Cómo hacer que una «empresa de pagos con stablecoins» opere legal y compliant en Singapur: una lista práctica para fundadores

Escritor: Abogado Yang Qi

Las monedas estables están siendo utilizadas cada vez más por empresas para liquidaciones, pagos transfronterizos, gestión de fondos y pagos B2B. Pero en Singapur, 「usar monedas estables para pagos」 a menudo no es solo un problema de producto, sino un proyecto integral que combina límites regulatorios + AML/CFT contra el lavado de dinero + gestión de riesgos tecnológicos.

Este artículo explica claramente la ruta principal en un enfoque 「puede ejecutar el emprendedor」: primero explica claramente tu modelo de negocio, luego establece el sistema de licencias y cumplimiento, y podrás reducir significativamente el riesgo de infringir regulaciones y los costos de rectificación posteriores.

Aviso: Este artículo comparte información general y no constituye asesoramiento legal. La conclusión final de cumplimiento depende de tu proceso de transacción, tipo de cliente, circulación y control de fondos / tokens.

1. Primero, da el paso más importante: 「dibuja」 tu negocio

Antes de discutir pasos específicos de implementación, por favor, que el responsable del negocio prepare una página con el diagrama de flujo de circulación de fondos / tokens, al menos respondiendo estas preguntas:

¿Quiénes son tus clientes?: ¿Personas / Comerciantes / Empresas de ciertos sectores o industrias?

¿Posees o controlas los monedas estables de tus clientes (custodia, control de claves privadas, permisos multi-firma)?

¿Realizas intercambios entre moneda fiduciaria y moneda estable o entre monedas estables?

¿Facilitas transferencias (A a B, cobros a comerciantes, pagos empresariales)?

¿Los clientes están en Singapur o en el extranjero? ¿「Ofreces servicios en Singapur a clientes en el extranjero」?

¿Eres emisor de monedas estables o solo usas monedas estables de terceros (como USDC/USDT, etc.)?

Esta página de flujo determinará qué actividades regulatorias activarás y qué sistema de cumplimiento necesitas.

2. Evaluación de licencias: la mayoría de los pagos con monedas estables caerán dentro del marco PSA (posiblemente también involucrando FSMA)

En Singapur, los negocios de pagos con monedas estables generalmente están regulados bajo la 「Ley de Servicios de Pago」 (PSA), especialmente en actividades relacionadas con los 「Tokens de Pago Digital (DPT)」 (como transferencias, intercambios, custodia, etc.). Además, si proporcionas servicios de tokens digitales a clientes en el extranjero desde Singapur, también puede activar requisitos bajo FSMA.

Modelos de negocio comunes y 「posibles puntos de activación regulatoria」

Cobro a comerciantes + liquidación / compensación en monedas estables: generalmente activa servicios relacionados con DPT; si involucra adquisición, transferencias, remesas transfronterizas, también puede superponer otros tipos de servicios de pago PSA.

Billetera / custodia (tú controlas las monedas de los clientes): suele considerarse uno de los puntos de riesgo alto (especialmente si controlas claves privadas o permisos de transferencia).

OTC / intercambio / matching: generalmente activa servicios relacionados con DPT.

Emisión de tu propia moneda estable: cómo activa la discusión para incluirse en el 「marco de regulación de emisores」, con un nivel de cumplimiento mucho más alto.

Recomendación práctica: no comiences preguntando 「¿Qué licencia quiero solicitar?」, sino 「¿Qué actividades reguladas he realizado?」. La evaluación regulatoria siempre mira la sustancia de la transacción.

3. Si planeas emitir monedas estables: primero decide si quieres seguir la ruta de 「regulación de monedas estables por MAS」

Si no solo usas monedas estables existentes, sino que planeas emitir la tuya propia, la ruta de cumplimiento será completamente diferente. Normalmente, deberás cumplir requisitos más estrictos (como reservas, mecanismos de redención, divulgación de información, auditorías y control de riesgos operativos).

La conclusión es simple:

No emitir: enfócate en el sistema de cumplimiento de 「DPT / Proveedor de servicios de pago」 (especialmente AML y riesgos tecnológicos).

Emitir: debes estructurar 「reservas, redenciones, auditorías, divulgación, gobernanza」 a nivel institucional, siguiendo el marco de emisores.

4. Pilar de cumplimiento 1: Anti lavado de dinero AML/CFT (debes actuar como una institución financiera)

En negocios relacionados con monedas estables / tokens digitales, AML y AML/CFT son las áreas que primero revisa la regulación.

Debes contar con un sistema «factible» que incluya:

1. Evaluación de riesgos a nivel de empresa (EWRA)

Riesgos del producto, del cliente, regionales, de canales

¿qué clientes requieren mayor diligencia (EDD)? ¿quiénes deben ser rechazados?

2. Diligencia del cliente (KYC/CDD/EDD)

Identificación y verificación de identidad, identificación del beneficiario final (como clientes corporativos)

Verificación contra sanciones y PEP (personas políticamente expuestas)

Reglas de activación de riesgos altos (por ejemplo, anonimato, estructuras complejas, regiones sensibles)

3. Monitoreo de transacciones y manejo de transacciones sospechosas (procesos STR)

Reglas / escenarios de monitoreo (por ejemplo, divisiones frecuentes, entradas y salidas rápidas, direcciones relacionadas anómalas)

Gestión de casos y mecanismos de escalamiento: quién investiga, quién aprueba, cómo se mantiene la cadena de evidencia

Capacitación del personal y revisión anual / auditoría independiente

4. Análisis en cadena / puntuación de riesgo de billeteras (se recomienda encarecidamente hacerlo lo antes posible)

¿Es «obligatorio por ley»? Depende del modelo de negocio, pero desde la práctica, el rastreo en cadena y la evaluación de riesgo de direcciones se están convirtiendo en «estándar de la industria», especialmente si sirves a industrias de alto riesgo, haces transacciones transfronterizas o proporcionas funciones de custodia / transferencia.

5. Pilar de cumplimiento 2: Cumplimiento de marketing — No te conviertas en 「publicidad cripto para el público general」

En Singapur, la promoción de servicios relacionados con tokens digitales tiene puntos claros de regulación. Muchos equipos no fracasan en el producto, sino en la 「forma de promoción」: marketing masivo al público, exagerar beneficios, minimizar riesgos, guiar a la gente a participar, son temas muy sensibles.

La estrategia más segura suele ser:

Priorizar B2B (comerciantes, empresas, instituciones)

Canales más 「profesionales」: conferencias del sector, reuniones cerradas, referencias de socios, marketing dirigido

Divulgación clara de riesgos: no 「minimizar», no 「garantizar ganancias», no 「proteger capital」.

En resumen: puedes crecer, pero no uses 「narrativas especulativas」 para atraer clientes.

6. Pilar de cumplimiento 3: Riesgos tecnológicos, seguridad de custodia y gestión de externalización (TRM + Externalización)

Las empresas de pagos con monedas estables son una combinación de 「finanzas + software」. La regulación revisará si tienes capacidad institucional para gestionar riesgos tecnológicos, especialmente:

1. Gestión de billeteras y claves (Custodia / Gestión de claves)

Separación de permisos, mecanismos de aprobación, multi-firma / autorización en capas

Registros de toda la cadena y auditabilidad

Doble revisión / autorización múltiple para operaciones clave

2. Seguridad de red y respuesta a incidentes

Gestión de vulnerabilidades, pruebas de penetración, parches y configuración

Planes y simulacros de respuesta a incidentes (ejercicio tabletop)

Copias de seguridad, recuperación, continuidad del negocio (BCP)

3. Gestión de proveedores / externalización (muy importante) Es probable que externalices a proveedores de servicios en la nube, KYC, análisis en cadena, infraestructura de billeteras, etc. La regulación revisará:

Diligencia y evaluación de riesgos de proveedores

Cláusulas contractuales (derechos de auditoría, protección de datos, limitaciones de subcontratación, mecanismos de salida)

Planes alternativos y de contingencia para proveedores clave

7. Pilar de cumplimiento 4: Protección de datos personales (PDPA)

Siempre que hagas KYC, recopiles información del cliente, datos de transacciones, datos de dispositivos, estarás sujeto a obligaciones bajo la PDPA de Singapur. Se recomienda comenzar con dos acciones de 「bajo costo y alto beneficio」:

Designar un DPO (Responsable de protección de datos) y establecer canales de contacto externo

Crear un mapa de datos: qué se recopila, para qué se usa, dónde se almacena, con quién se comparte, cuánto tiempo se conserva

8. Plan de acción para fundadores: Día 0 → Día 90

Día 0–15: Primero, define claramente los límites

Dibuja el diagrama de flujo de fondos / tokens (Flow)

Asegúrate si custodias, intercambias, transfieres, si los clientes están en SG o en el extranjero

Realiza una evaluación preliminar de qué actividades reguladas activarás

Día 15–45: Construye la estructura de cumplimiento

AML/CFT: evaluación de riesgos, CDD/EDD, monitoreo y procesos STR

Riesgos tecnológicos: billeteras / claves, línea base de seguridad, respuesta a incidentes

Gestión de externalización: diligencia de proveedores + cláusulas contractuales + planes de salida

PDPA: DPO, política de privacidad, retención y control de acceso a datos

Día 45–90: Haz que el cumplimiento sea 「operacional」

Implementa herramientas de screening y monitoreo, establece gestión de casos y registros

Completa capacitación del personal, mecanismos de informes de cumplimiento, revisiones internas

Organiza licencias / paquetes de preparación de cumplimiento (estructura de gobernanza, políticas, arquitectura, procesos, cadena de evidencia)

Cierre: El cumplimiento no es 「coste」, sino la barrera para que puedas crecer y mantenerte a largo plazo

Los pagos con monedas estables pueden ser rápidos, pero el cumplimiento debe ser aún más ágil. Solidifica los límites regulatorios, AML y riesgos tecnológicos, y tu negocio será más fácil de colaborar con instituciones, pasar auditorías y resistir inspecciones en momentos clave.