La paradoja de potenciar la privacidad del usuario en las finanzas descentralizadas mientras se cumplen los requisitos reglamentarios de verificación de identidad es el desafío definitorio para pasar a la próxima era de blockchain y criptografía. Incluso pesos pesados como a16z y Chainlink opinaron recientemente sobre soluciones teóricas que son incongruentes con las leyes existentes sobre cómo no cargar a los proyectos DeFi con la retención de información de identificación de los usuarios, mientras se cumplen de manera verificable las leyes de las tierras. Hay una solución práctica, más allá de las teorías, que se puede implementar hoy.
Después de que los usuarios perdieran miles de millones de dólares en puentes de DeFi y cantidades desconocidas de lavado de dinero que pasaban a través de esos protocolos, los días del salvaje oeste de DeFi terminaron y los reguladores en todas las jurisdicciones importantes determinaron que DeFi debe implementar un cumplimiento real, no solo un front-end KYC o un NFT que acredite que una billetera no está involucrada en el lavado de dinero, los proyectos DeFi deben hacer o comprar un conjunto completo de herramientas de cumplimiento, incluidas políticas, informes, calificación de riesgo y actividades de monitoreo. Esta es una píldora difícil de tragar para muchos, pero los reguladores están diciendo, planificando y legislando que las actividades de los proyectos DeFi (DEX específicamente) serán reguladas. Ignorar felizmente si están involucrados en tales actividades, o no saber si deben estar registrados o autorizados, no impide que los jugadores de DeFi tengan que cumplir con estas leyes, solo significa que los reguladores simplemente no las han aplicado ni procesado. ¡todavía!
Sin embargo, existe una solución para que los proyectos DeFi adapten y evolucionen sus modelos sin comprometer sus principios DeFi de control del usuario, seudónimo y no almacenar información de identidad.
Si se están llevando a cabo actividades de transferencia de valor, entonces, según la ley actual en Europa, EE. UU., Japón, Singapur y la mayoría de las demás jurisdicciones modernas, la entidad facilitadora, ya sea financiera tradicional o DeFi, está obligada a implementar un régimen de cumplimiento. La necesidad de cumplimiento es una determinación binaria: “sí, necesita cumplimiento” o “no, no necesita cumplimiento”. En pocas palabras, la entidad está involucrada en lo que los reguladores consideran una transacción regulada, o no lo está. Presionar la gobernanza para que cientos de votantes determinen el destino del protocolo (es decir, un DAO), o incluso lanzar contratos inteligentes inmutables y no actualizables en cadenas públicas no liberará a nadie de esta obligación ni de la ira potencial de las agencias de cumplimiento. La descentralización de la gobernanza puede o no ayudar a que el “token de gobernanza” de un proyecto no se clasifique como un producto de seguridad o inversión, pero no elimina las obligaciones de verificación de identidad, AML, KYC, monitoreo continuo, calificación de riesgo, etc. Es decir, mover todo a una DAO podría crear una pequeña laguna para la prueba de Howie (generalmente un intento de demostrar que no existe una gestión en la que los inversores confíen para la apreciación del activo), pero la descentralización de la gobernanza no elimina la carga de los beneficiarios reales finales (UBO, por sus siglas en inglés) o de aquellos que cobran las ganancias por hacer el cumplimiento. En pocas palabras, el hecho de que nadie esté a cargo (es decir, la comunidad/red) no significa que nadie sea responsable. En el borrador reciente de MiCA del parlamento europeo, los DAO se consideran “entidades”, e incluso la capacitación básica de ALD hace referencia al concepto de que si ninguna persona posee más del 25% de la entidad, entonces los UBO, la alta gerencia o la persona de mayor influencia es culpable de la conducta de la entidad. Entonces, si bien la DAO puede buscar descentralizar la toma de decisiones, los reguladores aún centralizarán el cumplimiento y la aplicación para garantizar la transparencia y la responsabilidad.
Verificación de identidad humana y única en The Core
El núcleo del cumplimiento es la verificación de identidad. Específicamente, las entidades/jugadores de DeFi necesitan saber con qué ser humano único de los 8 mil millones en el planeta están estableciendo una relación, y que esta pieza de carbono sensible y viva específica tiene ciertos derechos y obligaciones legales, no qué credencial, ZKP. , o NFT que podría representar en una miríada de billeteras (es decir, no solo que el usuario no está en una lista, sino que necesita saber que en realidad es Marc Andreesen, viviendo en “no voy a engañarlo” en Malibu o Atherton) . Además de la verificación de identidad básica, los requisitos de identidad pueden incluir KYC, AML, CFT, PEP, sanciones, etc. Es decir, el orden mundial existente, que sigue las pautas del GAFI, exige que las actividades de transferencia estén abiertas solo para aquellos que no están lavando dinero. , financiación del terrorismo, etc. Tenga en cuenta que el seudónimo está permitido, pero el anonimato no supera ciertos umbrales; los sistemas como Everest están codificados para garantizar el anonimato por debajo de los umbrales, codificando leyes en contratos inteligentes. En resumen, todas las DeFi deberán responder a los reguladores y socios que conocen y tienen una relación con el persona humana única utilizando los servicios. Y esa es la punta del iceberg para el cumplimiento. Dado que las billeteras son las primitivas para las transacciones en cadenas en el 99% de las arquitecturas, y las billeteras no son humanos ni identidades, el mercado tendrá un duro despertar.
Además de la necesidad de verificación de identidad, la entidad que participe o facilite las actividades de transferencia de valor también debe realizar lo siguiente:
· Monitoreo continuo del usuario (no solo su billetera, sino también el uso de dinero fiduciario y criptográfico del usuario)
· Calificación de riesgo del usuario
· Calificación de riesgo de la(s) transacción(es), especialmente a lo largo del tiempo
· Informar periódicamente
· Sistemas y políticas para marcar/atrapar transacciones sospechosas y enviarlas a socios y reguladores (STR, SAR)
· Capacidades de congelación de BSA y cuenta/billetera
· Almacenamiento de registros de transacciones y documentos
· Licencia o registro para realizar dichas actividades, y probables políticas de seguros, ciberseguridad y protección al consumidor, reglas de gobierno interno + auditorías, etc.
Cumplimiento de hacer vs comprar
Los DEX, por ejemplo, deberán cumplir con lo anterior y se verán obligados a tomar una decisión de Hacer vs. Comprar para un paquete de cumplimiento completo. Si “hacen”, no solo necesitarán una plétora de capacidades dispares que el 99% de ellos actualmente no posee, sino que también estarán en la incómoda posición de tener datos de identidad del usuario; una posición que ellos De Verdad no quiero participar. Esta no es una solución viable para los jugadores de DeFi, ya que es costosa y rompe el contrato social fundamental con los usuarios.
La alternativa es “comprar”, resolviendo el problema de que DeFi no almacena datos de identidad del usuario, o incluso no sabe nada sobre el usuario. Sin embargo, existen opciones limitadas en el mercado, ya que la subcontratación de un conjunto completo de actividades de cumplimiento requiere que el proveedor de cumplimiento como servicio sea y entregue lo siguiente:
(a) estar sujeto a las mismas leyes, reglamentos, informes, protecciones y almacenamiento que el DEX (es decir, un proveedor de software no será suficiente; debe ser una entidad regulada/con licencia),
(b) ejecutar un programa continuo de monitoreo y calificación de riesgo,
(c) tener un contrato firmado de buena fe que incluya almacenamiento de datos en línea con GDPR y requisitos jurisdiccionales regionales sobre transacciones, soluciones, SLA y SOP sobre respuestas de reguladores, informes, etc.
Nuevamente, a16z y Chainlink describieron arquitecturas teóricas sobre cómo se puede lograr esto, pero ambas teorías requieren un “tercero de confianza” que el gobierno/regulador autorice para ser el custodio de dichos datos de identidad y/o claves. Específicamente, dentro de la propuesta de Chainlink, el gobierno tendría claves y se comprometería con el tercero teórico con una solicitud válida, y con la combinación de claves podría ver los datos del usuario. En la actualidad, todos los gobiernos imponen obligaciones y costos de cumplimiento a las entidades autorizadas y reguladas. No están interesados ni planean tener claves para verificar algún custodio de identidad externo mítico y proveedor de cumplimiento. Los gobiernos/reguladores no necesariamente confían en las entidades reguladas, razón por la cual las jurisdicciones de primer nivel imponen auditorías, controles y balances de terceros y otras medidas para garantizar, por ejemplo, que los datos de identidad de los usuarios no estén expuestos. Dado que estas entidades con licencia y reguladas deben cumplir con las reglas de cumplimiento y están sujetas a las mismas leyes que los proyectos DeFi, entonces el candidato ideal para ser esta entidad mítica y teórica es un custodio de criptomonedas con licencia. Sin embargo, casi todos los custodios de criptomonedas son bolsas y mesas de negociación que no tienen ningún interés en asumir la responsabilidad de cumplimiento de los competidores potenciales. Además, el mercado requiere un custodio con licencia que cumpla con el RGPD (o equivalente) para salvaguardar los datos de los usuarios, que pueda procesar el mínimo de verificación de identidad legalmente requerida y que conserve dichos datos en nombre de los jugadores de DeFi, solo pasando el proyecto o DEX un ZKP (no los datos del usuario) que prueba que la billetera está aprobada para varios servicios, preservando así la privacidad de los usuarios. Este custodio autorizado asume la carga de la calificación de riesgo de transacción, calificación de riesgo de usuario, evaluación, informes, BSA, almacenamiento, etc. en nombre del proyecto DeFi. En este escenario, el proyecto DeFi se libera de las cargas de costo, tiempo, molestias, conocimiento de los usuarios, etc. del cumplimiento y se enfoca en su negocio principal, mientras se mantiene fiel a sus usuarios y valores.
La solución es Everest, un custodio de criptografía con licencia que adjunta una identidad humana única a las direcciones de billetera, cumple con GDPR y MLD5, e implementó una calificación de riesgo configurable, informes y monitoreo continuo automatizado de soluciones criptográficas y fiduciarias… todo mientras permite a los usuarios para compartir granularmente (o no) varios reclamos y credenciales, incluido el estado KYC. Con Everest, los usuarios pueden tener monederos anónimos para servicios no regulados, otros monederos con reputación para juegos y redes sociales, otros para votar y otros monederos con KYC para servicios regulados. En este paradigma, las billeteras funcionan como personas seudónimas o anónimas en el caso de billeteras conectadas. Además, Everest aseguró cuentas fiduciarias en todo el mundo y puede incorporar usuarios a nivel mundial con una evaluación integrada, lo que permite que los proyectos DeFi cumplan con las normas y permitan a sus usuarios comprar/vender con fiat o criptomonedas, con cualquier nivel de cumplimiento que requiera la jurisdicción. Además, Everest fue el primero en lanzar un ZKP interactivo para el estado KYC, lo que permite a los proveedores de DeFi recibir tokens INFO (721) con nada más que una confirmación/marca de verificación (pero aún anclados en una identidad humana única); si DeFi quiere más información del usuario, puede solicitarla, lo que le permite compartir el documento o los datos, o no. Y cuando es necesario implementar un informe de transacción sospechosa o una política de BSA, Everest asume esa responsabilidad en nombre de sus socios DeFi.
A medida que avanzamos hacia la próxima era de DeFi, el sector requerirá soluciones críticas que resuelvan la paradoja de preservar la privacidad del usuario mientras se mantiene el cumplimiento. La solución de Everest está en una posición única para llevar a DeFi a esta próxima etapa de adopción del mercado masivo.
