José Antonio Bravo Mateu: “El compliance no ha de ser vigilància, sinó un avantatge per al client i l'empresa”
En aquesta pàgina
Taula de continguts
José Antonio Bravo Mateu és un expert en consultoria tributària i fiscal, amb un focus especialitzat en la fiscalitat de criptomonedes. Llicenciat en Ciències Econòmiques i Empresarials per la Universitat de València, compta amb un Màster en Tributació i Assessoria Fiscal per CEF-UDIMA i un Màster en Direcció Econòmic Financera per la UOC. Després de 16 anys com a Cap de Comptabilitat i responsable de l'àrea tributària en una mitjana empresa, Bravo Mateu va decidir centrar-se en la consultoria i formació independent.
"La tecnologia va molt més de pressa del que ho fa la legislació", afirma Bravo Mateu, qui considera clau que les empreses comptin amb un departament de compliance robust per navegar la complexa normativa actual, sobretot en l'àmbit de les criptomonedes i actius digitals.
Pregunta: Després de tants anys treballant en diversos aspectes financers en PIMEs, t'especialitzes en fiscalitat de criptomonedes. Per què? Què té aquesta tecnologia que t'atrau tant?
Resposta: Vaig començar a llegir sobre Bitcoin ($BTC) l'any 2013. Em vaig interessar sobre com funciona i tot allò relacionat amb aquesta tecnologia. Estava molt interessat sobretot en el tema de l'Open Source i com es relacionava amb els diners. Llavors, vaig començar a estudiar sobre què significa Bitcoin.
A partir d'aquí, vaig adaptant la meva feina com a assessor fiscal al tema de la tributació d'aquests actius digitals.
És a dir, començo a veure com poden encaixar diferents fets imposables que es poden produir amb criptomonedes en l'impost sobre la Renda, principalment, però també en altres impostos. Començo a parlar-ne, a llegir i començo a especialitzar-me en aquesta matèria.
P: Com ha evolucionat la normativa des dels teus primers passos amb cripto fins ara?
R: El que hi ha hagut és una contínua interpretació de la normativa per part de l'Administració. Principalment, en el tema tributari no hi ha una normativa específica, tret d'alguns impostos o obligacions informatives. És el cas de l'obligació, molt recent, de fa un any, d'informar sobre criptomonedes d'aquells actius que es tinguin a l'estranger o l'obligació informativa que tenen els proveïdors de servei sobre els moviments i saldos de clients.
Tot això s'ha interpretat mitjançant consultes a la Direcció General de Tributs. S'ha creat doctrina administrativa basant-se en preguntes que han fet els contribuents a la Direcció General de Tributs per saber com havien de complir les seves obligacions fiscals.
No s'han tractat tots els fets imposables possibles. Encara hi ha fets imposables que no acaben d'estar clars.
Sí que he vist que en alguns casos, com pot ser el cas de MiCA, que influeix més en els mercats i els proveïdors de serveis, s'ha produït una evolució normativa gran. Sobretot, perquè ve marcada, d'una manera o altra, pel Grup d'Acció Financera Internacional (GAFI) i des de l'OCDE.
És una evolució que està en marxa, que queda molt per fer, però que s'ha anat fent a través d'interpretacions i normatives internacionals.
P: Tenint en compte que les criptomonedes, majoritàriament, es caracteritzen per la descentralització, com s'ha d'equilibrar la privacitat dels usuaris amb les exigències regulatòries del KYC?
R: Això és una cosa força complicada d'equilibrar. La possibilitat que siguis pseudònim amb les teves criptomonedes queda força esbiaixada des del moment en què, per adquirir criptomonedes en Exchanges Centralitzats, necessites fer procediments de diligència deguda, en els quals se t'identificarà, sabran on estàs domiciliat i es coneixeran més dades sobre tu.
De totes maneres, els proveïdors de servei, els Exchanges, en el que seria l'evolució de les criptomonedes, són una necessitat. Al principi no hi ha una economia en què puguis utilitzar criptomonedes com a mitjà de pagament i, per tant, s'adquireixen amb l'esperança que en el futur es converteixin en mitjà de pagament. Principalment, les que poden ser considerades com a tal, com Bitcoin, Bitcoin Cash o etcètera.
Crec que els Exchanges són circumstancials. En el moment en què hi hagi una economia circular, en la qual es puguin fer circular Bitcoin o altres criptomonedes com a mitjà de pagament, no seran necessaris aquests centres, perquè les monedes s'adquiriran venent la teva feina o béns i serveis. Alhora, ho gastaràs. Per això no serien necessaris.
Per això crec que aquest és un pas intermedi i necessari ara que hi serà durant força temps.
P: Quin consideres que és, actualment, el repte més gran que han d'afrontar les empreses a l'hora d'implementar procediments de KYC? Perquè no complir amb les normatives comporta riscos importants…
R: Per als proveïdors de servei és importantíssim fer una bona diligència deguda i tenir molt ben estudiats quins són els procediments. El seu negoci, la seva supervivència i la seva durada al mercat dependrà d'això. Si no fan prou procediments, podran tenir grans sancions per part dels organismes nacionals de prevenció de blanqueig. A Espanya, per exemple, parlem del SEPBLAC.
Aleshores, per a mi és fonamental crear un bon equip que tingui molt bon coneixement sobre els procediments de blanqueig de capitals.
P: Per tant, és fonamental que existeixi una filosofia d'empresa…
R: Per descomptat. Per a mi, i no parlem només de criptomonedes, és fonamental que hi hagi un departament de compliance en empreses d'una determinada mida. L'objectiu és que aquest equip pugui ajudar l'empresa sobre tota la normativa que ha de complir.
En PIMEs o similars, és molt possible que aquesta figura sigui un Assessor o altres serveis externs. Però crec que a qualsevol empresa és fonamental que hi hagi un bon departament de compliance per entendre unes normes que cada vegada són més complexes, més difícils de comprendre per a una sola persona. De fet, una persona que estudia dret, no sabrà tota la normativa, en coneixerà una part únicament i se centrarà en aquesta part.
Per això crec que és important que als departaments de compliance hi hagi diversos professionals que ajudin l'empresa per complir amb la normativa des de diversos aspectes: Civil, Mercantil, Penal, Laboral, Blanqueig, Tributari… que els ajudin a tenir aquesta visió general de com complir amb la normativa que afecti la companyia.
P: Quin paper juga la tecnologia en l'automatització de processos de KYC i AML? Es pot ser compliant sense tecnologia?
R: La tecnologia, sobretot la Intel·ligència Artificial Generativa, crec que ajudarà moltíssim a què els departaments de compliance automatitzin molts processos. Estic pensant, per exemple, en processos d'identificació biomètrica dels clients, reconeixement facial, identificació de documents… És a dir, la IA està ajudant i ajudarà molt més a complir amb tots aquests procediments. Això farà que els departaments de compliance siguin més petits, però més eficients.
Ara bé, no tot es pot ni s'ha de fiar a la tecnologia. Cal tenir una supervisió per part dels responsables del departament per assegurar i verificar que el que està fent aquesta intel·ligència artificial és correcte.
Aleshores, es podria ser compliance sense tecnologia? Sí, es podria, però és molt més costós i menys eficient. Cal recolzar-se en les noves tecnologies per complir amb els objectius.
P: Quines recomanacions donaries a una empresa, subjecte obligat, que ha d'implementar processos de KYC i AML per complir amb la normativa?
R: Principalment, recomanaria que es recolzessin en eines que ajudessin a què els processos siguin eficients. I, per descomptat, que no descuidessin el compliment normatiu, perquè és importantíssim. Sobretot en AML i protecció de dades, el compliance és fonamental per a una bona relació amb els clients, no només amb l'administració.
P: Com s'equilibra el compliment normatiu amb una bona experiència d'usuari?
R: Cal que aprenguem dels nostres processos, per si hem de fer canvis. Hem d'orientar-los a millorar la usabilitat i que el client no se senti agreujat o molest per l'excés d'informació.
Hem de limitar la informació que sol·licitem al màxim, sempre complint amb la normativa, i a més, amb un procediment que sigui amistós amb el client.
P: Si parléssim de prevenció de blanqueig de capitals, quines són les "red flags" o senyals d'alerta més comunes a què les empreses han de prestar atenció?
E: Per a mi, les alertes més importants estan relacionades amb l'activitat o la nacionalitat del client. Hem trobat de vegades clients d'algun país que pot resultar sospitós, són evitats perquè el compliance amb ells pot ser més complicat i es podrien necessitar moltes més dades.
En el tema d'AML, hi ha moltes coses a afinar. Però com que depèn d'una normativa que no ve ni tan sols de la Unió Europea, que ve de més amunt, és complicat. El que es necessita és que tots els processos s'afinin de baix a dalt; que des de les empreses que es dediquen a prevenció del blanqueig de capitals, es detectin una sèrie de temes que poden provocar falsos positius, que de vegades passa, i que es comuniquin als organismes nacionals corresponents perquè, al seu torn, els elevin als fòrums internacionals com GAFI. Així crec que es pot refinar molt més el procés.
Moltes vegades veig que es demana molta documentació que, al meu criteri, no té gaire importància i poden derivar en falsos positius. Llavors, seria bo que aquestes incidències s'anessin comunicant de baix a dalt per afavorir sobretot el client.
P: És una casuística habitual en "real estate"…
R: Sí, parlava principalment d'això. M'ho he trobat principalment en banca, amb clients de zones de Rússia, Ucraïna o la Xina. Parlo d'anys enrere, del 2018 o així, quan ja em trobava amb aquests problemes de gent d'altres nacionalitats.
Aquesta gent possiblement vindria a treballar. I, malgrat no estar en cap llista negra o similar, però pel fet de la nacionalitat, per no haver de fer un compliance més profund i evitar riscos, es va preferir deixar de banda.
Jo crec que això s'ha de refinar molt més. Si ens centrem en criptomonedes, a més, veiem que els organismes internacionals tenen bastant desconeixement. De vegades es dona una adreça pública i un mateix compte pot generar infinites adreces públiques. És a dir, si jo en bloquego una, això no vol dir que a posteriori no se'n pugui generar una altra que no estigui en llista de vigilància dels Estats Units o altres organismes similars, i que no es pugui bloquejar sent de la mateixa persona.
El tractament s'ha de millorar, tant per a ells, per millorar-ne la vigilància; com per als clients. Potser a un client que ha fet transaccions amb aquesta persona amb el seu compte bloquejat, però hi ha el tercer a la cadena, se li pot impedir fer transaccions perquè ha operat amb aquest perfil bloquejat per qüestions de blanqueig.
Cal afinar molt i conèixer com funciona la part tècnica de les criptomonedes i creació d'adreces.
P: Sempre passa, que la tecnologia va per davant de la legislació.
R: Això cal tenir-ho en compte sempre: la tecnologia va molt més de pressa del que ho fa la legislació. Tot i que GAFI té molt bons coneixements sobre la part tècnica de les criptomonedes com Bitcoin, algunes vegades es queda enrere, potser per excés de precaució. Pot passar que en alguna ocasió, eines es considerin blanqueig de capitals. M'estic recordant del cas de Tornado Cash o Samourai Wallet.
Però realment estem condemnant persones que estan fent coses per millorar la seva privacitat, no només de cara a l'Estat, també a possibles actes contra ells mateixos, perquè aquest procediment es pot utilitzar en blanqueig de capitals, encara que no necessàriament sigui utilitzat per a això. Per exemple, un tornavís es pot utilitzar per collar cargols, però també es pot utilitzar per matar una persona. Això no vol dir que prohibim els tornavisos.
Per tant, cal fer un esforç per part dels organismes que dicten aquestes normatives anti-blanqueig per entendre el propòsit real d'aquestes eines. Que, encara que es puguin utilitzar de forma delictiva, no necessàriament tenen un objectiu delictiu.
És una cosa que també ha evolucionat en aquests últims anys respecte a les criptomonedes: empreses que es dediquen a la traçabilitat, com pot ser Chain Analysis, han arribat a la conclusió que els delictes que es detecten en criptomonedes, malgrat la mala publicitat que hi ha, són moltíssim menors dels que es creuen. Estem parlant de menys de l'1% de les transaccions que es realitzen.
Fins i tot, fa poc, una d'aquestes empreses va dir que la majoria de grups terroristes de l'Orient Mitjà ja no fan servir criptomonedes per la seva traçabilitat.
P: Quant d'important consideres que existeixi a les institucions una filosofia de "compliance first"?
R: Els processos de diligència deguda són importants. Encara que no siguem subjectes obligats, conèixer el nostre client i saber que no ens donarà cap mena de problema des del punt de vista legal, és important. És a dir, tenir la teva pròpia base de dades, molt ben controlada, amb informació de qui és, si es pot fer transaccions amb ell o si tindrem problemes amb tercers, per a mi és fonamental.
En altres empreses en què vaig treballar, fèiem procediments diguem laxos de diligència deguda. Solíem fer servir agències de qualificació o trucades a tercers per generar una fitxa de client. Feies una investigació per no tenir problemes des del punt de vista mercantil. Es feien i s'han de continuar fent.
Passa també en el cas d'adquisicions d'empreses: abans d'això, has de fer una diligència per saber si la companyia té deutes o similars. És un compliance laxo, no com el dels processos de KYC o AML, però també és compliance.
P: Finalitzem amb una mirada cap al futur: des del teu punt de vista i la teva experiència fins ara, com creus que evolucionaran les regulacions de KYC i AML en els propers anys, principalment en la seva relació amb criptomonedes i altres actius digitals?
A veure, el tema de la legislació d'AML ha de millorar moltíssim. Fins ara, la seva efectivitat davant de possibles delictes no està sent del tot satisfactòria. Es poden impedir delictes? Sí. Però des del meu punt de vista, hauria de canviar la percepció de les persones: que no se sentissin vigilades, que ho veiem molt en el tema cripto, i sí que ho veiéssim com una cosa necessària. Fins ara es veu com a vigilància i hauria de veure's més com una cosa enfocada tant a avantatges per al client com per a l'empresa.
Crec que és un repte important: impedir que agents maliciosos, però si és a costa de retallar llibertats als usuaris, crec que ens trobarem amb força resistència. Hem de trobar un equilibri entre la normativa i la llibertat de l'usuari. Que no és fàcil, eh? Però cal fer-ho. Per a això és fonamental l'educació.
També considero clau la seguretat de les bases de dades de compliance. Per a mi això és un repte important en les empreses, que aquestes BBDD només siguin visibles per a les empreses que les estan utilitzant i que la informació estigui encriptada en cas de qualsevol tipus de robatori o hackeig. Per què? Entre les normatives de AML i les normatives de protecció de dades, hi ha un equilibri que cal complir que és força complex en moltes ocasions. Cal veure en quina mesura es compleixen ambdues normatives sense que una o altra es vegi afectada.
Actualment, procediments de AML en bases de dades de diligència deguda podrien veure's afectats i tenir problemes amb la protecció de dades.
Didit News
José Antonio Bravo Mateu: “El compliance no ha de ser vigilància, sinó un avantatge per al client i l'empresa”
