De travel rule: wat betekent het voor de gebruiker
Op 30 december van dit jaar treedt nieuwe regelgeving in werking waardoor de bitcoinsector moet voldoen aan de zogenoemde travel rule. Ook de walletverificatie keert terug. In een eerder artikel bekeken we hoe bitcoinbedrijven en andere partijen in de praktijk moeten omgaan met de omstreden travel rule; nu richten we ons op de impact voor de gebruiker.
De oorsprong van de travel rule
De travel rule, of in het Nederlands de reisregel, is oorspronkelijk een idee van de FATF (Financial Action Task Force), een niet-gouvernementele organisatie die richtlijnen ontwikkelt voor de financiële sector. Al in 2019 had dit orgaan – dat overigens niet democratisch is gekozen of formeel bestaat op papier – het plan om deze regel ook op bitcoin en cryptotransacties toe te passen.
De herschikking van de Transfer of Funds Regulation, die gelijktijdig met MiCA (Markets in Crypto-Assets Regulation) is aangenomen en eveneens op 30 december 2024 van kracht wordt, verplicht bitcoinbedrijven om zich te houden aan de travel rule.
De travel rule
Maar wat houdt de travel rule nu concreet in? Zoals de naam al doet vermoeden, zorgt deze regel ervoor dat bepaalde informatie ‘meereist’ met een transactie. Het gaat hierbij om gegevens over zowel de verzender (de persoon die de transactie initieert) als de ontvanger (de persoon die de transactie ontvangt).
Afhankelijk van hoe belangrijk privacy voor je is, zie je het misschien niet als een probleem. En laten we eerlijk zijn, als deze maatregel bijdraagt aan het verminderen van witwassen en terrorismefinanciering, dan klinkt het op papier als een goede zaak.
Toch is het belangrijk om te kijken naar welke informatie precies meereist. Het gaat onder meer om je volledige naam, bitcoinadres, woonadres, paspoortnummer, klantnummer en mogelijk je geboortedatum en geboorteplaats. Dit zijn uiterst gevoelige gegevens die bij elke transactie worden meegestuurd. Mocht deze informatie uitlekken of gehackt worden, kunnen individuen hierdoor kwetsbare doelwitten worden. Daarnaast krijgen overheidsinstanties gemakkelijker toegang tot deze informatie.
Impact op privacy
Zou er goed zijn nagedacht over de gevolgen van de travel rule, zeker gezien de spanningen met fundamentele privacyrechten? Helaas zien we dat dergelijke impact assessments vaak ontbreken. In de financiële sector – en wellicht in de Europese Unie in zijn geheel – worden veel regels geïntroduceerd die de eindgebruiker eerder bemoeilijken dan beschermen.
Denk bijvoorbeeld aan de AI Act, waardoor je op iPhones geen gebruik kunt maken van nieuwe AI-functionaliteiten van Apple. Hoewel nieuwe regels soms noodzakelijk zijn, is het de moeite waard om eerst de gevolgen van nieuwe regelgeving goed in kaart te brengen voordat de volgende golf regels wordt ingevoerd.
Gevolgen voor gehoste wallets
Laten we de concrete gevolgen eens in kaart brengen. Stel, je bewaart bitcoin bij een bitcoinbedrijf en wilt een deel (de waarde doet er niet toe) naar een cryptobedrijf sturen om te speculeren in shitcoins. Los van het feit dat dit misschien niet de verstandigste keuze is, moet het bitcoinbedrijf nu geverifieerde informatie over jou als verzender (inclusief je woonadres) en over de ontvanger meesturen met de transactie.
Dit zal in de praktijk gebeuren via een travel rule-protocol, waarmee bedrijven beveiligd informatie kunnen uitwisselen. Hier kan echter een probleem ontstaan. Beide bedrijven moeten namelijk hetzelfde protocol ondersteunen. Op dit moment bestaan er verschillende protocollen en het kan dus voorkomen dat jouw bitcoinbedrijf niet het protocol ondersteunt dat het ontvangende cryptobedrijf gebruikt. In dat geval kan de transactie simpelweg niet doorgaan.
Gevolgen voor eigen wallets
Dan gebruik je toch gewoon je eigen wallet, denk je misschien. Dat kan, maar bij transacties van meer dan 1.000 euro komt de walletverificatie terug. Dit betekent in de praktijk dat je bijvoorbeeld een screenshot moet uploaden als bewijs dat jij de eigenaar bent van de wallet.
Dit klinkt omslachtig. Zijn er andere manieren? Ja, zoals het ondertekenen van een bericht (message signing), de satoshi-test waarbij je een klein aantal sats verstuurt of het verstrekken van je xPub (waarmee al je bitcoinadressen inzichtelijk worden). Los van de privacybezwaren ondersteunen niet alle wallets en bedrijven deze methoden. Ideaal is het dus allemaal niet. Bovendien kan het beleid van sommige bedrijven vereisen dat walletverificatie ook voor transacties onder de 1.000 euro wordt toegepast, hoewel dat enigszins speculatief is.
Conclusie
Met de komst van de travel rule en de terugkeer van de walletverificatie, wordt het er voor de eindgebruiker niet eenvoudiger of leuker op. En dat terwijl eenvoud en gebruiksgemak juist cruciaal zijn voor verdere adoptie van bitcoin.
Het is aan de sector om oplossingen te ontwikkelen die deze regels werkbaar maken of we gaan naar een toekomst waarin iedereen bitcoin gebruikt vanuit zijn eigen wallet. Een dergelijke ontwikkeling – met focus op privacy en de vrijheid die bitcoin biedt – valt natuurlijk enkel toe te juichen. Of het de bedoeling is van de wetgever om bitcoiners door allerlei drempels (regels) naar het grijze en oncontroleerbare gebied te drijven, valt echter nog te bezien.
Meer lezen over de travel rule doe je hier. Luister je liever naar podcasts? Luister dan een oude aflevering (285 B) van de Cryptocast terug waar Simon Lelieveldt te gast was.