Stortvloed aan kritiek over beoogde nieuwe Amerikaanse KYCC-regel voor cryptovaluta

Vlak voor de kerst overviel toezichthouder FinCEN de Amerikaanse Bitcoinsector plotseling met een voorstel om strenge regelgeving met betrekking tot Bitcoin in te voeren, vergelijkbaar met de recente Nederlandse 'verificatie-eis'. Het voorstel leidde tot een stortvloed van kritiek en ruim 7500 openbare reacties. Tegenstanders noemen de voorgestelde regelgeving gehaast, disproportioneel en ineffectief en volgens hen leiden ze tot privacy- en mensenrechtenschending en risico's voor consumenten.

Op 18 december verraste de Financial Crimes Enforcement Network (FinCEN) de Amerikaanse Bitcoinsector plotseling met een voorstel om nieuwe en strenge regelgeving in te voeren. Volgens het voorstel zouden Amerikaanse Bitcoinbedrijven verplicht worden om bij opnames en transacties boven de $3000 dollar de identiteit van de eigenaar van de ontvangende wallet te vast te stellen. Bij bedragen boven $10.000 zou aanvullend een verplichte melding bij FinCEN gelden.

De meeste Bitcoinbedrijven voeren al langer zogenaamde Know-Your-Customer (KYC)-beleid, waarbij ze identificerende informatie aan hun klanten vragen. De nieuwe regelgeving zou Amerikaanse Bitcoinbedrijven verplichten meer persoonsgegevens van hun klanten te verzamelen en te controleren, maar aanvullend óók van eventuele tegenpartijen waarmee klanten transacties doen. Een soort Know-Your-Customer's-Counterparty (KYCC).

In plaats van een gewoonlijke consultatieronde van 60 dagen kreeg de sector slechts 15 dagen om op het voorstel te reageren. In combinatie met de timing vlak voor de kerst wekte dat bij velen de indruk dat men het voorstel er wellicht snel en zonder al te veel weerstand doorheen wou drukken.

Als dat het plan was, is dat niet gelukt. Ondanks de feestdagen en het korte tijdsbestek kreeg FinCEN namelijk een stortvloed aan kritiek over zich heen. Er verschenen ruim tienduizenden reacties, waarvan zo'n 7500 openbare.

Onwetmatig korte procedure

De meeste reacties zijn afkeurend. De timing en haastige procedure schoot bij de meesten in het verkeerde keelgat. "Het ministerie van Financiën geeft het publiek slechts 15 dagen om commentaar te leveren in een periode tijdens kerst en nieuwjaar, en dat doet het tijdens een globale pandemie. Dat is beschamend. Om het publiek effectief slechts een paar dagen de tijd te geven om een complex voorstel te bestuderen en betekenisvol commentaar te leveren - op dit specifieke moment op de kalender - is strijdig met de geest, als het niet de letter is, van de APA en het demonstreert een ongepaste minachting voor het publiek.", aldus Peter van Valkenburgh van onderzoeksbureau Coin Center.

Ook de Amerikaanse exchange Coinbase wijst op de onwettigheid van de procedure. "Ondanks de rechtvaardigingen in de aankondiging, is er geen wettelijke basis om de mogelijkheid van het publiek te ontnemen om bewijzen te ontwikkelen die hun bezwaren tegen de regelgeving ondersteunen.", schreef Chief Legal Officer Paul Grewal in zijn bezwaarsbrief.

Dat beaamde ook investeringsfonds Andreessen Horowitz: "FinCEN biedt geen verdedigbare reden om van traditionele bezwaarprocedures af te wijken ten gunste van een verkorte bezwaarperiode van zes werkdagen verspreid over de feestdagen. Dat FinCEN verzaakt toe te staan dat er betekenisvol commentaar op het voorstel wordt geleverd is een overtreding van de APA."

De meeste bezwaarschriften riepen op om een normale consultatieperiode van 60 dagen te hanteren. Dat bezwaar werd - zo bleek vandaag - gehonoreerd. Hierdoor is de voorgenomen invoering van de regel op 20 januari 2021 van de baan.

Disproportioneel

Velen wezen erop dat de voorgestelde regels verder gaan dan de regels die voor andere financiële instellingen gelden. Het Center for Capital Markets Competitiveness (CCMC) van de Amerikaanse Kamer van Koophandel (KvK) schrijft: "We maken ons zorgen over de nieuwe administratieve verplichtingen zoals voorgesteld in de regels voor CVC betalingen, waarbij een het verplicht is dat de tegenpartij van klanten bij naam en fysiek adres wordt geïdentificeerd bij bedragen boven de $3000. Deze extra administratieve laag (het identificeren van informatie over de tegenpartij) is bij traditionele betalingen op dit moment niet verplicht."

Jack Dorsey, de CEO Square en Twitter, licht het in zijn bezwaarschrift verder toe: "Als voorbeeld, onder dit voorstel - als een moeder van een klant van Square haar dochter een schenking doet van $4000 fysiek cash geld en de dochter stort dat geld op de bank, dan heeft de bank geen verplichting om informatie over de moeder van de dochter te verzamelen. Onder dit voorstel, als dezelfde transactie via cryptovaluta plaats zou vinden, zou de bank voorbij de klantrelatie moeten reiken en inbreuk moeten plegen op de persoonlijke informatie van de moeder, voordat de dochter succesvol het cadeau van haar moeder kan storten en benaderen."

Slecht onderbouwd

Volgens Andreessen Horowitz gaat het voorstel ook verder dan de wet toelaat en bovendien zien zij weinig concrete onderbouwing om specifiek voor cryptovaluta zulke vergaande regels te hanteren. Zij stellen dat het voorstel 'de risico's met betrekking tot cryptovaluta buitenproportioneel uitvergroot, in verhouding met het volume aan transacties in cryptovaluta in de economie'.

"De schaal waarop transacties in dollars en cash plaatsvinden is enorm veel groter dan de hoeveelheid transacties in cryptovaluta, laat staan het deel waarbij self-hosted wallets worden gebruikt" schrijven ze. "Het Clearing House Interbank Payments System alleen al, bijvoorbeeld, verrekent $1500 miljard aan binnenlandse en internationale betalingen per dag. Het voorstel impliceert dat het totale jaarlijkse volume cryptovaluta-transacties $1000 miljard is, wat minder is dan wat op één dag via het Amerikaanse bankensysteem wordt verstuurd."

Als de schattingen kloppen dat er in de VS alleen al jaarlijks zo'n $300 miljard wordt witgewassen, waarvan $100 miljard gerelateerd aan zorginstellingen, terwijl FinCEN's eigen schattingen stellen dat er wereldwijd slechts $10 miljard via cryptovaluta wordt witgewassen, stelt Andreessen Horowitz dat ze het onbegrijpelijk vinden dat FinCEN zo disproportioneel hard optreedt tegen cryptovaluta.

Jack Dorsey krabt zich eveneens achter de oren: "Het voorstel doet afvragen wat voor bewijs er is dat een $3000 dollar transactie in cryptovaluta met een individu riskanter is of meer gevaar met zich meebrengt dan een transactie van $3000 in contant geld, aangezien daarvoor pas dataverzameling en een meldingsplicht geldt vanaf $10.000. Veranderingen in regelgeving van deze grootte zouden gebaseerd moeten zijn op onderzoek, analyse en samenwerking met de industrie."

Ineffectief en inefficiënt

De voorgestelde regels werken volgens velen niet. De extra drempels en hindernissen zouden er juist voor zorgen dat meer mensen ervoor kiezen om buiten gereguleerde dienstverleners om aan de slag te gaan. "Deze regel zal beheersoplossingen op basis van cryptografische inloggegevens voor zowel onschuldige als criminele gebruikers waarschijnlijk een stuk aantrekkelijker maken. Het waarschijnlijke gevolg is dat het de adoptie van zogenaamde 'unhosted wallets' zal versnellen.", legde Peter van Valkenburgh van Coin Center uit.

En anders zullen klanten misschien verkiezen om gebruik te maken van buitenlandse of ongereguleerde exchanges, denkt Andreessen Horowitz: "Het zal waarschijnlijk de hoeveelheid informatie die handhavende instanties via wettelijke processen kunnen bemachtigen verkleinen." Ook het bezwaarschrift van Dorsey's Square benadrukt dat de regels contraproductief zijn: "Het toevoegen van lastige drempels aan gereguleerde dienstverleners zal klanten naar alternatieven drijven die FinCEN en handhavende instanties het zicht ontnemen op het type activiteit dat ze willen vangen."

Het CCMC van de Amerikaanse KvK wijst erop dat ook dienstverleners misschien elders hun heil zullen zoeken, wat ongunstig is voor de Amerikaanse economie en waardoor het zicht op financiële activiteit met cryptovaluta afneemt. Dat denkt Dorsey ook: "Met zoveel drempels zullen bedrijven en individuen hun activiteit verplaatsen naar non-custodial wallets en dienstverleners buiten de VS, die niet zijn gebonden aan zulke vereisten, wat innovatie en banen met betrekking tot cryptovaluta voorbij onze landsgrenzen drijft." Een aantal Republikeinse senatoren hadden staatssecretaris Mnuchin daar een maand geleden per brief ook al eens voor gewaarschuwd.

"Kerncomponenten van de voorgestelde regel zijn zo vaag dat ze niet effectief noch uniform kunnen worden ingevoerd", vindt Andreessen Horowitz. Er is dan ook veel onduidelijkheid over hoe Bitcoinbedrijven uberhaupt met zekerheid moeten achterhalen wie de eigenaar is van een bitcoinadres. "In tegenstelling tot de context van fiat geldstromen, hebben cryptovaluta geen gestandaardiseerd berichtensysteem zoals bij het SWIFT-systeem."

Mensenrechten

Bovendien is het voorstel volgens velen een schending van privacy en strijdig met mensenrechten. Het Electronic Frontier Foundation (EFF) stelt dat financiële boekhouding zeer persoonlijke en onthullende informatie over het privéleven van mensen bevat, waaruit van alles is op te maken over hun persoonlijke leven, levensovertuigingen en affiliaties.

Het voorstel van FinCEN is daarom volgens het EFF ondoordacht en zelfs strijdig met de Amerikaanse privacywetgeving. "De mogelijkheid om anonieme transacties te doen is essentieel voor het beschermen van de burgerlijke vrijheden van Amerikaanse burgers", stellen ze. "Bitcoinadressen zijn pseudoniem, niet anoniem, en de Bitcoin blockchain is een publiek inzichtelijk grootboek van alle transacties tussen die adressen. Dat betekent dat als je de naam weet van een gebruiker die in verband wordt gebracht met een bepaald bitcoinadres, dat je daaruit informatie kan ontlenen over alle bitcointransacties van dat adres." De enorme hoeveelheid data die de overheid daardoor ter beschikking heeft, staat volgens hen haaks op claims dat om 'smalle' (narrow) regelgeving gaat. Het CCMC van de Amerikaanse KvK vindt dat FinCEN geen goede onderbouwing heeft om zoveel inbreuk te plegen op de privacy van burgers.

Gevaar voor consumenten

De voorgestelde regelgeving en dataverzameling brengt consumenten bovendien in gevaar. "De schaal waarop het verzameld wordt is een aanzienlijk risico", legt het EFF uit. "Databases met een dergelijke omvang kunnen een enorme en verleidelijke schat van informatie zijn voor kwaadwillenden." Het zou immers informatie zijn waarmee je niet alleen de transactiegeschiedenis van iemand kan inzien, maar ook de identiteiten en adressen van bezitters van cryptovaluta kan achterhalen.

Zo werd recentelijk de Franse hardware wallet-fabrikant Ledger gehackt. Daarbij maakten aanvallers 1 miljoen emailadressen buit, maar ook een lijst met adresgegevens van 272.000 klanten die een hardware wallet via de website hadden besteld. Nu hun namen en woonadressen 'op straat' liggen, iets dat nooit meer is terug te draaien, lopen zij persoonlijk risico om in de fysieke wereld doelwit te worden.

Ook bitcoinexchanges zijn regelmatig slachtoffer van hacks. Vaak worden dan veel klantfondsen gestolen en die schade is al ernstig genoeg, maar wanneer exchanges verplicht zijn om grote hoeveelheden zeer gevoelige en persoonlijke informatie van consumenten te verzamelen neemt het gevaar exponentieel toe. Dan weten de criminelen behalve de transactiegeschiedenis óók wie de eigenaar is van de fondsen, waar ze wonen en hoeveel ze gekocht hebben. Chief Policy Officer Amy Davine Kim van de Amerikaanse KvK ziet in het voorstel van FinCEN vergelijkbare risico's: "De eis om zoveel data te verzamelen opent de deur voor dit soort aanvallen."

FinCEN zou het moeten weten. Onlangs nog bleek dat FinCEN als gevolg van de Solar Winds-hack ook data had gelekt, de zogenaamde FinCEN Files. FinCEN benadrukte de ernst daarvan door te stellen dat het openbaar maken van persoonlijke informatie een misdaad is die, onder andere, 'een bedreiging kan vormen voor de beveiliging en veiligheid van instellingen en personen'.

Geen enkele organisatie lijkt tegenwoordig in staat om hackers gegarandeerd buiten te houden en datalekken zijn al jaren orde van de dag. Misschien is het daarom juist beter om dergelijke informatie niet centraal op één plek op te slaan. "De slechte infosec van het Ministerie van Financiën toont hoe essentieel onze financiële privacy is", stelt Dayton Young van belangenbehartiger Fight for the Future. "We zijn veiliger wanneer we onze eigen wallets gebruiken."

Nederlandse situatie

Ook Nederlandse Bitcoiners hebben hun visie op het voorstel gedeeld. De ontwikkelingen in de VS hebben namelijk veel raakvlakken met recente veranderingen in de Nederlandse situatie.

In Nederland geldt sinds vorig jaar de zogenaamde 'cryptowet', die Bitcoinbedrijven verplicht de identiteit van hun klanten te verifiëren. Het introduceerde ook een verplichte registratie voor Bitcoinbedrijven. Aanvullend eist de Nederlandse toezichthouder sinds afgelopen september ook dat Nederlandse Bitcoinbedrijven de identiteit van hun klanten voor elke transactie koppelen aan de externe wallets die zij gebruiken.

Anders dan in Amerika geldt deze eis in Nederland niet alleen voor bedragen boven $3000 dollar, maar voor ieder bedrag. Daarmee zijn de regels in Nederland dus nog strenger dan in het Amerikaanse voorstel. De Nederlandse wetgeving met betrekking tot cryptovaluta behoort dan ook tot de strengste ter wereld. Vanwege de cryptowet is het in Nederland niet langer gangbaar om vanaf een platform van een Nederlands Bitcoinbedrijf bij webshops te betalen of transacties te doen naar een wallet van een ander, wat veel toepassingen van bitcoin in de weg zit.

Ook in Nederland werden de aanvullende regels opeens ingevoerd. De nieuwe eis werd in september door de toezichthouder aangekondigd, slechts twee maanden voordat de deadline voor de verplichte registratie afliep. In Nederland werd over de uitbreiding van de eisen geheel geen consultatieronde gehouden. DNB stelt echter dat de eis niet nieuw is, maar er altijd al was. De 38 Bitcoinbedrijven in het registratieproces werden hierdoor overvallen en in samenwerking met branchevereniging VBNL luidden 25 van hen daarom in november de noodklok en vroegen ze om toelichting op de achtergrond van de eis.

Die toelichting is nog steeds niet binnen en tot nu toe kregen slechts 15 Bitcoinbedrijven een registratie. Het lijkt haaks op toezeggingen van minister Hoekstra van Financiën aan de Tweede Kamer, die vorig jaar Kamerleden stellig beloofde dat er geen sprake was van een verkapt vergunningstelsel: "Registreren doe je en een vergunning wordt aan je verleend. Dat is gewoon echt wat anders." De realiteit lijkt echter een ander beeld te schetsen.

De Nederlandse Bitcoinbedrijven laten het er niet bij zitten. Sommige dienstverleners, zoals Bitonic, hebben aangegeven de kwestie aan te kaarten bij de rechter. Een nieuwe ontwikkeling is dat het Europees Comité voor Gegevensbescherming (ECG), een belangrijk EU-adviesorgaan, onlangs liet weten dat vergaande antiwitwas- en terrorismemaatregelen niet strijdig mogen zijn met privacywetgeving zoals de AVG/GDPR.

"De (ECG) beschouwt het als een zaak van uiterste belang dat antiwitwas- en terrorismemaatregelen compatibel zijn met privacyrechten en databescherming zoals vastgelegd in Artikel 7 en 8 van het Handvest van de grondrechten van de Europese Unie, de principes van noodzakelijkheid van de maatregelen in een democratische maatschappij en hun proportionaliteit", schreef het (ECG) onlangs in een verklaring. De AVG/GDPR stelt onder andere dat privacy van burgers niet onnodig mag worden geschaad en dat mensen het recht hebben om vergeten te worden, maar vanuit antiwitwas- en terrorismemaatregelen wordt geeist dat bedrijven consumenten zeer uitvoerig screenen en gegevens langdurig bewaren.

Het verhaal in Nederland krijgt vermoedelijk dus nog een staartje.


Belangrijke thema’s in dit artikel. Klik op een thema en ontdek meer.