Travel Rule richtsnoeren van EBA: vaarwel privacy

Een kleine maand geleden publiceerde de Europese Bankautoriteit (EBA) een consultatiedocument over de zogenaamde 'Travel Rule Guidelines'. Deze voorlopige richtsnoeren geven aan hoe cryptobedrijven en andere betrokken partijen in de praktijk moeten omgaan met de omstreden Travel Rule. In dit artikel lees je wat de mogelijke gevolgen zijn.

Voor de traditionele financiële sector is de Travel Rule niets nieuws onder de zon. Sinds 26 juni 2017 is al een tweede verordening van kracht die strengere eisen stelde in overeenstemming met aanbeveling (16) van de Financial Action Task Force (FATF). Na de invoering van de Verordening (EU) 2015/847, ook bekend als de Wire Transfer Regulation 2 (WTR2), moeten financiële instellingen niet alleen informatie over de betaler vastleggen, maar ook over de ontvanger.

Afgelopen juli trad Verordening (EU) 2023/1113 in werking, ook wel de WTR2-herschikking genoemd. Sindsdien worden ook cryptobedrijven gekwalificeerd als 'financiële instellingen'. Hierdoor zijn zij onderhevig aan dezelfde voorschriften als traditionele financiële instellingen, waardoor bitcoin en crypto ook onder de reikwijdte van de Travel Rule vallen.

Richtsnoeren EBA

De WTR2-herschikking legt niet tot in detail vast waar cryptobedrijven aan moeten voldoen, zij het op hoofdlijnen. De EBA voorziet echter in specifieke richtlijnen, ook wel bekend als richtsnoeren. Deze richtsnoeren geven cryptobedrijven inzicht in de praktische uitvoering van de Travel Rule. 

Het concept van deze richtsnoeren doorloopt momenteel een openbare raadplegingsfase, waarin belanghebbenden de mogelijkheid hebben om hun input te geven. De deadline voor het indienen van feedback is op 26 februari. Na het verzamelen en evalueren van reacties zal de EBA de richtsnoeren definitief maken.

Travel Rule

Wat je zult merken van de Travel Rule is dat wanneer je bitcoin of crypto verstuurt van cryptobedrijf A naar cryptobedrijf B, cryptobedrijf A persoonlijke informatie van jou zal meesturen met de transactie. Deze informatie omvat je volledige naam, adresgegevens, documentnummer en klantnummer, of als alternatief, je geboortedatum en -plaats.

Uiterst gevoelige informatie, waarbij het risico bestaat dat als deze informatie uitlekt of wordt gehackt, individuen persoonlijke doelwitten kunnen worden. De waarschijnlijkheid hiervan neemt vanzelfsprekend toe wanneer het verplicht wordt deze informatie wereldwijd te verspreiden en te laten opslaan daar allerlei buitenlandse bedrijven. Stichting Human Rights in Finance.EU (HRIF.EU) is afgelopen september gestart met een annuleringsprocedure om de Travel Rule te stoppen.

Persoonlijke informatie in de blockchain

De EBA heeft in punt 14a van haar document iets opmerkelijks geschreven over het meesturen van persoonlijke informatie.

‘transmit the information either as part of, or incorporated into, the transfer on the blockchain or on another distributed ledger technology (“DLT”) platform, or independently via different communication channels - including via direct communication between CASPs, application programming interfaces (“APIs”), code solution running on top of the blockchain, and other third-party solutions;’

Persoonlijke informatie opslaan in de blockchain? We mogen hopen dat dit een vergissing is, en dat is het waarschijnlijk ook. In artikel 14, lid 4 tweede volzin van de WTR2-herschikking staat namelijk duidelijk vermeld: ‘De in de leden 1 en 2 bedoelde informatie moet niet rechtstreeks worden gehecht aan of te worden opgenomen in de overdracht van cryptoactiva.’ Hoewel het encrypted zou kunnen, waardoor het onleesbaar is voor buitenstanders, kleeft hier een inherent risico aan en moet je dit niet willen. Een punt van feedback voor de EBA dus.

Walletverificatie

De walletverificatie, waar Bitonic in 2021 nog hard tegen heeft gestreden en in het gelijk werd gesteld door de rechter, komt helaas weer terug. Hoewel dit al bekend was, was het onduidelijk hoe de EBA dacht over de praktische uitvoering ervan. Punt 69 van het document geeft hier meer inzicht.

‘Where the amount of a transfer from or to a self-hosted address exceeds 1 000 EUR, the originator’s CASP and beneficiary’s CASP should verify whether the self-hosted address is owned or controlled by the originator and beneficiary, respectively, by using suitable technical means, which include at least two of the following:

a. advanced analytical tools;

b. unattended verifications as specified in the ‘’Guidelines on the use of Remote Customer Onboarding Solutions under Article 13(1) of Directive (EU) 2015/849’’ displaying the address; 

c. attended verification as specified in the ‘’Guidelines on the use of Remote Customer Onboarding Solutions under Article 13(1) of Directive (EU) 2015/849’’; 

d. ending of a predefined amount (preferably the smallest denomination of a given crypto-asset), set by the CASP, from and to the self-hosted address to the CASP’s account; 

e. signing of a specific message in the account and wallet software, which can be done through the key associated with the transfer; 

f. requesting the customer to digitally sign a specific message into the account and wallet software with the key corresponding to that address; 

g. other suitable technical means as long as they allow for reliable and secure assessment and the CASP is fully satisfied that it knows who owns or controls the address.'

Ineffectieve technische eisen

Voor walletverificaties kunnen cryptobedrijven in de toekomst dus gebruikmaken van ‘advanced analytic tools’ (sub a), maar wat houden die precies in? Helaas hebben we geen definitie kunnen terugvinden. We vermoeden echter dat dit verwijst naar blockchainanalysesoftware, zoals Chainalysis. Naast het ontbreken van een duidelijke definitie van deze term, zou het wellicht ook verstandiger zijn om een technisch neutrale term te gebruiken die beter bestendig is voor de toekomst. 

Verder bestaat het gevaar dat de EBA gaat bepalen welke tools als 'advanced' worden beschouwd en volgens haar verplicht moeten worden gebruikt door cryptobedrijven. Dit kan ernstige gevolgen hebben, gezien de complexiteit van de wereld van blockchainanalyse, waar geen eenduidige waarheid bestaat. Bovendien is over het merendeel van de transacties weinig bekend. De toezichthouder in Estland (FCA) heeft al eerder inconsistenties vastgesteld in de resultaten van verschillende blockchainanalysebedrijven.

Het gebruik van deze term brengt dus zeker risico's met zich. Zoals eerder opgemerkt, zou een andere term mogelijk beter passen, terwijl de EBA ook meer duidelijkheid zou moeten verschaffen over de term zelf. Een nadere toelichting over de algemene betrouwbaarheid van blockchainanalyse zou eveneens waardevol zijn.

Over sub b tot en met f kunnen we kort zijn: technisch ineffectief en bovendien disproportioneel. Ze kunnen leiden tot schendingen van privacy en mensenrechten, en vormen risico's voor consumenten. Wat betreft 'other suitable technical means' (sub g), schuilt een sprankje optimisme, waarbij mogelijk gebruik kan worden gemaakt van bijvoorbeeld 'zero-knowledge proofs'.

Vaarwel privacy

De Travel Rule en bijbehorende richtsnoeren van de EBA zullen onmiskenbaar een diepgaande impact op de cryptosector hebben. De invoering ervan zal een zware last vormen voor zowel bedrijven als consumenten.  Terwijl de sector zich probeert aan te passen aan de vele nieuwe regels, blijven zorgen over de praktische uitvoering en potentiële inbreuken op privacy bestaan. 

Natuurlijk moeten we ons blijven inzetten om witwassen en financiering van terrorisme tegen te gaan. De strijd hiertegen mag echter niet ten koste gaan van fundamentele privacyrechten. Het is van essentieel belang dat we blijven streven naar een gebalanceerde benadering die beide belangen respecteert en waarborgt.

Meer lezen over de Travel Rule doe je hier. Luister je liever naar podcasts? Luister dan aflevering 285 B van de Cryptocast terug waar Simon Lelieveldt te gast was.