Lectura obligatoria para los proyectos Web3: ¿si externalizas el KYC, puedes culpar a terceros en caso de problemas?

Escribir: Deng Xiaoyu, Li Haojun

Introducción

En el círculo de Web3, circula una fantasía de cumplimiento que resulta sumamente dañina: que mientras el proyecto externalice las funciones de KYC (verificación de identidad) y AML (antilavado de dinero) a una tercera parte reconocida internacionalmente, se obtiene una especie de «seguro de exención penal». Una vez que la plataforma se vea involucrada en lavado de dinero o fondos ilícitos, esta «cabeza» debería ser asumida por el contratista externo, permitiendo al proyecto mantenerse en una posición de «manos libres».

Esta idea, desde la perspectiva de los abogados, es «ingenua», para las autoridades de investigación es «una mentira descarada», y en la práctica, representa una bomba de tiempo que puede explotar en cualquier momento.

En los últimos dos años, con la constante actualización en la lucha contra delitos relacionados con criptomonedas por parte de las autoridades judiciales, especialmente en investigaciones penetrantes sobre «delitos de ayuda», «encubrimiento» e incluso «operaciones ilegales», esta lógica de cumplimiento «avestruz» está siendo desmantelada por cadenas de evidencia cada vez más sólidas. Los proyectos deben entender claramente: externalizar no equivale a cumplir, y mucho menos a una exención penal.

Externalizar KYC no es «una medalla de oro»: ¿cómo ve el derecho penal las «acciones neutrales»?

Muchos proyectos piensan que, al pagar por el servicio, esto equivale a «neutralidad técnica» o «neutralidad en las actividades comerciales». Pero el abogado Mankun te advierte: las acciones neutrales tienen límites.

1. Cumplimiento formal no equivale a cumplimiento sustantivo

Refiriéndonos a casos judiciales en la industria de pagos tradicionales y pagos agregados (pagos de cuatro partes), los tribunales mantienen una lógica unificada en la defensa de «externalización del cumplimiento»: «Externalizar la tecnología no exime de responsabilidad al sujeto». En la lógica del derecho penal, si simplemente externalizas un plan de KYC superficial para engañar, esto puede ser fácilmente considerado en la práctica judicial como «en nombre del cumplimiento, en realidad permisividad». Lo que importa es si cumpliste con la «obligación de prudencia sustantiva», no solo con el contrato de externalización.

2. La determinación de «conocimiento subjetivo» en el impacto del crimen cibernético impulsado por IA

Con el desarrollo de la tecnología IA, incluso si se conecta una interfaz estándar de KYC, los proyectos enfrentan grandes desafíos. Actualmente, las organizaciones ilícitas utilizan herramientas como ProKYC y OnlyFake para generar fotos de pasaportes falsos altamente realistas a bajo costo, y emplean tecnología de deepfake para crear videos de detección de vida, inyectando estos en sistemas mediante «cámaras virtuales» para evadir la revisión automática.

En etapas tempranas, los proyectos podían decir «no entiendo las técnicas ilícitas», pero en un contexto donde herramientas como ProKYC se han convertido en amenazas industriales, las autoridades judiciales consideran que: como proyecto profesional, deberías prever que la revisión estática de los contratistas externos ya no puede detener las falsificaciones por IA.

Si en el backend de la plataforma aparecen características técnicas evidentes como «diferentes rostros en documentos con fondos idénticos» o «entornos de iluminación en detección de vida que coinciden exactamente», y el proyecto no actualiza los «mecanismos de detección de inyección» o no aumenta las inspecciones manuales, esta «negligencia técnica» puede ser fácilmente considerada en un proceso penal como «conocimiento de la actividad delictiva de otros y ayuda consciente».

3. La responsabilidad penal es intransferible

Muchos proyectos, al firmar contratos de externalización, intentan incluir cláusulas de «exención de responsabilidad» o «indemnización», declarando que las consecuencias legales derivadas de una revisión deficiente por parte del contratista externo serán asumidas por este. Pero en el sistema penal, estas cláusulas son casi papel mojado.

La responsabilidad penal tiene una fuerte naturaleza personal. La existencia de un delito por parte de una persona o entidad depende de si su conducta cumple con los elementos constitutivos del delito. No puedes, mediante un contrato civil, transferir tus obligaciones penales legales.

Según el Artículo 153 del Código Civil, los actos civiles que violen las disposiciones legales o administrativas obligatorias, o que contravengan el orden público y la buena moral, son inválidos. Cualquier intento de evadir la persecución penal o de evitar obligaciones de AML mediante cláusulas contractuales será considerado inválido por las autoridades judiciales, e incluso puede ser evidencia de la intención de «evadir la supervisión» con malicia.

En proyectos de Web3, si se determina que la entidad es un «delito de organización», según el «sistema de doble sanción» del Código Penal, no solo el proyecto en sí será sancionado, sino también los «responsables directos» (CEO, CTO) y los «otros responsables directos» (responsables de cumplimiento). El contrato de externalización no solo no te salvará, sino que puede agravar la culpa subjetiva por tu «selección negligente» de terceros.

Tres dimensiones clave para determinar la responsabilidad penal: ¿salvar la vida o arriesgarla?

Cuando un proyecto es interrogado por delitos de «ayuda» o «encubrimiento», el núcleo del trabajo de los investigadores es demostrar tu «conocimiento subjetivo». Externalizar KYC, ¿alivió o agravó tu responsabilidad? Esto suele depender de la reconstrucción de las siguientes evidencias:

1. ¿Se compara con los estándares de la industria o simplemente se «compra un certificado»?

En la regulación y cumplimiento, la elección del proveedor refleja la actitud de cumplimiento.

Optar por proveedores reconocidos internacionalmente como Sumsub, Jumio, Onfido, pagando tarifas de mercado, demuestra que buscas los más altos estándares y has cumplido con la «obligación de cuidado razonable»; elegir proveedores pequeños que prometen «alta tasa de aprobación» y «revisión laxa» puede interpretarse como que, conociendo los riesgos, deliberadamente reduces tus estándares de defensa, mostrando una motivación de «tolerancia».

2. Tras las alertas, ¿te «bloqueas» o «finges muerte»?

Este es el núcleo de la evidencia para determinar el delito de ayuda. Si los registros del backend muestran miles de alertas de «identidad anómala», pero no hay huellas de revisión manual ni medidas restrictivas, el contrato de externalización se convierte en prueba irrefutable de tu «conocimiento y permisividad». Por lo tanto, es imprescindible establecer un mecanismo completo de «retroalimentación técnica y gestión manual». Sin registros de gestión, la externalización cumple en términos legales con cero.

3. ¿La fuente de beneficios tiene un «contraprestación ilícita»?

El flujo de dinero es la última referencia para determinar la responsabilidad penal. Si la plataforma permite «bajo cumplimiento» para obtener beneficios mucho mayores que el promedio del sector, el juez puede considerar que estos beneficios tienen carácter de «participación en delitos». Si los costos pagados a los proveedores son mucho menores a los costos normales, esta irracionalidad comercial revela la falsa apariencia de «neutralidad técnica».

Recomendaciones prácticas de Mankun

Para evitar que la externalización del cumplimiento se convierta en evidencia de responsabilidad penal, se recomienda a los proyectos seguir estas directrices:

1. Mantener registros de diligencia debida: documentar las razones para elegir el externalizador, el proceso de revisión de calificaciones y el contrato formal.

2. Establecer un mecanismo de doble revisión: para usuarios «de alto riesgo» detectados por el sistema, conservar evidencia de revisión manual por parte del equipo de cumplimiento interno.

3. Realizar auditorías de cumplimiento periódicas: al menos una vez al año, contratar abogados especializados o terceros para auditar y emitir informes, como prueba de «ausencia de intención maliciosa».

4. Prohibir la «automatización absoluta»: evitar scripts que aprueben automáticamente todas las revisiones. Cualquier servicio de KYC de bajo costo que garantice un 100% de aprobación sin fallos puede ser considerado en derecho como «inducir al delito».

5. Responder a las notificaciones regulatorias: en caso de recibir una notificación de cooperación, cortar inmediatamente la conexión con las cuentas de riesgo, sin confiar en la suerte.

Conclusión:

La lucha por el cumplimiento en la industria de Web3 ha dejado atrás la era de la ingenuidad basada en «contratos de externalización» que permitían engañar fácilmente.

Externalizar KYC es, en esencia, adquirir un servicio tecnológico, no transferir riesgos penales. Si intentas usar a los contratistas como una «muralla» para evadir responsabilidades, en la era de la trazabilidad digital penetrante de las autoridades, esa muralla suele ser más delgada que el papel.

Finalmente, una frase para todos: el cumplimiento puede ser costoso, pero en comparación con el precio de perder la libertad, siempre será la inversión más rentable. Frente a la línea roja penal, solo el cumplimiento sustantivo proporciona la verdadera seguridad para los proyectos.