La repressione di alto profilo del governo federale nei confronti delle società crittografiche richiede a tutti i partecipanti al mercato delle criptovalute di raddoppiare i propri sforzi di conformità, sia per soddisfare le autorità di regolamentazione che per confermare la fiducia di clienti e controparti
La conformità crittografica in questo momento richiede sofisticatezza. Nonostante l’assenza di regimi normativi o normativi specifici del settore, diverse agenzie di regolamentazione e forze dell’ordine statunitensi hanno affermato in modo aggressivo la giurisdizione sull’universo degli asset digitali. Ad oggi, il Dipartimento di Giustizia degli Stati Uniti e le autorità di regolamentazione, tra cui la Securities and Exchange Commission (SEC), la Commodity Futures Trading Commission (CFTC) e altri a livello federale e statale, hanno perseguito azioni coercitive contro gli scambi di criptovalute, il trading di criptovalute, offerte di monete, token non fungibili, stablecoin e altro, solitamente con richieste contrastanti e concorrenti di informazioni e indicazioni. Questi sforzi sono spesso mancati di coordinamento e sono stati guidati da opinioni divergenti sulle teorie giuridiche applicabili anche di fronte a un insieme di fatti comuni.
L’assenza di una guida normativa, unita all’iperattività degli sforzi di applicazione delle norme, creano acque insidiose anche per i più diligenti tra i responsabili della conformità. I recenti commenti del direttore della Divisione di applicazione della SEC Gurbir Grewal sulle aspettative di conformità, in particolare per quanto riguarda la responsabilità individuale del personale addetto alla conformità, dovrebbero suscitare preoccupazione tra i partecipanti al mercato delle criptovalute. Grewal ha sottolineato che la SEC intraprenderà azioni contro il personale addetto alla conformità “laddove si verificasse un totale fallimento da parte del personale addetto alla conformità nell’adempiere alle proprie responsabilità di conformità”. Questo test dipende in modo critico dall’accordo o dal consenso riguardo alle responsabilità di conformità. Senza una legislazione federale o un quadro normativo sostanziale in vigore, a differenza del tradizionale settore dei servizi finanziari, aumenta la possibilità che anche gli sforzi in buona fede nel campo delle criptovalute siano ritenuti insufficienti dai regolatori e forse caratterizzati come “fallimenti all’ingrosso” che meritano sanzioni, secondo l’opinione pubblica del direttore Grewal. dichiarazioni.
Aree di rischio cripto
I responsabili della conformità crittografica non possono permettersi il lusso di aspettare che vengano promulgate normative più chiare. Devono invece garantire, anche in questa incertezza, che i loro protocolli soddisfino una serie di regolatori che hanno aspettative oscure e spesso divergenti. Alcune aree principali di intervento, descritte di seguito, sono essenziali per ridurre i rischi e ispirare fiducia nell’efficacia di un programma.
Comprendere la tecnologia blockchain
Le aziende coinvolte nella criptovaluta e i loro dirigenti devono avere persone che lavorano nel loro team di conformità che comprendano sostanzialmente la tecnologia blockchain, il fondamento dell’attività basata sulle criptovalute. I team di conformità devono essere in grado di istruire i dipendenti sulle aspettative di conformità e istruire le autorità di regolamentazione sui loro prodotti e operazioni crittografici. Comunicare in modo efficace con entrambe le circoscrizioni elettorali garantirà un regime di conformità altamente funzionante e difendibile.
Procedure antiriciclaggio
Un’area fondamentale su cui deve concentrarsi la strategia di conformità è l’implementazione di un programma antiriciclaggio (AML) soddisfacente e solido. La natura decentralizzata e pseudonima delle criptovalute è spesso vista con sospetto dai regolatori come un canale per nascondere attività illecite. In effetti, gli esperti AML notano che il mancato rispetto dei requisiti AML è spesso una parte delle accuse che le agenzie di regolamentazione muovono contro le aziende. Senza adeguate garanzie contro il riciclaggio di denaro e il rischio di altri crimini finanziari, le società crittografiche sono vulnerabili al controllo normativo e allo sfruttamento da parte di soggetti malintenzionati.
Le società di trading di criptovalute devono potenziare le tradizionali procedure antiriciclaggio per includere il monitoraggio e l’analisi specifici delle criptovalute nei loro regimi di conformità, compreso l’utilizzo di strumenti di intelligence blockchain per identificare indirizzi di portafogli crittografici rischiosi e/o associati al terrorismo. Inoltre, le aziende dovrebbero essere consapevoli di essere valutate ai sensi del Bank Secrecy Act (BSA). Ad esempio, nell’ottobre 2022, Bittrex era considerata un’azienda di servizi monetari, alla fine è stato multato per più di 24 milioni di dollari dall’Office of Foreign Assets Control (OFAC) e dal Financial Crimes Enforcement Network (FinCEN) – entrambe agenzie all’interno del Dipartimento del Tesoro degli Stati Uniti – per mancato rispetto della BSA, delle leggi antiriciclaggio e di altre sanzioni. La chiave delle sanzioni è stata l’accesso di Bittrex all’IP dei clienti e alle informazioni sull’indirizzo fisico raccolte dall’onboarding di nuovi clienti. L’azienda sapeva che numerosi clienti si trovavano in giurisdizioni sanzionate, ma non filtrava le informazioni dei clienti per individuare associazioni con tali giurisdizioni.
Anche le violazioni della BSA da parte delle società crittografiche potrebbero avere conseguenze penali. Nel maggio 2022, l’ex CEO di BitMEX, uno dei più antichi e grandi scambi di derivati di valuta virtuale convertibili, è stato condannato nel distretto meridionale di New York a sei mesi di arresti domiciliari e a una multa di 10 milioni di dollari per aver violato la BSA non riuscendo a stabilire , implementare e mantenere un programma antiriciclaggio, incluso un programma per verificare l’identità dei clienti di BitMEX tramite un sistema adeguatamente amministrato conosci il tuo cliente (KYC) programma. La società ha inoltre risolto le accuse con CFTC e FinCEN nel 2021, pagando 100 milioni di dollari per violazioni di BSA e AML.
Politiche di conservazione
Le politiche di conservazione sono un passo proattivo relativamente semplice che i responsabili della conformità possono intraprendere per creare buona volontà con le autorità di regolamentazione. Non esistono obblighi normativi espliciti di conservazione per le società crittografiche, in netto contrasto con gli obblighi espliciti che regolano lo spazio finanziario tradizionale. Ciononostante, le autorità di regolamentazione ritengono che le politiche di fidelizzazione siano un indicatore della cultura di conformità di un’azienda. Tanto per fare un esempio, nel recente procedimento giudiziario e condanna del fondatore di FTX Sam Bankman Fried, i pubblici ministeri hanno indicato l’assenza di una politica di conservazione da parte di FTX come indizio di illeciti. Tali impressioni negative sono evitabili. Le società di trading di criptovalute dovrebbero prendere in considerazione la creazione di sistemi che, a seconda dei casi, possano registrare:
-
-
-
- dati commerciali, compresi i dati sui profitti e sulle perdite;
- dipendenti che negoziano beni o gestiscono strategie di trading automatizzate; E
- la quantità e la tipologia delle attività scambiate.
-
-
Inoltre, le aziende coinvolte nel settore cripto dovrebbero prendere in considerazione la conservazione per alcuni anni di tutte le comunicazioni relative agli account aziendali, inclusi non solo i metodi di comunicazione standard come e-mail, sistemi di messaggistica istantanea e modalità di comunicazione meno tradizionali comuni nello spazio crittografico.
Due diligence di terze parti
Le aziende coinvolte nel settore cripto dovrebbero essere rigorose nell’implementare approcci basati sul rischio quando interagiscono con fornitori di terze parti. Le autorità di regolamentazione sono state chiare nel mondo finanziario tradizionale sul fatto che le aziende sono responsabili non solo dei propri obblighi di conformità, ma anche di quelli dei fornitori terzi su cui fanno affidamento. In effetti, il Guida interagenzia sui rapporti con terze parti: gestione del rischio dalla Federal Reserve statunitense, dalla Federal Deposit Insurance Corporation (FDIC) e dall’Ufficio del controllore della valuta, hanno informato che: “[t]La portata e il grado di due diligence dovrebbero essere commisurati al livello di rischio e alla complessità del rapporto con terzi. Una due diligence più completa è particolarmente importante quando una terza parte supporta attività ad alto rischio, comprese le attività critiche”.
Questo focus normativo sarà amplificato nello spazio crittografico. Il governo considera il settore delle criptovalute un settore fondamentalmente ad alto rischio, spesso basato in parte su una scarsa comprensione dell’ecosistema crittografico e della sua novità. Ciò significa che è molto probabile che i requisiti di diligenza per i terzi costituiscano un’area prevista di controllo normativo. Gli sforzi di marketing e sviluppo che coinvolgono terze parti, spesso sfruttando mezzi meno disciplinati come social media, podcast e workshop collaborativi, creano spazio per incomprensioni e potenziali problemi. Di conseguenza, come parte di un programma di valutazione del rischio di terze parti, le società crittografiche dovrebbero condurre una due diligence su terze parti prima di coinvolgerle.
Audit
I programmi di conformità efficaci e sostenibili possono utilizzare audit interni ed esterni per superare eventuali problemi e dimostrare l’efficacia del programma. Se eseguito con cadenza regolare, verifica i programmi di conformità dei test di pressione e fornisce ai regolatori conforto sulla cultura di conformità di un’azienda. Date le sfide che molti regolatori devono affrontare nel comprendere le tecnologie in funzione e nell’identificare una teoria legale di colpevolezza, alcuni regolatori hanno indicato la debole cultura della conformità con le società crittografiche come mezzo per portare avanti le indagini.
Problemi di privacy e sicurezza dei dati
Operando in un ambiente digitale, il rischio di fughe di dati, attacchi informatici, schemi di phishing e malintenzionati rimane sempre presente; e poiché quello delle criptovalute è un nuovo settore in forte espansione, i truffatori lo hanno preso di mira pesantemente.
Poiché le criptovalute utilizzano la tecnologia blockchain per la verifica e non passano attraverso istituti finanziari, è anche più difficile recuperare i proventi del furto e il suo impatto. I responsabili della conformità devono creare disposizioni su misura che salvaguardino i dati aziendali interni, i dati di partner e consumatori e le risorse aziendali e dei clienti.
Conclusione
Il panorama dell’applicazione delle norme crittografiche continua ad evolversi rapidamente, ma senza alcun segno di maggiori indicazioni statutarie o normative nell’immediato futuro. A dicembre, la SEC ha respinto una petizione di Coinbase che chiedeva nuove regole mirate specificamente al settore degli asset digitali. La SEC ha affermato che non proporrà né nuove regole né chiarimenti a lungo richiesti sulle sue aspettative perché la SEC sostiene fondamentalmente che le attuali normative sui titoli forniscono alle società crittografiche un preavviso sufficiente dei loro obblighi. Questa è una premessa con cui pochi, se non nessuno, professionisti del settore cripto sono d’accordo.
Non vi è alcuna indicazione che gli sforzi di applicazione della legge rallenteranno: semmai, una maggiore portata dell’applicazione della legge è probabile, se non certa. Pertanto, spetta ai dipartimenti di conformità e ai loro funzionari essere proattivi nella creazione dei migliori programmi di conformità per continuare a proteggere non solo l’azienda e i suoi clienti, ma anche per isolarsi da indagini di applicazione e potenziale responsabilità.
Raja Chatterjee ha contribuito a questo articolo. È un ex pubblico ministero e ha ricoperto il ruolo di consulente interno con responsabilità per le funzioni legali, di rischio e di conformità.