De opkomst van bitcoin zorgde in eerste instantie voor weinig onrust in de top van Europa. Inmiddels is bitcoin onderdeel van een belangrijk gesprek over de regels voor de industrie in datzelfde continent.
Het plan rondom de EU-verordening Markets in Crypto-Assets (MiCA) heeft grote gevolgen voor klanten en ondernemers in Nederland en heel Europa. De regelgeving is bedoeld om het gebruik van ‘virtuele activa in de Europese Unie te stroomlijnen en tegelijkertijd gebruikers en investeerders te beschermen’.
Het is de eerste poging om met 27 landen een gezamenlijk beleid uit te rollen rondom bitcoin en alles daar weer omheen.
De MiCA dus. Betrokken politici hangen op sociale media de vlag uit: Jippie, duidelijkheid! Maar eigenlijk is het niets anders dan het optuigen van een gigantische surveillancestaat. En dit is pas het begin.
In deze editie van Focus bespreken we de huidige ontwikkelingen in Europa.
Regels, regels, regels
Van de grootste piramidespelen tot aan de legitieme bitcoin brokers, ze zullen allemaal te maken krijgen met strenger toezicht.
We bespreken de toekomst aan de hand van het persbericht vanuit Europa.
De titel van het bericht laat weinig aan de verbeelding over: ‘Crypto assets: deal on new rules to stop illicit flows in the EU.’ Controle over de geldstromen is belangrijk voor Europa en de beleidsmakers.
Het standaard riedeltje komt voorbij: ‘Transacties van crypto-assets zullen worden gevolgd om witwassen, het financieren van terrorisme en andere misdaden te voorkomen.’ Het doel is helder: nieuwe wetgeving moet ervoor zorgen dat transacties áltijd zijn te volgen. Verdachte transacties zijn te allen tijde te blokkeren.
Let op: het gaat hier dus níet om blokkades op het netwerk van bitcoin zelf. Het gaat om controle bij de toegangspoorten, de bedrijven en organisaties die de aan- en verkoop faciliteren.
De enige manier om dit ook maar enigszins voor elkaar te krijgen is meer controle. De druk om te controleren en klanten te screenen komt te liggen bij de brokers en beurzen in Europa.
“Governments are good at cutting off the heads of a centrally controlled networks like Napster, but pure P2P networks like Gnutella and Tor seem to be holding their own.”
Satoshi Nakamoto
Volgen vanaf de eerste euro
Het gaat hier om de zogenaamde ‘travel rule’. Die regel bestaat al in de traditionele wereld. De politieke genieën willen nu dit idee overnemen en plakken op een opkomende en bloeiende industrie. Met een ‘klein’ extra iets genaamd bitcoin, dat grenzeloze transacties mogelijk maakt zonder tussenpersonen.
Het is de bedoeling dat achtergrondinformatie van de transactie als het ware meereist (vandaar travel rule) met de geldtransactie. Aan beide kanten van de transactie moet die extra informatie worden opgeslagen.
Een scenario is: Nederlandse beurs A stuurt bitcoin van Bob naar Spaanse beurs B. Beide partijen moeten de gegevens van Bob netjes opslaan. Niet per se omdat ze dat zelf willen, maar omdat er later autoriteiten kunnen zijn die die gegevens weer op willen vragen.
Brokers en beurzen vallen onder de zogenaamde ‘crypto-assets service providers’ (CASPs). Deze CASPs moeten niet alleen je naam opslaan, maar ook je adres en telefoonnummer.
Natuurlijk hebben de dames en heren in Brussel jouw privacy hoog op de prioriteitenlijst staan. Als een partij de veiligheid van de data niet kan garanderen, moet je de gegevens niet opsturen.
Je kunt je echter hardop afvragen of partijen die gespecialiseerd zijn in het kopen en verkopen van bitcoin dit überhaupt wel moeten doen. Bedrijven kunnen alvast voorsorteren op de toekomst door hun compliance afdeling nog verder uit te breiden. Een noodzakelijk kwaad als je wilt voldoen aan de aanstaande richtlijnen en regelgeving.
Klanten lopen tegen de muur als ze bijvoorbeeld bekend staan als potentiële witwasser of terrorist. Met voldoende communicatie betekent het dat je niet terecht kunt in welke van de 27 lidstaten dan ook met jouw bitcoin. Dan gaan we voor het gemak even vanuit dat mensen die echt met malafide zaken bezig zijn ook gewoon netjes de doorsnee beurs of brokers gebruiken voor hun transacties.
Ook moet er een lijst komen met CASPs die buiten de regels opereren. Europese bedrijven mogen níet handelen met die bedrijven. Hierover wordt nog onderhandeld.
Un-hosted wallets
Een van de vaagste termen in de plannen is de zogenaamde ‘un-hosted wallet’. Daarmee worden eigenlijk transacties bedoeld die níet vanaf een goedgekeurd adres plaatsvindt. Een adres van een gereguleerde beurs is een ‘hosted wallet’ in dit vage taaltje.
De term un-hosted wallet kun je beter lezen als ‘bitcoin in eigen beheer’. Transacties boven de 1.000 euro vanaf een eigen adres naar een CASP moeten ook worden geregistreerd. Deze vallen dus ook onder die travel rule.
Betalingen van meer dan 10.000 euro komen sowieso al in een bakje met verdachte transacties.
Transacties van persoon naar persoon vallen hier gelukkig (nog) niet onder.
In de praktijk
Iedereen, ook de braafste burger, komt door de regeldruk op allerlei interne lijstjes te staan. Je wordt dus niet alleen in de gaten gehouden als je verdacht bent. Het maakt het nog makkelijker om een volgend scenario als bijvoorbeeld de toeslagenaffaire mogelijk te maken. Je bent een of twee vinkjes verwijderd van uitsluiting van het gereguleerde betaalverkeer.
Een voorbeeld in de praktijk zien we deze week bij Coinbase. De Amerikanen introduceren extra regels, specifiek voor Nederland. Bij uitgaande transacties moet je een fysiek adres én naam opgeven van de ontvanger. De reden? Nederlandse regelgeving.
Een andere ‘leuke’ tool is Coinbase Tracer. Klanten (zoals overheden, maar ook bedrijven) kunnen transacties volgen met de software. Weinig geks aan, transacties zijn immers openbaar op het netwerk van bitcoin.
Net als veel andere bedrijven wil Coinbase echter méér dan alleen de openbare data volgen. Aan de hand van externe data (je weet wel, die gegevens waar het eerder in deze nieuwsbrief over ging..) willen ze een beter profiel afleveren aan hun klanten.
Coinbase ontkent overigens dat zij klantendata gebruiken voor dit soort zaken.
Een van de afnemers van de software is bijvoorbeeld de U.S. Immigration and Customs Enforcement (ICE). Volgens The Intercept wordt er ook ‘geo-data’ gebruikt. De toolkit moet er voor zorgen dat de immigratiedienst van de VS transacties kan ‘de-anonimiseren’. Als kers op de taart wordt daar dus ook bijvoorbeeld je (vorige) locaties bij gebruikt. De Intercept meldt dat de ICE alle gegevens van Coinbase kan en mag gebruiken.
We hebben het nu over Coinbase, maar dit soort zaken ga je steeds meer zien in de industrie. Soms werken partijen graag mee, maar soms is het de enige manier om überhaupt te blijven bestaan in een bepaalde regio. Je kunt wel raden wat er gebeurd met een kleine bitcoinboer in Nederland die zich niet aan de Europese of landelijke regels houdt. Of niet meer de extra inhuur van compliance experts kan betalen.
Je móet als beurs of broker data kunnen overleggen van je klanten. Als de belastingdienst of een andere overheidsinstantie aanklopt dan moet je de juiste gegevens kunnen delen. Anders zit naast de klant ook jij als bedrijf in de problemen.
Databases
In een ideale situatie kun je zonder problemen en frictie overal bitcoin kopen. Dat is in theorie zo, want je kunt het netwerk overal gebruiken als je toegang hebt tot internet en een smartphone.
In de praktijk zien we dat een groot gedeelte van de nieuwe spelers in de markt zich gewoon aanmelden bij een beurs of broker. Eventjes identificeren en gaan met die banaan, kopen die handel.
Mijn data ligt ook bij een flink aantal bedrijven, helaas. Ik loop net als miljoenen anderen het risico dat er door een hack extra informatie van mij op straat komt te liggen. Maar hey, ik schrijf ook deze nieuwsbrief onder mijn eigen naam, dus ik ben wel te koppelen aan bitcoin als persoon.
Dat geldt echter niet voor de gemiddelde Nederlander of bitcoiner die hecht aan privacy. Bedrijven zijn verplicht om data te verzamelen van miljoenen mensen. Het is een kwestie van tijd voor een volgend groot lek in de industrie of daarbuiten. En dat zorgt voor gevaren.
Eerder dit jaar gingen er geruchten dat Binance gegevens van een aantal Russische dissidenten deelde met het landelijke regime. Of dat waar is of niet maakt niet uit. De Europese regels vragen om hetzelfde: verzamel de gegevens en we komen het halen als het nodig is.
De Autoriteit Persoonsgegevens schat in dat er vorig jaar 7 miljoen (!) mensen zijn gedupeerd door Nederlandse datalekken.
De bitcoin industrie is erg interessant voor hackers. Net als andere financiële instellingen is bij deze bedrijven niet alleen e-mails of woonadressen te vinden. Met de juiste toegang kun je ook de aan- en verkoopgeschiedenis van een klant zien.
Stel je voor: jouw aankoopgeschiedenis van je favoriete broker ligt op straat. Combineer dat met eerder gelekte of publieke informatie en je hebt een gevaarlijke cocktail waar boefjes dankbaar gebruik van kunnen maken.
Je kunt slachtoffer worden van identiteitsfraude of criminelen zoeken persoonlijk contact met je. Na een groot datalek bij bitcoinbedrijf Ledger lagen er meer dan 1 miljoen (!) mailadressen op straat.
Door dat grote lek krijgen mensen nog altijd spam. Vorig jaar werden mensen zelfs bestookt met malafide hardware. Ledger zelf biedt hardware om je bitcoin mee op te slaan, dus dieven besloten om een stukje hardware op te sturen om veilig je bitcoin mee op te slaan. Slachtoffer die erin trappen verliezen alles wat ze er op zetten.
Naast de vage bitcoinboefjes zoals in het voorbeeld hierboven heb je natuurlijk ook nog de andere discussie: waarom moet/wil de overheid dit allemaal weten?
Wanneer kunnen we de gevolgen verwachten?
Het Europese wetgevingsproces is een hele lange. Het wetsvoorstel moet nu nog langs verschillende instanties, waaronder verschillende comités en uiteindelijk het Europees Parlement.
Hoe en wanneer de MiCA precies uit wordt gerold is onduidelijk. Christine Lagarde, president van de Europese Centrale Bank, gaf eerder aan dat zij hoopt te starten met een digitale euro in 2024.
Ikzelf verwacht tussen nu en 2024 heel veel nieuwe richtlijnen en regels voor de bitcoin industrie. In Europa en daarbuiten.
Als doorsnee klant moet je simpelweg meer gegevens delen, je wordt met een beetje pech ook ná het verlaten van het platform nog in de gaten gehouden. Je kunt ook rekenen op extra vragen of verzoeken bij eventueel ‘verdacht gedrag’.
Oh, een kleine tip om af te sluiten: bekijk peer-to-peer platformen als Bisq en RoboSats.
Hodl on,
Robin