La reciente propuesta de la Unión Europea requiriendo Los intercambios de criptomonedas centralizados y los proveedores de billeteras con custodia para recopilar y verificar información personal sobre los titulares de billeteras con custodia propia muestran los peligros de reciclar las reglas de las finanzas tradicionales (TradFi) y aplicarlas a las criptomonedas sin apreciar las diferencias conceptuales. Podemos esperar ver más de esto a medida que los países busquen implementar el Grupo de Acción Financiera Internacional (GAFI) Regla de viajeinicialmente diseñado para transferencias electrónicas, hasta transferencias de criptoactivos.
El eslabón (perdido) entre la autocustodia, el control y la identidad
El objetivo de la UE propuesta normas es “garantizar que los criptoactivos se puedan rastrear de la misma manera que las transferencias de dinero tradicionales”. Esto supone que cada monedero de autocustodia puede vincularse a la identidad verificable de alguien y que esta persona necesariamente controla el monedero. Esta suposición es incorrecta.
Relacionada: Las autoridades buscan cerrar la brecha en las billeteras no alojadas
En TradFi, una cuenta bancaria está vinculada a la identidad verificada de su titular, dándole control sobre esa cuenta. Por ejemplo, compartir sus datos bancarios en línea con su socio no los convierte en titulares de la cuenta. Incluso si su socio cambia los detalles de inicio de sesión, puede recuperar el control demostrando su identidad al banco y haciendo que restablezca los detalles. Su identidad le otorga el máximo control que no puede perderse ni ser robado de forma permanente. Por supuesto, a cambio de las protecciones de custodia del banco, usted pierde la soberanía sobre sus activos.
La autocustodia de los criptoactivos es diferente. El control (es decir, la capacidad de realizar transacciones) sobre la billetera de autocustodia está en manos de quien tenga las claves privadas de esa billetera. El control no está vinculado a la identidad de nadie y no hay nadie para probar su identidad. Todo lo que necesita es descargar una pieza de software y almacenar de forma segura sus claves privadas. A cambio de esta responsabilidad, mantienes la propiedad soberana de ti mismo.
Aplicación de las normas propuestas
Veamos cómo un proveedor de carteras de custodia cumpliría con la propuesta de la UE. Supongamos que Alice quiere enviar 0,3 Ether (ETH) desde su cuenta de billetera de custodia a la billetera de autocustodia de Bob para pagar los servicios de consultoría de Bob. Antes de que se lleve a cabo la transferencia, el proveedor de custodia de la billetera tendría que 1) recopilar el nombre de Bob, la dirección de la billetera, la dirección residencial, el número de identificación personal y la fecha y lugar de nacimiento; y 2) verificar la exactitud de estos detalles. En términos generales, se requerirían los mismos detalles para una transferencia desde la billetera de Bob a la cuenta de la billetera de custodia de Alice. Es probable que Alice necesite pedirle a Bob que le envíe sus datos, y Alice luego se los proporcionará al proveedor de la billetera de custodia, como recientemente. recomendado por un proveedor de cartera de custodia en un contexto similar.
Las reglas se aplicarían incluso a las transacciones más pequeñas: no hay un umbral mínimo. Es posible que los proveedores de billeteras con custodia también necesiten retener las transferencias entrantes (lo que crea mayores riesgos de custodia) y devolverlas a la billetera con custodia propia si la verificación no tiene éxito.
Relacionado:Crypto en Canadá: ¿Dónde estamos hoy y hacia dónde nos dirigimos?
Identidad no es igual a control, lo que hace imposible el cumplimiento
Si bien la recopilación de datos y la posible retención de transferencias entrantes es engorrosa desde el punto de vista operativo, los riesgos de la obligación de verificación son potencialmente imposibles de cumplir. En TradFi, el punto de verificación de identidad es garantizar que la persona que controla una cuenta bancaria y afirma hacerlo es la misma. Pero, ¿cómo podría el proveedor de la billetera con custodia cumplir con la obligación de verificación si el control sobre la billetera con custodia propia de Bob no depende de su identidad?
Incluso si el proveedor de custodia de la billetera logró confirmar que Bob es la persona que pretende ser, esto no significa que él controle la billetera. Podría estar controlado por una organización autónoma descentralizada que redistribuya los pagos a miembros como Bob o un grupo criminal, siendo Bob simplemente su mula de dinero. No hay un tercero al que probar la identidad de Bob para poder realizar transacciones: quienquiera que controle las claves privadas es el “banco”.
Exponer a los usuarios legítimos a riesgos de seguridad desproporcionados
Supongamos que los proveedores de carteras de custodia logran cumplir con las reglas propuestas, o una versión menos estricta de las mismas que no requiere verificación. Los proveedores de billeteras con custodia necesitarían mantener grandes bases de datos de usuarios de billeteras con custodia propia, lo que expondría a los usuarios al riesgo de filtraciones de datos. Para los usuarios legítimos, es decir, aquellos que declaran su verdadera identidad y también controlan la billetera de autocustodia relacionada, este riesgo tiene consecuencias mucho mayores que la recopilación de datos de TradFi (por ejemplo, la regla de viaje del GAFI para transferencias electrónicas).
En TradFi, si un delincuente compromete la cuenta bancaria o la tarjeta de alguien, no llegará muy lejos porque el banco puede bloquear la cuenta. Por definición, las billeteras con custodia propia carecen de esta característica. Decenas de millones de usuarios en todo el mundo ven como una ventaja la propiedad soberana propia, asegurada a través de la criptografía y la propia vigilancia del usuario, incluidos aquellos que están excluidos del sistema bancario. Sin embargo, la soberanía propia supone la privacidad personal.
Una vez que la privacidad se ve comprometida, por ejemplo, al piratear la base de datos de usuarios de billetera con custodia del proveedor de la billetera con custodia, los usuarios quedan expuestos a un nivel de riesgo injusto en comparación con TradFi. Saber el nombre, la dirección, la fecha de nacimiento y el número de identificación de alguien, junto con su actividad en la cadena, facilitaría que los delincuentes lanzar ataques de phishing altamente personalizados, dirigidos a los dispositivos de los usuarios para recuperar claves privadas o chantajearlos, incluidas las amenazas a la seguridad física. Una vez que las claves privadas se ven comprometidas, el usuario pierde irreversiblemente el control de su billetera.
Relacionada: La pérdida de privacidad: por qué debemos luchar por un futuro descentralizado
Dado que los delincuentes encontrarán formas de eludir las reglas, por ejemplo, al ejecutar sus propios nodos para interactuar con la cadena de bloques sin tener que depender de los proveedores de carteras de custodia o del software de carteras con custodia propia, solo los usuarios legítimos tendrán que soportar estos riesgos de seguridad.
Incoherencias con el propio marco político de la UE
Aparte de la seguridad, la propuesta plantea preocupaciones más amplias sobre la privacidad. La obligación de informar chocaría con los principios del Reglamento General de Protección de Datos (GDPR), como la minimización de datos, que exige que los datos recopilados sean adecuados, relevantes y limitados a lo necesario para el propósito de recopilarlos. Ignorando por un momento el argumento de que la recopilación de datos sirve de poco, dado el eslabón perdido entre el control de autocustodia y la identidad, es difícil ver, incluso para los estándares de TradFi, cómo la dirección residencial, la fecha de nacimiento y el número de identificación de alguien son relevantes o necesarios. por hacer una transferencia. Si bien los bancos guardan regularmente dichos datos sobre los titulares de sus cuentas, usted, como titular de la cuenta, no necesita preguntar (¡ni saber!) estos detalles al enviar dinero o pagar por un servicio.
Tampoco está claro cuánto tiempo necesitarían los proveedores de carteras de custodia para almacenar los datos; según el RGPD, los datos personales deben conservarse solo durante el tiempo que sea necesario para cumplir con el propósito de la recopilación. Tampoco está claro cómo se pueden respetar los derechos individuales de los usuarios en virtud del RGPD, como el “derecho al olvido” y el “derecho a la rectificación”, si sus datos personales están vinculados a su historial en cadena, que no se puede modificar.
Relacionada: Las cookies del navegador no son consentimiento: el nuevo camino hacia la privacidad después de que falla la regulación de datos de la UE
La falta de una evaluación basada en el riesgo o de un umbral mínimo (a diferencia del umbral de 1000 euros para las transferencias fiduciarias) tampoco está en consonancia con los principios políticos de la UE. La propuesta parece tratar todas las transferencias de criptomonedas con sospecha solo porque involucran activos criptográficos.
Ahora es el momento de comprometerse con los formuladores de políticas
Frente a la perspectiva de desarrollar procesos de cumplimiento costosos que probablemente no implementarían las reglas de manera efectiva, y arriesgarse a sanciones por incumplimiento y posibles filtraciones de datos, los proveedores de billeteras con custodia con sede en la UE pueden decidir restringir las transferencias desde y hacia las billeteras con custodia propia por completo. . También pueden comenzar a prestar servicios a usuarios de la UE desde fuera de la UE. Esto envía malas señales a la criptoindustria y corre el riesgo de desalentar el talento tecnológico y el capital de la UE, de forma similar a la reciente salida de algunos operadores de criptografía del Reino Unido.
Relacionada: Consolidación y centralización: cómo la nueva regulación AML de Europa afectará a las criptomonedas
Más usuarios también pueden cambiar a transacciones entre pares y jugadores descentralizados para evitar las reglas onerosas. Si bien esto podría ser beneficioso para algunos usuarios, la UE debería fomentar una interconectividad fluida entre los actores centralizados y descentralizados y promover la libertad de los usuarios para elegir cómo desean realizar transacciones.
La propuesta ahora pasó a negociaciones entre los órganos legislativos de la UE a partir del 28 de abril, y se espera que el texto final esté listo para fines de junio. Si la regla se aprueba en su forma actual, aún habrá la posibilidad de revisarla dentro de los 12 meses posteriores a su entrada en vigor. Sin embargo, no podemos confiar en esto: ahora es el momento de que la criptoindustria europea se coordine y se comprometa con los responsables políticos. En lugar de aplicar por la fuerza las reglas de TradFi a una tecnología en desarrollo, debemos promover políticas basadas en resultados que permitan el surgimiento de soluciones de cumplimiento novedosas que respeten el funcionamiento de las criptomonedas.
Este artículo no contiene consejos o recomendaciones de inversión. Cada movimiento de inversión y comercio implica un riesgo, y los lectores deben realizar su propia investigación al tomar una decisión.
Los puntos de vista, pensamientos y opiniones expresados aquí son solo del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.