Resolución CVM 175, activos virtuales y tokenización: qué cambia para fondos y emisores
Respuesta directa
La Resolución CVM 175 consolidó el régimen de los fondos de inversión brasileños y, por primera vez, admitió los activos virtuales como activos invertibles, con límites y requisitos de custodia. La competencia de la CVM, sin embargo, se define por la naturaleza del activo: un token es un valor mobiliario cuando configura un contrato de inversión colectiva (art. 2, IX, de la Ley 6.385/76), en los términos del Dictamen de Orientación CVM 40/2022; en ese caso, la oferta, la custodia y los prestadores entran en el régimen de la CVM. Los activos virtuales que no son valores mobiliarios siguen la Ley 14.478/2022 y el Banco Central (BACEN).
Puntos clave
- ›La Resolución CVM 175 unificó el marco de los fondos y permitió, dentro de límites, que los FIF inviertan en activos virtuales negociados en entidades reguladas, en Brasil o en el exterior.
- ›La frontera de competencia no es la etiqueta del token: si encaja como contrato de inversión colectiva (art. 2, IX, de la Ley 6.385/76), es un valor mobiliario y la CVM regula la oferta.
- ›El Dictamen de Orientación CVM 40/2022 aplica una prueba funcional (la esencia del test de Howey) para clasificar tokens de pago, de utilidad y respaldados en activos.
- ›Los tokens de créditos y de renta fija tienden a ser valores mobiliarios y pueden equivaler a una securitización (Ley 14.430/2022), conforme a los Oficios-Circulares CVM/SSE 4 y 6 de 2023.
- ›El uso de DLT o de smart contracts no descaracteriza el activo como valor mobiliario ni dispensa el registro, la custodia calificada y la gobernanza.
- ›La custodia segura de las claves, la segregación de patrimonio, la auditoría de contratos inteligentes y la gestión de riesgo cibernético pasan a ser controles de cumplimiento, y no solo de TI.
Qué cambió la Resolución CVM 175 para los fondos
Publicada en diciembre de 2022, la Resolución CVM 175 sustituyó a la Instrucción CVM 555 y a decenas de normas relacionadas, consolidando en un único régimen la constitución, el funcionamiento y la prestación de servicios de los fondos de inversión. La estructura pasó a separar una parte general, común a todos los fondos, de anexos normativos por tipo, entre ellos el Anexo I (Fondos de Inversión Financiera, FIF) y el Anexo II (Fondos de Inversión en Derechos Crediticios, FIDC).
El cambio que interesa directamente a quien opera cripto y tokenización fue el reconocimiento expreso de los activos virtuales como clase invertible. Antes, la exposición a criptoactivos exigía vehículos en el exterior; con la 175, los fondos brasileños pueden invertir en activos virtuales negociados en entidades autorizadas a funcionar por reguladores en Brasil o en jurisdicciones con regulación equivalente, observados los límites de concentración que varían según el público del fondo, del minorista a los inversionistas calificados y profesionales.
Para la gestora, la consecuencia práctica es que la exposición a cripto deja de ser una ingeniería jurídica offshore y pasa a ser una decisión de producto sujeta a las reglas de elegibilidad de activos, de valuación a mercado y, sobre todo, de custodia y controles internos. Es en ese punto donde el cumplimiento regulatorio y la seguridad de la información dejan de ser rieles paralelos.
La frontera de competencia: valor mobiliario (CVM) o activo virtual (BACEN)
La pregunta que define el régimen aplicable no es si el activo usa blockchain, sino cuál es su naturaleza jurídica. La Ley 14.478/2022 y el Banco Central se ocupan de los prestadores de servicios de activos virtuales (VASP) y de los activos virtuales en general. Pero esa ley es expresa al excluir de su concepto de activo virtual aquello que ya es un valor mobiliario, cuya disciplina permanece con la CVM.
El criterio está en el art. 2, inciso IX, de la Ley 6.385/76: son valores mobiliarios, cuando se ofrecen públicamente, cualesquiera títulos o contratos de inversión colectiva que generen un derecho de participación, asociación o remuneración cuyos rendimientos provengan del esfuerzo del emprendedor o de terceros. Un token que reúna esos elementos —captación pública, inversión en dinero, expectativa de retorno y dependencia del esfuerzo de un tercero— es un valor mobiliario, aunque se autodenomine utility token.
En la práctica, hay un mismo activo con dos caminos posibles. Si es un valor mobiliario, la oferta, la negociación, la custodia y los prestadores de servicio están bajo la CVM, y la emisión sin registro o dispensa es irregular. Si no lo es, sigue el riel de la Ley 14.478/2022 y del BACEN. La lectura equivocada de esa frontera es una de las principales fuentes de riesgo regulatorio para tokenizadoras y fintech de inversión.
Cuándo un token es un valor mobiliario: el Dictamen de Orientación CVM 40/2022
En octubre de 2022, la CVM publicó el Dictamen de Orientación 40, que consolida el entendimiento de la autarquía sobre los criptoactivos en el mercado de valores mobiliarios. El documento adopta un enfoque funcional: lo que importa es la esencia económica del activo, no el nombre ni la tecnología. A partir de ello, propone una taxonomía inicial con tokens de pago, tokens de utilidad y tokens referenciados a activos (asset-backed).
El análisis de encuadre aplica, en esencia, el test consagrado internacionalmente (Howey) y ya incorporado a la jurisprudencia de la CVM en torno al contrato de inversión colectiva: aporte en dinero, carácter colectivo, expectativa de beneficio económico y esfuerzo preponderante de un emprendedor o de terceros. Presentes esos elementos en una oferta pública, hay un valor mobiliario. El Dictamen refuerza que la caracterización es independiente de un pronunciamiento previo de la CVM y que corresponde al oferente evaluar el encuadre.
El Dictamen también aclara que los tokens pueden asumir naturalezas híbridas y cambiar de clasificación a lo largo del tiempo, lo que convierte el análisis en un ejercicio continuo, y no en un sello en la emisión. Para el área jurídica de una tokenizadora, esto significa documentar la tesis de encuadre, monitorear los cambios de funcionalidad del token y tratar el smart contract como parte del diseño regulatorio, porque es en él donde los derechos económicos prometidos en el white paper efectivamente se realizan o fallan.
Tokens de créditos y renta fija: securitización con otro ropaje
En 2023, al detectar emisiones de tokens con promesa de renta, la Superintendencia de Supervisión de Securitización de la CVM publicó los Oficios-Circulares CVM/SSE 4/2023 y 6/2023. El mensaje es directo: los tokens de créditos y los tokens de renta fija, cuando se ofrecen públicamente con promesa de remuneración, tienden a encuadrarse como contratos de inversión colectiva y, en muchos casos, equivalen a operaciones de securitización disciplinadas por la Ley 14.430/2022.
Los oficios consolidan tres puntos relevantes para el diseño del producto. Primero, el uso de DLT en la emisión no descaracteriza la naturaleza de valor mobiliario. Segundo, la oferta exige registro o dispensa ante la CVM y la observancia del régimen aplicable, incluido el de securitización cuando corresponda. Tercero, los prestadores de servicio involucrados en la tokenización asumen responsabilidades regulatorias, y no solo tecnológicas.
Para las tokenizadoras, esto reposiciona el producto: la originación de los créditos, la verificación del respaldo, la custodia de los activos subyacentes y la fidelidad entre lo que el smart contract ejecuta y lo que el material de oferta promete pasan a ser elementos de cumplimiento auditables. La divergencia entre el código y el prospecto deja de ser un bug y se convierte en riesgo jurídico.
Custodia, segregación y prestadores de servicio en el régimen de la 175
La Resolución 175 organiza la cadena de prestadores esenciales del fondo, con protagonismo del administrador y del gestor, y prevé responsabilidades de custodia, contraloría y escrituración. Cuando el activo del fondo es un activo virtual, dos principios clásicos del mercado de capitales adquieren contornos técnicos nuevos: la segregación del patrimonio del fondo respecto al del prestador y la guarda segura de los activos.
Segregar el patrimonio, en el mundo cripto, no es solo contable. Implica una segregación efectiva de direcciones y wallets por fondo, control de quién posee las claves privadas, política de uso de carteras frías y calientes, y gobernanza de firmas. La custodia calificada de criptoactivos significa, en la práctica, ser capaz de demostrar que la entidad controla las claves, que estas están protegidas contra compromiso y pérdida, y que existe una recuperación probada en escenarios de desastre, pérdida de firmante o incidente.
Los prestadores que asumen la custodia y la administración de fondos con exposición a activos virtuales necesitan tratar la gestión de claves como un control financiero de primer orden. Una fuga de clave o una falla en la gobernanza de firmas múltiples no es un incidente de TI aislado: puede significar la pérdida definitiva del activo del fondo y una exposición de responsabilidad del prestador ante los cuotapartistas y el regulador.
Seguridad de la información y gestión de riesgos como deber de cumplimiento
Tanto el régimen de fondos como la regulación del mercado de capitales esperan de los prestadores controles internos, gestión de riesgos y seguridad de la información compatibles con la naturaleza y la complejidad de la actividad. Para quien maneja activos virtuales y tokenización, esos controles tienen una capa adicional: el riesgo de que una falla técnica —en las claves, en los contratos inteligentes o en las integraciones— se convierta directamente en pérdida patrimonial irreversible y en incumplimiento regulatorio.
En la práctica, se espera una política de seguridad que cubra la gestión de identidad y acceso con segregación de funciones, el monitoreo y la respuesta a incidentes, la gestión de continuidad y recuperación, las pruebas de intrusión periódicas sobre aplicaciones e infraestructura, y la auditoría independiente del código de los smart contracts antes y después del despliegue. En la tokenización, el contrato inteligente es parte del producto regulado: las vulnerabilidades de reentrancy, de control de acceso o de lógica de mint y burn tienen un efecto directo sobre los derechos de los inversionistas.
Es aquí donde la seguridad y lo jurídico convergen. Documentar la tesis de encuadre del token, mantener trazas de auditoría, evidenciar la custodia segura de las claves y comprobar pruebas y auditorías pasan a componer el dossier de cumplimiento que sostiene la relación con la CVM y con los cuotapartistas. Tratar la seguridad como evidencia regulatoria, y no como un costo de TI, es lo que diferencia a una operación madura.
Cómo Decripte apoya a gestoras, fintech y tokenizadoras
Decripte es una empresa brasileña de ciberseguridad B2B. Para el mercado de capitales cripto, actuamos donde la seguridad técnica se encuentra con el cumplimiento: en la protección de la custodia y de las claves, en la auditoría de lo que efectivamente corre en producción y en la construcción de la evidencia que el regulador y los cuotapartistas esperan.
En los frentes de Seguridad Web3 y Seguridad Normativa, apoyamos la revisión de la arquitectura de custodia y gestión de claves, la auditoría de smart contracts antes del despliegue, las pruebas de intrusión sobre aplicaciones e infraestructura y la estructuración de controles de gestión de riesgos y respuesta a incidentes alineados con lo que el régimen de fondos y el mercado de valores mobiliarios esperan.
El objetivo es práctico: permitir que el área jurídica defienda la tesis de encuadre con respaldo técnico, que el gestor demuestre una custodia y una segregación adecuadas y que el producto tokenizado entre en operación con el código auditado y la postura de seguridad documentada. Cumplimiento y seguridad, en el mismo riel.
Cómo cumplir
- 1
Clasifica el activo antes de diseñar el producto
Antes de la emisión, evalúa si el token configura un contrato de inversión colectiva (art. 2, IX, de la Ley 6.385/76) a la luz del Dictamen de Orientación CVM 40/2022. Documenta la tesis de encuadre por escrito e identifica si el riel es la CVM (valor mobiliario) o la Ley 14.478/2022 y el BACEN.
- 2
Define el régimen de oferta y los prestadores
Si es un valor mobiliario, mapea la necesidad de registro o dispensa, el eventual encuadre como securitización (Ley 14.430/2022) y los prestadores obligatorios. Para fondos, alinea la exposición a activos virtuales a los límites y requisitos de la Resolución CVM 175 según el público objetivo.
- 3
Estructura la custodia y la segregación de claves
Implanta la segregación de wallets por fondo o emisión, la política de carteras frías y calientes, y la gobernanza de firmas múltiples. Garantiza que la entidad compruebe el control de las claves privadas y que exista un procedimiento probado de recuperación ante pérdida o compromiso.
- 4
Audita el smart contract antes de desplegar
Somete el contrato inteligente a una auditoría de seguridad independiente, verificando el control de acceso, la lógica de emisión y rescate, y la ausencia de vulnerabilidades conocidas. Confirma que lo que el código ejecuta corresponde a lo que el material de oferta promete a los inversionistas.
- 5
Implementa controles de seguridad y gestión de riesgos
Establece la gestión de identidad con segregación de funciones, el monitoreo y la respuesta a incidentes, la continuidad y la recuperación, y las pruebas de intrusión periódicas sobre aplicaciones e infraestructura, dimensionadas a la criticidad de la custodia de activos virtuales.
- 6
Arma el dossier de cumplimiento auditable
Reúne la tesis de encuadre, los informes de auditoría de código, las evidencias de custodia y segregación, los registros de pruebas de intrusión y las trazas de incidentes. Ese conjunto sostiene la relación con la CVM, con los auditores y con los cuotapartistas, y reduce el riesgo en la supervisión.
- 7
Monitorea cambios de funcionalidad y de norma
Trata el encuadre como un ejercicio continuo: reevalúa cuando el token cambie de funcionalidad y da seguimiento a la agenda regulatoria de la CVM, que sigue ajustando los anexos de la 175 y las reglas de crowdfunding orientadas a la tokenización de créditos.
Preguntas frecuentes
¿La Resolución CVM 175 permite que los fondos brasileños inviertan en criptomonedas?
Sí. La Resolución CVM 175 reconoció los activos virtuales como clase invertible y permite que los Fondos de Inversión Financiera tengan exposición a activos virtuales negociados en entidades autorizadas por reguladores en Brasil o en jurisdicciones con regulación equivalente, observados los límites de concentración que varían según el público del fondo. Antes de la 175, esa exposición dependía de vehículos en el exterior.
¿Cómo saber si mi token es un valor mobiliario o un activo virtual?
El criterio es la naturaleza jurídica, no la tecnología. Si el token, ofrecido públicamente, configura un contrato de inversión colectiva (art. 2, IX, de la Ley 6.385/76), con aporte, carácter colectivo, expectativa de retorno y esfuerzo de terceros, es un valor mobiliario y queda bajo la CVM, según el Dictamen de Orientación 40/2022. Si no reúne esos elementos, sigue como activo virtual, bajo la Ley 14.478/2022 y el Banco Central.
¿Los tokens de créditos y de renta fija son valores mobiliarios?
Por regla general, tienden a serlo. En los Oficios-Circulares CVM/SSE 4/2023 y 6/2023, la CVM indicó que los tokens de créditos y de renta fija ofrecidos públicamente con promesa de remuneración suelen configurar un contrato de inversión colectiva y, con frecuencia, equivalen a operaciones de securitización de la Ley 14.430/2022, exigiendo registro o dispensa y la observancia del régimen aplicable.
¿Usar blockchain o smart contract dispensa el registro ante la CVM?
No. La CVM es expresa al afirmar que el uso de DLT o de cualquier otra tecnología en la emisión no descaracteriza la naturaleza del activo como valor mobiliario. Si hay un valor mobiliario en oferta pública, se aplican las exigencias de registro o dispensa, custodia y prestadores, independientemente de la capa tecnológica utilizada.
¿Qué controles de seguridad espera la CVM de quien custodia activos virtuales?
Aunque los detalles técnicos varían, el régimen espera controles internos, gestión de riesgos y seguridad de la información compatibles con la actividad. En la práctica, esto incluye la custodia segura y segregada de las claves, la gobernanza de firmas, el monitoreo y la respuesta a incidentes, la continuidad y la recuperación, las pruebas de intrusión y la auditoría de smart contracts, con evidencias documentadas a efectos de supervisión.
¿Cuál es la diferencia entre la Resolución 175 y la Ley 14.478/2022?
La Ley 14.478/2022 es el marco legal de los activos virtuales y de las VASP, con el Banco Central como regulador, y excluye de su concepto lo que ya es un valor mobiliario. La Resolución CVM 175 es el marco de los fondos de inversión y trata, entre otros puntos, la exposición de los fondos a activos virtuales. Un mismo token puede caer en un riel o en otro según su naturaleza jurídica.
¿La clasificación de un token puede cambiar con el tiempo?
Sí. El Dictamen de Orientación CVM 40/2022 reconoce los tokens híbridos y admite que la clasificación evolucione conforme cambia la funcionalidad del activo. Por eso, se recomienda tratar el encuadre como un análisis continuo, reevaluándolo ante cada alteración relevante de funcionalidad, gobernanza o promesa de retorno del token.
¿Cómo ayuda Decripte a una gestora o tokenizadora a adecuarse?
Decripte es una empresa de ciberseguridad B2B que actúa en la intersección entre la seguridad técnica y el cumplimiento. Apoyamos la revisión de la arquitectura de custodia y gestión de claves, la auditoría de smart contracts, las pruebas de intrusión y la estructuración de controles de gestión de riesgos y respuesta a incidentes, generando la evidencia técnica que sostiene la tesis de encuadre y la relación con la CVM y los cuotapartistas.
Fuentes
- Resolución CVM 175 (texto y anexos)
- Dictamen de Orientación CVM 40/2022 (criptoactivos y valores mobiliarios)
- Oficio-Circular CVM/SSE 4/2023 (tokens de créditos y de renta fija)
- Ley 6.385/1976 (dispone sobre el mercado de valores mobiliarios y la CVM)
- Ley 14.478/2022 (marco legal de los activos virtuales)
Decripte implementa el cumplimiento — sin que montes un equipo interno.
Diagnóstico de adecuación, controles técnicos auditables, pentest y documentación para el regulador/auditor. O empieza gratis viendo lo que ya está expuesto.
