Group

Regelgeving – 10 jan. 2025

Walletverificatie: een nodeloze exercitie?

Dany Wieken

Sinds een kleine twee weken is de walletverificatie als een feniks uit zijn as herrezen. Hoewel het bitcoinbedrijf Bitonic in 2021 met succes bezwaar maakte tegen de maatregel, is de sector er nu opnieuw mee geconfronteerd. Maar is de walletverificatie wel nuttig? Hoe zit het met je privacy? Zijn de regels stiekem meer gemaakt voor crypto dan voor bitcoin? In dit artikel lees je meer.

De walletverificatie (en ook de travel rule) is een voortvloeisel uit de herziening van de Europese Transfers of Funds Regulation (afgekort TFR), die op 30 december 2024 in werking is getreden. Deze herziening volgt uit de aanbevelingen van de Financial Action Task Force (FATF), meer specifiek aanbeveling 16 uit 2019.

De FATF is een intergouvernementele organisatie zonder formele oprichting. De aanbevelingen worden echter gezien als wereldwijde standaard in de strijd tegen witwassen en terrorismefinanciering, en worden vaak klakkeloos overgenomen door de Westerse wereld.

Bitonic app: de eenvoudigste manier om bitcoin te kopen, verkopen of bewaren. Alles op één plek.

Wat houdt de walletverificatie in?

Kort en goed betekent het dat bij transacties in bitcoin of crypto van 1.000 euro of meer (op het moment van initiëren of ontvangen) van of naar je eigen wallet, de dienstverlener waarmee je zakendoet passende maatregelen zal moeten nemen om te beoordelen of het adres daadwerkelijk van jou is of onder jouw controle valt.

Dit volgt uit de artikelen 14 lid 5 en 16 lid 2 van TFR. Welke passende maatregelen precies genomen moeten worden, is niet verder gespecificeerd in de verordening. Dit laat deels ruimte voor interpretatie door dienstverleners. De European Banking Authority (EBA) heeft echter wel richtsnoeren verstrekt om deze maatregelen nader in te vullen. Deze richtsnoeren staan bekend als de Travel Rule Guidelines.

In order to assess whether the self-hosted address is owned or controlled by the originator or beneficiary, respectively, CASPs should use at least one of the following verification methods: European Banking Authority (EBA)

Verificatiemethodes

De EBA noemt vier verschillende verificatiemethodes, plus één meer open optie. De keuze van de methode hangt af van de technische mogelijkheden van het 'zelf-gehoste adres', de degelijkheid van de beoordeling die elke methode kan bieden en het risico op witwassen en/of terrorismefinanciering.

Wanneer één enkele methode op zichzelf niet voldoende betrouwbaar is om de eigendom of de controle over een zelf-gehost adres vast te stellen, dient de dienstverlener een combinatie van methodes te gebruiken.

Als de dienstverlener volledig overtuigd is dat het zelf-gehoste adres eigendom is van of gecontroleerd wordt door de klant, hoeft het adres niet opnieuw te worden geverifieerd (het adres komt dan op de whitelist). Maar wat zijn deze verificatiemethodes precies?

Daarvoor moeten we een uitstapje maken naar de hiervoor genoemde richtsnoeren van de EBA en de richtsnoeren voor AMLD4. De voorloper van AMLD5. Die laatste zorgde ervoor dat cryptodienstverleners voor het eerst verplicht werden om te voldoen aan regels ter voorkoming van witwassen en terrorismefinanciering (Wwft) en de Sanctiewet 1977. In Nederland betekende dit dat cryptodienstverleners zich moesten registreren bij De Nederlandsche Bank (DNB).

Unattended verification

Dit houdt in dat je walletscreenshots of video-opnames van je wallet of bitcoinadres moet aanleveren. Deze worden beoordeeld zonder interactie met een medewerker. Voor de gebruiker kan dit de gemakkelijkste optie zijn, omdat de meeste mensen wel bekend zijn met het maken van screenshots of video-opnames.

De betrouwbaarheid van deze methode is echter twijfelachtig. Er zijn namelijk verschillende tools op internet waarmee je gemakkelijk walletscreenshots kunt maken. En met de opkomst van kunstmatige intelligentie (AI) is het vast mogelijk om valse screenshots te genereren. In theorie zou je ook een screenshot van iemand anders kunnen sturen, dus of dit echt bewijst dat jij de eigenaar van het adres bent, valt te betwijfelen.

Daarnaast zijn er privacybezwaren. Een walletscreenshot onthult de walletsoftware die je gebruikt. Als deze informatie openbaar wordt, kan een kwaadwillende deze tegen je gebruiken. Bovendien kan het ongewenst gevoelige informatie blootleggen, zoals je andere transacties of het saldo van je wallet. Kortom, er kleven wel degelijk nadelen aan.

Attended verification

Dit lijkt veel op de vorige methode, maar met één belangrijk verschil: een medewerker van de dienstverlener beoordeelt de screenshots of video-opnames handmatig. Voor jou als gebruiker is dit net zo gemakkelijk als de eerste optie, maar het kan langer duren voordat je adres op de whitelist staat. Ook gelden hier dezelfde privacybezwaren. Bovendien moet er mankracht beschikbaar zijn bij de dienstverlener, wat zich mogelijk vertaalt in hogere transactiekosten.

Sending of a predefined amount

Ook wel de Satoshi-test genoemd. Deze methode houdt in dat je een kleine transactie doet om te bewijzen dat je de eigenaar bent van de wallet of het adres. Dit is echter niet veel meer dan een formaliteit. Voor het verrichten van een kleine transactie is dezelfde handtekening (met je private key) vereist als voor een grotere transactie (een 'echte' storting). Bovendien kan de daadwerkelijke storting uit een andere UTXO komen dan de testtransactie, waardoor er geen directe link is.

Er zijn ook privacybezwaren. Kleine transacties kunnen een patroon achterlaten op de blockchain dat je liever niet wilt. Ook zijn er twee momenten waarop je een fout kunt maken: het invoeren van een onjuist bitcoinadres of het verkeerde aantal sats. Daarnaast kost het een hoop extra fees voor jou als gebruiker, en mogelijk ook in de toekomst als je met allemaal kleine UTXO’s zit.

Voor de extra fees zie je in de sector al dat sommige partijen deze kosten aan jou terugbetalen. Maar is het wel rechtvaardig te noemen dat de dienstverlener moet opdraaien voor de kosten van een voorgeschreven 'niet al te goede maatregel'?

Daarnaast maakt je bitcoinwallet in principe altijd nieuwe bitcoinadressen aan, zowel bij stortingen in je wallet als bij uitgaande transacties (waarbij een gedeelte van het wisselgeld naar een change address wordt gestuurd). Bij de meeste crypto's is dit niet het geval.

De Satoshi test is dus mogelijk meer geschreven met crypto's (of een analogie met bankrekeningnummers) in het achterhoofd. Dit kan ertoe leiden dat bij bitcoin steeds meer mensen adressen gaan hergebruiken. Dit zal gedoe besparen, maar het vernietigt ook ruim tien jaar aan best practice om geen adressen te hergebruiken. Kortom, deze verificatiemethode is voor bitcoin zeer matig te noemen.

Digitally sign a specific message

Ofwel verificatie van een bitcoinadres door het ondertekenen van een cryptografisch bericht met de private keys van je wallet. Dit proces staat bekend als message signing en bestaat uit drie onderdelen: het bericht zelf, het bitcoinadres en het cryptografisch bewijs van ondertekening, wat door je wallet wordt gegenereerd.

Deze methode is betrouwbaarder en robuuster dan de eerder genoemde verificatiemethodes, aangezien het onwaarschijnlijk is dat iemand anders dan de eigenaar van de wallet de private keys in handen heeft.

Toch is het proces voor de meeste gebruikers niet eenvoudig. De handmatige message signing is vaak verborgen in de instellingen van de walletsoftware, en niet alle wallets maken deze functionaliteit (gemakkelijk) toegankelijk. Daarnaast is deze methode problematisch voor ervaren gebruikers die gebruikmaken van multisig (meerdere sleutels om een transactie te ondertekenen, bijvoorbeeld 2 uit 3). Dit kan zelfs leiden tot onveilige situaties, aangezien je in theorie langs je geografisch verspreide kluizen moet om te ondertekenen.

Kortom, het kan leiden tot frustratie bij gebruikers en een verstoorde ervaring. Hoewel message signing wellicht een van de betere methodes is, is het voor veel gebruikers mogelijk te ingewikkeld om daadwerkelijk goed toe te passen.

Other suitable technical means

Oftewel andere geschikte technische middelen, zolang deze een betrouwbare en veilige beoordeling mogelijk maken en de dienstverlener volledig overtuigd is dat het adres eigendom is van jou of onder jouw controle valt. Dit is een meer open methode, waarbij de dienstverlener zelf de keuze maakt voor een oplossing.

Hoewel dit wellicht een handige uitweg is voor politieke besluitvormers die niet al te veel moeite willen doen, biedt het tegelijkertijd enige flexibiliteit voor de markt. Maar welke technische middelen kunnen dan geschikt zijn?

Is het bijvoorbeeld mogelijk om een simpel vinkje te zetten waarin je aangeeft dat je de eigenaar bent van het adres waar de storting vandaan komt of waar de opname naartoe gaat, met enkele controles op de achtergrond? Zou het gebruik van zero-knowledge proofs een oplossing kunnen zijn? Of misschien het verstrekken van je xPub, waarmee al je bitcoinadressen inzichtelijk worden? We zullen moeten afwachten welke richting de markt opgaat en welke oplossingen de toezichthouder als acceptabel beschouwt.

Zinvol voor bitcoinstortingen?

Als een dienstverlener walletscreenshots vereist voor stortingen, zal de transactie al voltooid moeten zijn. De gebruiker kan dan een screenshot aanleveren van de betreffende transactie in zijn transactiegeschiedenis, maar dit brengt opnieuw alle nadelen met zich, zoals eerder beschreven. Daarnaast zal de gebruiker moeten wachten totdat zijn bitcoin is gecrediteerd, wat waarschijnlijk resulteert in een matige tot slechte gebruikerservaring.

De Satoshi-test en message signing zijn niet geschikt voor bitcoinstortingen, tenzij de gebruiker precies weet welke UTXO hij wil gebruiken. Hoewel ervaren bitcoingebruikers dit kunnen, is het voor een leek vrijwel onmogelijk. Bovendien ondersteunen niet alle wallets coin control of message signing.

Zinvol voor bitcoinopnames?

Voor bitcoinstortingen lijkt het niet zinvol en technisch gezien absurd. Voor opnames geldt een ander verhaal. Screenshots werken in dit geval wel, maar je zult bij een opname naar een nieuw adres waarschijnlijk een nieuwe screenshot moeten aanleveren. Dit is niet ideaal voor de gebruiker en de privacybezwaren blijven bestaan.

De Satoshi-test werkt niet, omdat er geen saldo op het ontvangstadres staat. Message signing kan echter wel, mits de gebruiker bekend is met de methode.

Tot slot

De verschillende verificatiemethodes zijn technisch ineffectief en praktisch nauwelijks uitvoerbaar. Ze kunnen leiden tot schendingen van privacy en vormen een risico voor gebruikers. Kortom, het is een zware last voor zowel bedrijven als consumenten.

De walletverificatie (en TFR in het algemeen, samen met de bijbehorende richtsnoeren van de EBA) maakt het er niet gemakkelijker op voor gebruikers van eigen wallets. In feite is het ronduit destructief te noemen. Terwijl eenvoud en gebruiksgemak juist cruciaal zijn voor de verdere adoptie van bitcoin, vormt dit een directe aanval op de kern van bitcoin.

De bezwaren tegen deze maatregelen waren bekend en zijn tijdens consultaties duidelijk naar voren gebracht door groepen zoals de Verenigde Bitcoinbedrijven Nederland en The Blockchain and Virtual Currencies Working Group. Toch lijkt de lobby vanuit crypto (waarbij transacties via één adres gaan, zoals ethereum en stablecoins) helaas sterker te zijn geweest.

Hoewel het cruciaal blijft om witwassen en terrorismefinanciering effectief te bestrijden, mag deze strijd nooit ten koste gaan van fundamentele privacyrechten. Nodeloze exercities zoals de walletverificatie dragen naar mijn mening niet bij aan dit doel en lijken weinig zinvol.

Meer lezen over de travel rule doe je hier.

man op een hoogwerker die een letter B aan een muur ophangt
De Bitcoingids Stap voor stap uitleg over het kopen van bitcoin.

Belangrijke thema’s in dit artikel. Klik op een thema en ontdek meer.

regelgeving

Voorkomende tags in dit artikel. Klik op een tag voor gelijksoortige artikelen.

#bitcoin
#bitcoin.nl
#EU
#regulering
#Wetgeving
#Regelgeving
#privacy
#fatf
#Europese Unie
#Anti-witwasregelgeving
#Travel Rule
#Nieuws
#Eba
#Bitcoin nieuws

ook interessant

meer artikelen
26 apr. 2017 Regelgeving, Economie
SEC kijkt opnieuw naar Bitcoin ETF
27 mrt. 2020 Regelgeving, Educatie
Bitcoin & belastingaangifte 2019
23 apr. 2020 Regelgeving, Politiek
Eerste Kamer stemt voor nieuwe regelgeving, invoering binnenkort
31 mrt. 2022 Adoptie, Regelgeving, Politiek
Thailand verbiedt betalingen met bitcoin