Banco de Portugal emite novo aviso sobre prevenção do branqueamento de capitais e do financiamento do terrorismo aplicável às entidades que exercem atividades com ativos virtuais

PUBLICAÇÕES SÉRVULO 22 Fev 2023

O Banco de Portugal (“BdP”), na sua qualidade de autoridade setorial com competências para a fiscalização do cumprimento dos deveres preventivos do branqueamento de capitais e do financiamento do terrorismo (“BCFT”) por parte das entidades que exercem atividades com ativos virtuais, publicou o Aviso do Banco de Portugal n.º 1/2023 (“Aviso n.º 1/2023”).

Com este Aviso, o BdP, aqui no uso de competências relativas a um setor de atividade considerado ainda não financeiro, veio definir:

(i) as condições de exercício, os procedimentos, os instrumentos, os mecanismos, as formalidades de aplicação, as obrigações de prestação de informação e os demais aspetos necessários a assegurar o cumprimento dos deveres preventivos do BCFT previstos na Lei n.º 83/2017, de 18 de agosto (“Lei n.º 83/2017”)[i]; e

(ii) os meios e os mecanismos necessários ao cumprimento, pelas entidades que exercem atividades com ativos virtuais, dos deveres previstos na Lei n.º 97/2017, de 23 de agosto (“Lei n.º 97/2017”)[ii].

Isto posto, importa desde já ressalvar que o presente Update não pretende ser um exercício meramente descritivo do novo Aviso, mas sim, um alerta legal para os players que operam no mercado nacional de ativos virtuais.

Com efeito, é pretendido assinalar novas e importantes exigências que são agora impostas pelo Regulador no exercício de atividades com ativos virtuais, as quais têm impacto não apenas nas entidades já autorizadas pelo BdP para o exercício de tais atividades, como também nos pedidos que, para o efeito, sejam apresentados perante aquela Autoridade (cf. artigo 112.º-A, n.º 1 da Lei n.º 83/2017).

Não tendo as entidades que exercem atividades com ativos virtuais a natureza de entidades financeiras (cf. artigo 4.º. n.º 1, alínea o) da Lei n.º 83/2017), não estão vinculadas ao cumprimento do disposto no Aviso do Banco de Portugal n.º 1/2022[iii] (“Aviso n.º 1/2022”). No entanto, assumindo-se este como uma peça fundamental na arquitetura nacional preventiva do BCFT, a comparação entre os dois diplomas regulamentares pode revelar-se útil para a interpretação das novas soluções normativas previstas pelo BdP.

Nestes termos, os principais aspetos de regime que os atuais e potenciais operadores de mercado devem ter em conta são os seguintes: 

1. Órgão de Administração, função de controlo do cumprimento normativo e seu responsável

Em linha com o previsto no Aviso n.º 1/2022, o novo Aviso obriga à constituição de uma função de controlo do cumprimento normativo que se deve assumir, dentro da entidade, como uma estrutura funcionalmente independente que assegura a adequada gestão dos riscos e o controlo do cumprimento dos deveres em matéria de prevenção do BCFT (artigo 3.º[iv]). O Responsável pelo Cumprimento Normativo (“RCN”) torna-se assim o responsável pela função de cumprimento normativo (artigo 5.º). Devendo ainda a área da prevenção do BCFT ser atribuída a um membro executivo do órgão de administração, que exerce a tutela sobre a referida função (artigo 4.º).

Sobre este tema, o Aviso n.º 1/2023 veio concretizar que as entidades que exercem atividades com ativos virtuais são obrigadas a garantir “uma divisão de águas”, entre a função de controlo do cumprimento normativo e as atividades que aquela função monitoriza e controla, ou seja, as áreas dedicadas ao negócio propriamente dito. Todavia, as entidades: (i) cujo número de colaboradores (com exclusão dos administradores), seja inferior a 6; e (ii) cujos proveitos operacionais, do último exercício económico, sejam inferiores a € 1.000,00, não estão obrigadas à referida segregação de funções. Note-se, no entanto, que apenas ficam dispensadas de assegurar a segregação de funções e não do dever de constituir tal função na sua estrutura e de designar um RCN (artigo 3.º, n.º 2 e 3).

Em qualquer caso, todas as entidades obrigadas têm a obrigação de comunicar ao BdP as alterações verificadas quanto aos elementos de identificação do membro do órgão de administração, bem como do RCN (artigo 6.º).

2. Identificação de riscos

É com pouca surpresa que o Aviso n.º 1/2023, por contraposição com o Aviso n.º 1/2022, veio estabelecer um elenco exemplificativo de aspetos que deverão ser considerados na avaliação dos riscos, dos quais se destacam: (i) os tipos de ativos virtuais a serem disponibilizados e as características principais de cada um, incluindo se os mesmos são de algum modo suscetíveis de ofuscar a identidade, bem como os protocolos utilizados e a suscetibilidade de estes serem alterados; (ii) o valor total dos ativos virtuais disponibilizados; (iii) o número e valor de operações com ativos virtuais; (iv) a execução de transferências de ativos virtuais com origem em, ou destino a, endereços auto-alojados (self -hosted addresses); e (v) e a natureza e escopo de cada canal de distribuição utilizado, incluindo se se trata de um circuito “aberto” (“open -loop”) ou “fechado” (“closed -loop”) (artigo 7.º).

Com esta enumeração meramente exemplificativa, o BdP enfatizou a necessidade de haver uma análise específica de cada um dos ativos virtuais disponibilizados, havendo uma preocupação de atualização dos riscos inerentes aos novos ativos virtuais que sejam comercializados no mercado.

Para a identificação dos concretos riscos de BCFT o BdP, complementando os fatores elencados nos Anexos II e III da Lei n.º 83/2017, elaborou não apenas um elenco de aspetos a considerar na apreciação das situações indicativas de risco reduzido previstas na Lei (cf. Anexo II ao Aviso), como também listas exemplificativas de riscos potencialmente mais reduzidos e de riscos potencialmente mais elevados (cf. Anexo III e IV ao Aviso).

3. Periodicidade das avaliações de eficácia e da revisão do sistema de controlo interno e das práticas de gestão de risco

Diferentemente do previsto no Aviso n.º 1/2022, o novo Aviso n.º 1/2023 não dá qualquer margem às entidades vinculadas ao seu cumprimento para definirem a periodicidade das obrigatórias: (i) revisão do sistema de controlo interno e das práticas de gestão de risco; e (ii) avaliações de eficácia. Quanto às entidades que se dedicam a atividades com ativos virtuais, tais procedimentos, que visam garantir a adequação e eficácia dos procedimentos preventivos que implementam, devem ocorrer com uma periodicidade mínima de 12 meses (artigos 8.º e 10.º).

No que se refere às avaliações de eficácia, caracterizadas como avaliações periódicase independentes à qualidade, adequação e eficácia das suaspolíticas, procedimentos e controlos, concretiza-se ainda quem pode ser a entidade responsável pela sua realização: função de auditoria (existente na entidade ou subcontratada) ou de uma entidade terceira devidamente qualificada (artigo 10.º, n.º 2).

4. Organização interna, procedimentos e sistemas de informação

O BdP deu uma especial relevância à organização interna das entidades, aos procedimentos por elas instituídos e aos sistemas de informação utilizados. No que se refere a estes últimos, resulta do novo Aviso haver uma grande preocupação do BdP em impedir que a grande digitalização da atividade impeça uma adequada e completa identificação dos clientes, pelo que se exige, por exemplo, a adoção das seguintes ferramentas (artigo 11.º):

(i) ferramentas de análise de redes que utilizam uma tecnologia de registo distribuído ou uma tecnologia semelhante;

(ii) ferramentas que permitam filtrar os endereços ou carteiras (wallets), detidos ou associados a clientes contra as listas “negras” (black lists) de entidades;

(iii) ferramentas que permitam detectar a utilização de tecnologias que permitam ofuscar a identidade ou localização, incluindo através do uso de “mixers”, “tumblers” ou “anonymizers”, ou de serviços de rede privada virtual (VPN); e

(iv) ferramentas de rastreio de endereços de protocolo de internet (IP).

5. Procedimentos e registo centralizado relativo a transações ocasionais

Quanto às transações ocasionais, as entidades que exercem atividades com ativos virtuais devem instituir procedimentos que lhes permitam verificar a existência de operações aparentemente relacionadas entre si, sendo um dos critérios a tomar em consideração para o efeito a análise dos intervenientes envolvidos e da aparente existência de relações entre si. Para este efeito, veio o novo Aviso veio expressamente definir que as entidades em causa, sem prejuízo da possibilidade de fazer uso de outros elementos, ponderam: a utilização ou da existência de endereços ou carteiras (wallets),de identificadores de transação (“hashes”) ou de endereços de protocolos de Internet (IP) comuns (artigo 14º).

6. Subcontratação

O Aviso n.º 1/2023 regula extensivamente o recurso à subcontratação no contexto do cumprimento dos deveres preventivos a que as entidades obrigadas se encontram vinculadas (artigo 16.º).

Neste âmbito, estabelece-se como regra geral, a impossibilidade de recorrer à subcontratação sempre que tal seja suscetível de prejudicar a qualidade das medidas e procedimentos adotados para dar cumprimento aos requisitos da Lei n.º 83/2017 e do próprio Aviso, sendo tal regra objeto de subsequente densificação através da proibição expressa da subcontratação de determinados aspetos (v.g. aprovação das políticas, dos procedimentos, dos controlos e do modelo de gestão de risco, cumprimento do dever de comunicação, etc.).

Por outro lado, estabelece-se um amplo conjunto de obrigações prévias e concomitantes à subcontratação que pretendem garantir que a entidade avalia e mitiga adequadamente os riscos envolvidos e assegura o acompanhamento e monitorização da relação estabelecida. Note-se ainda que este regime se aplica mesmo que a entidade a subcontratar integre o grupo da entidade obrigada.

7. Comunicação de irregularidades

Ao abrigo da possibilidade prevista no n.º 7 do artigo 20.º da Lei n.º 83/2017, o BdP veio impor às entidades que exercem atividades com ativos virtuais o dever de elaborar, até ao dia 28 de fevereiro de cada ano, um relatório anual que, reportando-se ao período compreendido entre 1 de janeiro e 31 de dezembro do ano anterior, contenha, pelo menos: (i) a descrição dos canais específicos, independentes e anónimos que internamente asseguram, de forma adequada, a recepção, o tratamento e o arquivo das comunicações de irregularidades relacionadas com eventuais violações à Lei n.º 83/2017, ao Aviso e às políticas e aos procedimentos e controlos internamente definidos em matéria de prevenção do BCFT; e (ii) uma indicação sumária das comunicações recebidas e do respetivo processamento (artigo 17.º).

8. Medidas restritivas

No que se refere à adoção de medidas restritivas por parte das entidades incluídas no âmbito subjetivo de aplicação do novo Aviso, densifica-se a necessidade de estas estarem dotadas de meios e mecanismos que rápida e eficazmente lhes permitam (artigo 18.º): (i) detectar quaisquer pessoas ou entidades identificadas em medidas restritivas; (ii) bloquear ou suspender a realização de operações ou conjunto de operações, quando se deva dar cumprimento às obrigações de congelamento decorrentes de sanções financeiras; e (iii) dar cumprimento aos deveres de comunicação às entidades competentes (Direção-Geral de Política Externa do Ministério dos Negócios Estrangeiros e Gabinete de Planeamento, Estratégia, Avaliação e Relações Internacionais do Ministério das Finanças).

9. Relações de grupo e estabelecimentos no estrangeiro

As entidades obrigadas que façam parte de um grupo, devem ter internamente políticas de grupo que, em suma, assegurem o adequado cumprimento dos deveres preventivos e a partilha de informação ao nível do grupo (artigo 22.º da Lei n.º 83/2017). No entanto, sempre que o Direito do país de acolhimento limite a aplicação nesse país dos padrões preventivos previstos no Direito português, deve a entidade obrigada remeter ao BdP uma comunicação onde conste: (i) o país de acolhimento; (ii) os impedimentos/limitações que se verificam no ordenamento jurídico do país de acolhimento; e (iii) as medidas adicionais adotadas que assegurem que as suas sucursais e as filiais participadas maioritariamente nesse país aplicam medidas adicionais para controlar eficazmente o risco de BCFT.

10. Dever de identificação e diligência

O novo Aviso contém diversos artigos que densificam o dever de identificação e diligência, pelo que podem agora as entidades obrigadas contar cum importantíssimo instrumento que as auxilia, por exemplo, a determinar quais elementos e informação cuja recolha é necessária.

No âmbito deste dever, afigura-se terem relevo as seguintes soluções normativas:

(i) no procedimento de admissão (“onboarding”) de clientes pessoas singulares, para o elemento identificativo relacionado com a profissão e entidade patronal (quando existam), o Aviso tem uma especial preocupação com as pessoas que se encontrem em situação de desemprego ou de reforma, para as quais é solicitada a informação sobre a última profissão exercida (artigo 20.º, n.º 1).

(ii) no que diz respeito aos elementos identificativos dos empresários em nome individual, o Aviso passa a impor que sejam solicitados: (i) o NIF; (ii) a denominação; (iii) a sede; e (iv) objeto (artigo 20.º, n.º 2).

(iii) definem-se os requisitos cuja verificação permite que a comprovação da informação prestada relativa ao beneficiário efetivo seja feita por mera declaração, ou seja, sem prova documental (v.g. risco comprovadamente reduzido, informação não ofereça dúvidas quanto à sua atualidade e exatidão, etc.) (artigo 22.º, n.º 3).

(iv) quanto à comprovação da origem e destino dos fundos e dos ativos virtuais permite-se um regime diferenciado em função do risco do cliente, no entanto torna-se necessário avaliar tal risco e exigir elementos comprovativos (ainda que estes variem em função do risco) (artigo 24.º).

(v) fixa-se a necessidade de recolha de informação sobre os principais elementos caracterizadores da atividade efetiva dos clientes, designadamente informação sobre a respetiva natureza, o nível de rendimentos ou o volume de negócios gerados, bem como sobre os países ou zonas geográficas associadas à mesma (artigo 25.º).

(vi) relativamente à movimentação de moeda fiduciária e de ativos virtuais, quando haja lugar à comprovação diferida dos elementos identificativos, obriga-se a que as entidades em causa não possam, para além de aceitarem a entrega inicial de moeda fiduciária ou de ativos virtuais, executar quaisquer operações, nem realizar alterações à titularidade, até à conclusão do processo de comprovação da identidade (artigo 26.º).

(vii) no plano da adoção de medidas simplificadas exige-se a redução a escrito, quer das avaliações e análises que evidenciem um risco comprovadamente baixo, quer do conteúdo concreto das medidas adotadas (artigo 29.º).

(viii) no que à adoção de medidas reforçadas se refere, o novo Aviso estabelece um amplo elenco de medidas reforçadas que as entidades podem adotar em função do risco identificado e do concreto caso, nomeadamente medidas relativas a clientes, representantes e beneficiários efetivos, à contratação à distância, à localização geográfica e a transferências de ativos virtuais (artigos 30.º a 41.º).

(ix) estabelece-se um elenco fechado de entidades terceiras às quais se pode recorrer para a execução dos procedimentos de identificação e diligência (entidades obrigadas de natureza financeira, entidades equivalentes a estas com sede no exterior, sucursais estabelecidas em território nacional ou no exterior de tais entidades e entidades que exerçam atividades com ativos virtuais ou entidade de natureza equivalente) (artigo 43.º). 

11. Dever de Recusa

No âmbito do dever de recusa demonstra importância a fixação dos meios admissíveis para a restituição dos ativos virtuais e de moeda fiduciária na posse da entidade obrigada sempre que esta, em cumprimento deste dever, tenha de terminar a relação de negócio com o cliente (artigo 44.º).

Assim, veio o BdP determinar, em síntese, ser admissível, quanto à moeda fiduciária:

(i)  a transferência para conta aberta pelo cliente junto de entidade que, não se situando em país terceiro de risco elevado, comprovadamente aplique medidas de identificação e diligência similares às vigentes em Portugal (devendo ser indicado o motivo da transferência);

(ii)  cheque cruzado e não à ordem emitido em benefício do cliente, sacado sobre entidade financeira ou outra legalmente habilitada na qual a entidade que exerça atividades com ativos virtuais tenha conta aberta (devendo ser aposta no cheque menção expressa ao motivo do pagamento).

Quanto aos ativos virtuais a transferência para:

(i) carteira com guarda (hosted wallet) do cliente alojada junto de entidade que exerça atividades com ativos virtuais ou entidade de natureza equivalente que, não se situando em país terceiro de risco elevado, comprovadamente aplique medidas de identificação e diligência similares às vigentes em Portugal (devendo ser feita referência ao motivo da transferência); ou

(ii) endereço auto-alojado (self-hosted address) que comprovadamente esteja sob o controlo efetivo do cliente, sempre que este não seja titular de carteiras com guarda (hosted wallet) que cumpram os requisitos referidos na subalínea anterior.

12. Dever de formação

Prevê-se que as entidades obrigadas tenham de definir e aplicar uma política formativa que vise assegurar um conhecimento pleno, permanente e atualizado sobre um conjunto especificamente previsto de matérias referentes à prevenção do BCFT. Adicionalmente, são ainda definidos requisitos relativos à formação a ministrar aos colaboradores recém-admitidos e aos registos a manter sobre as formações (artigo 48.º).

13. Notas finais

As soluções preconizadas pelo Aviso n.º 1/2023 entram vigor no próximo dia 15 de julho do corrente ano. Todavia, relativamente à comprovação de documentos, para efeitos da verificação da identificação das pessoas singulares, as entidades com ativos virtuais podem recorrer à videoconferência, enquanto procedimento alternativo de comprovação dos elementos identificativos, já partir de 24 de janeiro de 2023, devendo, para o efeito, dar cumprimento aos requisitos previstos no Anexo I ao referido Aviso. 

Luísa Cabral Menezes | lcm@servulo.com

José Guilherme Gomes | jgg@servulo.com