Käytäntöjako

Talousrikosten valvontaverkosto

P.O. Laatikko 39

Wien, VA 22183

FinCEN-telakanumero FINCEN-2020-0020, RIN 1506-AB47

4. tammikuuta 2020

hyvä herra tai rouva,

Ehdotetut valuuttakaupparaportteja ja kirjanpitoa koskevat säännökset näyttävät edellyttävän, että pankit ja rahapalvelualan yritykset (MSB) pystyvät todistamaan, että liiketoimen tunnistettu vastapuoli todella omistaa yhden tai useamman tietyn kryptovaluuttaosoitteen, kun kyseinen vastapuoli käyttää suojaamatonta lompakkoa ja kaupan arvo on yli 3000 dollaria. (3000 dollarin merkki merkitsisi kirjanpitovaatimusta, kun taas 10000 dollarin merkki vaatisi myös valuuttatapahtumaraporttia.)

Ehdotuksessa ei tehdä selkeää eroa nostojen ja talletusten välillä, joten oletan, että edellä mainittua omistusta koskevaa vaatimusta sovellettaisiin molempiin liiketapahtumiin, jos ne ylittävät 3000 dollaria ja joihin liittyy vastapuoli, jolla on suojaamaton lompakko..

Tästä eteenpäin kutsun kaikkia menettelyjä tai toimenpiteitä, jotka yrittävät todistaa omistusyhteyden vastapuolen henkilöllisyyden ja yhden tai useamman kryptovaluuttaosoitteen välillä, osoitteenvahvistusmenettelyksi. Tarkoitan itse yleistä prosessia nimellä “osoitteen vahvistus”.

Asuinmaassani Alankomaissa keskuspankki kiirehti viime syksynä osoitetarkistusta niiden pörssi- ja säilytysyhteisöjen tapahtumien osalta, joihin liittyy nostoja suojaamattomaan lompakkoon. Ehdotuksestasi poiketen Alankomaissa vaaditaan osoitteen vahvistus nostojen yhteydessä näissä tapauksissa tapahtuman arvosta riippumatta. Osoitteen vahvistus ei ole vaatimus talletuksille suojaamattomasta lompakosta.

Pitkän ajan konsulttina ja kouluttajana kryptovaluuttaekosysteemissä olen pohtinut laajasti osoitetodistuksen käytännöllisyyttä ja toivottavuutta Alankomaiden keskuspankin (De Nederlandsche Bank NV) äskettäin toteuttamien toimenpiteiden valossa. Ja haluan jakaa teille ajatukseni näistä asioista.

Kaiken kaikkiaan olen vakuuttunut siitä, että osoitteen tarkistus ei todennäköisesti ole kovin tuottavaa taistelussa finanssirikoksia vastaan ​​ja että siitä aiheutuu merkittäviä kustannuksia kaupalle ja innovaatioille sekä asiakkaiden yksityisyydelle ja turvallisuudelle.

Tässä kirjeessä haluaisin kertoa, miksi olen niin skeptinen osoitetodistuksen käytännössä ja miksi pidän ehdotustanne toimivana ja suhteettomana. Ennen aloittamista haluaisin esittää kolme kommenttia kriittisen palautteeni laajuudesta.

Ensinnäkin en ole ehdotuksestasi tai muista kommenteistasi pystynyt varmistamaan tarkalleen, minkä tyyppisiä toimenpiteitä ehdotat osoitteen vahvistamiseksi. Oletan kuitenkin, että sinulla on mielessä samanlaiset menettelyt kuin ne, joita Alankomaiden keskuspankki tällä hetkellä suosittelee säilyttäjillemme ja pörsseillemme..

Siksi otan sen ehdottamat menettelyt ohjeeksi muotoillessani kritiikkiäni osoitteen tarkistamisesta. Nämä ehdotetut menettelyt ovat seuraavat:

  • Asiakkaat voivat ottaa kuvakaappauksia lompakkoistaan ​​kohdeosoitteella
  • Asiakkaalle ja yritykselle videoneuvotteluun tapahtuman aikana
  • Asiakkaiden on allekirjoitettava kohdeosoite digitaalisesti siihen liittyvällä yksityisellä avaimella
  • Asiakkaiden palauttamaan vähän saamastaan ​​bitcoinista vaihtoon tai säilytysyhteisöön
  • Yrityksen on toimitettava asiakkaalle osoite (oletettavasti omistamalla edellisen laajennettu julkinen avain)

Toiseksi rajoitan esimerkkini tapauksiin, joissa rahaa nostetaan suojaamattomaan lompakkoon. Samaa kritiikkiä voidaan käyttää tapaukseen, jossa rahaa talletetaan suojaamattomasta lompakosta. Osoitteen vahvistus on itse asiassa vielä suurempi käytännön ongelma talletusten tapauksessa, koska kryptovaluuttatapahtumiin liittyy yleensä useita käyttämättömiä tapahtumalähtöjä (mikä tarkoittaa, että sinun on liitettävä tunnistettu vastapuoli useisiin osoitteisiin, ei vain yhteen).

Kolmanneksi asetuksessasi ehdotetaan myös osoitetarkistusta tapauksissa, joissa vastapuolen lompakko on isännöity, mutta pankki tai MSB, jonka vastapuoli on asiakas, sijaitsee tietyillä ulkomailla. Rajoitan kommenttini vain tapauksiin, joissa vastapuoli käyttää suojaamatonta lompakkoa.

Tuottamaton finanssirikosten torjunnassa

Ehdotuksen tarkoituksena on tarkistaa osoitteet monenlaisten talousrikosten torjumiseksi. Esimerkiksi tiivistelmässä, ehdotus toteaa:

Kuten jäljempänä selitetään, Yhdysvaltain viranomaiset ovat havainneet, että pahanlaatuiset toimijat käyttävät CVC: tä yhä enemmän kansainvälisen terrorismin rahoituksen, aseiden leviämisen, pakotteiden kiertämisen ja kaupan rahanpesun helpottamiseksi sekä valvottavien aineiden, varastettujen ja petollisten henkilöllisyystodistusten ostamiseksi ja myymiseksi laitteet, väärennetyt tavarat, haittaohjelmat ja muut tietokoneiden hakkerointityökalut, ampuma-aseet ja myrkylliset kemikaalit. Lisäksi ransomware-hyökkäykset ja niihin liittyvät maksuvaatimukset, jotka ovat melkein yksinomaan CVC-määräisiä, ovat yhä vakavampia, ja G7 on nimenomaisesti ilmaissut huolensa lunnasohjelmien hyökkäyksistä “kriittisille aloille kohdistuvien haitallisten toimijoiden valossa COVID-19-pandemian keskellä..

En voi missään tapauksessa keskustella kaikkien näiden rikosten osoitetarkastusmenettelyistä. Joten sen sijaan rajoitan keskusteluni vain joihinkin finanssirikoksiin, jotka ovat ainakin suurin osa ehdotettujen asetusten huolenaiheista: rahanpesu, terrorismin rahoitus ja pakotteiden kiertäminen.

Nämä ovat rakenteellisesti hyvin samankaltaisia ​​rikoksia, vaikka ne eroavat laillisen perustan ja sisällön suhteen. Ja osoitteenvahvistusmenettelyillä ei ole mielestäni juurikaan vaikutusta niiden torjumiseen samoista syistä.

Oletetaan esimerkiksi, että pörssin asiakas aikoo pestä rahaa huumekartellille bitcoinin kautta ja että pörssi toteuttaa osoitetarkistuksen saamalla asiakkaat ottamaan kuvakaappauksia lompakkoistaan. Kuinka tämä tarkalleen estäisi asiakasta osallistumasta rahanpesutoimintaan?

Asiakas voi helposti kiertää vaatimuksen seuraavalla tavalla:

  • Luo osoite omaan lompakkoonsa ja ota kuvakaappaus. Kun vaihto vahvistaa kaupan ja asiakas saa bitcoinin, hän voi siirtää ne rikollisjärjestölle.
  • Vastaanota suoraan rikollisjärjestölle kuuluva osoite ja sisällytä se vain katsella lompakkoon. Asiakas ottaa kuvakaappauksen tästä vain katsella olevasta lompakosta ja kohdeosoitteesta. Vaihto vahvistaa kuvakaappauksen ja siirtää bitcoinin suoraan rikollisjärjestölle. Asiakkaalla ei ole koskaan pääsyä bitcoiniin.
  • Vastaanota suoraan rikollisjärjestölle kuuluva osoite ja luo väärennetty kuvakaappaus, kuten Bitcoin Wallet -näyttökuvan generaattori. Vaihto vahvistaa asiakkaan kuvakaappauksen ja lähettää bitcoinin suoraan rikollisjärjestölle. Asiakkaalla ei ole koskaan pääsyä bitcoiniin.

Joskus asiakkaita huijataan rahamuuliksi pikemminkin kuin tarkoituksellisesti tukemaan rikollisjärjestöä. Jopa tällaisille asiakkaille se ei kuitenkaan todellakaan muuttaisi paljon edellä mainittuja ajatuksiani. Jos asiakas voidaan huijata rikollisjärjestön muuliksi, on epäselvää, miten kuvakaappaus voi auttaa estämään heidän tyhmyyttään.

Ja nämä johtopäätökset voidaan tehdä yleisemmin useimmista muista osoitteenvahvistusmenettelyistä. En valinnut vain kirsikkaa osoitekuvan vahvistamisen kuvakaappauksen toteuttamiseksi. Monet muut käytännön toteutukset – kuten digitaalisten allekirjoitusten tekeminen tai osan varojen palauttaminen – kokisivat samanlaisen epämukavuuden..

Kaiken kaikkiaan osoitteenvahvistusmenettelyt eivät todellakaan näytä tarjoavan mitään konkreettisia lisäetuja rahanpesun, terrorismin rahoituksen ja seuraamusten kiertämisen torjunnassa, kun käytössä on tavanomaiset asiakkaiden due diligence- ja tapahtumaseurantamenettelyt..

En ole kovin vakuuttunut siitä, että osoitetarkistus taistelee myös muun tyyppisiä talousrikoksia vastaan, ainakaan millään tavalla, jota ei voida tehdä myös vähemmän invasiivisella tavalla. Uskon, että yllä olevat kommentit riittävät osoittamaan, minkä tyyppisiä tehokkuusongelmia osoitetarkistuksessa käytännössä kokee.

Osoitetarkastusmenettelyjen kustannukset

Osoitteen vahvistamiseen liittyy myös merkittäviä kustannuksia. Juuri näiden kustannusten suuruus riippuu pankkien ja jäsenvaltioiden keskuspankkien toteuttamista tarkoista toimenpiteistä. Haluan kuitenkin korostaa kahta suurta huolta, jotka eri määrin todennäköisesti soveltuvat jossain määrin osoitetodistuksen käytännön toteutukseen.

Ensinnäkin osoitetodistusmenettelyt muodostavat esteen kaupalle ja innovoinnille.

Oletetaan esimerkiksi, että vaihto vaati kaikkia vastapuolia luomaan yhteyden henkilöllisyytensä ja kryptovaluuttaosoitteidensa välille suojaamattomalle lompakolle digitaalisen allekirjoituksen avulla osoitteiden yli. (Sivun tällä hetkellä huolen siitä, että tämä olisi tehoton todiste mistä tahansa.)

Suurimmalla osalla asiakkaista ei ole aavistustakaan digitaalisten allekirjoitusten tekemisestä, mikä aiheuttaa liikaa asiakkaiden valituksia ja pyyntöjä. Se vaatisi myös asiakkaita hankkimaan ohjelmistoja ja laitteistoja, jotka voivat suhteellisen turvallisesti antaa heille mahdollisuuden tehdä nämä digitaaliset allekirjoitukset. Paljon yrityksiä menetetään todennäköisesti kaaoksen seurauksena tällaisen osoitteenvahvistusmenettelyn toteuttamisessa.

Jotkin osoitteenvahvistuksen mahdolliset toteutukset saattavat tietysti olla hieman vähemmän invasiivisia kaupankäynnille, kuten lompakon kuvakaappaus (jälleen syrjäyttäen huolen siitä, että tämä olisi tehoton todiste mistä tahansa). Mutta jo täällä on tunnustettava, että kaupalle ja innovaatiolle aiheutuu joitain kustannuksia tai komplikaatioita.

Koska salausvaluutat ovat esimerkiksi ohjelmoitavia, voit lähettää ne myös hajautettujen protokollien hallinnoimiin osoitteisiin, ei ihmisiin. Vaikka nämä hajautetut protokollat ​​ovat tällä hetkellä suurimmaksi osaksi kokeiluja, niillä voi osoittautua olevan erittäin mielenkiintoisia ja arvokkaita käyttötapauksia.

Mutta kuinka nämä hajautetut protokollat ​​sopivat tarkalleen ehdotettuun osoitetarkistusvaatimukseen?

Mielestäni ehdotettuihin asetuksiin ei voida soveltaa tällaista käyttötapaa: hajautetuilla protokollilla ei ole loppujen lopuksi henkilöllisyyttä tai fyysisiä osoitteita. Joten jopa suhteellisen yksinkertaisella toimenpiteellä pankin tai MSB: n osoitetarkistuksen toteuttamiseksi, kuten lompakon kuvakaappauksella, on kielteisiä vaikutuksia kauppaan ja innovaatioihin..

Toiseksi osoitteen vahvistus vahingoittaa todennäköisesti asiakkaiden yksityisyyttä ja turvallisuutta. Käyn vain läpi muutama mahdollinen toteutus, jotta päädyin asiaan.

Aluksi kuvakaappaus paljastaa, minkä tyyppistä lompakkoa asiakas käyttää, ja mahdollisesti lisätietoja, mahdollisesti käyttöjärjestelmän tai laitteen tyypistä. Videoneuvottelu paljastaa entistä enemmän asiakkaan henkilökohtaisista säilytysjärjestelyistä.

Tämäntyyppinen tieto on erittäin vaarallista väärissä käsissä. Emme kysy jalometallikauppiaiden asiakkailta, missä he säilyttävät kultaa ja hopeaa. Joten miksi tehdä tämä Bitcoin-asiakkaiden kanssa?

Vaikka tunnistan, että bitcoin on paljon likvideämpi ja tuo lisäriskejä finanssirikoksiin, sitä suurempia asiakkaan yksityisyyden ja turvallisuuden riskejä ei mielestäni punnita suhteellisesti osoitteenvahvistusmenettelyillä.

Toinen todennäköinen ehdokas osoitetarkistukseen on digitaalisen allekirjoituksen tekeminen vastapuolen osoitteen päälle. Bitcoin-teollisuudessa on vakiintunut paras käytäntö, että paljastat julkisen avaimesi vain transaktiota tehtäessä (miksi sinun pitäisi siis käyttää osoitetta vain kerran). Tämäntyyppinen toimenpide olisi suoraan teollisuuden parhaiden käytäntöjen vastainen.

Johtopäätös

Lopuksi totean, että epäilen, että näissä asetuksissa määrätyissä tilanteissa vaaditut osoitetarkastusmenettelyt vaikuttavat todellisuudessa finanssirikosten torjuntaan. Ainakin en todellakaan ole nähnyt niiden moitteetonta toteutusta, joka saisi minut ajattelemaan toisin.

Lisäksi osoitteenvahvistusmenettelyihin liittyy kustannuksia kaupalle ja innovaatioille sekä asiakkaiden turvallisuudelle ja yksityisyydelle. Nämä kustannukset riippuvat varmasti siitä, miten ne toteutetaan tarkalleen. Mutta kustannukset heillä on ainakin millä tahansa tavalla, jolla voin kuvitella niiden toteutuksen.

Siksi kehotan FinCENiä lopettamaan ehdotuksen käsittely sen nykyisessä muodossa. Kaikkien tarkistettujen ehdotusten on mielestäni vastattava kolmeen keskeiseen kysymykseen:

  1. Pankkien ja kansallisten keskuspankkien on toteutettava, miten tarkasti osoitetarkistus toteutetaan?
  2. Kuinka nämä todentamismenettelyt tarkasti torjuvat ehdotuksessa mainittuja monenlaisia ​​talousrikoksia?
  3. Mitkä ovat tarkalleen kustannukset kaupankäynnille ja innovoinnille sekä asiakkaiden yksityisyydensuojalle ja turvallisuudelle kyseisistä osoitteenvahvistusmenettelyistä?

Ystävällisin terveisin,

Jan-Willem Burgers

Kirjoittaja haluaa kiittää Daan Kleimania kriittisestä palautteesta tämän kirjeen aikaisempaan versioon.