José Antonio Bravo Mateu: “El compliance no debe ser vigilancia, sino una ventaja para el cliente y la empresa”
En esta página
Tabla de contenidos
José Antonio Bravo Mateu es un experto en consultoría tributaria y fiscal, especializado en la fiscalidad de criptomonedas. Licenciado en Ciencias Económicas y Empresariales por la Universitat de Valencia, cuenta con un Master en Tributación y Asesoría Fiscal por CEF-UDIMA y un Master en Dirección Económico Financiera por la UOC. Tras 16 años como Jefe de Contabilidad y responsable del área tributaria en una mediana empresa, Bravo Mateu decidió enfocarse en la consultoría y formación independiente. "La tecnología va mucho más deprisa de lo que va la legislación", afirma Bravo Mateu, quien considera fundamental que las empresas cuenten con un sólido departamento de compliance para navegar la compleja normativa actual, especialmente en el ámbito de las criptomonedas y activos digitales.
Pregunta: Después de muchos años trabajando en distintos aspectos financieros en PYMES, te especializas en fiscalidad de criptomonedas. ¿Por qué? ¿Qué tiene esta tecnología que tanto te atrae?
Respuesta: Empiezo a leer sobre Bitcoin ($BTC) en el año 2013. Me intereso sobre cómo funciona y todo lo relacionado con esta tecnología. Yo estaba muy interesado sobre todo en el tema del Open Source y cómo se relacionaba con el dinero. Entonces, empiezo a estudiar sobre qué significa Bitcoin.
A partir de aquí, voy adaptando mi trabajo como asesor fisca, al tema de la tributación de estos activos digitales.
Es decir, empiezo a ver cómo pueden encajar diferentes hechos imponibles que se pueden producir con criptomonedas en el impuesto de la Renta, principalmente, pero también en otros impuestos. Empiezo a hablar, a leer y comienzo a especializarme en esta material.
P: ¿Cómo ha evolucionado la normativa desde tus primeros pasos con cripto hasta ahora?
R: Lo que ha habido es una continua interpretación de la normativa por parte de la Administración. Principalmente, en el tema tributario no hay una normativa específica salvo para algunos impuestos u obligaciones informativas. Es el caso de la obligación, muy reciente, de hace un año, de informar sobre criptomonedas de esos activos que se tengan en extranjero o la obligación informativa que tienen los proveedores de servicio sobre los movimientos y saldos de clientes.
Todo esto se ha interpretado mediante consultas a la Dirección General de Tributos. Se ha creado doctrina administrativa en base a preguntas que han realizado los contribuyentes a la Dirección General de Tributos para saber cómo tenían que cumplir sus obligaciones fiscales.
No se han tratado todos los hechos imponibles posibles. Todavía siguen habiendo hechos imponibles que siguen sin estar claros.
Sí que he visto que en algunos casos, como puede ser en el caso de MiCA, que influye más en los mercados y los proveedores de servicios, se ha producido una evolución normativa grande. Sobre todo, porque viene marcada, de una forma u otra, por el Grupo de Acción Financiero Internacional (GAFI) y desde la OCDE.
Es una evolución que está en marcha, que queda mucho por hacer, pero que se ha ido haciendo a través de interpretaciones y normativas internacionales.
P: Dado que las criptomonedas, en su mayoría, se caracterizan por la descentralización, ¿cómo se debe equilibrar la privacidad de los usuarios con las exigencias regulatorias del KYC?
R: Esto es algo bastante complicado de equilibrar. La posibilidad de que seas pseudónimo con tus criptomonedas queda bastante sesgado desde el momento en el que, para adquirir criptomonedas en Exchanges Centralizados, necesitas hacer procedimientos de diligencia debida, en los cuales se te va a identificar, van saber dónde estás domiciliado y van a conocerse más datos sobre ti.
De todas formas, los proveedores de servicio, los Exchanges, en lo que sería la evolución de las criptomonedas, son una necesidad. Al principio no hay una economía en la que puedas usar criptomonedas como medio de pago y, por tanto, se adquieren con la esperanza de que en el futuro se conviertan en medio de pago. Principalmente, las que pueden ser consideradas como tal, como Bitcoin, Bitcoin Cash o etcétera.
Creo que los Exchanges son circunstanciales. En el momento en el que haya una economía circular, en la que se puedan circular Bitcoin u otras criptomonedas como medio de pago, no serán necesarios estos centros, porque las monedas se adquirirán vendiendo tu trabajo o bienes y servicios. A la vez, lo gastarás. Por eso no serían necesarios.
Por eso creo que este es un paso intermedio y necesario ahora que va a estar ahí durante bastante tiempo.
P: ¿Cuál consideras que es, actualmente, el mayor desafío al que deben hacer frente las empresas a la hora de implementar procedimientos de KYC? Porque no cumplir con las normativas conlleva riesgos sustanciales…
R: Para los proveedores de servicio es importantísimo hacer una buena diligencia debida y tener muy estudiados cuáles son los procedimientos. Su negocio, su supervivencia y su duración en el mercado va a depender de esto. Si no realizan suficientes procedimientos, podrán tener grandes sanciones por parte de los organismos nacionales de prevención de blanqueo. En España, por ejemplo, hablamos de SEPBLAC.
Entonces, para mí es fundamental crear un buen equipo que tenga muy buen conocimiento acerca de los procedimientos de blanqueo de capitales.
P: Entonces es fundamental que exista una filosofía de empresa…
R: Por supuesto. Para mí, y no hablamos solo de criptomonedas, es fundamental que haya un departamento de compliance en empresas de un determinado tamaño. El objetivo es que este equipo pueda ayudar a la empresa acerca de toda la normativa que debe cumplir.
En PYMES o similares, es muy posible que esa figura sea un Asesor u otros servicios externos. Pero creo que en cualquier empresa es fundamental que exista un buen departamento de compliance para entender unas normas que cada vez son más complejas, más difíciles de comprender para una sola persona. De hecho, una persona que estudia derecho, no va a saber toda la normativa, conocerá una parte únicamente y se centrará en esa parte.
Por eso creo que es importante que en los departamentos de compliance haya varios profesionales que ayuden a la empresa para cumplir con la normativa desde distintos aspectos: Civil, Mercantil, Penal, Laboral, Blanqueo, Tributario… que les ayuden a tener esa visión general de cómo cumplir con la normativa que le afecte a la compañía.
P: ¿Qué papel juega la tecnología en la automatización de procesos de KYC y AML? ¿Se puede ser complaint sin tecnología?
R: La tecnología, sobre todo la Inteligencia Artificial Generativa, creo que va a ayudar muchísimo a que los departamentos de compliance automaticen muchos procesos. Estoy pensando, por ejemplo, en procesos de identificación biométrica de los clientes, reconocimiento facial, identificación de documentos… Es decir, la IA está ayudando y ayudará mucho más a cumplir con todos estos procedimientos. Esto hará que los departamentos de compliance sean más pequeños, pero más eficientes.
Ahora bien, no todo se puede ni debe fiar a la tecnología. Hay que tener una supervisión por parte de los responsables del departamento para asegurar y verificar que lo que está haciendo esa inteligencia artificial es correcto.
Entonces, ¿se podría ser compliance sin tecnología? Sí, se podría, pero es mucho más costoso y menos eficiente. Hay que apoyarse en las nuevas tecnologías para cumplir con los objetivos.
P: Qué recomendaciones darías a una empresa, sujeto obligado, que debe implementar procesos de KYC y AML para cumplir con la normativa.
R: Principalmente, recomendaría que se apoyaran en herramientas que ayudaran a que los procesos sean eficientes. Y, por supuesto, que no descuidaran el cumplimiento normativo, porque es importantísimo. Sobre todo en AML y protección de datos, el compliance es fundamental para una buena relación con los clientes, no solo con la administración.
P: ¿Cómo se equilibra el cumplimiento normativo con una buena experiencia de usuario?
R: Es necesario que aprendamos de nuestros procesos, por si debemos hacer cambios. Debemos orientarlos a mejorar la usabilidad y que el cliente no se sienta agraviado o molesto por el exceso de información.
Debemos limitar la información que solicitamos al máximo, siempre cumpliendo con la normativa, y además, con un procedimiento que sea amistoso con el cliente.
P: Si hablásemos de prevención de blanqueo de capitales, ¿cuáles son las red flags o señales de alerta más comunes a las que las empresas deben prestar atención?
E: Para mí, las alertas más importantes están relacionadas con la actividad o el nacionalidad del cliente. Hemos encontrado a veces de clientes de algún país que puede resultar sospechoso, son evitados porque el compliance con ellos puede ser más complicado y se podrían necesitar muchos más datos.
En el tema de AML, hay muchas cosas de afinar. Pero como depende de una normativa que no viene siquiera de la Unión Europea, que viene de más arriba, es complicado. Lo que se necesita es que todos los procesos se afinen de abajo arriba; que desde las empresas que se dedican a prevención del blanqueo de capitales, se detecten una serie de temas que pueden provocar falsos positivos, que a veces pasa, y que se comuniquen a los organismos nacionales correspondientes para que, a su vez, los eleven a los foros internacionales como GAFI. Así creo que se puede refinar mucho más el proceso.
Muchas veces veo que se pide mucha documentación que, a mi criterio, no tiene mucha importancia y pueden derivar en falsos positivos. Entonces, sería bueno que estas incidencias se fueran comunicando de abajo arriba para favorecer sobre todo al cliente.
P: Es una casuística habitual en real estate…
R: Sí, hablaba principalmente de esto. Me lo he encontrado principalmente en banca, con clientes de zonas de Rusia, Ucrania o China. Hablo de años atrás, de 2018 o así, cuando ya me encontraba con estos problemas de gente de otras nacionalidades.
Esta gente posiblemente vendría a trabajar. Y, pese a no estar en ninguna lista negra o similar, pero por el hecho de la nacionalidad, por no tener que hacer un compliance más profundo y evitar riesgos, se prefirió dejar de lado.
Yo creo que esto se tiene que refinar mucho más. Si nos centramos en criptomonedas, además, vemos que los organismos internacionales tienen bastante desconocimiento. A veces se da una dirección pública y una misma cuenta puede generar infinitas direcciones públicas. Es decir, si yo bloqueo una, eso no quiere decir que a posteriori no se pueda generar otra que no esté en lista de vigilancia de Estados Unidos u otros organismos similares, y que no se pueda bloquear siendo de la misma persona.
El tratamiento debe mejorarse, tanto para ellos, para mejorar su vigilancia; como para los clientes. A lo mejor un cliente que ha transaccionado con esta persona con su cuenta bloqueada, pero está el tercero en la cadena, se le puede impedir transaccionar porque ha operado con este perfil bloqueado por cuestiones de blanqueo.
Hay que afinar mucho y conocer cómo funciona la parte técnica de las criptomonedas y creación de direcciones.
P: Siempre ocurre, que la tecnología va por delante de la legislación.
R: Eso hay que tenerlo en cuenta siempre: la tecnología va mucho más deprisa de lo que va la legislación. A pesar de que GAFI tiene muy buenos conocimientos sobre la parte técnica de las criptomonedas como Bitcoin, algunas veces se queda rezagado, quizás por exceso de precaución. Puede ocurrir que en alguna ocasión, herramientas se consideren blanqueo de capitales. Me estoy acordando del caso de Tornado Cash o Samourai Wallet.
Pero realmente estamos condenando a personas que están haciendo cosas para mejorar su privacidad, no solo de cara al Estado, también a posibles actos contra ellos mismos, porque ese procedimiento se puede utilizar en blanqueo de capitales, aunque no necesariamente sea utilizado para ello. Por ejemplo, un destornillador se puede utilizar para atornillar tornillos, pero también puede usarse para matar a una persona. Eso no quiere decir que prohibamos los destornilladores.
Por ende, hay que hacer un esfuerzo por parte de los organismos que dictan estas normativas anti-blanqueo para entender el propósito real de estas herramientas. Que, aunque se puedan utilizar de forma delictiva, no necesariamente tienen un objetivo delictivo.
Es algo que también ha evolucionado en estos últimos años con respecto a las criptomonedas: empresas que se dedican a la trazabilidad, como puede ser Chain Analysis, han llegado a la conclusión de que los delitos que los delitos que se detectan en criptomonedas, pese a la mala publicidad que existe, son muchísimo menores de los que se creen. Estamos hablando de menos del 1% de las transacciones que se realizan.
Incluso, hace poco, una de estas empresas dijo que la mayoría de grupos terroristas de Oriente Medio ya no usan criptomonedas por su trazabilidad.
P: ¿Cuánto de importante consideras que exista en las instituciones una filosofía de compliance first?
R: Los procesos de diligencia debida son importantes. Aunque no seamos sujetos obligados, el conocer a nuestro cliente y sepamos que no nos va a dar ningún tipo de problemas desde el punto de vista legal, es importante. Es decir, tener tu propia base de datos, muy bien controlada, con información de quién es, si se puede transaccionar con él o si vamos a tener problemas con terceros, para mí es fundamental.
En otras empresas en las que trabajé, hacíamos procedimientos digamos laxos de diligencia debida. Solíamos usar agencias de calificación o llamadas a terceros para generar una ficha de cliente. Hacías una investigación para no tener problemas desde el punto de vista mercantil. Se hacían y se deben seguir haciendo.
Ocurre también en el caso de adquisiciones de empresas: antes de ello, debes hacer una diligencia para saber si la compañía tiene deudas o similares. Es un compliance laxo, no como el de los procesos de KYC o AML, pero también es compliance.
P: Finalizamos con una mirada hacia el futuro: desde tu punto de vista y tu experiencia hasta ahora, ¿cómo crees que evolucionarán las regulaciones de KYC y AML en los próximos años, principalmente en su relación con criptomonedas y otros activos digitales?
A ver, el tema de la legislación de AML debe mejorar muchísimo. Hasta ahora, su efectividad frente a posibles delitos no está siendo del todo satisfactoria. ¿Se pueden impedir delitos? Sí. Pero desde mi punto de vista, debería cambiar la percepción de las personas: que no se sintieran vigiladas, que lo vemos mucho en el tema cripto, y sí que lo viéramos como algo necesario. Hasta ahora se ve como vigilancia y debería verse más como algo enfocado tanto a ventajas para el cliente como para la empresa.
Creo que es un reto importante: impedir que agentes maliciosos, pero si es a costa de recortar libertades a los usuarios, creo que nos encontraremos con bastante resistencia. Debemos encontrar un equilibrio entre la normativa y la libertad del usuario. Que no es fácil, ¿eh? Pero hay que hacerlo. Para eso es fundamental la educación.
También considero clave la seguridad de las bases de datos de compliance. Para mí eso es un reto importante en las empresas, que estas BBDD solo sean visibles para las empresas que las están usando y que la información esté encriptada en caso de cualquier tipo de robo o hackeo. ¿Por qué? Entre las normativas de AML y las normativas de protección de datos, hay un equilibrio que hay que cumplir que es bastante complejo en muchas ocasiones. Hay que ver en qué medida se cumplir ambas normativas sin que una u otra se vea afectada.
Actualmente, procedimientos de AML en bases de datos de diligencia debida podrían verse afectados y tener problemas con la protección de datos.
Noticias de Didit
José Antonio Bravo Mateu: “El compliance no debe ser vigilancia, sino una ventaja para el cliente y la empresa”
