BitPay pagará más de medio millón de dólares por transacciones sancionadas por la OFAC


OFAC anunció esta semana un acuerdo con BitPay, Inc., una empresa privada que ofrece una solución de procesamiento de pagos para que los comerciantes acepten moneda digital como pago de bienes y servicios.


BitPay acordó remitir unos US$ 508.000 para resolver su posible responsabilidad civil por 2,102 aparentes violaciones de múltiples programas de sanciones. BitPay permitió a las personas que parecen haber estado ubicadas en la región de Crimea de Ucrania, Cuba, Corea del Norte, Irán, Sudán y Siria realizaran transacciones con comerciantes en Estados Unidos y en otros lugares utilizando moneda digital en la plataforma de BitPay a pesar de que BitPay tenía información de ubicación, incluyendo direcciones de Protocolo de Internet (IP) y otros datos de ubicación, sobre esas personas antes de efectuar las transacciones.

Entre junio de 2013 y septiembre de 2018, BitPay procesó 2,102 transacciones en nombre de personas que, según las direcciones IP y la información disponible en las facturas, estaban ubicadas en jurisdicciones sancionadas (las «Infracciones aparentes»). Las violaciones aparentes están relacionadas con el servicio de procesamiento de pagos de BitPay, que permite a los comerciantes aceptar moneda digital como pago por bienes y servicios. Específicamente, BitPay recibió pagos en moneda digital en nombre de sus clientes comerciales de los compradores de esos comerciantes que estaban ubicados en jurisdicciones sancionadas, convirtieron la moneda digital en moneda fiduciaria y luego transmitió esa moneda a sus comerciantes.


Si bien BitPay verificó que sus clientes directos, los comerciantes, no estuvieran en la lista OFAC y realizó la debida diligencia para asegurarse de que no se encontraban en jurisdicciones sancionadas, BitPay no examinó los datos de ubicación que obtuvo sobre los compradores de estos negocios.


Específicamente, BitPay a veces recibía información sobre los clientes de esos comerciantes en el momento de la transacción, incluido el nombre, la dirección, la dirección de correo electrónico y el número de teléfono del comprador. A partir de noviembre de 2017, BitPay también obtuvo las direcciones IP de esos clientes de sus clientes. Sin embargo, el proceso de revisión de transacciones de BitPay no pudo analizar completamente estos datos de identificación y ubicación. Como resultado, los compradores que, según esos indicadores de información, estaban ubicados en Crimea, Cuba, Corea del Norte, Irán, Sudán y Siria pudieron realizar compras a comerciantes en Estados Unidos y en otros lugares utilizando moneda digital en la plataforma de BitPay.

Cálculo de multas y análisis de factores generales

La sanción monetaria civil máxima legal aplicable en este asunto es de aproximadamente US$ 620.000. El monto del acuerdo de US$ 507.375 refleja la consideración de la OFAC de los Factores Generales bajo las Pautas de Cumplimiento.

OFAC determinó que los siguientes son factores agravantes:

(1) BitPay no actuó con la debida precaución ni cumplió con sus obligaciones de cumplimiento de sanciones cuando permitió que las personas en jurisdicciones sancionadas realizaran transacciones con los comerciantes de BitPay utilizando moneda digital durante aproximadamente cinco años, a pesar de que BitPay tenía suficiente información para evaluar a esos clientes; y

(2) BitPay transmitió un total de US$ 128,582.61 en beneficio económico a personas en varias jurisdicciones sujetas a sanciones de la OFAC, lo que dañó la integridad de esos programas de sanciones.

OFAC determinó que los siguientes son factores atenuantes:

(1) BitPay había implementado ciertos controles de cumplimiento de sanciones ya en 2013, incluyendo la debida diligencia y el control de la lista de sanciones para sus clientes comerciales, y formalizó su programa de cumplimiento de sanciones en 2014;

(2) BitPay dejó en claro en su capacitación a todos los empleados, incluida la alta dirección, que BitPay prohibía comerciantes de Cuba, Irán, Siria, Sudán, Corea del Norte y Crimea, así como el comercio con personas y entidades sancionadas;

(3) BitPay es una pequeña empresa que no ha recibido un aviso de penalización o un hallazgo de infracción de la OFAC en los cinco años anteriores a la fecha de la primera infracción aparente;

(4) BitPay cooperó con la investigación de la OFAC sobre estas aparentes violaciones; y

(5) BitPay ha manifestado que ha terminado la conducta que condujo a las violaciones aparentes y ha tomado las siguientes medidas destinadas a minimizar el riesgo de que se repita una conducta similar en el futuro:

• Bloquear direcciones IP que parecen originarse en Cuba, Irán, Corea del Norte y Siria para que no se conecten al sitio web de BitPay o vean instrucciones sobre cómo realizar el pago;

• Verificar direcciones físicas y de correo electrónico de los compradores de los comerciantes cuando las proporcionen los comerciantes para evitar que se complete una factura del comerciante si BitPay identifica una dirección de jurisdicción o un dominio de una jurisdicción sancionada; y

• Lanzamiento de «BitPay ID», una nueva herramienta de identificación de clientes que es obligatoria para los clientes de sus clientes que desean pagar una factura de BitPay igual o superior a US$ 3.000. Como parte de la identificación de BitPay, el cliente del comerciante debe proporcionar una dirección de correo electrónico, una prueba de identificación / identificación con foto y una foto de selfie.

(6) Como parte de su acuerdo con OFAC, BitPay se ha comprometido a continuar con la implementación de estos y otros compromisos de cumplimiento.

Consideraciones de cumplimiento

Esta medida destaca que las empresas involucradas en la prestación de servicios de moneda digital, como todos los proveedores de servicios financieros, deben comprender los riesgos de sanciones asociados con la prestación de servicios de moneda digital y deben tomar las medidas necesarias para mitigar esos riesgos. Las empresas que facilitan o participan en el comercio en línea o procesan transacciones utilizando moneda digital son responsables de garantizar que no se involucren en transacciones no autorizadas prohibidas por las sanciones de OFAC, como tratos con personas o propiedades bloqueadas, o participar en transacciones comerciales o relacionadas con inversiones prohibidas.

Para mitigar dichos riesgos, los administradores, intercambiadores y otras empresas involucradas en el uso de monedas digitales deben desarrollar un programa de cumplimiento de sanciones personalizado y basado en el riesgo. El Framework for OFAC Compliance Commitments de OFAC señala que cada programa de cumplimiento de sanciones basado en el riesgo variará según una variedad de factores, incluido el tamaño y la sofisticación de la empresa, los productos y servicios, los clientes y las contrapartes, y las ubicaciones geográficas, pero se debe basar e incorporar al menos cinco componentes esenciales del cumplimiento:

(1) compromiso de la gerencia;

(2) evaluación de riesgos;

(3) controles internos;

(4) pruebas y auditorías; y

(5) entrenamiento.

Dentro de ese marco, esta acción de cumplimiento enfatiza la importancia de analizar toda la información disponible, incluidas las direcciones IP y otros datos de ubicación de clientes y contrapartes, para mitigar los riesgos de sanciones en relación con los servicios de moneda digital.