Uruguay tiene hoy la oportunidad de observar críticamente la evolución de estos modelos y evaluar con rigor qué intervenciones son realmente necesarias, en qué ámbitos y con qué instrumentos.
El acuerdo europeo sobre el Ómnibus Digital reconoce la importancia de evaluar los costos y beneficios de cada intervención legislativa, evitando que un exceso de regulación genere efectos no deseados.
El acuerdo europeo
El 7 de mayo de 2026, el Parlamento Europeo y el Consejo de la Unión Europea alcanzaron un acuerdo provisional sobre el Ómnibus Digital de Inteligencia Artificial, que introduce modificaciones sustantivas al AI Act, la primera legislación integral en la materia a nivel mundial. El acuerdo extiende plazos de cumplimiento, simplifica cargas regulatorias y amplía el rol de los sandboxes, reconociendo que un marco normativo excesivamente complejo puede generar dificultades de implementación que terminen afectando la innovación y la efectividad misma de la regulación.
Una señal para el debate regional
La decisión europea llega en un momento particularmente relevante para Uruguay y América Latina, donde se debate activamente si corresponde y cómo regular la inteligencia artificial. El mensaje desde Bruselas es claro: incluso la jurisdicción más ambiciosa del mundo en gobernanza digital está ajustando su enfoque. No porque haya abandonado sus objetivos de protección, sino porque la experiencia demostró que una regulación cuyas cargas superan sus beneficios puede generar efectos adversos, entre ellos costos de cumplimiento desproporcionados, retrasos en la implementación y pérdida de competitividad frente a otras regiones.
El caso uruguayo
Para Uruguay, esta señal refuerza la pertinencia de un enfoque prudente e incremental. El país ya cuenta con un marco normativo vigente que ofrece garantías sólidas para la protección de los derechos de los individuos, incluyendo la Ley de Protección de Datos Personales, reconocida por la propia Comisión Europea como adecuada a sus estándares. A ello se suma la adhesión al Convenio Marco del Consejo de Europa sobre Inteligencia Artificial y Derechos Humanos, firmado en setiembre de 2025. Existen, además, normas vigentes en materia de defensa del consumidor, responsabilidad civil y propiedad intelectual, que ya ofrecen herramientas aplicables a situaciones derivadas del uso de IA. En conjunto, estos instrumentos proporcionan un piso de protección cuyo alcance merece ser debidamente ponderado antes de asumir que una legislación integral adicional es la respuesta más adecuada.
Regular cuando es necesario
Uruguay tiene hoy la oportunidad de observar críticamente la evolución de estos modelos y evaluar con rigor qué intervenciones son realmente necesarias, en qué ámbitos y con qué instrumentos. Esa evaluación debería partir de una premisa razonable: preservar su posicionamiento como hub tecnológico regional y evitar cargas que no se justifiquen frente a las garantías que ya ofrece el marco normativo vigente.
El texto del acuerdo político provisional puede consultarse en el comunicado oficial del Consejo de la UE aquí.
Para más información, escríbenos a contacto@compliancelatam.legal.
Las nuevas obligaciones también tendrán cierto impacto en los sujetos obligados del sector financiero.
El pasado 19 de marzo, el Poder Ejecutivo promulgó la Ley 20.469, que incorpora cambios significativos al régimen general de prevención de lavado de activos y financiamiento del terrorismo (PLAFT) en Uruguay. Esto implica que los sujetos obligados del sector no financiero deberán:
adecuar sus matrices de riesgo, tanto de la empresa como de sus clientes;
adaptar manuales de prevención en materia de PLAFT;
y fortalecer las políticas de gobierno corporativo en torno a los directivos y la alta gerencia.
El alcance de estas nuevas obligaciones también tendrá cierto impacto en los sujetos obligados del sector financiero. Los cambios, que aún están supeditados a su futura reglamentación, pueden sintetizarse en los siguientes aspectos:
Abogados, escribanos, contadores y toda otra persona física o jurídica
Las transacciones inmobiliarias que impliquen dación de pago, permuta o pagos realizados total o parcialmente con activos virtuales, estarán sujetas a controles en materia de prevención de lavado de activos para estas categorías de sujetos obligados.
Nuevos sujetos obligados
Fiduciarios no financieros: se incluye a los fiduciarios no financieros, tanto generales como profesionales, como nuevos sujetos obligados, pero bajo la supervisión de la Secretaría Nacional para la Lucha contra el Lavado de Activos y Financiamiento del Terrorismo (SENACLAFT).
Organizaciones sin fines de lucro: se amplía esta categoría, incorporando a los sindicatos y organizaciones empresariales como sujetos obligados.
Prestadores de Servicios de Administración, Contabilidad y Procesamiento de Datos (BPO): se determina que los BPO que apoyen actividades financieras desarrolladas en el exterior deberán registrarse ante SENACLAFT, en las condiciones que determine la reglamentación.
Ampliación de procesos de debida diligencia
Estos procesos deberán también realizarse sobre accionistas, socios, inversores o aportantes de fondos de cualquier tipo, sujeto al alcance que determine la futura reglamentación.
Presunción de bajo riesgo para el sector no financiero
Se elimina la presunción de bajo riesgo para operaciones bancarizadas de los sujetos del sector no financiero.
Restricciones al uso de efectivo
Se reduce el umbral mínimo para operaciones en efectivo fijada en 1.000.000 UI (unidades indexadas) a los siguientes mínimos:
000 UI;
el 5% del valor total de la operación, siempre que dicho monto no supere las 450.000 UI.
Inmovilización de fondos y protección de terceros
Se amplía a 5 días hábiles la obligación de inmovilizar fondos cuando exista resolución fundada de la Unidad de Información y Análisis Financiero, en el marco de un reporte de operación sospechosa. Asimismo, se incorpora la posibilidad de liberaciones parciales a solicitud de terceros de buena fe.
Nuevo régimen de responsabilidad para directivos y la alta gerencia
Bajo el nuevo régimen, y sujeto a lo que determine la reglamentación, los directivos y la alta gerencia (no definida) podrán incurrir en responsabilidad administrativa, siendo pasibles de sanciones (apercibimiento, observación o multa), lo que estaba reservado exclusivamente a los sujetos obligados.
Delitos precedentes
Se incorporan el delito ambiental de introducción de desechos tóxicos y el fraude en las entidades integrantes del sistema financiero nacional.
Umbrales únicos
Se uniformizan los umbrales económicos definidos para calificar como actividades delictivas precedentes de lavado de activo, de acuerdo con el siguiente detalle:
Defraudación tributaria: por monto superior a 400.000 UI.
Defraudación aduanera: por monto superior a 400.000 UI.
Contrabando, estafa, aprobación indebida y ciberdelitos: por monto superior a 100.000 UI.
Delito de asistencia al lavado de activos
Se adecúa la definición de “asistencia”, asociándola a los delitos de lavado de activos (conversión, transferencia, posesión, tenencia y ocultamiento), para diferenciarla de la “asistencia” de actividades delictivas precedentes.
Otros
Se prevén reformas en materia de diseño institucional, cooperación del sector público y cooperación internacional, aspectos procesales y penales, decomisos y extradición, entre otros.
Para solicitar más información, escríbenos a contacto@compliancelatam.legal.
La propuesta incorpora ajustes derivados de los comentarios recibidos durante el proceso de consulta pública y de los intercambios con la industria.
El 16 de marzo de 2026, la Superintendencia de Servicios Financieros (SSF) del Banco Central del Uruguay (BCU) publicó una nueva versión del proyecto normativo que reglamenta la figura del proveedor de servicios de activos virtuales (PSAV), originalmente puesto en consulta en agosto de 2025, en el marco de las modificaciones introducidas por la Ley de Presupuesto Nacional.
La propuesta incorpora ajustes derivados de los comentarios recibidos durante el proceso de consulta pública y de los intercambios con la industria, y establece el régimen aplicable a los PSAV en Uruguay, incluyendo requisitos de autorización, obligaciones de conducta y estándares operativos.
A continuación, destacamos los 10 aspectos más relevantes del régimen propuesto:
Proveedores regulados
Se consideran PSAV las personas jurídicas que, en forma habitual y profesional, presten uno o más de los siguientes servicios:
Intercambio entre activos virtuales y monedas fiduciarias;
Intercambio entre uno o más activos virtuales;
Transferencia de activos virtuales;
Custodia, administración u otros medios que permitan el control sobre activos virtuales; y
Participación y provisión de servicios financieros relacionados con la oferta o venta de activos virtuales por parte de un emisor (por ejemplo, a través de plataformas o aplicaciones móviles).
Estas actividades también quedan comprendidas cuando se realicen a través de protocolos que permitan su ejecución directa entre usuarios mediante contratos inteligentes. En cambio, el desarrollo de un programa informático, por sí solo, no se considera actividad regulada si no implica prestar el servicio.
Autorización y forma jurídica
Los PSAV deberán obtener autorización previa de la SSF para operar y deberán indicar las actividades que desarrollarán.
Podrán constituirse como sociedades comerciales bajo los tipos previstos en la normativa uruguaya o como sucursales de entidades extranjeras. Como parte del proceso de autorización, deberán presentar información sobre su estructura, accionistas, gobierno corporativo, operativa y sistemas.
Principios de actuación y límites operativos
Los PSAV deberán actuar con lealtad y ética comercial, ajustarse a buenas prácticas y formalizar su relación con los clientes mediante contratos en los casos previstos por la normativa.
No podrán realizar actividades que impliquen intermediación financiera ni disponer o utilizar los activos virtuales de sus clientes sin autorización expresa.
Principales obligaciones regulatorias
El proyecto establece un conjunto de obligaciones que incluye, entre otros:
a. Protección al cliente
Brindar información clara y suficiente;
Celebrar contratos cuando corresponda;
Contar con mecanismos de atención de reclamos;
Advertir sobre los riesgos.
b. Prevención de lavado de activos (PLAFT)
Implementar sistemas de debida diligencia y conocimiento del cliente;
Identificar beneficiarios finales;
Designar un oficial de cumplimiento;
Reportar operaciones sospechosas.
Además, para las transferencias de activos virtuales se establecen requisitos de identificación del ordenante y beneficiario, en línea con estándares internacionales en la materia, incluyendo los desarrollados por el Grupo de Acción Financiera Internacional (GAFI).
c. Seguridad tecnológica y continuidad operativa
Contar con sistemas informáticos adecuados en términos de seguridad;
Implementar políticas de seguridad de la información;
Designar un responsable de seguridad;
Realizar auditorías anuales y contar con planes de continuidad.
d. Gobierno corporativo
Definir una estructura organizativa clara;
Implementar sistemas de control interno;
Asegurar la idoneidad del personal superior;
Adoptar códigos de ética.
e. Requerimientos prudenciales y garantías
Para los PSAV que presten servicios de custodia o administración de activos virtuales, se exige la integración de un patrimonio mínimo de UI 1.000.000 (Unidades Indexadas). Asimismo, todos los PSAV deberán constituir una garantía a favor del BCU por un monto no inferior a UI 600.000 y un depósito a la vista en el BCU por un monto no inferior a UI 50.000.
f. Información y contabilidad
Presentar información contable y de gestión con periodicidad anual;
Realizar auditorías externas;
Comunicar hechos relevantes al regulador.
Separación de fondos y activos
Los PSAV deberán mantener separados los fondos propios de los fondos de clientes, así como los activos virtuales propios de los de clientes. Dicha separación deberá quedar asentada de forma clara, individualizada y mantenerse actualizada en los registros del PSAV, de manera que los activos virtuales de clientes no integren la masa activa del PSAV en caso de concurso o liquidación.
Además, los fondos de clientes no podrán permanecer en su poder por más de 48 horas, salvo que existan instrucciones específicas que justifiquen un plazo mayor.
Tercerización de servicios
El proyecto permite la tercerización de servicios sujeta a comunicación previa a la SSF. En estos casos, los PSAV deberán celebrar contratos con requisitos mínimos, evaluar y monitorear los riesgos asociados y mantener la responsabilidad por los servicios prestados.
No se admite la tercerización de la aceptación de clientes.
Uso de corresponsales financieros
Se habilita la prestación de servicios a través de corresponsales financieros o administradores de corresponsales, estableciéndose requisitos para su contratación y obligaciones de control por parte del PSAV.
Las operaciones realizadas a través de terminales automatizadas estarán sujetas a un importe diario máximo por cliente de US$ 1.000, o su equivalente en otras monedas.
Información al cliente
Cuando el PSAV participe en la oferta o venta de activos virtuales, deberá poner a disposición de los clientes un white paper con información detallada sobre el activo virtual ofrecido. El proyecto admite que dicho documento pueda estar disponible en español o en inglés.
A su vez, esta versión del proyecto eliminó la exigencia de que la declaración del cliente sobre el conocimiento de los riesgos asociados a la operativa con activos virtuales sea recabada en forma previa a cada operación.
Régimen sancionatorio
El proyecto prevé un régimen sancionatorio que incluye observaciones, apercibimientos, multas, suspensión o cancelación de la autorización, según la gravedad del incumplimiento.
Plazos de adecuación
Los PSAV que se encuentren en actividad a la fecha de entrada en vigencia de la norma dispondrán hasta el 31 de diciembre de 2026 para presentar la solicitud de autorización, pudiendo continuar operando mientras se procesa la solicitud.
El plazo general para adecuarse a las distintas disposiciones se extiende hasta el 30 de junio de 2027, con plazos específicos adicionales para determinados aspectos operativos.
El proyecto se encuentra actualmente en etapa de segunda consulta pública. El plazo para remitir comentarios vence el 13 de abril de 2026.
Si quieres más información, escríbenos a contacto@compliancelatam.legal.
El 10 de setiembre de 2024, el Parlamento aprobó el proyecto de ley de regulación de activos virtuales (la Ley), que modifica la normativa vigente para reconocer formalmente a los activos virtuales, equiparándolos regulatoriamente a los valores escriturales, e incluye a los Proveedores de Servicios sobre Activos Virtuales (PSAV) dentro del ámbito regulatorio y de supervisión del Banco Central del Uruguay (BCU).
A continuación, destacamos los puntos más relevantes:
Se agrega una nueva especie dentro del género de valores escriturales
La Ley modifica el artículo 14 de la Ley de Mercado de Valores N° 18.627, con el propósito de incluir a los activos virtuales dentro de la definición de valores escriturales. A partir de esta modificación, los valores escriturales se dividirán en dos categorías:
de registro centralizado (los cuales mantienen la regulación vigente en su totalidad); y
de registro descentralizado, una nueva categoría que abarca los activos virtuales, los cuales se caracterizan por la ausencia de una entidad registrante centralizada, ya que son emitidos, almacenados, transferidos y negociados electrónicamente mediante tecnologías de registro distribuido.
Con la incorporación de esta nueva clase, las normas aplicables a los valores escriturales se extenderán a los activos virtuales, en la medida en que sean compatibles con la naturaleza del registro no centralizado de estos últimos.
Se incluye a los PSAV dentro del ámbito regulatorio y fiscalizador del BCU
La Ley modifica los artículos 37 y 38 de la Carta Orgánica del BCU (Ley N° 16.696), con el objetivo de colocar a los PSAV que operen con activos virtuales de carácter financiero bajo el control de la Superintendencia de Servicios Financieros (SSF).
Además, el BCU reglamentará y supervisará la actividad de las entidades que brinden servicios de compraventa de activos virtuales, conforme a la definición que adopte a tales efectos.
Los PSAV deberán solicitar autorización al BCU para operar, quien la concederá o denegará en función de criterios de legalidad, oportunidad y conveniencia, pudiendo revocarla en caso de infracciones graves, además de establecer las normas para su funcionamiento.
Se regulan los PSAV en materia de control de lavado de activos y financiamiento del terrorismo
La Ley también busca que los PSAV queden sujetos a las facultades reglamentarias y de fiscalización del BCU en materia de control de lavado de activos y financiamiento del terrorismo por la actividad que desarrollen. Esto se debe a que las entidades incluidas en el inciso segundo del artículo 37 de la Carta Orgánica del BCU también están, por disposición legal, sujetas a este tipo de controles.
El Parlamento acaba de aprobar una nueva ley que establece un marco regulatorio para los delitos cometidos en el entorno digital, con el objetivo hacer frente a los desafíos que plantea el cibercrimen. Esta normativa brindará herramientas para prevenir y sancionar actividades ilícitas digitales, en un contexto desafiante con la irrupción nuevas formas delictivas.
La ley se estructura en cuatro capítulos principales:
I. Tipificación de delitos informáticos
Define y penaliza nuevas conductas ilícitas:
Acoso telemático: se configura cuando se utilizan medios electrónicos (como internet, redes sociales, mensajes de texto, etc.) para perseguir, vigilar o tratar de acercarse a otra persona de manera insistente, alterando gravemente el desarrollo de su vida.
Fraude informático: se materializa cuando se emplean medios electrónicos para engañar a otra persona y obtener un beneficio económico, causando un daño a la víctima (por ejemplo, transferencias no consentidas, utilización de tarjetas).
Daño informático: se configura cuando una persona destruye, altera o inutiliza sistemas informáticos con la finalidad de causar daño. Esto puede incluir, por ejemplo, el borrado de archivos, introducción de virus, o bloqueo al acceso de sistemas informáticos.
Acceso ilícito a datos informáticos: conducta delictiva que consiste en ingresar sin autorización a sistemas informáticos ajenos con el fin de obtener, manipular o difundir información contenida en ellos.
Interceptación ilícita: se materializa en los casos de intercepción, total o parcial, de comunicaciones que se encuentran en tránsito a través de redes o sistemas informáticos.
Vulneración de datos: se configura cuando una persona, empleando cualquier tipo de tecnología, accede, se apropia, utiliza o modifica información confidencial de terceros sin su autorización.
Suplantación de identidad: ocurre cuando una persona adopta falsamente la identidad de un individuo o de una entidad, utilizando redes sociales, correos electrónicos, cuentas bancarias, plataformas digitales y cualquier otro sistema informático que permita obtener información personal y credenciales de acceso.
Abuso de los dispositivos: se materializa cuando una persona crea, adquiere, introduce en el país, vende o proporciona a otros individuos, programas, credenciales o contraseñas que tienen como objetivo principal facilitar la comisión de un delito.
II. Medidas de prevención y educación
Establece la obligación del Estado de promover campañas de concientización sobre la seguridad informática y de fomentar la educación en materia de ciberseguridad. Asimismo, se prevén mecanismos para la colaboración entre el sector público y privado en la implementación de medidas preventivas.
III. Registro de ciberdelincuentes
Habilita a instituciones de intermediación financiera y entidades emisoras de dinero electrónico a la creación de registros de personas involucradas en actividades ilícitas en el ciberespacio. En este contexto, la ley exonera a dichas entidades del secreto bancario, por lo que podrán compartir entre ellas y con las autoridades competentes sus registros a fin de realizar denuncias o gestiones para prevenir y mitigar ciberdelitos.
IV. Prevención de transacciones no consentidas
Faculta a las instituciones de intermediación financiera y entidades emisoras de dinero electrónico a inmovilizar fondos en cuentas de clientes, provenientes de operaciones desconocidas y no autorizadas desde cuentas de terceros.
Esta nueva Ley seguramente fomentará, entre otros, los siguientes aspectos:
Fortalecimiento del marco jurídico y prevención: otorga a las autoridades herramientas para investigar y sancionar estos delitos de manera más efectiva. Las medidas de prevención y educación deberían contribuir a reducir su incidencia
Herramientas para el sistema financiero: concede facultades al sistema financiero para, entre otras medidas, inmovilizar cuentas en caso de transacciones no autorizadas, posibilitando un accionar a tiempo para prevenir o mitigar sus efectos.
Cooperación internacional: establece un marco jurídico que posibilita la cooperación internacional, facilitando el intercambio de información y la asistencia entre países. Asimismo, aproxima a Uruguay a la adhesión al “Convenio de Budapest”, tratado internacional diseñado para combatir los ciberdelitos.
Para su entrada en vigor, resta la promulgación de Presidencia y su publicación en el Diario Oficial (entrando en vigencia 10 días después).
Revive la segunda jornada de nuestro webinar “Compliance en la Industria de la Salud – Una mirada práctica a la regulación vigente”. En esta oportunidad con foco exclusivo en Argentina, Paraguay y Uruguay.
