06-04-2026 | FERRERE, Noticias
La propuesta incorpora ajustes derivados de los comentarios recibidos durante el proceso de consulta pública y de los intercambios con la industria.
El 16 de marzo de 2026, la Superintendencia de Servicios Financieros (SSF) del Banco Central del Uruguay (BCU) publicó una nueva versión del proyecto normativo que reglamenta la figura del proveedor de servicios de activos virtuales (PSAV), originalmente puesto en consulta en agosto de 2025, en el marco de las modificaciones introducidas por la Ley de Presupuesto Nacional.
La propuesta incorpora ajustes derivados de los comentarios recibidos durante el proceso de consulta pública y de los intercambios con la industria, y establece el régimen aplicable a los PSAV en Uruguay, incluyendo requisitos de autorización, obligaciones de conducta y estándares operativos.
A continuación, destacamos los 10 aspectos más relevantes del régimen propuesto:
- Proveedores regulados
Se consideran PSAV las personas jurídicas que, en forma habitual y profesional, presten uno o más de los siguientes servicios:
- Intercambio entre activos virtuales y monedas fiduciarias;
- Intercambio entre uno o más activos virtuales;
- Transferencia de activos virtuales;
- Custodia, administración u otros medios que permitan el control sobre activos virtuales; y
- Participación y provisión de servicios financieros relacionados con la oferta o venta de activos virtuales por parte de un emisor (por ejemplo, a través de plataformas o aplicaciones móviles).
Estas actividades también quedan comprendidas cuando se realicen a través de protocolos que permitan su ejecución directa entre usuarios mediante contratos inteligentes. En cambio, el desarrollo de un programa informático, por sí solo, no se considera actividad regulada si no implica prestar el servicio.
- Autorización y forma jurídica
Los PSAV deberán obtener autorización previa de la SSF para operar y deberán indicar las actividades que desarrollarán.
Podrán constituirse como sociedades comerciales bajo los tipos previstos en la normativa uruguaya o como sucursales de entidades extranjeras. Como parte del proceso de autorización, deberán presentar información sobre su estructura, accionistas, gobierno corporativo, operativa y sistemas.
- Principios de actuación y límites operativos
Los PSAV deberán actuar con lealtad y ética comercial, ajustarse a buenas prácticas y formalizar su relación con los clientes mediante contratos en los casos previstos por la normativa.
No podrán realizar actividades que impliquen intermediación financiera ni disponer o utilizar los activos virtuales de sus clientes sin autorización expresa.
- Principales obligaciones regulatorias
El proyecto establece un conjunto de obligaciones que incluye, entre otros:
a. Protección al cliente
- Brindar información clara y suficiente;
- Celebrar contratos cuando corresponda;
- Contar con mecanismos de atención de reclamos;
- Advertir sobre los riesgos.
b. Prevención de lavado de activos (PLAFT)
- Implementar sistemas de debida diligencia y conocimiento del cliente;
- Identificar beneficiarios finales;
- Designar un oficial de cumplimiento;
- Reportar operaciones sospechosas.
Además, para las transferencias de activos virtuales se establecen requisitos de identificación del ordenante y beneficiario, en línea con estándares internacionales en la materia, incluyendo los desarrollados por el Grupo de Acción Financiera Internacional (GAFI).
c. Seguridad tecnológica y continuidad operativa
- Contar con sistemas informáticos adecuados en términos de seguridad;
- Implementar políticas de seguridad de la información;
- Designar un responsable de seguridad;
- Realizar auditorías anuales y contar con planes de continuidad.
d. Gobierno corporativo
- Definir una estructura organizativa clara;
- Implementar sistemas de control interno;
- Asegurar la idoneidad del personal superior;
- Adoptar códigos de ética.
e. Requerimientos prudenciales y garantías
Para los PSAV que presten servicios de custodia o administración de activos virtuales, se exige la integración de un patrimonio mínimo de UI 1.000.000 (Unidades Indexadas). Asimismo, todos los PSAV deberán constituir una garantía a favor del BCU por un monto no inferior a UI 600.000 y un depósito a la vista en el BCU por un monto no inferior a UI 50.000.
f. Información y contabilidad
- Presentar información contable y de gestión con periodicidad anual;
- Realizar auditorías externas;
- Comunicar hechos relevantes al regulador.
- Separación de fondos y activos
Los PSAV deberán mantener separados los fondos propios de los fondos de clientes, así como los activos virtuales propios de los de clientes. Dicha separación deberá quedar asentada de forma clara, individualizada y mantenerse actualizada en los registros del PSAV, de manera que los activos virtuales de clientes no integren la masa activa del PSAV en caso de concurso o liquidación.
Además, los fondos de clientes no podrán permanecer en su poder por más de 48 horas, salvo que existan instrucciones específicas que justifiquen un plazo mayor.
- Tercerización de servicios
El proyecto permite la tercerización de servicios sujeta a comunicación previa a la SSF. En estos casos, los PSAV deberán celebrar contratos con requisitos mínimos, evaluar y monitorear los riesgos asociados y mantener la responsabilidad por los servicios prestados.
No se admite la tercerización de la aceptación de clientes.
- Uso de corresponsales financieros
Se habilita la prestación de servicios a través de corresponsales financieros o administradores de corresponsales, estableciéndose requisitos para su contratación y obligaciones de control por parte del PSAV.
Las operaciones realizadas a través de terminales automatizadas estarán sujetas a un importe diario máximo por cliente de US$ 1.000, o su equivalente en otras monedas.
- Información al cliente
Cuando el PSAV participe en la oferta o venta de activos virtuales, deberá poner a disposición de los clientes un white paper con información detallada sobre el activo virtual ofrecido. El proyecto admite que dicho documento pueda estar disponible en español o en inglés.
A su vez, esta versión del proyecto eliminó la exigencia de que la declaración del cliente sobre el conocimiento de los riesgos asociados a la operativa con activos virtuales sea recabada en forma previa a cada operación.
- Régimen sancionatorio
El proyecto prevé un régimen sancionatorio que incluye observaciones, apercibimientos, multas, suspensión o cancelación de la autorización, según la gravedad del incumplimiento.
- Plazos de adecuación
Los PSAV que se encuentren en actividad a la fecha de entrada en vigencia de la norma dispondrán hasta el 31 de diciembre de 2026 para presentar la solicitud de autorización, pudiendo continuar operando mientras se procesa la solicitud.
El plazo general para adecuarse a las distintas disposiciones se extiende hasta el 30 de junio de 2027, con plazos específicos adicionales para determinados aspectos operativos.
El proyecto se encuentra actualmente en etapa de segunda consulta pública. El plazo para remitir comentarios vence el 13 de abril de 2026.
Si quieres más información, escríbenos a contacto@compliancelatam.legal.
09-06-2025 | FERRERE, Noticias
Recientemente, Uruguay presentó su Estrategia Nacional de Ciberseguridad (ENC) para el período 2024-2030, desarrollada por AGESIC, en colaboración con diversos sectores. Tiene como objetivo crear un ciberespacio seguro, abierto y resiliente, a la vez que promover el desarrollo sostenible y proteger los derechos de los ciudadanos.
La ENC se basa en ciertos principios, entre los que destacan la gestión proactiva de riesgos, la colaboración nacional e internacional, y el fortalecimiento de la resiliencia digital. Estos principios se traducen en ocho pilares claves, que abarcan desde la gobernanza y el marco normativo, hasta la ciberdefensa y la cultura de ciberseguridad.
Gobernanza
La estrategia busca establecer mecanismos para la coordinación y supervisión de políticas de ciberseguridad, definiendo roles y responsabilidades claras. Además, apunta a definir un modelo de gobernanza multinivel que distribuya responsabilidades entre niveles estratégicos, tácticos y operativos.
Marco normativo
Se actualizará la normativa para prevenir y reaccionar ante incidentes de ciberseguridad, asegurando que el marco normativo nacional esté en concordancia con los estándares y obligaciones internacionales. La estrategia fomenta un marco legal que promueva la colaboración entre el sector público y privado para fortalecer la ciberseguridad nacional.
Ciberdelitos
La ENC busca fortalecer las capacidades para prevenir y perseguir delitos cibernéticos, promoviendo la cooperación internacional. Uruguay se adherirá al Convenio del Consejo de Europa sobre la Ciberdelincuencia. Además, se fomentará el desarrollo de carreras de especialización vinculadas a la temática de ciberdelitos.
Ciberdefensa
La estrategia apunta a consolidar la ciberdefensa nacional, mejorando la respuesta a incidentes que afecten infraestructuras críticas. Se establecerán protocolos para la coordinación entre organismos vinculados a ciberdefensa y se analizarán las estructuras y mecanismos de ejecución a través de un Comando Conjunto de Ciberdefensa bajo la órbita del Ministerio de Defensa.
Infraestructuras de información crítica
Se identificarán las infraestructuras de información crítica del país y los actores involucrados en su gestión. La estrategia busca incrementar y fortalecer las capacidades de monitoreo y detección de incidentes en las infraestructuras de información crítica. Además, se analizarán las interconexiones y dependencias entre estas infraestructuras para evaluar el alcance e impacto de potenciales incidentes de ciberseguridad.
Cultura de ciberseguridad
Se promoverán buenas prácticas y comportamientos seguros en el uso de tecnologías de la información. Incluye la implementación de campañas masivas y focalizadas de concientización en ciberseguridad dirigidas a toda la población. También se promoverá el uso de identificaciones digitales fuertes y firmas digitales para proteger la identidad en línea.
Ecosistema e industria
La ENC impulsa un ecosistema de ciberseguridad competitivo, fomentando la innovación y la colaboración entre sectores. Se promoverán esfuerzos para la investigación, desarrollo e innovación en ciberseguridad, especialmente en tecnologías emergentes. Además, se prevé crear un catálogo de productos y servicios de ciberseguridad provistos en el país.
Política internacional
Uruguay establecerá un equipo diplomático a cargo de gestionar los temas vinculados a la ciberseguridad del país. La estrategia coordinará con las instituciones nacionales competentes la política exterior de Uruguay para el ciberespacio y reforzará la participación del país en espacios regionales e internacionales relevantes en materia de ciberseguridad.
Esta estrategia representa una oportunidad para que el sector tecnológico se alinee con las mejores prácticas en ciberseguridad, proteja los datos y fomente la confianza de los usuarios, impulsando la resiliencia digital y el crecimiento económico.
23-01-2025 | FERRERE, Noticias
La Resolución N° 991/2024 una serie de obligaciones y plazos para los empleadores en Paraguay, con el objetivo de mejorar la transparencia y la eficiencia en la gestión de relaciones laborales y seguridad social.
Inscripción patronal: la inscripción en el REOP es obligatoria para las empresas, las cuales deben registrar tanto su casa matriz como sucursales. Para ello, deberán presentar el formulario de inscripción completo, junto con la constancia de inscripción en el RUC y la fotocopia de la cédula de identidad del firmante. El trámite será procesado en un plazo de 3 días hábiles, siempre que no haya inconsistencias en la documentación.
Actualización de datos: los datos de la empresa y del representante legal deberán ser actualizados en forma anual, desde el 01 de enero al 31 de marzo de cada ejercicio fiscal.
Inscripción patronal de oficio: en caso de detectarse el incumplimiento durante una inspección, la Dirección del REOP procederá a inscribir al empleador de oficio, con las sanciones correspondientes.
Comunicaciones obligatorias: la resolución detalla diversas comunicaciones que deben ser notificadas al REOP, incluyendo la entrada, salida y cambios en la situación de los trabajadores (vacaciones, licencias, accidentes laborales, enfermedades profesionales, liquidaciones salariales, aguinaldo, entre otros). Estas comunicaciones deben realizarse en plazos específicos que oscilan entre los 8 a 30 días hábiles.
Sustitución y traslados de empleadores: el empleador sustituto debe comunicar la inscripción del establecimiento sustituido y trasladar a los trabajadores sin que esto implique una terminación de la relación laboral. Asimismo, los traslados entre registros patronales de distintos establecimientos también se permitirán sin afectar la continuidad laboral de los empleados.
Digitalización y formularios actualizados: los empleadores podrán generar y rectificar documentos como recibos de liquidación y aguinaldos a través del sistema REOP, sin costo adicional, particularmente para las MIPYMES.
También se han habilitado nuevos formularios para facilitar la inscripción patronal y la notificación de accidentes laborales.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
19-09-2024 | FERRERE, Noticias
El 10 de setiembre de 2024, el Parlamento aprobó el proyecto de ley de regulación de activos virtuales (la Ley), que modifica la normativa vigente para reconocer formalmente a los activos virtuales, equiparándolos regulatoriamente a los valores escriturales, e incluye a los Proveedores de Servicios sobre Activos Virtuales (PSAV) dentro del ámbito regulatorio y de supervisión del Banco Central del Uruguay (BCU).
A continuación, destacamos los puntos más relevantes:
- Se agrega una nueva especie dentro del género de valores escriturales
La Ley modifica el artículo 14 de la Ley de Mercado de Valores N° 18.627, con el propósito de incluir a los activos virtuales dentro de la definición de valores escriturales. A partir de esta modificación, los valores escriturales se dividirán en dos categorías:
- de registro centralizado (los cuales mantienen la regulación vigente en su totalidad); y
- de registro descentralizado, una nueva categoría que abarca los activos virtuales, los cuales se caracterizan por la ausencia de una entidad registrante centralizada, ya que son emitidos, almacenados, transferidos y negociados electrónicamente mediante tecnologías de registro distribuido.
Con la incorporación de esta nueva clase, las normas aplicables a los valores escriturales se extenderán a los activos virtuales, en la medida en que sean compatibles con la naturaleza del registro no centralizado de estos últimos.
- Se incluye a los PSAV dentro del ámbito regulatorio y fiscalizador del BCU
La Ley modifica los artículos 37 y 38 de la Carta Orgánica del BCU (Ley N° 16.696), con el objetivo de colocar a los PSAV que operen con activos virtuales de carácter financiero bajo el control de la Superintendencia de Servicios Financieros (SSF).
Además, el BCU reglamentará y supervisará la actividad de las entidades que brinden servicios de compraventa de activos virtuales, conforme a la definición que adopte a tales efectos.
Los PSAV deberán solicitar autorización al BCU para operar, quien la concederá o denegará en función de criterios de legalidad, oportunidad y conveniencia, pudiendo revocarla en caso de infracciones graves, además de establecer las normas para su funcionamiento.
- Se regulan los PSAV en materia de control de lavado de activos y financiamiento del terrorismo
La Ley también busca que los PSAV queden sujetos a las facultades reglamentarias y de fiscalización del BCU en materia de control de lavado de activos y financiamiento del terrorismo por la actividad que desarrollen. Esto se debe a que las entidades incluidas en el inciso segundo del artículo 37 de la Carta Orgánica del BCU también están, por disposición legal, sujetas a este tipo de controles.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
04-09-2024 | FERRERE, Noticias
El Parlamento acaba de aprobar una nueva ley que establece un marco regulatorio para los delitos cometidos en el entorno digital, con el objetivo hacer frente a los desafíos que plantea el cibercrimen. Esta normativa brindará herramientas para prevenir y sancionar actividades ilícitas digitales, en un contexto desafiante con la irrupción nuevas formas delictivas.
La ley se estructura en cuatro capítulos principales:
I. Tipificación de delitos informáticos
Define y penaliza nuevas conductas ilícitas:
Acoso telemático: se configura cuando se utilizan medios electrónicos (como internet, redes sociales, mensajes de texto, etc.) para perseguir, vigilar o tratar de acercarse a otra persona de manera insistente, alterando gravemente el desarrollo de su vida.
Fraude informático: se materializa cuando se emplean medios electrónicos para engañar a otra persona y obtener un beneficio económico, causando un daño a la víctima (por ejemplo, transferencias no consentidas, utilización de tarjetas).
Daño informático: se configura cuando una persona destruye, altera o inutiliza sistemas informáticos con la finalidad de causar daño. Esto puede incluir, por ejemplo, el borrado de archivos, introducción de virus, o bloqueo al acceso de sistemas informáticos.
Acceso ilícito a datos informáticos: conducta delictiva que consiste en ingresar sin autorización a sistemas informáticos ajenos con el fin de obtener, manipular o difundir información contenida en ellos.
Interceptación ilícita: se materializa en los casos de intercepción, total o parcial, de comunicaciones que se encuentran en tránsito a través de redes o sistemas informáticos.
Vulneración de datos: se configura cuando una persona, empleando cualquier tipo de tecnología, accede, se apropia, utiliza o modifica información confidencial de terceros sin su autorización.
Suplantación de identidad: ocurre cuando una persona adopta falsamente la identidad de un individuo o de una entidad, utilizando redes sociales, correos electrónicos, cuentas bancarias, plataformas digitales y cualquier otro sistema informático que permita obtener información personal y credenciales de acceso.
Abuso de los dispositivos: se materializa cuando una persona crea, adquiere, introduce en el país, vende o proporciona a otros individuos, programas, credenciales o contraseñas que tienen como objetivo principal facilitar la comisión de un delito.
II. Medidas de prevención y educación
Establece la obligación del Estado de promover campañas de concientización sobre la seguridad informática y de fomentar la educación en materia de ciberseguridad. Asimismo, se prevén mecanismos para la colaboración entre el sector público y privado en la implementación de medidas preventivas.
III. Registro de ciberdelincuentes
Habilita a instituciones de intermediación financiera y entidades emisoras de dinero electrónico a la creación de registros de personas involucradas en actividades ilícitas en el ciberespacio. En este contexto, la ley exonera a dichas entidades del secreto bancario, por lo que podrán compartir entre ellas y con las autoridades competentes sus registros a fin de realizar denuncias o gestiones para prevenir y mitigar ciberdelitos.
IV. Prevención de transacciones no consentidas
Faculta a las instituciones de intermediación financiera y entidades emisoras de dinero electrónico a inmovilizar fondos en cuentas de clientes, provenientes de operaciones desconocidas y no autorizadas desde cuentas de terceros.
Esta nueva Ley seguramente fomentará, entre otros, los siguientes aspectos:
Fortalecimiento del marco jurídico y prevención: otorga a las autoridades herramientas para investigar y sancionar estos delitos de manera más efectiva. Las medidas de prevención y educación deberían contribuir a reducir su incidencia
Herramientas para el sistema financiero: concede facultades al sistema financiero para, entre otras medidas, inmovilizar cuentas en caso de transacciones no autorizadas, posibilitando un accionar a tiempo para prevenir o mitigar sus efectos.
Cooperación internacional: establece un marco jurídico que posibilita la cooperación internacional, facilitando el intercambio de información y la asistencia entre países. Asimismo, aproxima a Uruguay a la adhesión al “Convenio de Budapest”, tratado internacional diseñado para combatir los ciberdelitos.
Para su entrada en vigor, resta la promulgación de Presidencia y su publicación en el Diario Oficial (entrando en vigencia 10 días después).
12-07-2024 | FERRERE, Noticias
El pasado 25 de mayo la Secretaría Nacional para la Lucha contra el Lavado de Activos y el Financiamiento del Terrorismo (SENACLAFT), publicó la Guía de señales e indicadores de riesgo de lavado de activos para Sujetos Obligados No Financieros ante el uso de activos virtuales. El objetivo de la Guía es facilitar la evaluación de riesgos ante la utilización de activos virtuales.
El artículo 19 de la Ley 19.574, establece un enfoque basado en riesgos, estableciéndose que los sujetos obligados deben aplicar procedimientos de debida diligencia intensificada en aquellos casos en los que se utilicen nuevas tecnologías que favorezcan el anonimato. En ese sentido, en las operaciones en donde se utilicen activos virtuales, el sujeto obligado deberá necesariamente aplicar medidas de debida diligencia intensificada.
SENACLAFT destaca que al momento de la publicación de la Guía la actividad de proveedores de servicios virtuales, así como la utilización de activos virtuales, no cuenta con regulación legal en el país, situación que puede cambiar en el corto plazo.
