MiCA 2.0., la regulación de las Finanzas Descentralizadas y la certificación de Smart Contracts
Por Sebastián Heredia Querro (*)
Tokenize-IT

Introducción

 

Las Finanzas Des-centralizadas o Des-intermediadas son un fenómeno reciente en la Web3, cuyo hito fundacional puede ser, quizás y en mi opinión, el lanzamiento del criptoactivo Dai[1] el 18 de Diciembre de 2017 -un stable token cuyo valor está atado al U$D-, producto de un sistema de emisión y gestión orquestado por MakerDAO, entidad lanzada en 2014, concomitantemente al lanzamiento de la red de Ethereum, red en la cual los Dais se crean.

 

Si bien el Dai fue el primer caso de uso, han seguido múltiples aplicaciones DeFi en los años siguientes, cuyo análisis excede el alcance del presente[2]. A fines de 2023, el mercado DeFi representa un mercado de servicios agregados, expresado en Dólares equivalentes, de aproximadamente 40 Billones, pero en su momento de máxima efervescencia, en Mayo de 2021, alcanzó los 300 Billones. El 54% de todos los servicios DeFi se ofrecen desde la red Ethereum, y es -lamentablemente- muy frecuente conocer noticias de ciberataques a distintos protocolos DeFi a través de distintas técnicas[3].

 

Ley PACTE: La influencia francesa en MiCA

 

Francia fue una de las primeras plazas europeas en legislar sobre distintas taxonomías de criptoactivos y proveedores de servicios sobre activos virtuales, ya en Julio de 2018, en la la llamada Ley de Crecimiento Empresarial y Transformación o Ley PACTE -Business Growth and Transformation Action Plan-.

 

Se trató de una ley “ómnibus” que reguló expresamente los utility tokens y los Digital Assets Services Providers (DASPs, equivalentes a los VASPs[4] del GAFI o a los CASPs de MiCA[5]),  quedando bajo supervisión de la AMF -Autoridad Monetaria Francesa-, a quien deberán presentarse los White Papers y todo el material publicitario que se pretenda usar[6].

 

La ley PACTE regula también a varios proveedores de servicios de activos digitales: wallets, exchanges, plataformas de trading de criptoactivos, gestión de patrimonios de criptoactivos, asesoramiento en inversiones en criptoactivos, y también la pre-suscripción de criptoactivos.

 

Todos los proveedores de servicios vinculados a activos digitales podrán, voluntariamente, solicitar un permiso a la AMF, para formar parte de una lista blanca específica para cada segmento de servicios con licencia. Para ello deberán cumplir requisitos relacionados a riesgo de fraude, riesgos operacionales, mecanismo de control interno y seguridad informática, y normas de prevención de conflictos de intereses, así como a la publicidad de sus servicios e información pública sobre sus comisiones y aranceles. Si no solicitan la licencia a la AMF, ello no implica que se presuma la ilegalidad de su accionar, pero deberán igualmente cumplir las normas aplicables en materia de AML/KYC. Ahora bien, es obligatorio registrarse en la AMF si quieren ofrecerse servicios de custodia o cambio de criptomonedas contra monedas fiat, analizándose la reputación y competencia de sus directivos y la existencia de mecanismos de AML/KYC. Finalmente, la AMF publica listas negras de ICOs y DASPs que no cumplen con la regulación.

 

La Ley PACTE sobresale por lo siguiente: (i) creó un registro voluntario de utility tokens; (ii) se aclaró que el ofrecimiento público de venta de utility tokens a una cantidad limitada de personas –según lo determine la AMF– no constituye una oferta pública; (iii) los tokens que tengan características de instrumentos financieros, deberán cumplir además las normas atinentes a éstos; (iv) los emisores podrán, voluntariamente, solicitar un permiso –una visa, en términos de la ley– a la AMF para ofrecer mayores garantías a los potenciales adquirentes de tokens, lo que permite que dicho ICO se incluya, a su vez, en una lista blanca de acceso público; (v) el emisor deberá constituir o registrar una persona jurídica en Francia, y establecer mecanismos de resguardo y custodia de los fondos captados, y cumplir con las normas AML-KYC para poder hacer ofrecimiento público y masivo; y (vi) la AMF no realiza auditoría técnica sobre los contratos inteligentes involucrados.

 

Con una visión retrospectiva, es hoy evidente en MiCA[7] la influencia de dos aspectos: (i) la pluma francesa en su redacción, dados los paso previos de la Ley PACTE, y (ii) el fantasma del criptoactivo estable -stablecoin- que Facebook intentó lanzar el 18 de Junio de 2019, llamado Libra[8] -luego rebautizado como DIEM, y luego discontinuado-.

 

La posible influencia francesa en MiCA 2.0. La European Data Act

 

El Fintech Innovation Hub de la Autoridad de Supervisión Prudencial y Resolución de Conflictos del Banco de Francia (ACPR) viene estudiando el ecosistema DeFi hace un tiempo, habiendo consultado a los principales actores del ecosistema en 2023[9], con miras a una inminente propuesta de regulación francesa, la que sin dudas impactará -a su turno- en el diseño de MiCA 2.0.

 

Luego del feedback obtenido, la ACPR ha dividido el ecosistema DeFi en cinco niveles de análisis: (i) la infraestructura blockchain subyacente (Layer 1, L1), incluyendo las soluciones de Layer 2 (L2) diseñadas para gestionar grandes cantidades de transacciones;

 

(ii) la capa de servicios DeFi que se prestan; (iii) los dispositivos a través de los cuales los usuarios acceden a los servicios DeFi; (iv) el problema de la alta concentración de la gobernanza en el ecosistema DeFi, que también se aprecia a nivel de la infraestructura de redes de blockchain per se; y (v) el rol de los proveedores de servicios Cloud Computing como AWS[10], Azure, etc., aspecto que, respecto a las finanzas tradicionales, es específicamente abordado por la Regulación DORA[11] sobre ciber-resiliencia del sistema financiero.

 

Según ACPR, el consenso mayoritario del ecosistema DeFi afirmó la necesidad de que: (a) las autoridades públicas corran “nodos archivo” para ciertas redes públicas, para restaurar el registro en caso de ciberataque, y (b) se certifiquen los smart contracts utilizados.

 

En relación a la necesidad de certificar los smart contracts, la iniciativa francesa va ciertamente en línea con la visión de la Comisión Europea, ratificada por el Parlamento Europeo y el Consejo de la Unión en Junio de 2023, en el texto de la llamada Data Act[12], enfocada en IoT e intercambios automáticos de datos, y que busca garantizar a los europeos:

 

(1) Medidas que permiten a los usuarios de dispositivos conectados acceder a los datos generados por estos dispositivos y por los servicios relacionados con estos dispositivos. Los usuarios podrán compartir dichos datos con terceros, impulsando los servicios posventa y la innovación;

 

(2) Medidas para brindar protección contra cláusulas contractuales abusivas que se imponen unilateralmente, para proteger a las empresas de la UE de acuerdos injustos, fomentar negociaciones justas y permitir que las PYMES participen con mayor confianza en el mercado digital;

 

(3) Mecanismos para que los organismos del sector público accedan y utilicen datos en poder del sector privado en casos de emergencias públicas como inundaciones e incendios forestales; y

 

(4) Nuevas reglas que otorgan a los clientes la libertad de cambiar entre varios proveedores de servicios de procesamiento de datos en la nube, evitando la dependencia de los proveedores, y salvaguardias contra transferencias ilegales de datos, lo que garantiza un entorno de procesamiento de datos más confiable y seguro, así como medidas para promover el desarrollo de estándares de interoperabilidad para el intercambio y el procesamiento de datos, en línea con la Estrategia de Normalización de la UE.

 

En efecto, la Ley de Datos de la UE define a los smart contracts como un programa informático almacenado en un sistema de registro electrónico en el que el resultado de la ejecución del programa se registra en el libro mayor electrónico, un tipo de registro electrónico inviolable de datos que garantiza la autenticidad y la integridad de los datos que contiene, la exactitud de su fecha y hora y su orden cronológico[13]. En su Art. 30, la Ley de Datos establece los requisitos esenciales que deben cumplir los smart contracts para automated data sharing[14].

 

Así pues, en la visión de la ACPR, y también en la de la Comisión Europea, en próximos avances regulatorios comunitarios, es razonable esperar que la certificación bajo algún tipo de estándar de los smart contracts se volverá obligatorio -especialmente en smart contracts que permiten el intercambio automático de datos machine-to-machine-.      

 

La conversación en el tópico deberá, entre otras materias, analizar cómo aplicar el principio de proporcionalidad en la auditoría y certificación de smart contracts, dado que no será igual si una PyME utiliza estos constructos, o si los utiliza un holding multinacional frente a otro.

 

También deberá analizarse cuánto tiempo de vigencia podrán tener las certificaciones, dado que el código debe en ocasiones ser actualizado frecuentemente. ¿Habrá una entidad que controle o supervise a quienes certifican smart contracts? ¿Habrá un repositorio común y compartido de bugs? ¿Habrá que generar manuales de usuarios de smart contracts, definiendo específicamente el o los usos para los cuales el código ha sido pensado y escrito, y por lo tanto, su uso será reputado legítimo?¿Se podrán prohibir en tales manuales casos de uso de smart contracts que se consideran ilegales, o no intencionados por sus desarrolladores, y por tanto, quizás liberar a éstos últimos de cualquier responsabilidad eventual por tal razón? Este no es un asunto menor, dada la gran “composibilidad” que existe en el mundo de software open source, y especialmente en el ecosistema DeFi.

 

Mientras tanto, seguiremos viendo bug bounties, el uso de herramientas para revisión formal automática de smart contracts, y cada vez más se utilizará AI para code review.

 

Ahora bien, no debe olvidarse que el ecosistema DeFi está fuertemente impulsado por DAOs, que gestionan y controlan estos protocolos a través de decisiones de quienes tienen governance tokens, y que en ocasiones, la revisión integral de código puede ser un asunto de debida diligencia, y por tanto un uso razonable para aplicar el patrimonio digital de la DAO, y contratar expertos en ciberseguridad que auditen a fondo el código. Sin embargo, la estupidez humana -amplificada por problemas de coordinación social- siempre nos puede sorprender, y no debemos olvidar que en el caso TheDAO, la comunidad rechazó pagar una auditoría de código, que hubiera costado el 1% del patrimonio de la DAO. Poco tiempo después, TheDAO fue hackeada vía un reentrancy bug[15], y el resto es historia…

 

Conclusiones

 

A 15 años del surgimiento de la Web3 con la blockchain de Bitcoin, hay ya un entendimiento más profundo sobre las ganancias de eficiencias que pueden producir las tecnologías de registro distribuido en distintos sectores. Están claros los beneficios de la automatización que pueden producir, en tal contexto, los smart contracts. Nuestro país también comprende las ventajas que este conjunto de tecnologías pueden producir en el sector público, teniendo en cuenta el Lineamiento Nacional de Blockchain[16], por un lado, y principalmente en el sector privado, tal como ilustra el Position Paper sobre tokenización de activos reales de la Cámara Fintech Argentina[17], por el otro.

 

Ahora bien, las nuevas normas que Argentina establezca, no deben perder de vista los avances regulatorios de los bloques comerciales que constituyen el destino principal de las exportaciones de servicios de nuestro sector de la Economía del Conocimiento.

 

 

Citas

(*) Sebastián Heredia Querro es Co-fundador y CEO de Tokenize-IT

[1] Confr. https://makerdao.com/whitepaper/Dai-Whitepaper-Dec17-es.pdf

[2] Se recomienda la lectura de: Fabian Schär, Decentralized Finance: On Blockchain- and Smart Contract-Based Financial Markets, disponible al 12/11/23 en https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3843844; Foro Económico Mundial, DeFi beyond the hype,  disponible al 12/11/23 en https://wifpr.wharton.upenn.edu/wp-content/uploads/2021/05/DeFi-Beyond-the-Hype.pdf.

[3] Véase Heredia Querro et. all., PoS, gobernanza descentralizada y ataques relámpago, disponible al 12/11/23 en https://abogados.com.ar/proof-of-stake-gobernanza-descentralizada-y-ataques-relampago/30955?tech=1

[4] Confr. https://www.fatf-gafi.org/en/publications/Fatfrecommendations/Guidance-rba-virtual-assets-2021.html

[5] Confr. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32023R1114&pk_campaign=todays_OJ&pk_source=EURLEX&pk_medium=TW&pk_keyword=Crypto%20assets&pk_content=Regulation&pk_cid=EURLEX_todaysOJ

[6] Ampliar en Heredia Querro, Sebastián, Smart Contracts, 1ra. Ed. (2020), p. 257, disponible al 12/11/23 en https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3875645

[7] Ampliar en Heredia Querro, Sebastián y Bertoni, Martín,  De Prospectos y White Papers…El deber de información del emisor de tokens criptográficos: la posición europea, La Ley, Especial Blockchain y Derecho, 28/12/2022,  disponible al 12/11/23 en: http://colabogmza.com.ar/wp-content/uploads/2022/12/1672252050521_Diario-28-12-22.pdf 

[8] Idem, p. 96 y ss. Véase también el White Paper disponible al 12/11/23 aquí: https://mitsloan.mit.edu/shared/ods/documents?PublicationDocumentID=5859

[9] Confr. disponible al 12/11/23 https://acpr.banque-france.fr/en/decentralised-or-disintermediated-finance-what-regulatory-response

[10] Confr. https://cointelegraph.com/news/3-cloud-providers-accounting-for-over-two-thirds-of-ethereum-nodes-data

[11] Ampliar en https://www.digital-operational-resilience-act.com

[12] Confr. https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3491

[13] La definición europea de red DLT está contenida en el Reglamento Europeo para la Identidad Digital Europea, Nº 910/2014 (eIDAS), modificado en 2021. Confr. https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52021PC0281&from=EN

[14] Art. 30. Requisitos esenciales de los contratos inteligentes para el intercambio de datos

1. El proveedor de una aplicación que utilice contratos inteligentes o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique la utilización de contratos inteligentes para terceros en el contexto de un acuerdo de puesta a disposición de datos cumplirá los siguientes requisitos esenciales:

a)  solidez: velará por que el contrato inteligente se haya diseñado de manera que ofrezca un grado de solidez muy elevado con el fin de evitar errores funcionales y contrarrestar los intentos de manipulación por terceros;

b)  resolución y suspensión seguras: velará por que exista un mecanismo que permita poner fin a la ejecución de transacciones; el contrato inteligente incluirá funciones internas que permitan reinicializar el contrato o darle instrucciones para poner fin a la operación o suspenderla con objeto de evitar futuras ejecuciones (accidentales);

c)  archivo y continuidad de los datos: en caso de que el contrato inteligente deba resolverse o desactivarse, preverá la posibilidad de archivar los datos de las transacciones, así como la lógica y el código del contrato inteligente, con el fin de llevar un registro de las operaciones con datos efectuadas previamente (auditabilidad); y

d)  control de acceso: el contrato inteligente estará protegido mediante rigurosos mecanismos de control de acceso en el nivel de la gobernanza y en el del contrato inteligente.

2. El proveedor del contrato inteligente o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique la utilización de contratos inteligentes para terceros en el contexto de un acuerdo de puesta a disposición de datos realizará una evaluación de conformidad a efectos del cumplimiento de los requisitos esenciales contemplados en el apartado 1 y expedirá una declaración UE de conformidad respecto a dicho cumplimiento.

3. Al expedir la declaración UE de conformidad, el proveedor de una aplicación que utilice contratos inteligentes o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique la utilización de contratos inteligentes para terceros en el contexto de un acuerdo de puesta a disposición de datos será responsable del cumplimiento de los requisitos esenciales contemplados en el apartado 1.

4. Se presumirá que un contrato inteligente que se atenga a las normas armonizadas, o las partes pertinentes de estas normas, elaboradas y publicadas en el Diario Oficial de la Unión Europea es conforme con los requisitos esenciales a que se refiere el apartado 1 del presente artículo, en la medida en que dichas normas contemplen esos requisitos.

5. De conformidad con el artículo 10 del Reglamento (UE) n.o 1025/2012, la Comisión podrá pedir a una o varias organizaciones europeas de normalización que elaboren normas armonizadas que satisfagan los requisitos esenciales contemplados en el apartado 1 del presente artículo.

6. En caso de que las normas armonizadas a que se refiere el apartado 4 no existan, o cuando la Comisión considere que las normas armonizadas pertinentes son insuficientes para garantizar la conformidad con los requisitos esenciales del apartado 1 del presente artículo en un contexto transfronterizo, la Comisión, mediante actos de ejecución, podrá adoptar especificaciones comunes respecto a los requisitos esenciales establecidos en el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 39, apartado 2.

[15] Ampliar en https://blog.chain.link/reentrancy-attacks-and-the-dao-hack/

[16] Ampliar en https://www.argentina.gob.ar/normativa/nacional/resolución-17-2022-376303/texto

[17] Ampliar en https://camarafintech.org/tokenizacion-de-activos-reales-propuestas-y-analisis-para-impulsar-el-desarrollo/



Artículos

Ley Bases: Reglamentación de Hidrocarburos y Gas Natural
Tavarone, Rovelli, Salim & Miani Abogados
detrás del traje
Mariano Fabrizio
De CEO – MRC CONSULTANTS AND TRANSACTION ADVISERS, SL (ESPAñA), SUBSIDIARIA DE VEOLIA ENVIRONNEMENT ET INGENIERIE COUNSEIL SAS (FRANCIA)
Nos apoyan