ellipse
ellipse

ALA/CFD

Código: PM-CO-AML-001

Versión: 1.0

Fecha de emisión: 3 de diciembre de 2025

Propietario del documento: Sergio Andrés Sánchez Durán

Aprobado por: Cómite de cumplimiento

Contacto de cumplimiento: mercadomeet@gmail.com

POLÍTICA DE PREVENCIÓN DE LAVADO DE ACTIVOS, FINANCIACIÓN DEL TERRORISMO Y FINANCIACIÓN DE LA PROLIFERACIÓN (AML/LA/FT/FPADM), KYC/KYT Y DEBIDA DILIGENCIA DE PAGOMEET. Código: PM-CO-AML-001 Versión: 1.0 Fecha de emisión: 3 de diciembre de 2025 Propietario del documento: Sergio Andrés Sánchez Durán Aprobado por: Cómite de cumplimiento Contacto de cumplimiento: mercadomeet@gmail.com Declaración pública: PagoMeet es una wallet de autocustodia conectada al marketplace MercadoMeet y que permite comprar, recibir y transar MeetCoin (MTC) y otros criptoactivos mediante integraciones con terceros. PagoMeet rechaza el uso ilícito de sus productos y aplica un enfoque basado en riesgos (EBR) para prevenir LA/FT/FPADM, cumpliendo la normativa aplicable y los estándares internacionales.

1. Propósito y alcance.

Esta Política establece los principios, reglas y controles de AML/LA/FT/FPADM, KYC/KYT y Debida Diligencia aplicables a: 1.1. La wallet de autocustodia PagoMeet y sus funciones transaccionales. 1.2. Las integraciones con terceros para on/off-ramp, pagos y comercio en MercadoMeet. 1.3. Todos los colaboradores, contratistas y aliados de PagoMeet, y, según aplique, a comerciantes y usuarios en Colombia y en otras jurisdicciones donde se ofrezca el servicio. Nota sobre el estatus regulatorio: Si PagoMeet llegare a realizar actividades que la normativa local clasifique como Proveedor de Servicios de Activos Virtuales, cumplirá las obligaciones de reporte, monitoreo y gobierno exigidas para dicho estatus. Mientras tanto, y aun como wallet de autocustodia, adoptamos medidas equivalentes de control y cooperación con los PSAV/VASP integrados y con las autoridades competentes.

2. Principios rectores.

2.1. Cumplimiento legal y ético en todas las jurisdicciones donde operamos. 2.2. Enfoque basado en riesgos: identificación, evaluación, tratamiento y monitoreo continuo de riesgos por cliente, producto o servicio, canal, geografía y transacción. 2.3. Cero tolerancia a LA/FT/FPADM, corrupción, soborno y fraude. 2.4. Conocimiento del cliente KYC/CDD/EDD y de la transacción KYT, con verificación de identidad, beneficiario final y propósito de la relación. 2.5. Listas restrictivas y sanciones (ONU, OFAC, UE, Reino Unido, y nacionales), PEP y medios adversos. 2.6. Trazabilidad y conservación de registros, privacidad y seguridad de la información. 2.7. Cooperación con autoridades y reporte oportuno de operaciones sospechosas. 2.8. Mejora continua conforme a ISO 37301 e ISO 31000.

3. Marco normativo y referencias.

3.1. Colombia: UIAF; régimen PSAV; SAGRILAFT, Supersociedades; habeas data y protección de datos. 3.2. Argentina: UIF y CNV; Ley 25.246 y reforma 27.739; PSAV como sujetos obligados y Registro PSAV; lineamientos UIF sobre KYC/KYT y ROS. 3.3. Internacional: Recomendaciones GAFI/FATF (R.1, R.10–12, R.15–16, R.20, R.24, R.25); sanciones ONU; Travel Rule. 3.4. ISO: ISO 37301, ISO 31000, ISO 10013, ISO 27001 como marcos de referencia para controles y documentación. El detalle de normas específicas por país se mantiene en el Registro Regulatorio interno y se actualiza periódicamente.

4. Definiciones clave.

4.1. Activos virtuales o criptoactivos: representación digital de valor que puede transferirse o intercambiarse digitalmente. 4.2. PSAV: persona o entidad que, como negocio, realiza por cuenta de terceros actividades tales como intercambio, transferencia de VA, custodia o administración de VA o servicios financieros relacionados con la emisión o venta de VA. 4.3. Wallet de autocustodia: software donde el usuario controla sus claves privadas; PagoMeet no custodia fondos ni claves. 4.4. KYC/CDD/EDD: procesos de conocimiento y debida diligencia del cliente (identificación, verificación y perfilamiento); EDD son medidas intensificadas para riesgos altos. 4.5. KYT: monitoreo de transacciones para identificar comportamientos atípicos y señales de alerta. 4.6. PEP: persona expuesta políticamente y sus relacionados cercanos. 4.7. Beneficiario final (UBO): persona natural que posee o controla. 4.8. ROS/SAR: reporte de operación sospechosa a la autoridad competente.

5. Gobierno, roles y responsabilidades.

5.1. Junta o Alta Dirección: aprueba la Política, define apetito de riesgo, recursos y tono ético. 5.2. Comité de Cumplimiento: supervisa la efectividad del programa AML/KYC/KYT, revisa casos relevantes, impone medidas correctivas. 5.3. Oficial de Cumplimiento: independiente; responsable del SARLAFT/SAGRILAFT/SIPLAFT según aplique, interlocución con autoridades, ROS, gestión documental, capacitación y mejora continua. 5.4. Áreas de Producto y Tecnología: incorporan controles por diseño KYC/KYT, Travel Rule, seguridad. 5.5. Atención al Cliente: aplica controles de vinculación, conocimiento del comerciante, monitoreo y screening. 5.6. Terceros críticos: sujetos a due diligence de terceros, cláusulas contractuales de cumplimiento, SLA y auditoría.

6. Política de KYC / CDD / EDD (clientes y comerciantes).

6. Política de KYC / CDD / EDD (clientes y comerciantes). 6.1. Reglas generales. 6.1.1. Prohibición de relación con: sancionados, listados por ONU/OFAC/UE/UK, alta probabilidad de uso ilícito, mixers/tumblers, servicios de anonimización ilícitos, darknet markets, y actividades prohibidas por ley. 6.1.2. Identificación y verificación previas al uso de funciones reguladas, con a. Personas naturales: documento de identidad válido, prueba de vida/biometría, validación de integridad documental, prueba de titularidad de medios de pago (si aplica). b. Personas jurídicas: existencia y representación legal, UBO y estructura accionaria, objeto social, información financiera básica, actividad económica, certificaciones fiscales. 6.1.3. PEP y listas: screening al inicio y diario/periódico; tratamiento intensificado para PEP y altos riesgos. 6.1.4. Perfilamiento y riesgo: matriz de riesgo por cliente y merchant con factores (geografía, actividad, volumen esperado, comportamiento blockchain, relación con unhosted wallets, etc.). 6.1.5. EDD obligatoria cuando: (i) riesgo alto; (ii) PEP; (iii) jurisdicciones de alto riesgo (GAFI); (iv) señales de alerta relevantes; (v) discrepancias en titularidad y UBO; (vi) operaciones complejas o inusuales. 6.1.6. No presencialidad: se aplican controles reforzados (biometría o liveness, microdepósitos, video-KYC u otros) según riesgo. 6.1.7. Beneficiario final: identificación hasta la persona natural con control o propiedad; medidas razonables para verificarla; actualización periódica. 6.1.8. Periodicidad de revisión: clientes alto riesgo: anual; medio: cada 2 años; bajo: cada 3 años, o al presentarse eventos gatillo. 6.1.9. Conocimiento del comerciante (KYM): para operadores en MercadoMeet: validación del negocio, canal de ventas, tratamiento de devoluciones o contracargos y screening continuo. 6.2. Documentación mínima. 6.2.1. Persona Natural: identificación, selfie o biometría, prueba de domicilio, origen de fondos según riesgo y montos, declaración de PEP. 6.2.2. Persona Jurídica: estatutos o acta de constitución, certificado de existencia y representación legal, identificación de representantes y UBO, estados financieros según el riesgo, licencias sectoriales, políticas internas AML si son PSAV y financieras. 6.3. Decisión de vinculación. 6.3.1. Aprobación automática o reglada para riesgo bajo a medio; revisión manual del OC o analista senior para EDD y casos atípicos. 6.3.2. Registro de razonabilidad y trazabilidad de la decisión bajo el principio ISO 37301 de evidencia de cumplimiento.

7. Política KYT y monitoreo transaccional.

Monitoreo continuo de transacciones on-chain y off-chain; generación de alertas; análisis de contexto; decisiones (sin hallazgos / solicitar información / ROS / terminación o bloqueo); Travel Rule cuando aplique; límites y controles con validaciones adicionales y geofencing de jurisdicciones prohibidas o sancionadas.

8. Señales de alerta.

Señales relacionadas con obfuscación, mixers, direcciones vinculadas a ransomware/estafas/exchanges sancionados; estructuración cerca de umbrales; inconsistencias en UBO; transacciones con jurisdicciones de alto riesgo; y merchants con chargebacks/fraude o cambios bruscos.

9. Listas, sanciones y FPADM.

Screening contra listas ONU, OFAC, UE, Reino Unido y listas nacionales/sectoriales al onboarding y de forma periódica, con actualizaciones diarias y por eventos detonantes; cobertura de personas, entidades, UBOs y direcciones blockchain; variantes fonéticas y alias para reducir falsos negativos.

10. Reporte regulatorio y cooperación.

Reportes periódicos en jurisdicciones donde PagoMeet sea sujeto obligado PSAV/VASP, conforme umbrales y formatos de la autoridad competente; respuesta a requerimientos y preservación de evidencia. Nota para Colombia si aplica estatus PSAV: reportes a UIAF vía SIREL: ROS sin umbral; operaciones individuales >= USD 150 no reportadas como múltiples; múltiples >= USD 450; reportes de clientes o de ausencia de operaciones, según anexos técnicos vigentes; conservación de soportes y cooperación.

11. Gestión de riesgos (ISO 31000).

Bajo ISO 31000 entendemos la gestión de riesgos como un ciclo continuo: entender, medir, actuar y mejorar. 11.1. Identificación: reconocer qué puede salir mal y dónde; observar cliente/merchant, producto/servicio, canal (web, app o API), geografía y tecnología; ejemplos: merchant nuevo con volúmenes que no corresponden, transacciones repetidas a direcciones nuevas, ventas desde países con mayores restricciones. 11.2. Análisis y evaluación: probabilidad e impacto; calificación baja/media/alta; semáforo verde/amarillo/rojo; escalamiento de amarillo o rojo. 11.3. Tratamiento: medidas proporcionales; en prevención se solicita más información, límites por perfil, verificación de contrapartes; en detección alertas y revisiones; en corrección pausas, aclaraciones, reportes y cierre si persiste. 11.4. Monitoreo y revisión: indicadores claros; ajustes de reglas, límites y procedimientos; documentación de cambios y capacitación; mejora continua.

12. Gestión de terceros y on/off-ramps.

12.1. Debida diligencia de terceros: licenciamiento o regulación, políticas AML, Travel Rule, capacidades de screening, jurisdicciones de operación, SLAs, continuidad del negocio. 12.2. Contratos con cláusulas de cumplimiento: right to audit, notificación de incidentes, cooperación en ROS, protección de datos, subcontratistas. 12.3. Interoperabilidad de controles: alineación de riesgos, listas, datos KYC/KYT y canales seguros para intercambio de información. 12.4. Pruebas periódicas de controles y revisiones de desempeño.

13. Privacidad, datos personales y seguridad.

13.1. Principios de privacidad. Tratamos los datos personales con finalidades claras y legítimas como apertura de cuenta, verificación de identidad, prevención de fraudes/LAFT, soporte y obligaciones legales. Solo pedimos lo necesario y lo mantenemos exacto y actualizado. Informamos de forma transparente mediante avisos de privacidad, obtenemos consentimientos cuando aplican y no vendemos datos. Las personas pueden acceder, corregir, actualizar, portar o solicitar la eliminación de su información y revocar consentimientos a través de nuestros canales de contacto. No prestamos el servicio a menores de edad donde la ley lo prohíba. En la wallet de autocustodia recopilamos el mínimo de datos posible para operar y cumplir la ley. 13.2. Seguridad de la información. Protegemos la información con capas de seguridad técnicas y organizativas: cifrado en tránsito y en reposo, controles de acceso con el principio de necesidad de saber, registros de actividad, separación de funciones críticas, copias de respaldo y planes de continuidad. Probamos regularmente nuestros controles incluida prueba de penetración cuando corresponde y exigimos a proveedores y aliados cláusulas de confidencialidad y seguridad equivalentes. Si ocurre un incidente, activamos un plan de respuesta para contener, investigar, remediar y notificar a las autoridades y a los usuarios cuando la ley lo requiera, documentando todo el proceso. 13.3. Retención y supresión. Conservamos la información el tiempo estrictamente necesario para los fines declarados y para cumplir obligaciones legales y regulatorias. Cumplido el plazo, procedemos a la eliminación o anonimización segura. Si una persona solicita la supresión y aún existen deberes de conservación, bloqueamos el uso de los datos para fines no obligatorios hasta que venza el plazo legal. Cuando hay transferencias internacionales, aplicamos garantías adecuadas y contratamos solo proveedores que ofrezcan niveles de protección comparables.

14. Capacitación y conciencia.

14.1. Programa semestral de formación obligatoria para todo el personal y específico para áreas críticas de riesgo, producto, soporte, merchant ops. 14.2. Evaluaciones y registros de asistencia y desempeño.

15. Auditoría, revisión independiente y mejora continua.

15.1. Pruebas de efectividad del sistema AML/KYC/KYT al menos anualmente. 15.2. Auditorías internas y externas independientes; planes de acción y seguimiento. 15.3. Revisión de la Política: anual o ante cambios regulatorios o materiales.

16. Medidas disciplinarias y gestión de incidentes.

16.1. Incumplimientos a esta Política pueden conllevar acciones disciplinarias, terminación de contratos, bloqueos y reportes a autoridades. 16.2. Procedimiento de canal de denuncias y protección al denunciante.

17. Registro de cambios

V1.0 (03/12/2025): Emisión inicial (provisional con efectos públicos).

Aviso final

Esta Política se interpreta junto con los Términos y Condiciones y la Política de Privacidad de PagoMeet. En caso de conflicto entre la versión publicada y requisitos regulatorios locales, prevalece la ley aplicable y se adoptarán los ajustes necesarios sin dilación.