El autor: Juraj Bednar
Fuente (inglés): Blog

Las redes de pago no criptográficas, como las tarjetas de crédito, están vinculadas a un nombre. A menudo se requiere una dirección de facturación, que a veces se verifica.

Dado que la seguridad de las tarjetas de pago se basa en el conocimiento de unos pocos números (número de tarjeta, fecha de caducidad y CVV) que se transmiten a terceros, es conveniente verificar algunos de los datos que no están impresos en la tarjeta. Los operadores tienen prohibido almacenar algunos datos (CVV). Algunas pasarelas de pago verifican la dirección de facturación. Esta razón es en gran medida redundante con la llegada de los pagos 3D Secure o servicios como Google Pay y Apple Pay, los pagos se verifican en base a otro factor (por ejemplo, SMS o confirmación en la app del emisor de la tarjeta).

La dirección de facturación también se utiliza para evaluar el riesgo. Si se accede desde una dirección IP rusa, pero la tarjeta se emite y utiliza en Eslovaquia, hay una alta probabilidad de que se trate de un robo y la red de pago suele rechazar dicha transacción.

Las criptomonedas resuelven estos problemas haciendo que las transacciones estén firmadas electrónicamente y sean irreversibles. El proveedor no necesita conocer la identidad del cliente para realizar un pago, y tampoco tiene que preocuparse por las devoluciones o el fraude. Si el pago se confirma en la red, el comerciante puede estar 100% seguro de que ha recibido el dinero de forma irreversible.

Otra razón para la disminución de la privacidad es que el proveedor de productos o servicios tiene que cobrar el IVA correcto. Como mucha gente se da cuenta de que, sobre todo en el caso de los servicios electrónicos, basta con seleccionar “soy de Hong Kong” (Hong Kong no tiene IVA), algunos proveedores verifican la dirección de facturación con el emisor de la tarjeta para que no sea tan fácil eludir el pago del IVA.

Otras redes de pago fiduciario se encuentran en una situación similar con la privacidad. Sin embargo, no sólo el minorista y la red de pago obtienen información sobre los datos personales del cliente. Como he mencionado anteriormente, PayPal, por ejemplo, tiene condiciones que establecen que puede compartir su información personal con más de 600 entidades. Reglamentos como el CRS de la OCDE, la FATCA, etc., imponen incluso a todo proveedor de servicios bancarios, financieros y de pago la obligación de informar automáticamente a las autoridades fiscales. La normativa contra el blanqueo de capitales les obliga a su vez a bloquear las transacciones o a informar a la policía financiera. Todos estos intercambios de información son automáticos una vez que se cumplen ciertas condiciones: no se trata de “al fin y al cabo, estoy haciendo un pequeño volumen de negocios” o “no estoy haciendo nada malo”. Estos datos se envían, se procesan y se conservan durante mucho tiempo.

El primer y fundamental problema del intercambio automático de datos es: ¿puede el destinatario protegerlos? El destinatario suele ser una institución gubernamental. En Eslovaquia, tenemos la experiencia de que la institución estatal no puede proteger ni siquiera los datos más sensibles sobre el estado de salud y los resultados de las pruebas PCR para el SARS-Cov-2. Y estamos hablando de un hackeo técnico; el segundo vector de ataque, mucho más probable, es simplemente vender los datos a un empleado que tenga acceso a ellos. Pero las instituciones gubernamentales no son las únicas receptoras de datos: las empresas de marketing, las agencias de crédito y otras similares. Imagínese que cuando usted hace un pago, se dispara un fuego artificial de información que envía información sobre ese pago a varios terceros con los que usted no tiene automáticamente una relación voluntaria.

Otro problema es que es muy probable que el operador de la red de pagos conozca todo su comportamiento de compra: qué compra y dónde lo compra. Especialmente en Eslovaquia, tras la introducción del sistema eKasa, la información se almacena en una base de datos accesible desde Internet no sólo sobre dónde y por cuánto has comprado, sino también sobre qué artículos has comprado exactamente. La información que haya impreso en el recibo se enviará directamente a la Administración Financiera. Por supuesto, el recibo (a diferencia de la factura) no indica directamente su identidad, pero cuando paga con tarjeta, es posible cotejar la identidad con el recibo (por terminal e importe).

Además, esta información se almacena en los sistemas durante mucho tiempo. Personalmente, me resulta muy molesto que un empleado del banco indague en los movimientos de mi cuenta para intentar venderme otros productos. Tengo claro que cualquier empleado del banco puede, en teoría, ver todos los movimientos de mi cuenta y obtener bastante información sensible. Y no sólo teóricamente puede, sino que hay un caso conocido en mi país en el que un empleado del banco, Filip Rybanic, abusó de esto. En este caso, sin embargo, el tribunal declaró al empleado del banco culpable de un delito penal.

Así, las redes de pago clásicas son las peores posibles desde el punto de vista de la privacidad: muestran no sólo cuándo y por cuánto, sino también dónde he comprado (nombre de la tienda, ubicación del terminal).

Es importante entender que no necesitamos conocer la identidad del cliente para ofrecer la mayoría de los productos y servicios. A veces nos vemos obligados a hacerlo por la normativa, pero no es necesario para la prestación real. Si vendo servidores virtuales, servicios de números de teléfono, dominios, direcciones web, acceso a software como servicio, un libro electrónico, un curso en línea, etc., no necesito saber en absoluto el nombre, los apellidos y la dirección del cliente. Y si no tengo esa información, no necesito protegerla.

Las criptomonedas no llevan automáticamente una identidad con el pago. No necesito saber su correo electrónico, nombre, apellido o dirección para crear una cuenta de criptodivisas. Una transacción firmada por la cartera es todo lo que necesito para realizar un pago. Así, las criptodivisas facilitan el cumplimiento de normativas gubernamentales como el GDPR: si no tengo datos personales, no tengo que protegerlos.

Desde esta perspectiva, las criptomonedas preservan la privacidad y la seguridad del pago al mismo tiempo.

FATF-GAFI y la regla de los cripto viajes

Sin embargo, la invasión de la privacidad se está abriendo paso también en las redes de pago de criptomonedas. La historia de la regulación financiera es complicada, pero creo que es muy interesante. La mayoría de la gente piensa que la forma en que se crean las normativas contra el blanqueo de capitales y muchas otras es probablemente así: los funcionarios (de la Unión Europea, por ejemplo) se sientan con expertos, tratan de elaborar normas sensatas y luego presentan esas normas como una propuesta que se debate en una comisión y, posteriormente, en el parlamento. La propuesta se aprueba y los parlamentos de los países de la UE la incorporan a su legislación. Esta es la parte visible, que llega después de que la norma haya estado en vigor durante mucho tiempo. ¿Cuál es la realidad?

Funciona así. El GAFI-GAFI, una organización no gubernamental y sin ánimo de lucro, emite “recomendaciones” para luchar contra el blanqueo de capitales. También elabora “listas de vigilancia” de países u organizaciones que no están haciendo lo suficiente para combatir el blanqueo de capitales. Si un país u organización quiere demostrar que lucha contra el blanqueo de capitales, el país o banco de la red de pagos acepta las “recomendaciones” del GAFI-GAFI. Dado que ésta es la norma consensuada por la mayoría en la red de pagos, si una entidad quiere participar en la red de pagos, debe demostrar de alguna manera que está luchando contra el blanqueo de capitales.

La forma más fácil de demostrarlo es aplicando sus recomendaciones como normas, y siguiendo y haciendo cumplir esas normas a los demás socios. La AML5 de la Unión Europea es la aplicación de las recomendaciones del GAFI-GAFI en un marco jurídico coherente. Muchas de estas normas ya eran aplicadas por los bancos y los países antes de que se adoptara la regulación, porque si alguien quería enviar dinero a Estados Unidos, por ejemplo, el banco corresponsal le preguntaba qué hacía contra el blanqueo de capitales. Y lo más fácil es demostrar que “estamos aplicando esta norma”.

Es decir, la adopción de normas en la red bancaria va al revés: surge a través de la coacción mutua en la red bancaria y luego se traduce gradualmente en normas escritas. Observemos que la regulación de la red bancaria corre a cargo de una entidad sin ánimo de lucro, con sede en el edificio de la OCDE en París, que no es elegida por nadie y no tiene poder legislativo oficial. Sin embargo, puede redactar normas que sigue todo el mundo, no sólo los miembros de la OCDE, la UE o cualquier otra entidad.

Los reglamentos FATCA y CRS de la OCDE se adoptaron de forma muy similar: se “difundieron viralmente a través del efecto red”. Simplemente en plan “si quieres hacer negocios con nosotros, tienes que seguir estas normas”.

El GAFI-GAFI tiene una segunda función: la de velar por el cumplimiento, que “vigila el blanqueo de capitales”. Así que, por ejemplo, encontrarán que Panamá no ha implementado directamente las reglas del GAFI-GAFI en la ley, pero ha combatido el lavado de dinero a su manera. El resultado fue que en 2019, Panamá fue puesto en una “lista de vigilancia” de jurisdicciones que están en riesgo desde la perspectiva del lavado de dinero. No llegaron allí porque se demostró que habían blanqueado dinero en casos específicos, sino porque eligieron luchar contra el lavado de dinero de una manera diferente.

¿Qué significa esto? Que todo aquel que siga las recomendaciones del GAFI-GAFI debe controlar específicamente todas las transacciones con Panamá. Esto ralentiza el comercio internacional, por lo que Panamá ha hecho todo lo posible para salir de la lista de vigilancia: el GAFI-GAFI prácticamente ha puesto una ley sobre la mesa para que los diputados la aprueben. La norma CRS de la OCDE se ha extendido de forma muy similar.

¿Qué tiene esto que ver con el Bitcoin? Una de las “recomendaciones” del GAFI-GAFI es “etiquetar” las transacciones de criptomonedas. Si una transacción tiene un valor superior a 1.000 dólares, se debe verificar de algún modo la identidad del remitente y comunicarlo a la otra parte. Esta información no tiene por qué pasar directamente por la cadena de bloques. Han empezado a surgir protocolos que permiten ese intercambio de datos personales.

Los primeros en seguir esta regla son los intercambios que admiten depósitos y retiradas en dinero fiduciario del gobierno. Estas necesitan estar conectadas a la red financiera clásica para su negocio. La regla de los viajes del GAFI-GAFI ya ha sido adoptada y se está aplicando a través del sistema financiero, independientemente de que haya sido aprobada por los parlamentos nacionales o de la UE.

Estas reglas se están extendiendo ahora a otros VASP (Virtual Asset Service Providers – un nuevo término introducido por el GAFI-GAFI), que incluyen a los proveedores de monederos, pasarelas de pago y prácticamente a todos los que tocan el cripto de alguna manera. Y una de las “recomendaciones” que se aplicarán en 2021 es asegurarse de que los VASP sólo acepten transacciones de criptodivisas de los monederos de otros VASP. Así que los monederos “autoalojados” o “mejorados por el anonimato” se considerarán de alto riesgo de lavado de dinero y deberán ser “considerados” profundamente. Dado que la investigación de las transacciones no suele ser rentable, se trata de una prohibición que suena “bien”. Veremos cómo se aplica exactamente.

¿Cómo funciona esta aplicación en la práctica? Un experimento mental ilustrativo:

1. Declaramos que las transacciones de BTC “no etiquetadas” se utilizan para el blanqueo de dinero
2. Creamos una norma para el etiquetado de las transacciones
3. Los bancos, los intercambios y similares comenzarán a aplicar esto porque no quieren que sus socios en la red de pagos fiduciarios cierren sus cuentas o los desconecten de la red de pagos
4. El GAFI-GAFI controla qué países y qué instituciones cumplen y no cumplen
5. Si un país hace caso omiso (y por tanto no está “en el cartel”), lo declaran “centro de blanqueo de capitales” y lo ponen en una lista de vigilancia
6. Esto hace que les resulte mucho más difícil interactuar con los sistemas financieros tradicionales del mundo. La lista de vigilancia es global para todas las transacciones, por lo que si alguien no quiere aplicar una norma de viaje para las transacciones de criptodivisas, la consecuencia es una restricción del acceso al comercio internacional en general – la lista de vigilancia no se aplica sólo a un segmento. Es muy probable que el país diga “que se jodan unos cuantos comerciantes de Bitcoin, vamos a promulgar esto porque no queremos estar en la lista de vigilancia”.
7. El GAFI-GAFI y los consultores suministrarán la redacción exacta de la ley, que traducirán al idioma local y parafrasearán correctamente las secciones de las “recomendaciones”. Los diputados aprueban la ley en el Parlamento, básicamente sin saber qué es y cómo se ha producido.
8. El GAFI-GAFI añadirá un comunicado de prensa en su página web sobre su exitosa cooperación con otro país y publicará un estudio de caso sobre cómo ha frenado el blanqueo de dinero.

Por lo tanto, cada depósito y retiro de la bolsa estará marcado con nuestra identidad: nombre, apellido, dirección, residencia, etc. Esos “datos inocentes de KYC” que antes se recogían y compartían con empresas de análisis en cadena o, como mucho, bajo orden judicial, pasarán a formar parte de nuestras transacciones -por cierto, estos datos también pueden rellenarse a posteriori, ya que conocían tu identidad cuando hacías retiradas y saben qué transacciones son retiradas de tus fondos-. Esto es si usted pasó por un intercambio de KYC.

Visión distópica de la introducción del seguimiento financiero en las criptomonedas

Con el tiempo, los estados podrían obligar a los comerciantes a aceptar sólo criptodivisas marcadas como tales. Si una persona quiere utilizar criptodivisas para pagar algo legalmente, el anonimato desaparecerá. Y así, las “monedas” individuales de criptodivisas se dividirán en legales (marcadas con una identidad) e ilegales, que serán inutilizables para compras legales. No quiero decir que algunas criptodivisas serán legales y otras no, sino que el saldo en el monedero estará marcado y sin marcar. Piensa en ello como en los billetes de banco, algunos estarán sellados y podrás usarlos para comprar en el supermercado o en la cafetería hipster y otros sin sellar que sólo serán utilizables en la economía gris y subterránea.

Las soluciones técnicas para aumentar la privacidad serían inutilizables en tal caso – coinjoin u otros métodos de mezcla y mejora de la privacidad simplemente convertirían las unidades de criptomoneda en unidades sin marcar. El uso de esta técnica de mezcla estaría vinculado a nuestra identidad, por lo que muy probablemente nos visitaría alguna autoridad financiera preguntando por qué pusimos nuestro dinero en una herramienta de anonimización.

Creo que algo aún peor que no regular o prohibir las criptodivisas (lo que todo el mundo pensaba que era el peor escenario, con el resultado de que “las criptodivisas no se pueden prohibir”) sería legalizarlas. Y sólo se permitiría el uso de cripto legales y con sello.

¿Por qué molestarse con las criptodivisas entonces, si este es un escenario posible en mi opinión? De hecho, ese futuro distópico ya está bien establecido en el mundo del fiat. Las criptomonedas son protocolos de Internet que permiten la privacidad y pueden desempeñar el papel de dinero digital incluso en una economía paralela. Por lo tanto, las criptodivisas mejoran desde el punto de vista de la privacidad y permiten una economía paralela sin vigilancia, y esta es su ventaja, incluso si los usos “aprobados” siguen siendo vigilados. Ya vemos los primeros pasos hacia este futuro distópico en la actual propuesta de recomendaciones del GAFI-GAFI.