Только медийное адаптивное
Только медийное адаптивное

Комментарий к предложению FinCEN KYC — Журнал Bitcoin

4

Отдел политики

Сеть по борьбе с финансовыми преступлениями

P.O. Коробка 39

Вена, VA 22183

Журнал FinCEN № FINCEN-2020-0020, RIN 1506-AB47

4 января 2020 г.

Уважаемые дамы и господа,

Предлагаемые правила по отчетам о валютных транзакциях и ведению учета, по-видимому, требуют, чтобы банки и компании, предоставляющие денежные услуги (MSB), имели возможность доказать, что идентифицированный контрагент по транзакции действительно владеет одним или несколькими конкретными адресами криптовалюты, когда этот контрагент использует не размещенный на хосте кошелек. и сумма транзакции превышает 3000 долларов США. (Отметка 3000 долларов вызовет требование ведения документации, а отметка 10000 долларов также вызовет требование отчета о валютных операциях.)

В предложении не делается явного различия между снятием средств и депозитами, поэтому я предполагаю, что вышеупомянутое требование о подтверждении права собственности будет применяться к обоим типам транзакций, если они превышают 3000 долларов и включают контрагента с незащищенным кошельком.

С этого момента я буду называть любую процедуру или меру, которая пытается доказать связь прав собственности между идентификацией контрагента и одним или несколькими адресами криптовалюты, как «процедуру проверки адреса». Я буду называть сам общий процесс «проверкой адреса».

В моей стране проживания, в Нидерландах, центральный банк прошлой осенью провел проверку адреса в спешке для тех транзакций от бирж и депозитариев, которые предполагают снятие средств на незарегистрированный кошелек. В отличие от вашего предложения, в Нидерландах при снятии средств в этих случаях требуется проверка адреса независимо от суммы транзакции. Проверка адреса не является обязательным требованием для пополнения кошелька без хостинга.

Как давний консультант и преподаватель в экосистеме криптовалюты, я уделял большое внимание практичности и желательности проверки адреса в свете мер, которые недавно были приняты центральным банком Нидерландов (De Nederlandsche Bank NV). И я хочу поделиться с вами своими мыслями по этим вопросам.

В целом, я убежден, что проверка адреса вряд ли будет очень продуктивной в борьбе с финансовыми преступлениями и что она сопряжена со значительными расходами для коммерции и инноваций, а также конфиденциальности и безопасности клиентов.

В этом письме я хотел бы объяснить, почему я так скептически отношусь к практике проверки адресов и почему считаю ваше предложение неработающим и несоразмерным. Перед тем как начать, я хотел бы сделать три комментария относительно объема моих критических отзывов.

Во-первых, ни из вашего предложения, ни из каких-либо дополнительных комментариев с вашей стороны я не смог точно установить, какие типы мер вы предлагаете для проверки адреса. Однако я предполагаю, что вы имеете в виду процедуры, аналогичные тем, которые в настоящее время рекомендуются центральным банком Нидерландов для наших хранителей и бирж.

Следовательно, я буду использовать предлагаемые процедуры в качестве руководства для формулирования моей критики проверки адреса. Предлагаемые процедуры заключаются в следующем:

  • Чтобы клиенты могли делать скриншоты своих кошельков с адресом назначения
  • Для клиента и бизнеса видеоконференцсвязь во время сделки
  • Чтобы клиенты могли поставить цифровую подпись на адрес назначения с помощью соответствующего закрытого ключа
  • Для клиентов, чтобы вернуть небольшую часть биткойнов, которые они получили, на биржу или хранителю
  • Для бизнеса предоставить клиенту адрес (предположительно, обладая расширенным открытым ключом первого)
Интересное  Генеральный директор Bridgewater Рэй Далио не верит в прорыв биткойнов

Во-вторых, я ограничу свои примеры случаями, когда деньги выводятся в кошелек без хоста. Такую же критику можно использовать и в отношении случая, когда деньги переводятся из кошелька без хостинга. Фактически, проверка адреса является еще более серьезной практической проблемой в случае депозитов, поскольку транзакции с криптовалютой обычно включают в себя несколько неизрасходованных выходных транзакций в качестве входных данных (это означает, что вам придется подключить идентифицированного контрагента к нескольким адресам, а не только к одному).

В-третьих, в ваших нормативных актах также предлагается проверка адреса в тех случаях, когда кошелек контрагента размещен, но банк или MSB, клиентом которых является контрагент, находится в определенных иностранных юрисдикциях. Я ограничиваю свои комментарии только случаями, когда контрагент использует неофициальный кошелек.

Непродуктивно в борьбе с финансовыми преступлениями

Предложение предназначено для проверки адреса для борьбы с широким спектром финансовых преступлений. В резюме, например, предложение гласит:

Как поясняется ниже, власти США обнаружили, что злоумышленники все чаще используют CVC для облегчения международного финансирования терроризма, распространения оружия, уклонения от санкций и отмывания денег, а также для покупки и продажи контролируемых веществ, украденных и поддельных идентификационных документов и доступа устройства, контрафактные товары, вредоносные программы и другие инструменты для взлома компьютеров, огнестрельное оружие и токсичные химические вещества. Кроме того, серьезность атак программ-вымогателей и связанных с ними требований к оплате, которые почти полностью выражаются в CVC, становятся все более серьезными, и G7 особо отметила озабоченность по поводу атак программ-вымогателей «в свете злоумышленников, нацеленных на критические сектора во время пандемии COVID-19.

Я не могу обсуждать процедуры проверки адреса в отношении всех этих преступлений. Поэтому вместо этого я просто ограничу свое обсуждение некоторыми финансовыми преступлениями, которые, по крайней мере, составляют основную часть проблем, связанных с предлагаемыми правилами: отмывание денег, финансирование терроризма и уклонение от санкций.

Эти преступления структурно очень схожи, хотя они и различаются по юридической основе и содержанию. И процедуры проверки адресов, на мой взгляд, мало повлияют на борьбу с ними по тем же причинам.

Предположим, например, что клиент биржи намеревается отмыть деньги для наркокартеля с помощью биткойнов, и что биржа реализует проверку адреса, заставляя клиентов делать скриншоты своих кошельков. Как именно это остановит клиента от участия в деятельности по отмыванию денег?

Заказчик мог легко обойти требование следующим образом:

  • Создайте адрес в собственном кошельке и сделайте снимок экрана. После того, как биржа подтвердит транзакцию и клиент получит биткойны, они могут передать их преступной организации.
  • Получите адрес, непосредственно принадлежащий преступной организации, и включите его в кошелек только для просмотра. Клиент делает снимок экрана кошелька, предназначенного только для просмотра, и адреса назначения. Биржа подтверждает скриншот и напрямую передает биткойн преступной организации. У клиента никогда не будет доступа к биткойнам.
  • Получите адрес, непосредственно принадлежащий преступной организации, и создайте фальшивый снимок экрана, например, с помощью генератора снимков экрана биткойн-кошелька. Биржа подтверждает скриншот клиента и отправляет биткойн напрямую преступной организации. У клиента никогда не будет доступа к биткойнам.
Интересное  Генеральный директор Binance выступает против блока; Рейда не было

Иногда клиентов обманом заставляют превращаться в денежных мулов, а не намеренно поддерживать преступную организацию. Однако даже для таких клиентов это не сильно изменило бы мои размышления выше. Если клиента можно обманом заставить стать мулом преступной организации, непонятно, как снимок экрана может помочь предотвратить его глупость.

И эти выводы можно сделать в более общем плане относительно большинства других процедур проверки адреса. Я не просто выбрал скриншот для проверки адреса. Многие другие практические реализации, такие как создание цифровых подписей или отправка части средств обратно, испытали бы аналогичный уровень беспомощности.

В целом, процедуры проверки адреса, похоже, не дают дополнительных ощутимых преимуществ в отношении борьбы с отмыванием денег, финансированием терроризма и уклонением от санкций при наличии стандартных процедур надлежащей проверки клиентов и мониторинга транзакций.

Я не очень уверен, что проверка адреса также хорошо борется с другими видами финансовых преступлений, по крайней мере, таким образом, который нельзя было бы сделать менее инвазивным способом. Я считаю, что приведенных выше комментариев достаточно, чтобы показать, какие типы проблем с эффективностью проверки адресов будут возникать на практике.

Стоимость процедуры проверки адреса

Проверка адреса также требует значительных затрат. Каковы именно эти затраты, будут зависеть от конкретных мер, принимаемых банками и MSB, которые должны его реализовать. Но я хочу подчеркнуть две основные проблемы, которые, в разной степени, вероятно, будут в какой-то степени применяться к любой практической реализации проверки адреса.

Во-первых, процедуры проверки адреса представляют собой препятствие для коммерции и инноваций.

Предположим, например, что биржа требует, чтобы все контрагенты установили связь между своей идентичностью и адресом (адресами) криптовалюты на не размещенном на хосте кошельке с помощью цифровой подписи на адресе (ах). (Я отложил на время опасения, что это будет неэффективным доказательством чего-либо.)

Большинство клиентов не знают, как делать цифровые подписи, и это приведет к чрезмерному количеству жалоб и запросов клиентов. Также потребовалось бы, чтобы заказчики приобрели программное обеспечение и оборудование, которые относительно безопасно позволяли бы им делать эти цифровые подписи. Многие бизнесы, вероятно, будут потеряны в результате хаоса, связанного с внедрением такой процедуры проверки адреса.

Смотрите также


Некоторые возможные реализации проверки адреса, конечно, могут быть немного менее инвазивными для коммерции, например снимок экрана кошелька (опять же, если оставить в стороне опасения, что это будет неэффективным доказательством чего-либо). Но даже здесь мы должны признать, что некоторые затраты или осложнения для коммерции и инноваций материализуются.

Например, поскольку криптовалюты являются программируемыми, вы также можете отправлять их на адреса, управляемые децентрализованными протоколами, а не на людей. Хотя в настоящее время эти децентрализованные протоколы в значительной степени являются экспериментальными, они могут оказаться очень интересными и ценными вариантами использования.

Интересное  Сюрприз NFTeGG - доход, слава и многое другое

Но как именно эти децентрализованные протоколы могут вписаться в предложенное требование проверки адреса?

На мой взгляд, предлагаемые правила не могут приспособить такой вариант использования: децентрализованные протоколы в конце концов не имеют идентификаторов или физических адресов. Таким образом, даже относительно простая мера по осуществлению проверки адреса банком или MSB, такая как снимок экрана кошелька, будет иметь негативные последствия для коммерции и инноваций.

Во-вторых, проверка адреса может нанести ущерб конфиденциальности и безопасности клиентов. Я просто пробегу через пару возможных реализаций, чтобы понять суть.

Для начала снимок экрана показывает, какой тип кошелька использует клиент, и, возможно, дополнительную информацию, возможно, о типе операционной системы или устройства. Видеоконференция расскажет еще больше о личных хранилищах клиентов.

Такая информация очень опасна в чужих руках. Мы не спрашиваем покупателей у торговцев драгоценными металлами, где они хранят золото и серебро. Так зачем это делать с клиентами биткойнов?

Хотя я признаю, что биткойн гораздо более ликвиден и представляет дополнительные риски в отношении финансовых преступлений, на мой взгляд, более высокие риски для конфиденциальности и безопасности клиентов не пропорциональны процедурам проверки адреса.

Еще один вероятный кандидат на проверку адреса — создание цифровой подписи над адресом контрагента. В индустрии биткойнов существует устоявшаяся передовая практика, согласно которой вы раскрываете свой открытый ключ только при совершении транзакции (поэтому вам следует использовать адрес только один раз). Такой тип мер прямо противоречил бы лучшим отраслевым практикам.

Заключение

В заключение, я сомневаюсь, что процедуры проверки адреса, требуемые для контекстов, предписанных этими правилами, внесут реальный вклад в борьбу с финансовыми преступлениями. По крайней мере, я на самом деле не видел ни одной разумной реализации из них, которая заставила бы меня думать иначе.

Кроме того, процедуры проверки адреса связаны с расходами на коммерцию и инновации, а также на безопасность и конфиденциальность клиентов. Конечно, эти затраты зависят от того, как именно вы их реализуете. Но они будут стоить, по крайней мере, так, как я могу представить себе их реализацию.

Поэтому я призываю FinCEN прекратить продвигать это предложение в его нынешней форме. На мой взгляд, любое пересмотренное предложение должно отвечать на три ключевых вопроса:

  1. Как именно проверка адреса должна осуществляться банками и MSB?
  2. Как именно эти процедуры проверки адреса будут бороться с широким спектром финансовых преступлений, упомянутых в предложении?
  3. Каковы будут затраты на торговлю и инновации, а также на конфиденциальность и безопасность этих процедур проверки адресов клиентов?

С уважением,

Ян-Виллем Бургерс

Автор благодарит Даана Клеймана за его критический отзыв о более ранней версии этого письма..

Это гостевой пост Яна-Виллена Бургерса. Выраженные мнения являются полностью их собственными и не обязательно отражают мнение BTC Inc или Журнал Биткойн.

Только медийное адаптивное
Только медийное адаптивное

Оставьте ответ

Ваш электронный адрес не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

elit. ultricies libero porta. risus. ipsum