Projeto de Aviso do Banco de Portugal aplicável a entidades que exercem atividades com ativos virtuais
SÉRVULO PUBLICATIONS 25 Oct 2022
Encontra-se presentemente aberta a Consulta Pública do Banco de Portugal n.º 7/2022 relativa a um novo projeto de Aviso que procede à regulamentação do conjunto de deveres de combate ao branqueamento de capitais e ao financiamento do terrorismo (o “BCFT”) previstos na Lei n.º 83/2017, de 18 de agosto (a “LBCFT”) no que se refere ao exercício de atividades com ativos virtuais.
Recorde-se que desde as alterações promovidas à LBCFT pela Lei n.º 58/20, de 31 de agosto, que transpôs para a ordem jurídica interna a Diretiva (UE) 2018/843 do Parlamento Europeu e do Conselho, de 30 de maio de 2018, as entidades que se dedicam ao exercício de atividades com ativos virtuais foram incluídas no elenco de entidades obrigadas não financeiras (artigo 4.º, n.º 1, alínea o) da LBCFT), pelo que desde esse momento ficaram vinculadas ao conjunto de deveres preventivos previstos no artigo 11.º e ss. da LBCFT.
Até à presente data, a Autoridade Setorial competente para a supervisão destas entidades apenas tinha procedido à regulamentação, através do Aviso n.º 3/2021, do artigo 112.º-A da LBCFT, introduzido pelo referido diploma alterador, que prevê a necessidade de registo prévio junto do Banco de Portugal para o exercício de atividades com ativos virtuais.
Assim, as entidades em referência, apesar de serem já desde 2020 entidades sujeitas ao cumprimento da LBCFT, não contavam ainda com um instrumento que procedesse à densificação e conformação dos deveres a que se encontram vinculadas numa perspetiva da área onde desenvolvem as suas atividades. Deste modo, a sujeição a consulta pública do projeto de Aviso em análise afigura-se uma importante etapa no delinear de uma sólida e transversal estrutura nacional preventiva do BCFT. Depois de publicada a sua versão definitiva o Aviso relativamente ao qual se pede que o mercado ora se pronuncie será certamente um importante auxiliador das entidades mencionadas na definição e implementação das políticas e dos procedimentos e controlos necessários para dar cumprimento à LBCFT.
Sem prejuízo de o Projeto de Aviso se encontrar ainda em consulta pública e poder, por isso, vir a sofrer alterações de conteúdo, a importância das soluções normativas já previstas, aconselha os seus destinatários a considerarem já o seu conteúdo numa perspetiva de adaptação futura das suas políticas, procedimentos e organização. Neste contexto, assumem relevo, entre outros, os seguintes aspetos:
a) Órgão de administração, Responsável pelo Cumprimento Normativo (RCN) e função de controlo do cumprimento normativo
O projeto de regulamentação em análise tem importantes implicações em matéria de estruturação orgânica e atribuição de responsabilidades em matéria de combate ao BCFT, nomeadamente:
i. É necessário constituir na estrutura da entidade uma função de controlo do cumprimento, integrada por colaborares selecionados com base em elevados padrões éticos e exigentes requisitos técnicos, com a incumbência de garantir o cumprimento dos deveres a que entidade se encontra vinculada em matéria de prevenção do BCFT e de gerir adequadamente os riscos a que a mesma se encontra exposta.
Esta função (v.g. os recursos humanos e outros à mesma afetos) deve ser segredada da área do negócio, a menos que a entidade em causa tenha um número de colaboradores, excluindo os administradores, inferior a 6 e os proveitos operacionais no último exercício económico sejam inferiores a € 1.000.000 (artigo 3.º[1]);
ii. O RCN assume-se como o responsável pela referida função de controlo do cumprimento normativo, pelo que o Projeto de Aviso vai no sentido de este ter uma função de direção neste âmbito e de se assumir como o interlocutor do Banco de Portugal nestas matérias (artigo 5.º);
iii. Deve ser atribuído o pelouro da prevenção do BCFT a um membro executivo do órgão de administração, sendo previstas, a título exemplificativo, as incumbências a desempenhar entre as quais se contam assegurar a tutela da função de controlo do cumprimento normativo e do respetivo responsável, propor ao órgão de administração os procedimentos corretivos das deficiências detetadas em matéria de prevenção do BCFT e rever criticamente as decisões de não exercer o dever de comunicação (artigo 4.º, n.º 1). Não se preveem limitações diretas à possibilidade de cumulação de pelouros, mas ressalva-se a necessidade de acautelar potenciais conflitos de interesses (artigo 4.º, n.º 2, alínea d)).
b) Riscos de BCFT a que entidade se encontra exposta
Considerando a necessidade legal de avaliação dos riscos de BCFT a que a entidade obrigada se encontra exposta no desenvolvimento das suas atividades, o Banco de Portugal estabelece um elenco de aspetos cuja consideração se impõe para estes efeitos, assumindo relevo: i) tipos de ativos virtuais a serem disponibilizados e as características principais de cada um, incluindo se os mesmos são de algum modo suscetíveis de ofuscar a identidade, bem como os protocolos utilizados e a suscetibilidade de estes serem alterados; ii) execução de transferências de ativos virtuais com origem em, ou destino a, carteiras sem guarda (unhosted wallets); e iii) natureza e escopo de cada canal de distribuição utilizado, incluindo se se trata de um circuito “aberto” (“open-loop”) ou “fechado” (“closed-loop”) (artigo 7.º). Deste modo, o Supervisor acentua a necessidade de a matriz de risco proceder a uma consideração específica de cada um dos ativos virtuais disponibilizados, devendo, por isso, ser atualizada sempre que sejam disponibilizados novos ativos virtuais.
c) Periodicidade da revisão do sistema de controlo interno e das práticas de gestão de risco e das avaliações de eficácia
As entidades obrigadas deixarão de ter liberdade para determinar, em função de uma autoavaliação dos riscos BCFT a que se encontram expostas, qual a periocidade da revisão das suas políticas internas e das práticas de gestão de riscos. Estas passam a ter de ser realizadas anualmente (artigo 8.º).
Por sua vez, as avaliações periódicas e independentes à qualidade, adequação e eficácia das suas políticas, procedimentos e controlos ficam também sujeitas à mesma periodicidade. Neste caso é ainda clarificado quem terá competência para a sua realização: uma função de auditoria (existente na entidade ou subcontratada) ou uma entidade terceira devidamente qualificada, que assegure a independência dessa avaliação (artigo 10.º).
d) Organização interna, procedimentos e sistemas de informação
No seu projeto regulamentar o Supervisor confere especial importância à organização interna da entidade aos procedimentos instituídos e aos sistemas de informação utilizados. Entre os requisitos impostos a este propósito destacam-se:
i. Necessidade de estabelecimento de perfis dos colaboradores, registo de acesso e eventual estabelecimento de restrições na partilha de informações (artigo 11.º, n.º 2, alínea b));
ii. Adoção de ferramentas de análise de redes que utilizem uma tecnologia de registo distribuído ou uma tecnologia semelhante (artigo 11.º, n.º 2, alínea d));
iii. Adoção de ferramentas que permitam detetar a utilização de tecnologias que permitam ofuscar a identidade ou localização, incluindo através do uso de “mixers”, “tumblers” ou “anonymizers” ou de VPN (artigo 11.º, n.º 2, alínea f));
iv) Adoção de ferramentas de rastreio de endereços IP (artigo 11.º, n.º 2, alínea g));
v) Fixação de critérios específicos a avaliar para determinar a eventual relação entre diferentes operações (artigo 14.º);
vii) Necessidade de os colaboradores que dão cumprimento ao dever de identificação e diligência aporem nos respetivos registos a sua identidade (artigo 15.º);
viii) Estabelecimento de requisitos relativos aos mecanismos instituídos para dar cumprimento a medidas restritivas (artigo 18.º).
e) Subcontratação
O Projeto de Aviso integra um artigo especificamente dedicado ao recurso à subcontratação (outsourcing). Neste âmbito importa destacar que se estabelecem matérias insuscetíveis de delegação e se estabelece um amplo conjunto de obrigações prévias e concomitantes à subcontratação que pretendem garantir que a entidade avalia e mitiga adequadamente os riscos envolvidos e assegura o acompanhamento e monitorização da relação estabelecida. Note-se ainda que este regime se aplica mesmo que a entidade a subcontratar integre o grupo da entidade obrigada (artigo 15.º).
f) Relatório anual referente à comunicação de irregularidades
Propõe-se no Aviso a obrigação de elaboração, até dia 28 de fevereiro de cada ano, de um relatório anual que, reportado ao período compreendido entre 1 de janeiro e 31 de dezembro do ano anterior, contenha uma descrição dos canais específicos, independentes e anónimos, que internamente asseguram a receção, o tratamento e o arquivo das comunicações de irregularidades e uma indicação sumária das comunicações recebidas. Não se prevê a obrigação de reporte deste relatório ao Supervisor, mas apenas a necessidade de o mesmo ser colocado, em permanência, à sua disposição (artigo 17.º).
g) Dever de identificação e diligência
O Projeto de Aviso regula ampla e transversalmente o dever de identificação e diligência, designadamente no que se refere a:
i. Elementos a recolher no procedimento de onboarding de clientes (artigos 20.º e 21.º),
ii. Regime de identificação do beneficiário efetivo, em especial definição dos requisitos para admissão da comprovação da informação prestada por mera declaração (artigo 22.º),
iii. Necessidade de recolha de informação sobre os principais elementos caracterizadores da atividade efetiva dos clientes, designadamente informação sobre a respetiva natureza, o nível de rendimentos ou o volume de negócios gerados, bem como sobre os países ou zonas geográficas associados à mesma (artigo 25.º);
iv. Impossibilidade de execução de operações em caso de comprovação diferida dos elementos de identificação (artigo 26.º); e
v. Definição de indícios de risco potencialmente mais baixo ou mais reduzido (Anexos III e IV) e de medidas reforçadas adicionais a adotar (artigo 31.º a 41.º).
h) Dever de formação
Prevê-se que as entidades obrigadas tenham de definir e aplicar uma política formativa que vise assegurar um conhecimento pleno, permanente e atualizado sobre um conjunto especificamente previsto de matérias referentes à prevenção do BCFT. Adicionalmente, são ainda definidos requisitos relativos à formação a ministrar aos colaboradores recém-admitidos e aos registos a manter sobre as formações (artigo 48.º).
José Guilherme Gomes | jgg@servulo.com
[1] Todas as disposições referidas sem indicação do diploma a que pertencem referem-se ao Projeto de Aviso em consulta pública.