Cumplimiento y verificación de clientes

Como sociedad estonia que acepta pagos a través de procesadores regulados en la Unión Europea, estamos obligados a aplicar medidas de diligencia debida sobre nuestros clientes. La base normativa es la Quinta Directiva AML de la UE (2018/843), la Ley estonia de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo, y las directrices de la Unidad de Inteligencia Financiera de Estonia.

Hacer estas verificaciones también te conviene a vos: baja el fraude, mantiene tu cuenta fuera del alcance de terceros y los procesadores liberan el dinero sin retenciones cuando todo está en orden.

Toda cuenta requiere verificación del email mediante un enlace de confirmación y la activación obligatoria de la verificación en dos pasos (2FA) usando una app de autenticación (Google Authenticator, Authy o similar). Esto se hace una sola vez al crear la cuenta.

En cada compra cruzamos el país que declaraste con la geolocalización de tu IP y el país del instrumento de pago utilizado. Si detectamos un cambio de país sospechoso te pediremos que vuelvas a pasar la verificación en dos pasos antes de continuar.

La verificación reforzada se aplica cuando el monto acumulado de tus compras supera 1.000 euros en una ventana de 30 días, cuando una operación individual supera 500 euros en productos de monto personalizado (por ejemplo, compras grandes de Tibia Coins manuales), cuando estás clasificado como Persona Políticamente Expuesta, cuando tu IP o instrumento de pago figura en una jurisdicción de alto riesgo según la UE, o cuando detectamos patrones inusuales como muchos pagos fallidos seguidos o IP en países muy distintos al declarado.

En esos casos te pedimos una foto de tu documento de identidad oficial. La imagen se procesa a través de Stripe Identity, un proveedor especializado de verificación de identidad. No se almacena en nuestros servidores en formato visible: lo único que conservamos es el resultado de la verificación (aprobado o rechazado) y un identificador opaco.

Si sos una persona políticamente expuesta, familiar cercano o socio comercial de una, la normativa europea exige que apliquemos medidas reforzadas y que la decisión de comenzar o continuar la relación comercial sea aprobada por la dirección. Eso no implica que rechacemos la cuenta automáticamente, simplemente que pasa por una revisión adicional. Tu información se trata con el mismo nivel de confidencialidad que la del resto de clientes.

No vendemos a personas o entidades que figuren en las listas de sanciones de la Unión Europea, las Naciones Unidas, la Oficina de Control de Activos Extranjeros de los Estados Unidos (OFAC), la Oficina de Implementación de Sanciones Financieras del Reino Unido (OFSI), o la lista nacional estonia.

Por la misma razón bloqueamos compras desde IPs en Cuba, Irán, Corea del Norte, Siria, las áreas no controladas por el gobierno de Ucrania y, para ciertos productos, Rusia. Esta lista se actualiza siempre que cambian los regímenes de sanciones aplicables.

Si detectamos motivos razonables para sospechar que una operación está vinculada al blanqueo de capitales o a la financiación del terrorismo, tenemos la obligación legal de informarlo a la Unidad de Inteligencia Financiera de Estonia. No podemos avisarte si vos sos el sujeto de ese reporte; hacerlo sería un delito tipificado como "tipping-off" en la ley estonia.

Si tu operación termina siendo legítima y la UIF lo confirma, el caso se cierra y no queda ninguna marca pública sobre vos. Si por el contrario hay indicios de delito, la UIF puede ordenar la congelación de los fondos y la cooperación con investigaciones más amplias.

Por ley, conservamos los registros de identificación y de transacciones durante 5 años desde el fin de la relación comercial o desde la transacción, lo que sea más tarde. Los registros sensibles están cifrados en reposo en nuestra base de datos PostgreSQL alojada en Alemania, los comprobantes y documentos están en almacenamiento Cloudflare R2, y los respaldos cifrados con AES-256 viajan a Hetzner Storage Box en una rotación de 7 días.

Solo el responsable de cumplimiento, la Dirección y el personal con rol de administrador tienen acceso completo. Los agentes de soporte ven únicamente los tickets y pedidos que les fueron asignados, y todo acceso a un registro deja huella en un log inmutable de auditoría.

Tenés derecho a saber qué datos te pedimos y por qué. Si no entendés un requisito, escribinos a [email protected] y un agente lo explica.

Si considerás que una verificación es desproporcionada para el monto en juego, podés solicitar una revisión escrita. Si no estás de acuerdo con la decisión final, podés presentar una reclamación ante la Autoridad de Protección de Datos o ante la UIF de Estonia, según el caso.

No podemos eliminar los registros sujetos a obligación legal de conservación (5 años AML), pero sí los datos que no estén bajo esa obligación, conforme a la política de privacidad.

El Money Laundering Reporting Officer (MLRO) de Tonyzales es Juan Eduardo Gonzalez Sarmiento, Director General, designado por el Consejo de la sociedad. Es la persona responsable de coordinar el programa AML/CTF, recibir escalaciones internas y mantener el contacto con la UIF de Estonia.

Para consultas estrictamente de cumplimiento podés escribir a [email protected].