Criptomonedas y ciberseguridad.

Reflexiones sobre la situación regulatoria en el país, con motivo de una

reciente decisión del Tribunal Superior de Nueva Zelanda

Demarco, Guido

Publicado en: LA LEY 15/05/2020 , 7

Sumario: I. Introducción.— II. "Ruscoe vs. Cryptopia Ltd.": Hechos.— III. Definición de criptoactivos.— IV.
¿Cómo funcionaba Cryptopia?.— V. Resolución del caso.— VI. Sandboxes regulatorios.— VII. Uso de las
criptomonedas en actividades ilegales.— VIII. Conclusiones.

Cita Online: AR/DOC/1237/2020

(*)

I. Introducción

A la fecha, no existen regulaciones específicas en la Argentina con relación a las criptomonedas. Tanto el
Banco Central de la República Argentina (BCRA) como la Comisión Nacional de Valores (CNV) han creado
ciertas mesas de trabajo para analizar el tema cuestión, pero no han surgido regulaciones concretas. A
fines de 2017, la CNV expuso en un comunicado que las ofertas públicas iniciales de monedas virtuales
(initial coin offerings), dependiendo de las características de la oferta y del criptoactivo ofrecido, podrían
ser consideradas ofertas públicas de valores requiriendo, por ende, autorización previa de la CNV.

La CNV hizo saber al público inversor que tomará una decisión llegado el caso (1). Por otra parte, la
Unidad de Información Financiera (UIF) exige a sus sujetos obligados que presten especial atención al
riesgo que implican las operaciones efectuadas con monedas virtuales y establezcan un seguimiento
reforzado respecto de estas operaciones, evaluando que se ajusten al perfil del cliente que las realiza
(2). Además, exige que este tipo de operaciones sean reportadas, pero no amplió el listado de sujetos
obligados.

Las criptomonedas son un instrumento tan complejo que nadie quiere arriesgar emitiendo regulaciones
que puedan llegar a ser contraproducentes o ineficaces. En definitiva, esta postura es lógica, ya que
históricamente el derecho corre de atrás a las innovaciones. Cualquier regulación emitida en relación
con las criptomonedas deberá en primer lugar dilucidar su naturaleza jurídica. ¿Son monedas? ¿Son
títulos valores? Esa primera aproximación determinará la entidad regulatoria en cuestión.

Este artículo va a tratar concisamente el caso "Ruscoe vs. Cryptopia Ltd." (3), decidido por el Tribunal
Superior de Nueva Zelanda el 8 de abril de 2020, en relación con una agencia de cambio de
criptomonedas y proveedor de billeteras virtuales que, tras un hack masivo, tuvo que declararse en
liquidación en dicho país. Adicionalmente, va a tratar recientes avances regulatorios con relación a las
criptomonedas en el mundo y sus posibles similitudes o aplicaciones en nuestro país.

II. "Ruscoe vs. Cryptopia Ltd.": Hechos

Cryptopia Ltd. era una agencia de cambio de criptomonedas (cryptocurrency exchange). Esencialmente,
era una plataforma online que permitía a sus usuarios intercambiar y negociar con diversas
criptomonedas. A cambio, Cryptopia cobraba determinadas comisiones por las actividades de los
usuarios (negociaciones, depósitos y retiros).

A principios de 2017, las operaciones de Cryptopia eran relativamente pocas. Sin perjuicio de ello, para
noviembre de 2017 la cantidad de usuarios de la plataforma aumentó exponencialmente con el boom
del bitcoin.

En enero de 2019, los servers de Cryptopia fueron hackeados. Los hackers sustrajeron aproximadamente
el 14% de las criptomonedas en su poder, valuadas en aproximadamente NZD 30 millones
(aproximadamente U$D 17.983.024). Las criptomonedas fueron transferidas a una cuenta oculta siendo
dicha operación imposible de revertir. Seguidamente, en mayo de 2019, los accionistas de Cryptopia
resolvieron la liquidación de la sociedad.

Los liquidadores se presentaron ante el Tribunal Superior de Nueva Zelanda para determinar la
naturaleza (legal status) de las criptomonedas y en particular para determinar si dichos activos eran
custodiados por Cryptopia en calidad de trustee (concepto similar al trust-fideicomiso en el common
law).

III. Definición de criptoactivos

El Tribunal cita un informe efectuado por el UK Jurisdiction Taskforce y titulado Legal Statement on
Cryptoassets and Smart Contracts. En dicho informe básicamente se establece que hay diversos tipos de
criptomonedas y/o criptoactivos, que van desde tokens digitales puramente nocionales (como bitcoin) a
tokens que representan activos tangibles (desde valores negociables, metales, o incluso inmuebles) (4).

El informe explica que, dado el rango diverso de criptomonedas (5) y el rápido desarrollo de esta
tecnología, es muy difícil precisar una definición e incluso no sería útil hacerlo. Esto demuestra en parte
que la complejidad para regular este tema aqueja globalmente a todos los reguladores.

En última instancia, según lo expuesto en el informe, un criptoactivo se define conforme a las reglas del
sistema en cual existe. Funcionalmente el criptoactivo típicamente es representado por datos públicos
(referentes al valor y la historia transaccional) y privados (una clave que permite autenticar el activo y
transferirlo, similar a una contraseña). El conocimiento de la clave es lo que otorga control sobre el
activo; y este es un aspecto clave para entender el fallo comentado, ya que control no necesariamente
significa propiedad.

El hack que sufrió Cryptopia involucró la sustracción de las claves privadas, por lo que la transferencia
fue irreversible. Las transferencias de estos criptoactivos se anotan en un registro digital que permite
mantener un registro confiable del historial de transacciones y prevenir fraudes. Este registro digital
puede ser descentralizado (descentralized ledger technology) (6), es decir, ninguna entidad tiene la
obligación de mantenerlo y actualizarlo, siendo blockchain el más conocido (7); hecho que dificulta la
reversión de las transacciones.
IV. ¿Cómo funcionaba Cryptopia?

Los usuarios de Cryptopia realizaban depósitos a una billetera virtual conectada a internet (denominada
"hot wallet"). Una vez depositado el activo, este podía ser transferido a una billetera sin conexión a
internet (denominada "cold wallet"). El saldo de cada usuario era representando virtualmente (tal como
funcionan las típicas billeteras virtuales que son comunes en el mercado argentino, donde los usuarios
pueden depositar y transferir pesos argentinos).

En resumen, las hot wallet podían ser hackeadas mientas que las cold wallets, no. Dependiendo de la
liquidez que necesitaba la compañía, se resguardaba una cierta cantidad de criptoactivos diariamente en
cold wallets y otra en hot wallets. Esto es un mecanismo similar a cómo funcionan los bancos. Parte del
dinero (billete) se encuentra en circulación en cajeros automáticos y camiones blindados, para
garantizar la disponibilidad de dinero según los requisitos de liquidez de los clientes, y otra parte se
resguarda en las bóvedas de los bancos.

El problema principal fue el siguiente: cuando ocurría una transferencia entre usuarios de Cryptopia,
esta transferencia era reflejada en los saldos de las billeteras de los usuarios y en el registro interno de
Cryptopia, pero no había una transferencia real de criptomonedas. Algo similar a lo que ocurre con
aplicaciones de billeteras virtuales en Argentina donde los usuarios depositan y transfieren pesos
virtualmente, pero el dinero, que se encuentra depositado en una cuenta bancaria abierta de a nombre
la sociedad que maneja la plataforma (p. ej., Mercado Libre o Ualá), no sufre transferencia alguna.

Desde la perspectiva de los usuarios, no había diferencia entre un activo depositado en un cold o hot
wallet. De hecho, probablemente los usuarios nunca supieron sobre esta distinción. Desde la
perspectiva de los usuarios, tampoco había una diferencia entre operaciones realizadas dentro o fuera
de la plataforma.

En otras palabras, las transferencias intra-plataforma no generaban cambios en los registros del
blockchain (los registros externos a la compañía que determinan el control sobre los activos). Esto, por
cuanto los activos en todo momento permanecían controlados por Cryptopia.

Sin embargo, si la transferencia se hacia afuera de la plataforma, esta transferencia sí era registrada en
el registro blockchain, ya que los activos salían de la circulación de la plataforma. En otras palabras,
estas transferencias representaban cambios de la clave pública (el registro externo) y privada (la
contraseña).

Lo importante en este contexto es que los usuarios no tenían acceso a la clave privada. La propiedad
sobre las monedas virtuales se demostraba mediante el saldo de la billetera virtual.

V. Resolución del caso

El tribunal, tras analizar detalladamente cómo funcionaba la plataforma, determinó que Cryptopia, si
bien poseía la clave privada de los activos y por ende tenía su control, actuaba en calidad de trustee.
Cryptopia era el custodio de los criptoactivos depositados en la plataforma. En otras palabras, el tribunal
indirectamente determinó que uno puede entregar la clave privada o personal a un tercero, sin que ello
conlleve entregar la propiedad sobre el activo. Los usuarios de la plataforma en ningún momento
intervenían en el registro blockchain. Los activos eran transferidos y resguardados por Cryptopia en
nombre de los usuarios.

En palabras del tribunal: "in creating the exchange without allocating to accountholders public and
private keysfor the digital assets it commenced to hold for them. The SQL database that Cryptopia
created showed that the company was a custodian and trustee of the digital assets...".

En definitiva, esto implicó que los acreedores que no eran usuarios de la plataforma no pudieran cobrar
sus acreencias sobre los activos mantenidos en custodia por Cryptopia. Por ende, que los activos en
custodia debían ser distribuidos en primer lugar entre los usuarios conforme el registro interno que
llevaba Cryptopia (es decir, los saldos de las cuentas). El resultado hubiese sido totalmente distinto si el
tribunal determinaba que los activos pertenecían a Cryptopia, similarmente a cómo funcionan los
depósitos de los clientes en las entidades financieras. En tal situación, los acreedores de Cryptopia
hubieran cobrado sus acreencias pari passu con los usuarios de la plataforma.

Cabe aclarar que el tribunal interviniente solamente se expidió en el caso con respecto a si los usuarios
habían entregado o no los activos en custodia a Cryptopia. La labor de distribuir finalmente los activos
corresponde a los liquidadores.

VI. Sandboxes regulatorios

En el universo fintech cada vez más se está debatiendo este concepto. La traducción literal es "arenero".
Un espacio "cerrado" para que las compañías fintech puedan introducir en el mercado sus productos de
forma segura para los consumidores.

En resumen, un sandbox regulatorio es un mecanismo diseñado para atacar con mayor rapidez la
evolución continua de la fintech. Un sandbox permite, por un lado, a las compañías fintech introducir de
forma segura nuevos productos al mercado para "testear" su comportamiento y desarrollo, sin tener
que cumplir estrictamente con la gran cantidad de regulaciones y requisitos que podrían serles
aplicables (ej. exigencia de capitales mínimos requeridos por CNV o BCRA).

Por otro lado, el sandbox permite proteger al consumidor sobre los riesgos que puedan representar
estas nuevas tecnologías. El beneficio del sandbox es en definitiva permitir a los consumidores acceder a
nuevos productos fintech a menores costos y con mayores ventajas en un marco seguro.

La clave es encontrar un balance entre los beneficios que otorgan este tipo de compañías y los riesgos
que representan para el consumidor estos productos por su complejidad y volatilidad. Generalmente,
tanto el regulador como las empresas reguladas trabajan conjuntamente para obtener este equilibrio y
se emiten disposiciones especialmente diseñadas para el producto que se pretende introducir. En
ciertas jurisdicciones, el sandbox no es una normativa fija, sino que la compañía que pretende usar este
beneficio debe presentar una aplicación a la autoridad regulatoria; a partir de lo cual ambas partes
trabajarán conjuntamente para diseñar el marco en el cual el producto va a ser lanzado. El criterio para
aceptar o no un producto dentro de este marco de excepción es en general la evaluación de los
beneficios esperados en el mercado (ej. llegar a sectores no bancarizados, otorgar liquidez, activar el
mercado, entre otros). Como en toda norma sobre títulos valores a nivel mundial, el principal propósito
de cualquier sistema debe ser la protección del inversor dentro de un marco acorde a la innovación e
inversión.

Este concepto de sandbox podría ser utilizado en Argentina en el mundo de las criptomonedas.
Generalmente los sandboxes incluyen límites temporales, división de la implementación por etapas,
cantidad de usuarios limitada, la oferta del producto a un determinado tipo de inversor calificado,
limitación de la cantidad de fondos recaudados a través del producto, cumplimiento en todo momento
de las normas de defensa del consumidor, entre otras.

Al final de la vida del sandbox, la compañía puede continuar ofreciendo el producto, pero dentro del
marco regulatorio completo que corresponda.

Ejemplo de donde se han introducido sandboxes es Australia, ya que allí se permite a compañías
introducir al mercado ciertos productos para testearlos sin la necesidad de obtener una licencia
financiera (Australian financial services licence or Australian credit licence) (8).

En Hong Kong, los bancos autorizados a operar por la autoridad regulatoria (Hong Kong Monetary
Authority) (9) también pueden aplicar a un sandbox. Asimismo, en el Reino Unido la autoridad de
aplicación ¿UK Financial Conduct Authority's (FCA)¿ también ofrece sandboxes similares (10).

VII. Uso de las criptomonedas en actividades ilegales

El uso de las criptomonedas en actividades ilegales no es novedad. Las actividades ilegales incluyen,
entre otras, su uso en la dark web, lavado de dinero y evasión de control de capitales. Ello,
principalmente porque las criptomonedas son digitales, prácticamente anónimas y fácilmente
transferibles, conforme lo explica un estudio reciente efectuado para el Parlamento Europeo (11).

El citado informe detalla ciertos puntos particulares que deben ser tenidos en cuenta para fortalecer la
regulación en materia de lavado de dinero y financiación de terrorismo:

(i) Ampliar la definición de criptomonedas para incluir tokens.

(ii) Ampliar el listado de sujetos obligados que incluyan diversos tipos de agencias de cambio de estos
activos, además, de los custodios de billeteras virtuales. En Argentina, la UIF aún no ha declarado
específicamente como sujetos obligados los de este tipo compañías como Cryptopia. Incluso, el informe
plantea la posibilidad de incluir en el listado de sujetos obligados a las entidades que ofrecen este tipo
de activos digitales.

(iii) Analizar el minado de monedas. Las monedas que se minan inicialmente son, para asimilarlos a un
concepto cotidiano, "similares" a los billetes recién impresos. Para ciertos tipos de monedas no es
estrictamente necesario contar con sistemas de computadoras sumamente sofisticados; y esto puede
ser utilizado para la comisión de algún tipo de delito. Por este motivo, el informe plantea la posibilidad
de que los reguladores empiecen a adentrarse en este mundo para ver qué medidas se pueden adoptar.
(iv) Capacitación constante e inversión en tecnología que permita a los investigadores poder detectar
este tipo de actividades a tiempo.

Adicionalmente, en materia de lavado de dinero y financiación del terrorismo, es importante destacar

que, en junio de 2019, el Grupo de Acción Financiera Internacional (GAFI) emitió la Recomendación 15
(12), para clarificar acerca de cómo deben ser aplicados regulatoriamente los requisitos del GAFI en
relación con criptomonedas y proveedores de servicios relacionados con estos activos.

VIII. Conclusiones

La resolución del Tribunal Superior de Nueva Zelanda en el caso comentado presentó ciertas cuestiones
como, por ejemplo, que los usuarios que tenían la criptomoneda ethereum perdieron el 100% de sus
tenencias, ya que fue la moneda más afectada en el hack. Por ello, si los activos se dividen por moneda y
proporcionalmente, los tenedores de ethereum no iban a recibir activo alguno.

En nuestro derecho, la regulación de los criptoactivos presenta grandes desafíos. Como vimos, el
sistema implementado por Cryptopia no difiere mucho de los sistemas implementados por muchas de
las empresas que prestan sus servicios localmente en el rubro de billeteras virtuales, donde se les
permite a los usuarios extraer, depositar y transferir pesos argentinos sin la necesidad de abrir una
cuenta bancaria.

La diferencia fundamental es que estas empresas dedicadas a proveer billeteras virtuales depositan el
dinero en última instancia en entidades financieras reguladas por el Banco Central de la República
Argentina. El BCRA ha emitido normativa regulatoria en materia de seguridad informática que se
encuentra compilada en el texto ordenado de requisitos mínimos de gestión, implementación y control
de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados
para las entidades financieras. A su vez, todos los Mercados, Agentes de Depósito Colectivo, Cámaras
Compensadoras y Agentes de Custodia, Registro y Pago tienen que implementar "Políticas de Seguridad
de la Información" y adoptar medidas de resiliencia cibernética (13).

En Argentina, al momento, el foco se ha puesto en advertir al inversor sobre los riesgos que conlleva
invertir en este tipo de activos de alta complejidad y riesgo financiero por su volatilidad. La CNV dejó la
puerta abierta con relación a la caracterización de las criptomonedas como valores negociables (14). Es
posible que hacer determinaciones semejantes lleve tiempo. Incluso tampoco se podrían definir a todas
las criptomonedas, ya que estas tienen funciones distintas (algunas están atadas a un activo subyacente,
algunas poseen beneficios adicionales por su uso, etc.).

Por este motivo, tal vez debemos empezar por lo urgente. Independientemente de la caracterización
que se otorgue a este tipo de activos y de sus riesgos financieros, es importante contar al menos con
regulación en materia de seguridad informática que les sea aplicable a aquellas sociedades que presten
servicios similares a Cryptopia en Argentina, para poder garantizar al público que sus inversiones
cuentan con un determinado nivel de seguridad informática mínimo, como el aplicable a las entidades
financieras y/o los participantes del mercado de capitales. Al final del día, lo importante es siempre
proteger al inversor como principio fundamental. Habiendo dicho esto, cualquier regulación que se
emita debe armonizar la seguridad y protección del inversor con los incentivos para innovar e invertir.

Otro aspecto no menor es la posibilidad de que sociedades como Cryptopia tengan la obligación de
contar con un seguro o garantía que permita asegurar el robo o pérdida de criptomonedas para
garantizar, al menos en una proporción o hasta un límite, el saldo de las billeteras virtuales (similar al
Sistema de Seguro de Garantía de los Depósitos implementado por el BCRA para las cajas de ahorro)
(15). Algunos de estos aspectos, tal vez, podrían implementarse mediante sandboxes regulatorios.

Finalmente, no se debe descuidar el otro frente: el lavado de dinero. Si bien la UIF tomó los primeros
pasos obligando a los sujetos obligados a monitorear este tipo de transacciones, aún queda mucho por
hacer. Ampliar el listado de sujetos obligados para incluir específicamente a las sociedades que permiten
a los usuarios depositar y negociar con monedas virtuales es una opción que debe implementarse.
Además, es crucial que se invierta en y capacite a los reguladores e investigadores (ej. fiscales) sobre las
nuevas tecnologías y herramientas que se desarrollan e innovan constantemente para prevenir delitos
sobre o mediante este tipo de activos digitales.

(A) Abogado (Universidad Torcuato Di Tella) y master of laws (LLM) en banca y finanzas (Queen Mary
University of London).

(1) En general esto dependerá de si el activo digital ofrece un rendimiento, si es un token que
representa un activo subyacente o no, la forma de ofrecimiento, entre otros factores. Conforme
definición de valores negociables del art. 2º de la ley 26.831. Ver también FERNÁNDEZ MADERO, Nicolás
- RECONDO, María - MINERVA, Diego N. - KRUGER, Cristián, "Oferta Pública de Activos Digitales", LA LEY,
2019-D, 675

(2) Resolución UIF 300/2014.

(3) "Ruscoe vs. Cryptopia Ltd. (in liquidation)" [2020] NZHC 728 [8 April 2020], AR/JUR/10093/2020.

(4) Ver FERNÁNDEZ MADERO, Nicolás - RECONDO, María - MINERVA, Diego N. - KRUGER, Cristián,
"Fideicomiso, securitización y representación digital de activos (tokenización)", publicado en: LA LEY
20/03/2020, cita online: AR/DOC/462/2020.

(5) Ver también la clasificación realizada por la Financial Market Supervisory Authority de Suiza (FINMA)
disponible en: https://www.finma.ch/en/news/2018/02/20180216-mm-ico-wegleitung/.

(6) En este sentido ver BASHIR, Imran, "Mastering Blockchain: Distributed ledger technology,
decentralization, and smarts contracts explained", publicado por Packt Publishing Ltd., 2018, 2ª ed.

(7) BUTERIN, Vitalik, "Visions, Part 1: The Value of Blockchain Technology", 13 de abril de 2015,
disponible en: https://blog.ethereum.org/2015/04/13/visions-part-1-the-value-of-blockchain-
technology/.
(8) Ver https://asic.gov.au/for-business/innovation-hub/fintech-regulatory-sandbox/.

(9) Ver http://www.hongkong-fintech.hk/en/sandboxes.html.

(10) Ver https://www.fca.org.uk/firms/ innovation/regulatory-sandbox.

(11) HOUBEN, Robby - SNYERS, Alexander, "Crypto-assets: Key developments, regulatory concerns and
responses", PE 648.779 - abril 2020.

(12) Ver FATF (GAFI), "Public Statement on Virtual Assets and Related Providers", june 2019. Disponible
en: https://www.fatf-gafi.org/publications/fatfrecommendations/documents/public-statement-virtual-
assets.html.

(13) Res. gral. 704-E/2017 incorporada a las normas CNV (N.T. 2013 Y MOD.).

(14) Ver Alerta de CNV disponible en: https://www.cnv.gov.ar/SitioWeb/Prensa/Post/1204/1204-alerta-

al-publico-inversor-sobre-ofertas-iniciales-de-monedas-virtuales-o-tokens.

(15) Ver t.o. del BCRA: Aplicación del Sistema de Seguro de garantía de los Depósitos.