Las criptodivisas (entre otras, Bitcoin, Ethereum, Dogecoin o Ripple) están siendo utilizadas por usuarios de todo el mundo como medio de pago, depósito de valor y método de inversión. Sin embargo, también pueden ser utilizadas para otros fines ilegales como blanquear dinero o cometer una estafa. Desde 2017 a 2019 ha habido un significativo cambio, pues se pasó de estafar 1,58 millones de dólares a 4,15 mil millones de dólares en tan solo dos años a través de las criptomonedas.
La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (“LPBCFT”), modificada por Real Decreto-ley 7/2021, de 27 de abril, de transposición a la normativa Española de la Directiva 2018/843 de la Unión Europea, en las materias de competencia, prevención del blanqueo de capitales, entidades de crédito, telecomunicaciones, medidas tributarias, prevención y reparación de daños medioambientales, desplazamiento de trabajadores en la prestación de servicios transnacionales y defensa de los consumidores, establece que corresponde al Banco de España inscribir a las personas físicas y jurídicas que ofrezcan o provean en España servicios de cambio de moneda virtual por moneda fiduciaria y servicios de custodia de monederos electrónicos, las personas físicas cuya base, dirección o gestión de estas actividades radique en España, y las personas jurídicas establecidas en España que presten estos servicios.
En cumplimiento de tal mandato, recientemente, el Banco de España ha incorporado un nuevo registro, el de proveedores de servicios de cambio de moneda virtual por moneda fiduciaria y de custodia de monederos electrónicos, amparados por una modificación de la legislación de prevención del blanqueo de capitales (Ley 10/2010) que exige que estos proveedores estén también inscritos en un registro propio.
– Las personas físicas o jurídicas que ofrezcan en España la compra y venta de monedas virtuales a cambio de euros u otra moneda extranjera de curso legal en su país de origen.
– Las personas físicas o jurídicas o entidades que ofrezcan en España servicios de custodia de claves criptográficas privadas en nombre de sus clientes para la tenencia, el almacenamiento y la transferencia de monedas virtuales.
Además estarán obligados a informar de cualquier actividad sospechosa (por origen de los fondos, cuantía, destino), informando al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) y ello con independencia de la ubicación física de los clientes, como aquellos otros proveedores con domicilio social en el extranjero pero que tienen entre sus usuarios a residentes en nuestro país.
Además, se refuerza el sistema de identificación de los titulares reales de las personas jurídicas, para lo que se crea un sistema registral único en el que se incluirá la información ya existente de los titulares reales en el Registro Mercantil y en las bases de datos notariales, incorporando la obligatoriedad del registro de los trust y entidades de naturaleza similar que operen en nuestro país y de sus titulares reales. Este nuevo sistema registral permitirá la interconexión de la información con los registros de los otros países de la Unión Europea y facilitará el acceso público a esta información.
Aquellas Entidades o personas que eludan el registro del Banco de España podrán ser sancionadas con multas comprendidas entre 150.000 euros y 10 millones de euros, mientras que las compañías no registradas ante el SEPBLAC o que no cumplan las obligaciones establecidas se enfrentarán a sanciones que van de los 60.000 euros a los 5 millones de euros, según el citado Real Decreto-ley 7/2021. Las sanciones podrán imponerse también a los directivos responsables, que podrían ser inhabilitados durante cinco años.
No obstante, según la citada normativa, el hecho de que una persona o empresa esté inscrita en este registro no significa que el Banco de España haya aprobado o verificado su actividad, sin que tampoco se haya establecido ninguna norma de supervisión por parte del Banco de España para estos proveedores.
La Administración viene obligada a garantizar la seguridad del tráfico, evitando estafas y fraudes, en la actualidad muy frecuentes en las transacciones electrónicas con criptoactivos.
En nuestro derecho interno, el Código Civil establece en el artículo 1089, las fuentes de nacimiento de las obligaciones, determinando que nacen de la Ley, de los contratos y cuasi contratos y de los actos y omisiones ilícitos o en que intervenga cualquier género de culpa o negligencia, añadiendo los artículos 1902 y 1903 el régimen de responsabilidad de quienes por omisión causan daño a otros, viniendo obligados a reparar el daño causado.
El artículo 1903 extiende el alcance de la obligación a los actos y omisiones propios, cesando toda responsabilidad cuando se prueba que se ha empleado toda la diligencia de un buen padre de familia para prevenir el daño.
De igual manera que el Estado traslada a las personas jurídicas la genérica obligación de control y vigilancia de las personas que para ellas trabajan en sus relaciones con terceros, mediante la exigencia de una compliance penal para beneficiarse de una exención de su propia responsabilidad penal (ex artículo 31bis, apartado 4 Código Penal Español), estando siempre en condiciones de acreditar qué medidas de vigilancia ha incluido en su Empresa, también el Estado debe extremar las garantías de seguridad para los ciudadanos en las transacciones de cambio de moneda virtual por moneda fiduciaria y comercio de criptoactivos que éstos realicen con terceras Empresas, sean nacionales o extranjeras, pero operando en o con ciudadanos nacionales.
No basta con establecer un registro de operadores a cargo del Banco de España, pues se debe implementar un auténtico y eficaz sistema de vigilancia y control, pudiendo en caso contrario incurrir en responsabilidad por “culpa in vigilando” por no establecer las medidas de control precisas para evitar que las actuaciones dolosas o fraudulentas de terceros implicados en el cibertráfico puedan causar daños a terceros que acuden a estos operadores amparados en la falsa creencia de que tales operadores están supervisados y controlados por nuestras Instituciones competentes y cumplen las reglamentaciones para garantizar la seguridad del tráfico.
Y es que la Administración Pública también puede causar un daño por culpa “in vigilando”, cuando la propia Administración no impide la causación de un daño al ignorar un deber legalmente establecido de vigilancia o “culpa in omitendo”, eludiendo sus propias obligaciones especificas de vigilancia y control, con cuya aplicación debe concluirse que el resultado lesivo no se hubiere producido.
La Administración Pública no está exenta de responsabilidad patrimonial como lo evidencia el artículo 106.2 de la Constitución Española de 1978 que dispone que, “los particulares, en los términos establecidos por la Ley, tendrán derecho a ser indemnizados por toda lesión que sufran en cualquiera de sus bienes y derechos, salvo en los casos de fuerza mayor, siempre que la lesión sea consecuencia del funcionamiento de los servicios públicos”. La principal característica de este régimen de responsabilidad es que es de naturaleza objetiva por lo que cualquier consecuencia dañosa derivada del funcionamiento por acción u omisión, de los servicios públicos ha de ser en principio indemnizada como así lo refleja la jurisprudencia, (Sentencia del Tribunal Supremo de 17 de noviembre de 2010) pues de lo contrario, se produciría un sacrificio individual en favor de una actividad de interés público –el comercio electrónico-que no debe ser soportada por la ciudadanía.
Por lo tanto y teniendo en cuenta el riesgo inherente de este tipo de proveedores en materia de blanqueo de capitales cuando operan en nuestro País, es fundamental exigirles un protocolo de compliance en ciberseguridad que dificulte y prevenga este tipo delictivo.
También puede resultarle interesante:
En todo caso, desde NQ Abogados Penal, expertos en ciberdelincuencia, podemos ayudarle en sus consultas o reclamaciones de forma personalizada al caso que nos plantee. Contacte con nosotros.