Travel Rule mogelijk van toepassing op elke bitcointransactie in de EU
Vorige week nam de Commissie economische en monetaire zaken (ECON) en de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) van het Europees Parlement het amendement met de Travel Rule voor bitcoinbedrijven aan. Voor bitcointransacties zou dit mogelijk betekenen dat bitcoinbedrijven persoonlijke informatie van hun klanten moeten delen. Ook zouden 'unhosted wallets' – oftewel: self-custodial wallets – (weer) door bitcoinbedrijven moeten worden geverifieerd.
Eerder schreven we al dat er op Europees niveau op het gebied van anti-witwasregelgeving een hoop stond te gebeuren. Op 20 juli 2021 is namelijk een ambitieus wetgevingspakket (AML/CFT) door de Europese Commissie gepresenteerd. Dit pakket moet de vierde en vijfde anti-witwasrichtlijn volledig vervangen en bestaat uit vier wetgevingsvoorstellen.
Wat is de Travel Rule?
De zogeheten Travel Rule is opgenomen in de zogenoemde herschikking van Verordening (EU) 2015/847 tot uitbreiding van de bij overmakingen toe te voegen informatie naar cryptoactiva (WTR2-herschikking). Deze herschikking heeft mogelijk grote gevolgen voor bitcointransacties in de EU.
De huidige WTR2-verordening verplicht betalingsdienstaanbieders om bij overboekingen informatie van de verzender en ontvanger te verzamelen, bij te voegen en ter beschikking te houden voor de bevoegde autoriteiten (Financial Intelligence Units). Dit wordt de Travel Rule genoemd.
Na inwerkingtreding van de WTR2-herschikking is de gedachte dat ook bitcoinbedrijven zich aan de Travel Rule moeten houden. Deze uitbreiding van de Travel Rule komt voort uit de leidraad voor Virtual Assets Service Providers (VASPs) van de Financial Action Task Force (FATF). Dit is een niet-verkozen wereldwijde intergouvermentele waakhond die het witwassen van geld en terrorismefinanciering moet tegengaan.
De hierboven aangehaalde leidraad stamt uit oktober 2021. Daarmee lijkt het idee om de Travel Rule ook toe te passen bij bitcoinbedrijven van recente datum. Dit is echter niet het geval. In 2019 hebben Amerikaanse autoriteiten in Wenen bij een bijeenkomst van de FATF de basis gelegd voor de regel die nu in Europa is aangenomen.
Privacy First en Verenigde Bitcoinbedrijven Nederland op de bres
Zowel Bitonic, Privacy First als de Verenigde Bitcoinbedrijven Nederland hebben in 2019 al gewaarschuwd dat de privacy van EU-burgers gevaar liep. Bitonic vond het vanuit privacy-oogpunt namelijk alarmerend dat zo’n veelomvattende verplichting om privé-data wereldwijd te exporteren door de VS aan Europa werd opgedrongen.
‘Dit raakt namelijk niet alleen de bedrijven die in virtuele valuta handelen. De definities zijn zo ruim dat in potentie elk bedrijf of elke klant die werken met een blockchain of distributed ledger onder de reikwijdte kan vallen.’
Lees hier het standpunt van Bitonic.
Destijds stond het voornemen om dit te doen in een bijzinnetje verstopt in een kamerbrief van de toenmalig Minister van Financiën. Daarmee zouden bedrijven verplicht zijn om bij ‘virtual assets’, digitaal te verhandelen waren zoals, bitcoins, vastgoed maar ook aankopen in computerspelletjes, klantgegevens mee te sturen. De informatie van alle betrokken partijen moet zo zichtbaar blijven voor iedereen in de waardeketen.
Bitonic, Privacy First en de VBNL (Verenigde Bitcoinbedrijven) zijn daarom toen al in de bres gesprongen en hebben een brandbrief geschreven naar het toenmalige parlement om de ongebreidelde export van persoonsgegevens te voorkomen. Het had helaas geen effect en nu lijkt Europa de regels van de FATF over te nemen.
Wat betekent dit mogelijk voor bitcoinbedrijven?
Een bitcoinbedrijf zal bij een overboeking van bitcoin of crypto naar een ander bitcoinbedrijf mogelijk zorg moeten dragen dat naam, rekeningnummer (lees: wallet adres), adres, officieel persoonsdocumentnummer en cliëntidentificatienummers of plaats en geboortedatum van de verzender worden bijgevoegd (art. 14 lid 1 sub a t/m c WTR2-herschikking). Daarnaast zal het bitcoinbedrijf ook de naam van de ontvanger en zijn rekeningnummer (lees weer: wallet adres) moeten bijvoegen (art. 14 lid 2 sub a en b WTR2-herschikking).
Let wel dat de hiervoor opgesomde informatie niet onchain hoeft te worden bijgevoegd (art. 14 lid 4 WTR2-herschikking). Hoe de informatie wel moet worden bijgevoegd, is nog de vraag. Wel zijn er in de bitcoinsector al ideeën hoe dit te doen. TRUST (Travel Rule Universal Solution Technology) – een initiatief van verschillende bitcoinbedrijven uit de VS – is hiervan een voorbeeld. Dit lijkt op een nieuwe variant van SWIFT.
Aan transacties onder 1.000 EUR leken in eerste instantie lichtere eisen te worden gesteld. Zo was het idee dat bij dergelijke transacties enkel naam en rekeningnummer (lees wederom: wallet adres) van de verzender en ontvanger moesten worden bijgevoegd. De regels voor bitcoinbedrijven zouden hiermee aansluiten bij de huidige regels voor betalingsdienstaanbieders.
In het (voor nu) definitieve ontwerp van de WTR2-herschikking is de 1.000 EUR grens echter geschrapt op grond van welbekende argumenten; het voorkomen van witwassen en terrorismefinanciering. Bitcoin – en crypto in het algemeen – zou hier namelijk heel geschikt voor zijn.
Ware het niet dat het tegendeel hiervan waar blijkt te zijn, zo schreven we laatst. Illegale activiteit en cybercriminaliteit maken een steeds kleiner onderdeel uit van bitcoin- en cryptotransacties, zo bleek uit onderzoek van blockchain-analysebedrijf Chainalysis. Het percentage illegale activiteit daalde in 2021 naar slechts 0,15% van het totale transactievolume.
De argumentatie die valt te lezen in de WTR2-herschikking toont dan ook een gebrek aan inhoudelijke kennis, om nog maar te zwijgen over de onbekendheid met de onderliggende technologie. Dat blijkt ook uit de – helaas onnodig polariserende – uitlatingen van Europarlementariër Paul Tang.
Self-custodial wallets een doorn in het oog?
Uit de WTR2-herschikking blijkt dat het Europees Parlement lijkt te geloven dat 'unhosted wallets' – oftewel: self-custodial wallets – met name worden gebruikt door criminelen, terwijl dit juist de meest traditionele en normaalste bitcoinwallets zijn. Een 'anonieme unhosted wallet' is dan ook een opmerkelijke framing voor wat feitelijk gewoon een eigen wallet is. Volgens deze redenering zou je een normale portemonnee in je broekzak ook een 'anonieme unhosted portemonnee' kunnen noemen.
Transacties van of naar self-custodial wallets dienen aldus mogelijk (weer) door bitcoinbedrijven te worden geverifieerd. De walletverificatie-eis zou hiermee als een feniks uit zijn as herrijzen. Dit zou betreurenswaardig voor de bitcoinsector zijn, in het bijzonder voor Bitonic. Het bitcoinbedrijf werd vorig jaar in het gelijkgesteld door de rechter, waarbij DNB de opdracht kreeg om de walletverificatie-eis te herzien.
Verder zullen bitcoinbedrijven mogelijk elke transactie boven de 1.000 EUR van of naar self-custodial wallets moeten melden aan de Financial Intelligence Unit (FIU) van de betreffende lidstaat. Door velen – waaronder EU-watcher Patrick Hansen – wordt dit bestempeld als een absolute schending van privacyrechten.
Is het echt al definitief?
Alhoewel er nog een kans bestaat dat er in de trialogen – onderhandelingen tussen delegaties van de Europese Commissie, het Europees Parlement en de Raad van Ministers – nog het een en ander wordt bijgeschaafd, ziet het er voor nu niet goed uit. Wel zijn de Commissie en de Raad van Ministers doorgaans technisch beter onderlegd dan het Parlement wat nog enige hoop biedt.
Concluderend blijkt dat met de ongebreidelde export van persoonsgegevens wederom geen rekening is gehouden. Om nog maar te zwijgen over de mogelijk (nog) verder stijgende kosten voor de naleving van de anti-witwasregelgeving, die allesbehalve effectief lijkt te zijn. Het is dan ook te hopen dat in de trialogen het licht wordt gezien en bitcoinbedrijven in de toekomst geen nodeloze controles (met daarbij gepaarde datalekken) – evenals in de bankensector – hoeven uit te voeren. De financiële vrijheid voor bitcoiners moet worden gewaarborgd.
Wil je meer lezen over nieuwe anti-witwasregelgeving? In dit artikel hebben we een blik geworpen op de toekomst. Luister je liever naar een podcast? Luister dan naar aflevering 213 A van de Cryptocast of naar aflevering #200 van Satoshi Radio.