma funcionalmente independente, a adequada gestão dos riscos e o controlo do cumprimento dos deveres preventivos, designando, para o efeito, um Responsável pelo Cumprimento Normativo (doravante “RCN”).
Por regra, as entidades devem assegurar a segregação das funções que o RCN desempenha das atividades que fiscaliza. Não obstante, as entidades cujo número de trabalhadores seja inferior a 6 e cujos proveitos operacionais, do último exercício económico, sejam inferiores a 1.000,00 euros, não estão obrigadas à referida segregação de funções.
Adicionalmente, as entidades que exercem atividades com ativos virtuais devem atribuir a um membro executivo do órgão de administração idóneo a responsabilidade de execução dos deveres preventivos de PBCFT.
Sistema de Controlo Interno
Na identificação dos riscos concretos de BCFT a que estas entidades estão expostas, o Aviso elenca, a título exemplificativo, os aspetos que deverão ser tidos em conta na atividade e definição do sistema de controlo interno, entre outros:
✓ Os tipos de ativos virtuais disponibilizados e as características principais de cada um;
✓ O valor total dos ativos virtuais disponibilizados;
✓ O número e valor de operações com ativos virtuais;
✓ A execução de transferências de ativos virtuais com origem ou destino a endereços auto-alojados (“self -hosted addresses”); e
✓ A natureza e âmbito de cada canal de distribuição utilizado, incluindo se se trata de um circuito aberto (“open-loop”) ou fechado (“closed -loop”).
O Aviso estabelece que as entidades que exerçam atividades com ativos virtuais, devem rever a atualidade, adequação e eficácia dos procedimentos preventivos que implementam nestas matérias com uma periodicidade mínima de 12 meses.
Quanto às avaliações de eficácia do sistema de controlo interno, o Aviso acrescenta que deve ser garantida a existência ou a subcontratação de uma função de auditoria ou de uma entidade terceira devidamente qualificada, que assegure a independência dessas avaliações.
Fontes, procedimentos e sistemas de informação
[O Aviso elenca no n.º 3 do artigo 9.º uma lista das fontes de informação que as entidades que exercem atividades com ativos virtuais devem considerar na identificação, avaliação e mitigação dos riscos específicos a que estão expostos.
No contexto do dever de identificação e diligência, de forma a garantir a adequada e completa identificação dos clientes, o Aviso exige que estas entidades adotem ferramentas ou sistemas de gestão da informação. Em particular, sistemas de análise de redes que utilizem uma tecnologia de registo distribuído ou uma tecnologia semelhante, que permitam filtrar os endereços ou carteiras (“wallets”), detidos ou associados a clientes contra as listas negras (“black lists”) ou que permitam detetar a utilização de tecnologias que permitam ofuscar a identidade ou localização, incluindo através do uso de “mixers”, “tumblers” ou “anonymizers”, ou de serviços de rede privada virtual.
Subcontratação
O Aviso estabelece os processos, serviços e atividades que não são suscetíveis de ser objeto de subcontratação, por serem prejudiciais ao cumprimento das medidas e procedimentos previstos na Lei BCFT e no Aviso. Para tanto, o Aviso concretiza esta regra geral através da proibição expressa da subcontratação de determinados aspetos suscetíveis de prejudicar a qualidade das medidas e procedimentos adotados.
Nos casos em que a subcontratação é permitida, o Aviso estabelece um conjunto de obrigações prévias que visam garantir que os riscos envolvidos são adequadamente avaliados e mitigados, nomeadamente, através do parecer prévio do RCN e da monitorização permanente dos processos, serviços e atividades subcontratadas.
Comunicação de irregularidades
O Aviso estabelece que as entidades que exercem atividades com ativos virtuais devem elaborar, até ao dia 28 de fevereiro de cada ano, um relatório anual que contenha a descrição dos canais específicos, independentes e anónimos, que internamente assegurem, de forma adequada, a receção, o tratamento e o arquivo das comunicações de irregularidades e uma indicação sumária das comunicações recebidas e do respetivo processamento.
Medidas restritivas
Tendo em conta o disposto na Lei nº 97/2017, o Aviso estabelece que as entidades que exercem atividades com ativos virtuais devem adotar os meios e mecanismos necessários para, enquanto entidades executantes, assegurarem o cumprimento dos deveres previstos na referida lei quanto à aplicação de medidas restritivas.
Dever de identificação e diligência
O Aviso em análise, vem ainda regulamentar o dever de identificação e diligência, nomeadamente no que diz respeito:
✓ Aos procedimentos de admissão de clientes pessoas singulares e recolha de elementos identificativos;
✓ Aos requisitos de comprovação da informação prestada relativa ao beneficiário efetivo dos clientes pessoas coletivas;
✓ Às regras sobre a comprovação da origem e destino dos fundos e ativos virtuais, bem como a informação relativa à movimentação de moeda fiduciária e ativos virtuais;
✓ À possibilidade da comprovação diferida dos elementos de identificação dos clientes;
✓ À informação a prestar sobre a atividade efetiva dos clientes;
✓ Às diligências a adotar no contexto da aplicação de medidas simplificadas ou reforçadas e as circunstâncias de risco reduzido e elevado a ter em conta, previstas nos Anexos II, III e IV ao Aviso;
✓ À obrigação de identificar o trabalhador responsável e a data das atividades de recolha, registo e verificação dos meios comprovativos de identificação dos clientes;
✓ À possibilidade de recorrer a meios de videoconferência como procedimento alternativo de comprovação dos elementos identificativos dos clientes, procedimento este que deve seguir as regras melhor detalhadas no Anexo I ao presente Aviso; e
✓ Obrigações específicas quanto estejam em causa transações que envolvam: i) “carteiras jumbo”, ii) “pooled wallets”, iii) envio de transferências de ativos virtuais, iv) transferência de ativos virtuais recebidos ou a v) transferência de ativos virtuais intermediados.
Ainda neste âmbito, o Aviso vem permitir o recurso a entidades terceiras para a execução dos procedimentos de identificação e diligência, desde que reunidos determinados requisitos, previstos no artigo 43.º do Aviso.
Outros deveres
No âmbito do dever de recusa, o Aviso estabelece como é que as entidades devem proceder quando decidem pôr termo a uma relação de negócio, bem como deve ser feita a restituição da moeda fiduciária ou dos ativos virtuais. Em concreto, os ativos virtuais devem ser transferidos para uma carteira com guarda “hosted wallet” ou para um endereço auto-alojado (“self-hosted address”).
Por último, o Aviso vem ainda reforçar o cumprimento dos restantes deveres preventivos previstos na Lei BCFT.
O Aviso altera, ainda, o Aviso do Banco de Portugal n.º 1/2022, de 6 de junho, tendo sido objeto de Consulta Pública do Banco de Portugal nº7/2022.
O Aviso n.º 1/2023 entra em vigor a 15 de julho de 2023. Contudo, as entidades que exercem atividades com estes ativos podem recorrer de imediato à videoconferência como procedimento alternativo de comprovação dos elementos identificativos das partes envolvidas.
Para aceder à versão integral do Aviso nº 1/2023, de 24 de janeiro, clique aqui.