A metà luglio 2014, Benjamin M. Lawsky, Soprintendente per i Servizi Finanziari, ha annunciato che il Dipartimento di Stato di New York del Financial Services (DFS) ha emesso una proposta di quadro normativo denominata “BitLicense”(http://www.dfs.ny.gov/about/press2014/pr1407171-vc.pdf) per le aziende impegnate nelle attività con le monete virtuali per un commento pubblico per poi procedere all’emanazione della normativa definitiva e entrata in vigore.
Il quadro normativo proposto – che è il prodotto di una inchiesta della DFS durata un anno, comprese le audizioni pubbliche di gennaio 2014 – contiene la prima normativa relativa alla protezione dei consumatori, anti-riciclaggio di denaro e regole di sicurezza informatica su misura, con la volontà di trovare equilibrio tra regolamentazione finalizzata lala protezione dell’utente e lotta a riciclaggio e attività illegali.
La proposta è di sicuro interesse perché giunge dopo molte riflessioni derivanti anche da un “Ask Me Anything” su Reddit aperto all’inizio del 2014 dal sovrintendente che ha generato più di 1.200 commenti pubblici.
La normativa prevede la BitLicense per le imprese impegnate nelle seguenti attività:
· Ricezione o la trasmissione moneta virtuale per conto dei consumatori;
· Protezione, conservazione, o custodia o controllo di tale moneta virtuale per conto dei clienti;
· Esecuzione di servizi di conversione di valuta virtuale al dettaglio, compresa la conversione o scambio di valuta virtuale in valuta fiat o in altro valore o la conversione o scambio di una valuta virtuale in un’altra forma di valuta virtuale;
· Acquisto e vendita di moneta virtuale in maniera professionale (da non confondersi uso personale); o
· Controllo, amministrazione o emissione di una moneta virtuale. (Nota: Questo non si riferisce ai minatori di valuta virtuale.)
Non è necessaria la licenza per i commercianti o consumatori che utilizzano la valuta virtuale esclusivamente per l’acquisto o la vendita di beni o servizi; o quelle imprese autorizzate ai sensi della legge bancaria di New York per condurre servizi di scambio in valuta virtuale approvati dal DFS.
Per ottenere la Bitlicenses, l’impresa (“Licenziataria”) dovrà avere determinati requisiti:
1. Tutela dei valori dei clienti: Ogni impresa deve detenere moneta virtuale dello stesso tipo e della quantità di qualsiasi valuta virtuale dell’ammontare che deve o è obbligato a dare a terzi, con il divieto di vendere, trasferire, assegnare, prestare, dare in garanzia le valute virtuali che detiene per conto del cliente. Ogni impresa deve anche avere titoli o somme in dollari statunitensi a garanzia dei propri clienti nelle forme e quantità che verranno stabilite a tutela dei clienti.
2. Ricevute di valuta virtuale: Al completamento di ogni transazione, ogni azienda dovrà fornire al cliente una ricevuta contenente le seguenti informazioni: (1) il nome e le informazioni di contatto dell’impresa, ivi compreso un numero telefonico stabilito dal licenziatario per rispondere alle domande e registrare le denunce ; (2) il tipo, il valore, la data e l’ora precisa della transazione; (3) la commissione applicata; (4) il tasso di cambio, se del caso; (5) una dichiarazione di responsabilità del Licenziatario per mancata consegna o consegna in ritardo; (6) una dichiarazione della politica di rimborso del licenziatario.
3. Politiche dei Reclami: Ogni impresa deve stabilire e mantenere politiche e procedure scritte per risolvere i reclami dei consumatori in modo equo e tempestivo. La compagnia deve anche fornire l’avviso ai consumatori, in modo chiaro e visibile, che i consumatori possono portare i reclami all’attenzione di DFS per un’ulteriore attività di revisione e di indagine.
4. Disclosure: Ogni impresa deve fornire informazioni chiare e concise per i consumatori circa i rischi potenziali associati con le valute virtuali, compreso il fatto che (tra gli altri): le operazioni in valuta virtuale sono generalmente irreversibili e, di conseguenza, le perdite dovute a operazioni fraudolente o accidentali potrebbero non essere recuperabili; la volatilità del prezzo della valuta virtuale rispetto alla valuta fiat che può comportare perdite significative o imposizioni tributaria elevata in brevi periodi di tempo; rischio elevato di perdita di moneta virtuale a causa di attacchi informatici; il fatto che la valuta virtuale non è a corso legale, non è sostenuta dal governo, e che i conti e i saldi non sono soggetti alla protezione FDIC (http://www.fdic.gov) o SIPC (http://www.sipc.org).
5. Compliance Antiriciclaggio. Come parte del suo programma di adempimenti antiriciclaggio, ogni azienda deve mantenere le seguenti informazioni per tutte le operazioni di pagamento, ricezione, scambio o conversione, acquisto, vendita, trasferimento o trasmissione di valuta virtuale: ( 1) l’identità e indirizzi fisici delle parti coinvolte; (2) l’importo o il valore dell’operazione, anche in quello nell’unità di conto della valuta virtuale; (3) la data della operazione in cui la stessa è stata avviata e completata, e (4) una descrizione dell’operazione.
a. Verifica dei correntisti: Le imprese devono, come minimo, all’apertura di conti per i clienti, verificare la loro identità, per quanto ragionevole e praticabile, mantenere registrazioni delle informazioni utilizzate per verificare tale identità, compreso il nome, indirizzo fisico, e altre informazioni di identificazione, e controllare i clienti secondo le normative Specially Designated Nationals (“SDNS”) nell’elenco tenuto dall’Ufficio del Dipartimento del Tesoro degli Stati Uniti del Foreign Asset Control (“OFAC”). Una due diligence rafforzata è richiesto sulla base di altri elementi, come ad esempio i clienti ad alto rischio, i conti ad alto volume, o account sui quali è stata presentata una comunicazione di sospetto. Le imprese sono inoltre soggetti a qualificati obblighi di verifica per i conti che coinvolgono soggetti esteri e il divieto di conti con foreign shell entities.
b. Segnalazione di operazioni sospette e attività illecite. Ogni licenziatario dovrà monitorare le operazioni che potrebbero significare il riciclaggio di denaro, evasione fiscale o altre attività illegali o criminali e notificare al Dipartimento, in un modo prescritto dal soprintendente, subito dopo il rilevamento di un tali operazioni. Quando un licenziatario è coinvolto in una operazione o serie di operazioni di ricezione, scambio o conversione, acquisto, vendita, trasferimento o trasmissione di moneta virtuale, per un importo complessivo superiore al valore in dollari degli Stati Uniti di $ 10.000 in un giorno per conto di una persona, il Licenziatario dovrà notificare al Dipartimento, secondo le modalità prescritte dal soprintendente, entro 24 ore. Nel soddisfare i suoi obblighi di segnalazione i Licenziatari devono utilizzare una metodologia approvata per il calcolo del valore della moneta virtuale in sollari statounitensi.
6. Cyber Security Program: Ogni Licenziatario deve istituire e mantenere un programma di sicurezza informatica progettato per eseguire una serie di funzioni fondamentali, tra cui: l’identificazione dei rischi informatici interni ed esterni; la protezione dei sistemi da accessi non autorizzati o atti di pirateria informatica; la presenza di sistemi di rilevamento intrusioni e di violazioni di dati; la risposta e il recupero di eventuali violazioni, interruzioni, o uso non autorizzato dei sistemi. Tra le altre garanzie, ogni azienda dovrà anche effettuare test di penetrazione dei suoi sistemi elettronici, almeno una volta all’anno, e la valutazione della vulnerabilità di tali sistemi, con cadenza almeno trimestrale.
7. Chief Information Security Officer. Ogni licenziatario designa un dipendente qualificato a prestare servizio come Chief Information Security Officer del licenziatario (“CISO”) che sarà responsabile per la supervisione e l’attuazione del programma di sicurezza informatica del Licenziatario e di far rispettare la propria politica di sicurezza informatica.
8. Verifiche periodiche: I Licenziatari saranno sottoposti a verifiche ogni qualvolta lo ritenga necessario il soprintendente – ma non meno di una volta ogni due anni solari – per verificare la situazione finanziaria, la sicurezza, la solidità, le politiche di gestione e il rispetto di leggi e regolamenti.
9. Libri e registri: I licenziatari sono tenuti a mantenere libri e registri, comprese le informazioni di transazione, estratti conto bancari, registrazioni o verbali del consiglio di amministrazione o dell’organo di governo, i documenti che dimostrino il rispetto delle leggi, inclusi i documenti di identificazione del cliente e la documentazione relativa ai reclami dei consumatori e le relative indagini effettuate.
10.Rapporti Finanziari e requisiti di audit. Ogni impresa deve presentare alla DFS una relazione trimestrale entro i 45 giorni successivi alla chiusura del trimestre fiscale del licenziatario. Ogni impresa deve inoltre presentare un bilancio certificato, redatto secondo i principi contabili generalmente accettati, con la Relazione del Revisore indipendente e la valutazione, da parte dello stesso, delle procedure contabili e dei controlli interni della società entro 120 giorni dalla fine dell’anno fiscale.
11.Requisiti patrimoniali: i requisiti patrimoniali necessari saranno determinati da DFS che si baserà su una varietà di fattori, tra cui la composizione delle attività e delle passività totali del licenziatario, se il licenziatario è già concesso in licenza o regolato da DFS, la quantità di leva finanziaria utilizzata dall’impresa, la posizione di liquidità della società, e la misura della protezione finanziaria aggiuntiva per i clienti.
12.Compliance Officer: Ogni licenziatario designa un individuo qualificato o individui responsabili di coordinare e monitorare il rispetto delle regole BitLicense, dei regolamenti DFS e di tutte le altre leggi federali e statali applicabili.
13.Business Continuity e Disaster Recovery. Ogni licenziatario deve stabilire e mantenere una continuità aziendale scritta e un piano di disaster recovery ragionevolmente progettato per garantire la disponibilità e la funzionalità dei servizi del licenziatario in caso di emergenza o di altra interruzione delle normali attività del licenziatario.
14.Notifica di emergenze o interruzioni. Ogni impresa deve comunicare tempestivamente a DFS qualsiasi emergenza o altra interruzione per le sue operazioni che possono influire sulla sua capacità di adempiere agli obblighi normativi o che possono avere un significativo effetto negativo sul licenziatario, le sue controparti, o il mercato.
15.Periodo transitorio. La domanda di licenza saranno accettate a partire dalla data in cui i regolamenti proposti diventino effettivi. Per le imprese già impegnate la domanda di licenza dovrà essere entro 45 giorni dall’entrata in vigore. Il sovrintendente emetterà o negherà la licenza entro 90 giorni dalla presentazione di una domanda completa.
