27.03.2023

Áreas de Prática: Financeiro

Banco de Portugal emite aviso sobre prevenção do branqueamento de capitais na negociação de ativos digitais

A. Contexto do Aviso

As entidades que exercem atividades com ativos virtuais são reguladas e supervisionadas para efeitos de prevenção do branqueamento de capitais e do financiamento do terrorismo (“BCFT”), encontrando-se adstritas ao cumprimento dos deveres preventivos de BCFT, nos termos da Lei n.º 83/2017, de 18 de agosto, com as alterações introduzidas pela Lei n.º 58/2020, de 31 de agosto. Ao que acresce, a Lei n.º 97/2017, de 23 de agosto, que regula a aplicação e a execução de medidas restritivas.

Assim, o Banco de Portugal vem, na atribuição dos poderes conferidos pela Lei, através do Aviso n.º 1/2023, de 24 de janeiro (o “Aviso”), estabelecer os aspetos necessários a assegurar o cumprimento dos deveres preventivos do branqueamento de capitais e do financiamento do terrorismo no âmbito da atividade das entidades que exercem atividades com ativos virtuais.

Neste sentido, o Banco de Portugal procura auxiliar as entidades sujeitas à sua supervisão no cumprimento dos deveres de BCFT a que estão adstritas, procedendo à definição, densificação e implementação das políticas e dos procedimentos e controlos necessários para dar cumprimento aos deveres previstos na LBCTF.

Por fim, este Aviso procedeu ainda à alteração do Aviso do Banco de Portugal n.º 1/2022, de 6 de junho, apenas no concernente a elementos muito circunscritos que decorrem da necessidade de retificar aspetos muito pontuais ou de conformar o modo como as entidades financeiras se devem relacionar com as entidades que exercem atividades com ativos virtuais.

B. A quem se aplica?

O Aviso é aplicável a entidades que exercem atividades com ativos virtuais (doravante “Entidades”), que atuem em território nacional, em nome ou por conta de um cliente, registadas junto do Banco de Portugal, nos termos do artigo 112.º-A da Lei n.º 83/2017, de 18 de agosto.

Consideram-se como Entidades que exercem atividades com ativos virtuais as entidades que exerçam, pelo menos, uma das atividades económicas com ativos virtuais constantes na alínea mm) do n.º 1 do artigo 2.º da Lei n.º 83/2017, de 18 de agosto, a saber:

Serviços de troca entre ativos virtuais e moedas fiduciárias;
Serviços de troca entre um ou mais ativos virtuais;

Serviços por via dos quais um ativo virtual é movido de um endereço ou carteira (wallet) para outro (transferência de ativos virtuais); e

Serviços de guarda ou guarda e administração de ativos virtuais ou de instrumentos que permitam controlar, deter, armazenar ou transferir esses ativos, incluindo chaves criptográficas privadas.

Deste modo, se uma entidade exercer atividades com ativos virtuais, e estas não constarem das previsões da alínea mm), poderá concluir-se que não se encontrará sujeita aos deveres de prevenção de branqueamento de capitais e de financiamento do terrorismo.

À luz do artigo 6.º, n.º 4 da Lei n.º 83/2017, considera-se que exercem atividades com ativos virtuais em território nacional as seguintes pessoas ou entidades:

As pessoas coletivas ou entidades equiparadas a pessoas coletivas constituídas em Portugal para o exercício de atividades com ativos virtuais;
As pessoas singulares, as pessoas coletivas e outras entidades com domicílio em Portugal que exerçam atividades com ativos virtuais ou que disponham de estabelecimento situado em território português através do qual exerçam atividades com ativos virtuais;
As demais pessoas singulares ou entidades que, em razão do exercício de atividades com ativos virtuais, devam apresentar declaração de início de atividade junto da Autoridade Tributária e Aduaneira.

Neste sentido, conforme vem sendo reafirmado pelo entendimento do supervisor, o registo junto do Banco de Portugal implica o estabelecimento de uma operação efetiva sediada em território português, e não o mero exercício de operações transfronteiriças com captação de clientes em Portugal a partir do estrangeiro.

C. A partir de quando?

O Aviso entrará em vigor no dia 15 de julho de 2023, com exceção do recurso à videoconferência enquanto procedimento alternativo de comprovação dos elementos identificativos, nos termos previstos no Anexo I ao referido Aviso, que terá aplicabilidade imediata.

D. Quais são as principais obrigações para as Entidades que exercem atividades com ativos virtuais?

As Entidades que exercem atividades com ativos virtuais estão sujeitas a vários deveres preventivos, entre os quais se destacam os seguintes:

Dever de controlo

As Entidades devem assegurar a existência de uma função de controlo do cumprimento normativo em matéria de prevenção de BCFT, devendo para tal designar um responsável pelo cumprimento normativo (“RCN”), que deverá garantir:

A definição e aplicação efetiva das políticas e dos procedimentos e controlos adequados à gestão eficaz dos riscos de BCFT a que esteja ou venha a estar exposta;
O cumprimento das normas legais e regulamentares em matéria de prevenção do BCFT.

As funções supra referidas deverão estar segregadas das atividades que monitorizam e controlam, salvo se o seu número de colaboradores for inferior a 6 e os proveitos operacionais no último exercício económico sejam inferiores a € 1.000.000,00, em conformidade com o artigo 3.º.

Sem prejuízo da nomeação de um responsável pelo cumprimento normativo, cujas competências constam do artigo 5.º, acresce que a Entidade deverá atribuir o pelouro da prevenção do BCFT a um membro executivo do órgão de administração, nos termos do artigo 4.º. Este novo requisito parece vir alargar o disposto no artigo 13.º da Lei n.º 83/2017, de 18 de agosto, que confere às entidades supervisão o poder de exigir a designação de um membro do órgão de administração como responsável pela execução do quadro normativo de deveres na área de BCFT, “sempre que adequado”. Com o Aviso n.º 1/2023, o Banco de Portugal vem alargar esse encargo a todas as entidades que exercem atividades com ativos virtuais.

Qualquer alteração superveniente na organização das Entidades com repercussões nesta matéria deverá ser atempadamente comunicada ao Banco de Portugal.

Dever de gestão de riscos

Na identificação dos riscos deverão ser tidos em consideração os aspetos específicos de gestão de riscos previstos no artigo 7.º, sendo de destacar os seguintes:

Quais os tipos de ativos virtuais a serem disponibilizados e as respetivas características;
Emitente de cada ativo virtual disponibilizado;
Valor total dos ativos virtuais disponibilizados;
Execução de transferências de ativos virtuais com origem em, ou destino a, endereços auto-alojados (self-hosted addresses);
Natureza e escopo de cada canal de distribuição utilizado.

As Entidades deverão considerar as situações de risco potencialmente mais reduzido e ainda as situações de risco potencialmente mais elevado, agora enumeradas nos Anexos II, III e IV do Aviso.

As políticas, procedimentos e controlos de gestão de risco deverão encontrar-se atualizadas, devendo ser elaboradas com recurso a fontes de informação idóneas, credíveis e diversificadas, sendo monitorizadas anualmente de forma independente.

Deverão ser adotados os seguintes procedimentos e sistemas de informação em geral:

Adoção de ferramentas que consolidem os registos relativos a relações de negócio, transações ocasionais ou operações;
Adoção de ferramentas que filtrem os endereços ou carteiras (wallets) detidos ou associados a clientes contra as listas “negras” (black lists) de entidades, endereços ou carteiras (wallets);
Adoção de ferramentas que permitam detetar a utilização de tecnologias que permitam ofuscar a identidade ou a localização, incluindo através do uso de “mixers”, “tumblers” ou “anonymizers”, ou serviços de VPN;
Adoção de ferramentas de rastreio de endereços de protocolo de internet (IP).

Dever de identificação e diligência – medidas normais

As Entidades deverão observar os procedimentos de identificação e diligência sempre que (i) estabeleçam relações de negócio ou (ii) efetuem transações, independentemente de a transação vir a ser realizada através de uma única operação ou de várias operações aparentemente relacionadas entre si que constituam uma transação executada no âmbito de ativos virtuais sempre que o montante exceda os € 1.000,00 (mil euros).

No âmbito dos deveres de identificação e diligência, as Entidades poderão recorrer a medidas normais, simplificadas e reforçadas, consoante o nível de risco de branqueamento de capitais e de financiamento de terrorismo em causa.

Nesta matéria, deverão ser obtidos os elementos identificativos dos clientes e dos seus representantes através dos meios comprovativos estabelecidos no artigo 21.º do Aviso. A este título, o n.º 6 do artigo 21.º do Aviso consagra a possibilidade de recurso à videoconferência como procedimento alternativo de comprovação dos elementos identificativos, nos termos previstos no Anexo I ao Aviso.

Deverão, também, nos termos do artigo 22.º do Aviso, recolher ao meios comprovativos da identificação dos beneficiários efetivos, por conta de quem os clientes estejam a atuar ou que, em última instância, controlem os clientes.

Em complemento com estes procedimentos de identificação, deverão ainda proceder à:

Obtenção de informação sobre a finalidade e natureza da relação de negócio (artigo 23.º do Aviso);
Obtenção de informação sobre a origem e o destino dos fundos e dos ativos virtuais, (artigo 24.º do Aviso);
Manutenção de um acompanhamento contínuo da relação de negócio (artigo 25.º do Aviso).

De referir ainda, que as Entidades apenas poderão iniciar uma relação de negócio quando estiverem cumpridos, cumulativamente, os requisitos do artigo 26.º, n.º 1 do Aviso, a que correspondem, nomeadamente, os elementos identificativos das partes e os respetivos comprovativos.

Por último, releva mencionar que as Entidades poderão adaptar a natureza e a extensão dos procedimentos de verificação da identidade e de diligência em função dos riscos associados à relação de negócio ou à transação ocasional, sendo que sempre que se justifique um acrescido grau de conhecimento do cliente, do seu representante ou do beneficiário efetivo, as entidades deverão solicitar informação ou elementos adicionais e um nível de comprovação superior dos mesmos.

o Dever de identificação e diligência – medidas reforçadas

A respeito das medidas reforçadas, cabe aludir ao artigo 32.º do Aviso, que dispõe sobre as medidas reforçadas a adotar numa situação de risco acrescido associado a um produto, serviço, operação ou canal de distribuição. As entidades deverão adotar medidas reforçadas sempre que estejam em causa produtos, serviços ou a operações que:

a) De algum modo se relacionem com:

i. Ativos virtuais suscetíveis de oferecer um maior nível ou garantia de anonimato (“anonimity enhanced coins”- AECs ou “privacy coins”);

ii. Serviços de anonimização das transações com ativos virtuais, incluindo através do uso de “mixers”, “tumblers” ou “anonymizers” ou de serviços de rede privada virtual (VPN);

b) Envolvam a utilização de caixas automáticos para troca entre ativos virtuais e numerário;

c) Envolvam a utilização ou a aceitação de pagamentos em numerário, moeda eletrónica anónima, incluindo com recurso a instrumentos pré-pagos anónimos.

Caso uma Entidade disponibilize carteiras jumbo (omnibus wallet) na sua atividade, uma matéria anteriormente não regulada autonomamente, esta deverá garantir a rastreabilidade de qualquer operação de ou para aquela carteira, em termos que permitam a identificação da origem e do destino dos ativos virtuais subjacentes a cada operação, sempre que necessário.

No caso das pooled wallets, fica clarificado que as Entidades deverão sempre tratar como beneficiários efetivos os clientes do titular de uma pooled wallet, adotando medidas de identificação e verificação da identidade proporcionais ao risco identificado.

E. Quais são as regras para as transferências de ativos virtuais?

O Aviso define um conjunto de regras para o envio e receção de transferências de ativos virtuais, bem como, para as transferência de ativos virtuais com origem em, ou destino a, endereços auto-alojados (self-hosted addresses).

Assim, no âmbito do envio de transferências, dispõe o artigo 37.º a entidade que exerce atividades com ativos virtuais exigirá aos seus clientes a prestação das informações necessárias por forma a que a transferência possa ser executada, nomeadamente, a identificação das partes, o endereço de registo distribuído (em caso de utilização de rede de registo distribuído), o número interno de identificação da carteira do cliente ou o identificador único de transação, e ainda, no caso do ordenante, a morada, número do documento de identificação oficial e o número de identificação de cliente.

As informações supra não terão de ser incluídas na transferência, desde que, sejam disponibilizadas anteriormente à entidade que exerce atividades com ativos virtuais, devendo a mesma garantir que as informações facultadas são credíveis.

Ora, no caso das transferências de ativos virtuais recebidas por conta de um cliente, as Entidades deverão proceder ao acompanhamento das transferências e implementar os procedimentos necessários a detetar se as informações necessárias exigidas para processar a transferência a acompanham, devendo, antes de disponibilizar os ativos virtuais ao beneficiário, verificar se as os documentos que atestam as fontes de informação são credíveis.

Na eventualidade das informações não serem credíveis ou serem omissas, a Entidade deverá rejeitar a transferência ou exigir as informações em falta, por forma que possa disponibilizar os ativos virtuais ao beneficiário.

O facto de a Entidade não prestar as informações necessárias no âmbito das transferências realizadas, com regularidade, gera uma obrigação de denúncia ao Banco de Portugal.

No caso de transferência de ativos virtuais com origem em, ou destino a, endereços auto-alojados (self-hosted addresses), deverão ser respeitadas todas as regras de disponibilização de informação e acompanhamento da transferência referidas anteriormente, a que acrescerão a adoção de medidas reforçadas consoante o risco da operação.

F. Existem deveres acrescidos para as entidades abrangidas nas relações de negócio com as entidades estrangeiras que exercem atividades com ativos virtuais?

Sim. As entidades nacionais que exercem atividades com ativos virtuais estão adstritas à aplicação de um conjunto de medidas reforçadas nas relações de negócio com entidades equivalentes que tenham a sua sede no estrangeiro.

Deste modo, para além dos procedimentos normais de identificação deverá ser recolhida informação suficiente sobre as entidades estrangeiras correspondentes, por forma a apurar o seguinte:

Natureza da atividade e riscos;
Avaliação da reputação e qualidade;

Avaliação crítica das políticas e procedimentos de branqueamento de capitais e financiamento do terrorismo;

Aprovação da direção de topo antes da celebração de qualquer relação de negócio;
Elaboração de documento escrito com a identificação das responsabilidades das partes.

Para determinar o risco associado à relação de negócio o Aviso determina um conjunto de critérios de análise, entre eles a jurisdição de bases das entidades, a verificação de registo e autorização da entidade estrangeira para a execução de atividades com ativos virtuais e a estrutura de gestão e controlo das mesmas, incluindo os beneficiários efetivos.

Acrescerão outros critérios para a determinação do risco associado à relação de negócio, entre eles a presença de pessoas politicamente expostas na estrutura, a reputação, base de clientes e o segmento de mercado alvo da referida entidade.

O estabelecimento de qualquer relação de negócio com as referidas entidades estará sempre dependente do parecer prévio do responsável pelo controlo normativo, encontrando-se as operações praticadas no âmbito da relação de negócio sujeitas a uma monitorização reforçada.

G. Quais são as regras para a subcontratação?

A subcontratação de processos, serviços ou atividades, é da inteira responsabilidade da Entidade que exerce atividades com ativos virtuais, ficando limitada pelo Aviso a determinadas atividades operacionais (cfr. Artigo 16.º do Aviso).

Assim, a subcontratação de terceiros não será possível nas seguintes atividades:

A aprovação das políticas, dos procedimentos de controlos e revisão;
A aprovação do modelo de gestão de risco;

A definição de elementos caracterizadores ou indicadores para deteção de condutas, atividades ou operações não habituais ou potencialmente suspeitas.

As referidas limitações serão também aplicáveis a entidades que integrem o mesmo grupo.

O processo de subcontratação encontrar-se-á dependente de parecer prévio do responsável pelo cumprimento normativo e da redução a escrito do contrato entre a Entidade subcontratante e a sua subcontratada.

H. É possível subcontratar uma entidade terceira para executar procedimentos de identificação e diligência?

Sim. A execução dos procedimentos de identificação e diligência pode ser realizado por uma entidade terceira, desde que esta seja:

i) Uma entidade financeira;

ii) Uma entidade de natureza equivalente à das entidades financeiras com sede no estrangeiro;

iii) Uma sucursal das entidades financeiras, estabelecida em território nacional ou no estrangeiro;

iv) Uma entidade que exerça atividades com ativos virtuais ou entidade de natureza equivalente.

Contudo, encontra-se vedada a subcontratação de entidades que estejam estabelecidas em países que impeçam ou proíbam o cumprimento das normas legais em matéria de prevenção de branqueamento de capitais e do financiamento do terrorismo, incluindo ao nível da prestação e circulação de informação.

I. Existem outros deveres para as entidades que exerçam a sua atividade com ativos virtuais?

Sim. As entidades que exercem a sua atividade com ativos virtuais encontram-se adstritas a um conjunto de deveres relacionados com o BCFT, conforme determinado pela Lei n.º 83/2017, de 18 de agosto e agora densificados pelo Aviso:

Dever de recusa;
Dever de conservação;
Dever de exame;
Dever de não divulgação;
Dever de formação.

A estes acresce o dever de elaboração anual de um relatório que contenha a descrição dos canais específicos, independentes e anónimos, que internamente asseguram a receção, o tratamento e o arquivo das comunicações de irregularidades (cfr. artigo 17.º do Aviso).

J. Como podemos ajudar?

A Abreu Advogados tem ampla experiência no acompanhamento de processos de registo de entidades que exercem a sua atividade com ativos virtuais junto do Banco de Portugal. Nesse âmbito, temos assessorado na definição de políticas e procedimentos relativos a todos o tipo de riscos, incluindo o risco operacional, bem como, em matérias de prevenção de branqueamento de capitais e financiamento de terrorismo e compliance.

Para além disso, temos experiência na gestão do risco de outsourcing e na modelação de políticas de segurança de informação adaptadas aos mais exigentes standards internacionais, como a norma ISO 27001.

Temos uma equipa multidisciplinar que conjuga competências de Direito Financeiro e TMT e que é especializada em tecnologias emergentes, e que poderá auxiliar na implementação de soluções compatíveis com o presente Aviso que se traduzam num valor acrescentado para o negócio dos clientes.

DOWNLOAD PDF

Thinking about tomorrow? Let's talk today.

Diogo Pereira Duarte

Sócio

Isabel Pinheiro Torres

Advogada Principal

João Diogo Barbosa

Associado

Rafael Silva Teopisto

Associado

Mafalda Santos Cordeiro

Advogada Estagiária

Conhecimento

24 Abr 2024

Abreu

Jobchain obtém autorização do Banco de Portugal como Prestadora de Serviços de Ativos Virtuais

16 Abr 2024

Imprensa

Em entrevista, Diogo Pereira Duarte aborda o lançamento de obra sobre inovação no setor financeiro

15 Abr 2024

Abreu

Abreu Advogados assina “Fintech 2024” no Chambers Global Practice Guide

12 Abr 2024

Abreu

Abreu Advogados apresenta livro sobre inovação no setor Financeiro em Moçambique

Ver Mais

Cookie	Duração	Descrição
cookielawinfo-checkbox-analiticos	1 ano	Colocado pelo plugin GDPR Cookie Consent para armazenar o consentimento do utilizador para cookies na categoria de cookies "Analíticos".
cookielawinfo-checkbox-funcionais	1 ano	Colocado pelo plugin GDPR Cookie Consent para armazenar o consentimento do utilizador para cookies na categoria de cookies "Funcionais".
cookielawinfo-checkbox-necessarios	1 ano	Colocado pelo plugin GDPR Cookie Consent para armazenar o consentimento do utilizador para cookies na categoria de cookies "Necessários".
cookielawinfo-checkbox-publicidade	1 ano	Colocado pelo plugin GDPR Cookie Consent para armazenar o consentimento do utilizador para cookies na categoria de cookies de "Publicidade".
CookieLawInfoConsent	1 ano	Guarda o estado predefinido do botão da categoria e estado de CCPA correspondentes. Funciona apenas em conjunto com a cookie primária.
PHPSESSID	sessão	Este cookie é nativo a aplicações PHP. O cookie é usado para guardar e identificar o ID da sessão exclusiva do utilizador, para gerir a sessão do utilizador no website. Este cookie é um cookie de sessão e é eliminado quando todas as janelas do navegador são fechadas.
viewed_cookie_policy	1 ano	Colocado pelo plugin GDPR Cookie Consent, guarda se o cookie banner foi apresentado e visualizado pelo utilizador.
wp-wpml_current_language	sessão	Cookie do plugin “WPML” que guarda a língua actual do website.

Cookie	Duração	Descrição
_ga	2 anos	Instalado pelo Google Analytics, calcula dados do visitante, sessão e de campanhas e monitoriza a utilização do website para o seu relatório analítico.
_gat_gtag_UA_4754890_23	1 minuto	Colocado pela Google a fim de distinguir utilizadores.
_gid	1 dia	Colocado pelo Google Analitics, o cookie _gid armazena informação sobre como é que os visitantes utilizam o website, enquanto também cria um relatório analítico da performance do website. Alguma da informação recolhida incluí o número de visitantes, a sua origem e as páginas que vistam anonimamente.